何印

(蘇州市軌道交通集團有限公司，江蘇蘇州 215008)

0 引言

2004年，國家公安機關(guān)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)和《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)【2003】27號)的相關(guān)要求，制定了《關(guān)于信息安全等級保護工作的實施意見》(公通字【2004】66號)，并于2004年正式頒布了《信息安全等級保護管理辦法》(公通字【2007】43號)，文件要求一旦受到侵害，會對公民法人合法權(quán)益、公共利益、社會秩序、國家安全產(chǎn)生不同程度影響的信息系統(tǒng)，要根據(jù)業(yè)務(wù)重要程度及實際安全需求，實行分類、分級、分階段的保護措施。

信息系統(tǒng)等級保護管理辦法自頒布以來，一直是國家層面推動網(wǎng)絡(luò)安全工作的重要抓手，特別是2017年6月1日《網(wǎng)絡(luò)安全法》頒布以來，網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略層面的高度，等級保護也逐漸成為一項強制要求在全國范圍內(nèi)推行[1]。

《網(wǎng)絡(luò)安全法》明確要求國家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)采用網(wǎng)絡(luò)安全等級保護制度，并且要求在系統(tǒng)設(shè)計階段見過信息安全，做到安全和業(yè)務(wù)同步進行[2]。

2019年5月13日，公安部門正式發(fā)布了《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T 22239-2019》標準，信息安全等級保護也正式進入了2.0時代[3]。

1 存在的問題

軌道交通行業(yè)內(nèi)沒有統(tǒng)一的安全規(guī)范供參考，因此我國的綜合監(jiān)控系統(tǒng)(ISCS)系統(tǒng)運營過程中，網(wǎng)絡(luò)整體安全體系建設(shè)情況較差。僅部署了基本的安全防護措施，如訪問控制、入侵檢測等，針對服務(wù)器、終端等資產(chǎn)缺乏有效的管控措施，弱口令、漏洞等各種問題層出，邊界平臺建設(shè)不合規(guī)。

主要問題如下：

(1)目前部分線路綜合監(jiān)控系統(tǒng)邊界防護采用了防火墻和網(wǎng)閘，大部分線路無邊界防護措施。

(2)ISCS系統(tǒng)內(nèi)外部區(qū)域邊界采用FEP前置機進行安全隔離，但是由于FEP通訊還是基于現(xiàn)有網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)中傳播的惡意代碼能夠在穿透FEP，無法起到安全隔離的作用。

(3)地鐵ISCS系統(tǒng)各工作站、服務(wù)器上線后基本不做補丁升級，不安裝殺毒軟件等，基本處于“裸奔”運行狀態(tài)，存在大量安全隱患。

(4)ISCS系統(tǒng)的內(nèi)部設(shè)備、軟件等運維中存在不嚴格的操作行為及管理措施，如隨意使用不經(jīng)授權(quán)及管理的接入底層系統(tǒng)等，容易造成ISCS系統(tǒng)內(nèi)遭受地址解析協(xié)議攻擊(ARP攻擊)、拒絕式服務(wù)攻擊(Dos和DDos)、網(wǎng)絡(luò)風暴等，導致系統(tǒng)資源被消耗，系統(tǒng)無法正常工作。

(5)ISCS系統(tǒng)的設(shè)備運維、軟件升級等需運維人員接入不經(jīng)檢測及授權(quán)的U盤等，容易造成ISCS設(shè)備干擾病毒，從而使得ISCS指令不準確，存在較大的安全隱患。

(6)ISCS系統(tǒng)平時在車站未部署安全審計，未采取數(shù)據(jù)加密或其他措施實現(xiàn)ISCS系統(tǒng)鑒別業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)。

為滿足軌道交通業(yè)務(wù)的快速發(fā)展的需要，響應(yīng)國家網(wǎng)絡(luò)安全等級保護建設(shè)的相關(guān)規(guī)范要求，應(yīng)完善現(xiàn)有綜合監(jiān)控系統(tǒng)(ISCS)系統(tǒng)安全技術(shù)體系，為業(yè)務(wù)系統(tǒng)穩(wěn)定運行以及未來持續(xù)發(fā)展提供保障[4]。

2 綜合監(jiān)控系統(tǒng)信息安全方案研究

根據(jù)公安部正式發(fā)布《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T 22239-2019》的標準，本文從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等層面進行方案研究[5]。

2.1 總體規(guī)劃

城市軌道交通綜合監(jiān)控系統(tǒng)(ISCS)中集成和互聯(lián)的對象包括：環(huán)境與設(shè)備監(jiān)控系統(tǒng)(BAS)、火災(zāi)自動報警系統(tǒng)(FAS(含區(qū)間隧道感溫光纖))、電力監(jiān)控(SCADA)、站臺門(PSD)、防淹門(FG)、電氣火災(zāi)報警系統(tǒng)、消防電源監(jiān)視系統(tǒng)、防火門監(jiān)控系統(tǒng)、乘客信息顯示系統(tǒng)(PIS)、廣播系統(tǒng)(PA)、信號系統(tǒng)(SIG)、視頻監(jiān)控(CCTV)、自動售檢票系統(tǒng)(AFC)、門禁系統(tǒng)(ACS)、時鐘系統(tǒng)(CLK)、可視化接地系統(tǒng)、列車車載監(jiān)視系統(tǒng)、通信集中告警系統(tǒng)、線網(wǎng)指揮系統(tǒng)(TCC)、信息管理系統(tǒng)(OA)、市火災(zāi)監(jiān)控中心等[6]。

由于ISCS接口眾多，在車站、車輛段、停車場ISCS交換機出口部署工業(yè)防火墻，隔離與各接口系統(tǒng)，ISCS站級系統(tǒng)內(nèi)部署工控網(wǎng)絡(luò)安全監(jiān)測與審計系統(tǒng)。在中央級ISCS交換機出口處部署工業(yè)防火墻，ISCS中央級部署安全管理區(qū)，區(qū)內(nèi)部署主機防護系統(tǒng)集中監(jiān)管平臺、風險評估系統(tǒng)、工控安全管理中心系統(tǒng)、工控安全運維管理系統(tǒng)、工控網(wǎng)絡(luò)安全監(jiān)測與審計系統(tǒng)、信息安全管理工作站等。

2.2 安全物理環(huán)境

嚴格貫徹安全物理環(huán)境需求，建立專有的電子門禁，配備防盜竊和防破壞，設(shè)置視頻監(jiān)控和電子門禁，配備專門存放光盤資料等介質(zhì)的檔案柜，有防盜報警系統(tǒng)，線路隱蔽鋪設(shè)。設(shè)置避雷裝置及自動消防系統(tǒng)，如溫感、煙感探頭、氣體滅火系統(tǒng)等。采取防水和防潮措施，可鋪設(shè)方靜電瓷磚或防靜電地板，機房配置精密空調(diào)機組，能根據(jù)溫度、濕度的預(yù)設(shè)值自動調(diào)節(jié)溫度與濕度，系統(tǒng)雙路供電，具有UPS穩(wěn)壓過壓保護，機房急設(shè)備均采用單獨接地，防止外界電磁干擾。

2.3 安全通信網(wǎng)絡(luò)

系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、目標、策略和使用者等元素的不同來劃分的不同邏輯網(wǎng)絡(luò)，每一個邏輯網(wǎng)絡(luò)區(qū)域內(nèi)部有相同的安全保護策略、使用等要求。相同的邊界控制策略和安全訪問控制的區(qū)域之間被認定為信任關(guān)系，在相同的網(wǎng)絡(luò)安全區(qū)域之間設(shè)置相同的安全策略。

2.4 安全區(qū)域邊界

2.4.1 中央級ISCS

多數(shù)城市的軌道交通控制中心ISCS系統(tǒng)會設(shè)置冗余的中央通信前端處理器FEP，接收和發(fā)送控制中心(OCC)各相關(guān)集成互聯(lián)子系統(tǒng)的信息。一般每套FEP配置會2個互為備份的千兆以太網(wǎng)電接口分別與中心以太網(wǎng)冗余交換機連接。在每套前置處理機(FEP)的前端部署工業(yè)防火墻，實現(xiàn)子系統(tǒng)與ISCS之間的隔離與訪問控制。根據(jù)數(shù)據(jù)包的傳輸層協(xié)議、應(yīng)用層協(xié)議、源地址、目的地址、端口等信息執(zhí)行訪問控制規(guī)則，并同時對數(shù)據(jù)包進行過濾。嚴格貫徹并執(zhí)行白名單機制，僅允許正常業(yè)務(wù)數(shù)據(jù)穿過該平臺，禁止其他應(yīng)用的連接請求，以保障綜合監(jiān)控系統(tǒng)(ISCS)的網(wǎng)絡(luò)安全。部署架構(gòu)圖如圖1所示。

2.4.2 車站級(含段場)ISCS

車站ISCS系統(tǒng)通過FEP，接收和發(fā)送車站集成和互連系統(tǒng)的信息。FEP冗余配置，每套FEP配置2個互為備份的100Mbps以太網(wǎng)電接口分別與車站以太網(wǎng)冗余交換機連接。在每個車站的FEP前端串聯(lián)部署工業(yè)防火墻，實現(xiàn)保障車站ISCS系統(tǒng)的安全性。部署架構(gòu)圖如圖2所示。

2.4.3 安全審計

在中央級綜合監(jiān)控系統(tǒng)、車站級綜合監(jiān)控系統(tǒng)、車輛段綜合監(jiān)控系統(tǒng)和停車場綜合監(jiān)控系統(tǒng)核心交換機旁路部署網(wǎng)絡(luò)安全審計系統(tǒng)，實現(xiàn)對系統(tǒng)內(nèi)運維人員網(wǎng)絡(luò)訪問行為和相關(guān)內(nèi)容的記錄、分析和還原。

2.4.4 入侵檢測

在中央級綜合監(jiān)控系統(tǒng)、車站級綜合監(jiān)控系統(tǒng)、車輛段綜合監(jiān)控系統(tǒng)和停車場綜合監(jiān)控系統(tǒng)中核心交換機部署入侵檢測系統(tǒng)，實現(xiàn)對內(nèi)部、外部各類攻擊威脅的實時檢測、記錄、告警，滿足網(wǎng)絡(luò)信息安全等級保護標準要求。

2.5 安全計算環(huán)境

在地鐵綜合監(jiān)控系統(tǒng)中各Windows操作系統(tǒng)的工作站和服務(wù)器上部署主機安全防護軟件。同時在控制中心部署一臺主機防護系統(tǒng)集中監(jiān)管平臺，實現(xiàn)對部署在各主機上的主機安全防護軟件的統(tǒng)一管理。

圖1 中央級綜合監(jiān)控系統(tǒng)信息安全部署網(wǎng)絡(luò)架構(gòu)圖

圖2 車站綜合監(jiān)控系統(tǒng)信息安全部署網(wǎng)絡(luò)架構(gòu)圖

2.6 安全管理中心

2.6.1 安全管理平臺

地鐵綜合監(jiān)控系統(tǒng)安全管理平臺，并規(guī)劃部署于安全管理區(qū)內(nèi)部進行部署，以實現(xiàn)對工業(yè)控制生產(chǎn)網(wǎng)中部署的工控安全設(shè)備和系統(tǒng)進行管理、配置和運維，實現(xiàn)對工業(yè)控制全網(wǎng)中每個節(jié)點的安全設(shè)備進行策略配置下發(fā)、網(wǎng)絡(luò)流量分析，實時掌握工業(yè)控制網(wǎng)絡(luò)運行情況，以便出現(xiàn)問題時及時定位發(fā)生位置和原因。

2.6.2 運維審計系統(tǒng)

需在中央級ISCS中部署1套工控安全運維管理系統(tǒng)，可對地鐵公司內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器等進行保護，對此類設(shè)備及系統(tǒng)進行審計，實現(xiàn)對用戶行為的控制、追蹤、判定，同時對管理和運維人員賬號使用情況進行記錄和畫面監(jiān)視。

2.6.3 風險評估系統(tǒng)

中央級部署1臺風險評估系統(tǒng)，定期對綜合監(jiān)控系統(tǒng)進行風險評估及漏洞掃描。風險評估系統(tǒng)在網(wǎng)絡(luò)中并不是一個實時啟動的系統(tǒng)，只需要定期掛接到網(wǎng)絡(luò)中，對網(wǎng)段上的重點服務(wù)器以及主要的網(wǎng)絡(luò)設(shè)備和桌面機進行掃描，即可評估當前系統(tǒng)中存在的各種安全漏洞，由此可針對性地對系統(tǒng)采取補救措施，則即可在相當一段時間內(nèi)保證系統(tǒng)的安全。

計劃將漏洞掃描系統(tǒng)旁路部署于安全管理區(qū)的交換機上。