趙 晗 王燕娜 李建峰

(1.鄭州地鐵集團有限公司， 450052， 鄭州； 2.河南輝煌城軌科技有限公司， 450052， 鄭州∥第一作者， 高級工程師)

城市軌道交通具有運量大、速度快、安全舒適、班次密、準點率高、節(jié)能環(huán)保等優(yōu)點，是廣大市民出行首選的綠色交通。ISCS(綜合監(jiān)控系統(tǒng))是城市軌道交通安全運營、可靠運營的保障，一旦發(fā)生系統(tǒng)安全風險，會直接影響乘客的生命安全，對社會、經濟的影響也非常大。

2017年4月，中央密碼工作領導小組辦公室印發(fā)了《關于做好金融和重要領域國產密碼試點工作的通知》。2017年11月，中共河南省委密碼工作領導小組印發(fā)了《河南省金融和重要領域國產密碼應用試點工作方案》。鄭州地鐵集團有限公司作為全國唯一的城市軌道交通國產密碼應用試點單位承擔試點任務，選取城市軌道交通4大核心系統(tǒng)先期進行國產密碼應用試點研究。

ISCS是城市軌道交通四大核心系統(tǒng)之一。本文主要就ISCS內部可能存在的安全風險進行分析，詳細介紹相應的國產密碼應用解決方案，以及在鄭州市市民文化服務區(qū)地下工程中的實際應用。

1 ISCS安全風險分析

1.1 系統(tǒng)結構

ISCS是用系統(tǒng)化方法將分散獨立的各類自動化系統(tǒng)聯結為一個有機整體，從而形成一個新的綜合型自動化監(jiān)控系統(tǒng)。該系統(tǒng)解決了城市軌道交通中各專業(yè)系統(tǒng)之間的信息互通、資源共享等問題，提高各系統(tǒng)的協(xié)調配合能力，實現系統(tǒng)間的高效聯動機制。在技術層面上，該系統(tǒng)提供了高效的技術手段，增強了運營管理人員對各種突發(fā)事件的應變能力，提高了反應速度，增強了災害事故的抵御能力，從而提高了城市軌道交通運營服務質量和服務水平。

ISCS采用兩級管理、三級控制的結構體系。兩級管理分別為中央級、車站級，三級控制分別為中央級、車站級和現場級。

中央級綜合監(jiān)控系統(tǒng)對全線重要監(jiān)控對象的狀態(tài)、性能數據進行實時收集和處理，通過各種調度員工作站和大屏幕，以圖形、圖像、表格和文本的形式顯示出來，供調度人員控制和監(jiān)視。同時，根據一定的邏輯關系自動向分布在各站點的被監(jiān)控對象或系統(tǒng)發(fā)送模式、程控、點控等控制命令，或由調度員人工發(fā)布控制命令，從而完成對全線環(huán)境、設備和客流信息的集中監(jiān)控。

車站級綜合監(jiān)控系統(tǒng)對本站監(jiān)控對象的狀態(tài)、性能數據進行實時收集和處理，通過操作員工作站以圖形、圖像、表格和文本的形式顯示出來，供車站值班人員控制和監(jiān)視。當中央級和主干網絡發(fā)生故障時，車站級仍可在車站范圍內繼續(xù)進行控制。

現場級是由BAS(環(huán)境監(jiān)控系統(tǒng))、FAS(防災報警系統(tǒng))、PSCADA(電力監(jiān)控與數據采集)、PSD(站臺屏蔽門)、ACS(門禁系統(tǒng))、ATS(列車自動監(jiān)控系統(tǒng))、AFC(自動售檢票系統(tǒng))、CCTV(閉路電視)、PA(公共廣播)、PIS(乘客信息系統(tǒng))、CLK(時鐘)等系統(tǒng)的現場層設備組成。ISCS與BAS、FAS、PSCADA、PSD、ACS、ATS、AFC、CCTV、PA、PIS、CLK等系統(tǒng)在車站級或中央級進行接口。一般采用工業(yè)控制網絡或現場總線，進行分散控制結構。

1.2 系統(tǒng)現狀及潛在安全風險

綜合監(jiān)控系統(tǒng)是一個相對封閉的局域網系統(tǒng)，具有分布范圍廣、設備數量大、系統(tǒng)使用人員多、軟件功能復雜等特點。目前綜合監(jiān)控系統(tǒng)的身份認證采用用戶名和密碼登錄方式實現，并未對傳輸的信息數據進行加密。

因此，系統(tǒng)主要存在以下4類潛在安全風險：

1) 非法用戶登錄風險。在目前的綜合監(jiān)控系統(tǒng)中，每個操作人員都有一個對應的用戶名和密碼。一個非法用戶在獲取他人的登錄名和密碼的情況下，可以正常地登錄系統(tǒng)平臺，一旦其在人機界面下發(fā)出控制命令，系統(tǒng)因無法識別出該類非授權的操作而正常執(zhí)行，就會造成不可預知的后果。

如何確認登錄用戶身份的合法性以保證非法用戶無法正常登錄，就需要采取更可靠的手段來加以保證。

2) 非法設備接入風險。綜合監(jiān)控系統(tǒng)為分布式大型集成系統(tǒng)，系統(tǒng)用到的服務器、FEP(前置機)、工作站等分散在中心和車站的各個房間，中心和各車站一般采用雙環(huán)網的方式組建骨干網，目前只要接入到系統(tǒng)環(huán)網交換機就能夠訪問系統(tǒng)資源。若一個未經授權的設備接入了綜合監(jiān)控系統(tǒng)網絡，通過篡改或偽造控制命令，對電力、環(huán)控、門禁、售檢票、屏蔽門等系統(tǒng)設備進行控制，將會造成非常嚴重的后果。

如何保證接入網絡的計算機設備都為合法的授權設備，非授權設備無法通過網絡環(huán)境進入系統(tǒng)，這就是系統(tǒng)設備的認證加密需求。

3) 偽造控制命令下發(fā)風險。在綜合監(jiān)控系統(tǒng)內部存在多種通信鏈路，包括系統(tǒng)數據、設備實時狀態(tài)、歷史歸檔信息、事項記錄、控制命令及結果反饋等，這些信息具有不同的數據流向，使用TCP(傳輸控制協(xié)議)或UDP(用戶數據包協(xié)議)不同方式進行傳輸。在數據傳輸中，控制數據流尤為重要，其他數據流在操作員界面大多是進行數據的顯示處理，而控制數據流賦予了操作員工作站對系統(tǒng)監(jiān)控設備的控制功能，一旦篡改或偽造的控制命令下發(fā)，無疑會對系統(tǒng)的正常運行造成損害。上述數據流通過數據掃描工具非常容易監(jiān)測到網絡上的數據報文，進而竊取數據，同時也很容易偽造TCP或UDP數據包，進而對網絡上的設備發(fā)起攻擊。

如何保證通信網絡上的重要數據內容不被竊取，如何防止非法設備偽造發(fā)送控制指令，維護系統(tǒng)正常的控制管理規(guī)則，是網絡通信安全必須要解決的問題。

4) 數據泄露或被篡改風險。從數據存儲形式來看，綜合監(jiān)控系統(tǒng)數據主要有系統(tǒng)配置文件、數據庫文件、圖形文件3種。系統(tǒng)配置文件里包括系統(tǒng)正常運行所必需的配置參數；數據庫文件主要包括用戶信息、系統(tǒng)參數、各監(jiān)控設備的信息以及事件信息等；圖形文件主要包括頁面、設備圖元等。目前，這些數據均是采用明文的方式進行存儲。

系統(tǒng)配置參數通常以操作系統(tǒng)文件的形式在本地保存，一旦配置文件泄露，將造成綜合監(jiān)控系統(tǒng)平臺無法正常啟動，或者可能會構造一個虛假系統(tǒng)平臺對原有系統(tǒng)控制設備發(fā)送偽造控制命令。

數據庫文件中，用戶信息的安全是系統(tǒng)正常登錄的保障，因此要避免用戶信息被篡改或盜用。另外，一些重要且敏感的歷史數據也需要安全防護，避免被意外泄露，確保無權限操作人員無法查看系統(tǒng)的敏感數據，有權限操作人員查看的數據為真實可靠的。

如何保證數據庫關鍵字段以及重要的系統(tǒng)配置文件不被竊取，是數據存儲應重點考慮的問題之一。

2 綜合監(jiān)控系統(tǒng)國產密碼應用方案

針對上面4類安全風險，本文進行了深入分析，形成了綜合監(jiān)控系統(tǒng)的國密應用方案。該方案主要由系統(tǒng)認證、通信加密和存儲加密3個部分組成。

國產密碼應用于綜合監(jiān)控系統(tǒng)后的系統(tǒng)結構如圖1所示。

圖1 綜合監(jiān)控系統(tǒng)結構示意圖

2.1 系統(tǒng)認證

系統(tǒng)認證包括對綜合監(jiān)控系統(tǒng)的服務器、工作站、FEP等設備的身份認證，以及對綜合監(jiān)控系統(tǒng)的操作人員的用戶身份認證，這是整個系統(tǒng)安全性的基礎。

對設備和用戶的身份認證，使用UKey(智能密碼鑰匙)設備，采用SM2橢圓曲線公鑰密碼算法和SM9標識密碼算法來實現數字簽名和認證功能，保證只有授權合法用戶有權訪問系統(tǒng)。UKey具有完善的身份鑒別功能，能區(qū)分兩個不同的個體。將一個UKey與人或設備綁定，只有持有該UKey的人才具有相對應的權限，別人無法冒名登錄，也無法有權限執(zhí)行。另外，利用UKey的追溯和防抵賴機制，能夠確認網絡上執(zhí)行的操作就是本人操作。用戶認證過程如圖2所示。

設備認證過程如圖3所示。

綜合監(jiān)控系統(tǒng)軟件平臺記錄認證結果，認證未通過時，平臺軟件模塊不能正常啟動，該登錄失敗操作將被記錄。通過系統(tǒng)的登錄日志可以查看非法用戶登錄記錄，也可以查看非法設備接入記錄，為系統(tǒng)問題的調查提供依據。

圖2 用戶認證過程

圖3 設備認證過程

2.2 通信加密

系統(tǒng)內部通信時，關鍵數據采用密文形式傳輸，以保證網絡通信的安全。數據傳輸過程如圖4所示。

圖4 數據傳輸過程

用戶通道建立加密通信前，先進行用戶密鑰的認證，通過認證后即可通過各種加密密鑰和存儲密鑰進行數據的交換，密鑰都是動態(tài)產生，防止了密鑰的泄露。

首先，由數據的發(fā)送方采用接收方的標識密鑰對傳輸數據進行加密；然后，發(fā)送給接收方，接收方收到數據后，用自身的標識向密鑰管理中心申請認證標識的私鑰，密鑰管理中心認證成功后將私鑰發(fā)送給接收方，數據的接收方即可使用該私鑰進行數據解密。

2.3 存儲加密

由于綜合監(jiān)控系統(tǒng)涉及的數據庫數據和文件數據非常多，因此考慮到系統(tǒng)的性能，只對系統(tǒng)的關鍵核心數據(如用戶名和密碼、車站、關鍵配置等)進行加密存儲，其他數據仍采用明文方式存儲。數據存儲加密通過調用符合國密要求的SDK軟件開發(fā)包來實現。

數據的存儲加密采用軟件SDK加密包的方式，使用SM3密碼雜湊算法和SM4分組加密算法來實現數據庫字段和配置文件存取的加解密功能。在數據存儲前，調用加密算法進行數據加密，然后進行數據庫存儲或文件存儲。在使用數據庫數據或配置文件前，先調用解密算法，對讀取的密文數據解密后再使用。在加解密過程，所需的加密和解密密鑰在設備UKey中保存。

通過數據的加密存儲，使數據的意外泄露造成的損失降到最低，為系統(tǒng)的穩(wěn)定運行提供一個良好、安全、可靠的數據環(huán)境。

3 國產密碼在鄭州市市民文化服務區(qū)工程綜合監(jiān)控系統(tǒng)中的應用

3.1 現場設備配置

鄭州市市民文化服務區(qū)工程綜合監(jiān)控系統(tǒng)一期工程范圍包括1個中心、6個車站和1個車輛段。

硬件：在中心部署1臺加密機，1套密管系統(tǒng)；在中心、車站、車輛段的各個服務器、FEP、工作站上配置1個設備UKey；對每個操作人員配置1個用戶UKey。

操作系統(tǒng)：服務器為Solaris；FEP、工作站為Redhat。

軟件平臺：在中心、車站、車輛段的各個服務器、FEP、工作站上部署輝煌城軌自動化監(jiān)控平臺(MAS)V2.0。

3.2 國密功能

鄭州市市民文化服務區(qū)工程現場國密功能測試結果如表1所示。

表1 現場國密功能測試結果

3.3 國產密碼應用于綜合監(jiān)控系統(tǒng)后的系統(tǒng)性能

鄭州市市民文化服務區(qū)工程現場性能測試結果如表2所示。

表2 系統(tǒng)性能測試結果

根據測試結果，綜合監(jiān)控系統(tǒng)增加國密功能后性能指標仍然符合GB/T 50636—2018《城市軌道交通綜合監(jiān)控系統(tǒng)工程技術標準》。

4 結語

在鄭州市市民文化服務區(qū)地下交通工程綜合監(jiān)控系統(tǒng)的1個中心、6個車站、1個車輛段的現場環(huán)境下，進行了綜合監(jiān)控系統(tǒng)國密應用方案的測試和長期試點應用，實現了用戶和設備的身份認證、訪問控制、信息安全傳遞，提升了綜合監(jiān)控系統(tǒng)的安全性。該國密方案中使用的國產密碼算法、技術和設備均為國內自主設計、自主研發(fā)，符合國家對信息安全的“自主、安全、可控”要求。該系統(tǒng)的研發(fā)為城市軌道交通信息化安全建設提供了新的思路，可更好地為公眾提供安全、便捷的出行。