軌道交通LTE系統(tǒng)等保接入方案及實(shí)現(xiàn)

白 雪

（西安市軌道交通集團(tuán)有限公司，西安 710021）

城市軌道交通信息化系統(tǒng)的集成化、智能化程度越來(lái)越高，隨之而來(lái)的網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也變得更大，信息系統(tǒng)一旦出現(xiàn)故障，車輛調(diào)度、故障報(bào)警、安全運(yùn)維等各個(gè)環(huán)節(jié)都將無(wú)法正常進(jìn)行。而LTE 作為承載信號(hào)系統(tǒng)CBTC 業(yè)務(wù)涉及行車安全，若出現(xiàn)網(wǎng)絡(luò)安全事故將直接影響人們的正常生活，因此，對(duì)城市軌道交通LTE 系統(tǒng)安全的3 級(jí)等級(jí)保護(hù)研究有著重要意義。本文通過(guò)羅列LTE 系統(tǒng)2個(gè)等保接入方案，對(duì)比方案并選擇最優(yōu)方案，實(shí)現(xiàn)LTE 網(wǎng)絡(luò)的等保接入，確保列車高效率運(yùn)行。

1 工程背景

1.1 等保設(shè)備組成

西安地鐵14 號(hào)線在控制中心部署統(tǒng)一的安全管理平臺(tái)，方便對(duì)LTE 系統(tǒng)部署工業(yè)防火墻、工業(yè)安全監(jiān)測(cè)與審計(jì)系統(tǒng)和工控主機(jī)衛(wèi)士等所有安全防護(hù)設(shè)備，進(jìn)行統(tǒng)一管理和維護(hù)。LTE 系統(tǒng)等保設(shè)備主要分為硬件安全設(shè)備和主機(jī)防護(hù)軟件2 大部分，其中硬件設(shè)備包含統(tǒng)一安全管理平臺(tái)、安全運(yùn)維管理系統(tǒng)、日志審計(jì)與分析系統(tǒng)、漏洞掃描系統(tǒng)、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)和A、B 網(wǎng)工業(yè)互聯(lián)防火墻，具體安全設(shè)備及作用如表1 所示。

表1 安全設(shè)備Tab.1 Safety equipment

1.2 LTE有線部分既有接口

西安地鐵14 號(hào)線車地通信采用基于TD-LTE的寬帶移動(dòng)通信系統(tǒng)，LTE 綜合承載子系統(tǒng)作為信號(hào)系統(tǒng)數(shù)據(jù)通信子系統(tǒng)（Data Communications System，DCS）的組成部分，采用A、B 雙網(wǎng)冗余組網(wǎng)設(shè)計(jì)，信號(hào)CBTC 業(yè)務(wù)信息通過(guò)A、B 雙網(wǎng)承載并同時(shí)傳輸，保證其對(duì)網(wǎng)絡(luò)可靠性的要求。同時(shí)還與通信PIS 系統(tǒng)、車輛TCMS 系統(tǒng)、通信集中告警系統(tǒng)及時(shí)鐘系統(tǒng)都存在有物理接口。其中A 網(wǎng)設(shè)有上述全部物理接口，B 網(wǎng)設(shè)置除通信PIS 系統(tǒng)外的全部物理接口。LTE 系統(tǒng)有線部分網(wǎng)絡(luò)與外部系統(tǒng)的物理接口均設(shè)置在控制中心A、B 網(wǎng)核心網(wǎng)交換機(jī)上，具體位置如表2 所示。

表2 LTE系統(tǒng)有線部分網(wǎng)絡(luò)與外部系統(tǒng)的物理接口Tab.2 Physical interfaces between LTE wired network and external systems

LTE 網(wǎng)管工作站分布情況：停車場(chǎng)網(wǎng)管室A、B網(wǎng)各1 臺(tái)；控制中心網(wǎng)管室、控制中心通信設(shè)備室A、B 網(wǎng)各1 臺(tái)。此次14 號(hào)線部署的旁路設(shè)備為工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)和入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源是由工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)發(fā)送，入侵檢測(cè)系統(tǒng)業(yè)務(wù)口不接入LTE 核心交換機(jī)，只有工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)通過(guò)核心交換機(jī)的鏡像功能接收數(shù)據(jù)，且該設(shè)備只被動(dòng)接收數(shù)據(jù)進(jìn)行分析，監(jiān)視交換機(jī)內(nèi)的網(wǎng)絡(luò)流量和會(huì)話情況，不會(huì)主動(dòng)對(duì)LTE 網(wǎng)絡(luò)轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)，不對(duì)LTE 網(wǎng)絡(luò)造成影響。

2 等保部署方案一

2.1 工業(yè)防火墻接入

將工業(yè)防火墻串接在LTE 核心交換機(jī)與其他外部接口（CBTC、信號(hào)、集中告警、時(shí)鐘、CCTV、PIS）之間，對(duì)LTE 網(wǎng)絡(luò)邊界進(jìn)行隔離，工業(yè)防火墻的管理口連接在LTE 核心交換機(jī)劃分的VLAN內(nèi)，為完成與其他安全設(shè)備組網(wǎng)。

2.2 旁路設(shè)備接入

統(tǒng)一安全管理平臺(tái)、安全運(yùn)維管理系統(tǒng)、日志審計(jì)與分析系統(tǒng)、漏洞掃描系統(tǒng)、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)旁路均部署在LTE 的核心交換機(jī)處，其中統(tǒng)一安全管理平臺(tái)需對(duì)工業(yè)防火墻、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、工控主機(jī)衛(wèi)士進(jìn)行統(tǒng)一管理，并負(fù)責(zé)接收運(yùn)行狀態(tài)和告警信息的安全設(shè)備策略管理和下發(fā)，具體系統(tǒng)網(wǎng)絡(luò)拓?fù)淙鐖D1 所示。

圖1 方案1系統(tǒng)網(wǎng)絡(luò)拓?fù)銯ig.1 System network topology of solution 1

日志審計(jì)分析系統(tǒng)負(fù)責(zé)對(duì)LTE 系統(tǒng)內(nèi)所有網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、安全設(shè)備等相關(guān)日志信息進(jìn)行統(tǒng)一收集分析和展示。漏洞掃描系統(tǒng)旁路負(fù)責(zé)對(duì)LTE 系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器和工作站等進(jìn)行漏洞掃描和檢查。工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)和入侵檢測(cè)系統(tǒng)各自的業(yè)務(wù)口被動(dòng)接收LTE 核心交換機(jī)發(fā)來(lái)的鏡像流量，主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)會(huì)話流量及網(wǎng)絡(luò)內(nèi)的入侵或惡意行為分析和采集。安全運(yùn)維管理系統(tǒng)通過(guò)2 個(gè)管理口對(duì)LTE 系統(tǒng)的服務(wù)器、工作站、交換機(jī)等進(jìn)行集中運(yùn)維管理，同時(shí)通過(guò)管理口將安全運(yùn)維管理系統(tǒng)產(chǎn)生的日志信息發(fā)送至日志審計(jì)與分析系統(tǒng)。

2.3 主機(jī)安全衛(wèi)士接入

工控主機(jī)衛(wèi)士軟件為白名單機(jī)制的終端防護(hù)軟件，部署在控制中心網(wǎng)管室的LTE 網(wǎng)管工作站中，用于維護(hù)控制中心通信設(shè)備室的服務(wù)器和車站的服務(wù)器等。該軟件除在主機(jī)層面開(kāi)展安全防護(hù)，也需將終端狀態(tài)和告警及日志信息發(fā)送至統(tǒng)一安全管理平臺(tái)，接收統(tǒng)一安全管理平臺(tái)的策略指令。

3 等保部署方案二

3.1 旁路設(shè)備接入

本方案在交換機(jī)內(nèi)對(duì)安全設(shè)備管理口進(jìn)行2 層隔離，使安全設(shè)備與LTE 網(wǎng)絡(luò)內(nèi)其他設(shè)備不產(chǎn)生通信；其次所有安全設(shè)備的管理口只接在LTE 的A網(wǎng)交換機(jī)，因此不會(huì)對(duì)LTE 的B 網(wǎng)產(chǎn)生影響；同時(shí)日志審計(jì)與分析系統(tǒng)、安全運(yùn)維管理系統(tǒng)只對(duì)此VLAN 內(nèi)安全設(shè)備的日志進(jìn)行運(yùn)維管理。A/B 網(wǎng)各配1 臺(tái)工業(yè)防火墻進(jìn)行部署，所有安全設(shè)備管理口及旁路部署的安全設(shè)備的業(yè)務(wù)口只接入A 網(wǎng)核心交換機(jī)， 均不接入B 網(wǎng)，同時(shí)工業(yè)防火墻的管理口只用于設(shè)備狀態(tài)和告警信息的上傳和策略接收。并且系統(tǒng)中管理口與業(yè)務(wù)口不關(guān)聯(lián)，因此串接在B 網(wǎng)的工業(yè)防火墻不會(huì)因業(yè)務(wù)接入而影響B(tài) 網(wǎng)，系統(tǒng)的管理口接入A 網(wǎng)也不會(huì)對(duì)A/B 網(wǎng)業(yè)務(wù)產(chǎn)生影響。系統(tǒng)網(wǎng)絡(luò)拓?fù)淙鐖D2 所示。

圖2 方案2系統(tǒng)網(wǎng)絡(luò)拓?fù)銯ig.2 System network topology of solution 2

3.2 主機(jī)安全衛(wèi)士接入

因統(tǒng)一安全管理平臺(tái)只接入A 網(wǎng)，且無(wú)法與LTE 系統(tǒng)內(nèi)的所有工作站和服務(wù)器進(jìn)行通信，致使工控主機(jī)衛(wèi)士無(wú)法通過(guò)平臺(tái)獲取授權(quán)和集中管理，因此需將LTE 系統(tǒng)所需部署的主機(jī)衛(wèi)士改為單機(jī)版軟件進(jìn)行部署。單機(jī)版的告警信息和日志內(nèi)容記錄在本地進(jìn)行信息處理，統(tǒng)一安全管理平臺(tái)部署完畢后再進(jìn)行主機(jī)安全衛(wèi)士的接入。需要在14 號(hào)線各車站、停車場(chǎng)、控制中心通信網(wǎng)管室以及控制中心通信設(shè)備室的LTE 相關(guān)網(wǎng)管工作站進(jìn)行安裝，實(shí)現(xiàn)各站級(jí)安全監(jiān)測(cè)條件。

4 方案對(duì)比

1）部署方案一

所有硬件設(shè)備所連接的端口劃分了VLAN 及VLAN 地址，設(shè)備網(wǎng)卡配置了網(wǎng)關(guān)，安全設(shè)備可遍歷訪問(wèn)至LTE 全網(wǎng)設(shè)備，可能會(huì)對(duì)LTE 網(wǎng)絡(luò)造成影響。在空策略防火墻接入確認(rèn)對(duì)相關(guān)業(yè)務(wù)無(wú)影響且穩(wěn)定運(yùn)行一段時(shí)間以后，沒(méi)有對(duì)A 網(wǎng)防火墻做1個(gè)寬松的策略模板，致使交換機(jī)資源被大量占用。交換機(jī)會(huì)對(duì)所有接收到的數(shù)據(jù)包進(jìn)行CRC 錯(cuò)誤檢測(cè)和長(zhǎng)度校驗(yàn)，將檢查出有錯(cuò)誤的包丟棄，正確的包轉(zhuǎn)發(fā)。該過(guò)程中可能存在CRC 錯(cuò)誤檢測(cè)和長(zhǎng)度校驗(yàn)中均未檢測(cè)出的錯(cuò)誤包，將會(huì)堆積在動(dòng)態(tài)緩存中，等緩存中堆積滿就會(huì)造成交換機(jī)死機(jī)的現(xiàn)象。

2）部署方案二

本方案中取消了安全設(shè)備所屬VLAN 的路由，在交換機(jī)內(nèi)對(duì)安全設(shè)備管理口進(jìn)行2 層隔離，避免安全設(shè)備與LTE 網(wǎng)絡(luò)內(nèi)其他設(shè)備產(chǎn)生通信；其次，所有安全設(shè)備的管理口及旁路部署安全設(shè)備的業(yè)務(wù)口，只接在LTE 的A 網(wǎng)交換機(jī)，避免對(duì)LTE 的B網(wǎng)產(chǎn)生影響，取消了安全設(shè)備所屬VLAN 的路由；LTE A 網(wǎng)核心網(wǎng)交換機(jī)只為旁路設(shè)備提供內(nèi)部交換的接口，且接口均劃分在一個(gè)2 層VLAN 下。需在14 號(hào)線相關(guān)站點(diǎn)及設(shè)備室的LTE 相關(guān)網(wǎng)管工作站安裝工控主機(jī)衛(wèi)士。

3）方案比較

部署方案一能夠詳細(xì)遍歷LTE 全網(wǎng)設(shè)備，對(duì)網(wǎng)絡(luò)出現(xiàn)問(wèn)題能夠?qū)崟r(shí)檢測(cè)，并給出檢測(cè)信息，對(duì)于LTE 網(wǎng)管工作站和服務(wù)器改造升級(jí)較大，若網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)風(fēng)暴、MAC 地址漂移等現(xiàn)象，不能夠快速定位故障點(diǎn)；而部署方案二增加了2 層隔離交換機(jī)，對(duì)于LTE 網(wǎng)絡(luò)起過(guò)濾隔離作用，不用詳細(xì)遍歷LTE 全網(wǎng)，網(wǎng)絡(luò)風(fēng)險(xiǎn)較小，網(wǎng)絡(luò)時(shí)延較小，并且一旦LTE 網(wǎng)絡(luò)出現(xiàn)問(wèn)題能夠快速定位故障點(diǎn)，但是對(duì)于網(wǎng)絡(luò)各節(jié)點(diǎn)遍歷性要求降低。西安地鐵14 號(hào)線鑒于傳輸速率及可靠性要求，采取方案二實(shí)現(xiàn)LTE 等保系統(tǒng)的接入?，F(xiàn)以網(wǎng)絡(luò)時(shí)延作為性能評(píng)估指標(biāo)，若流量傳輸時(shí)間越小則表明網(wǎng)絡(luò)傳輸性能越好，反之則傳輸性能越差；通過(guò)外掛檢測(cè)設(shè)備來(lái)計(jì)算平均時(shí)延。并對(duì)系統(tǒng)的傳輸時(shí)延進(jìn)行統(tǒng)計(jì)，通過(guò)累加計(jì)算出各檢測(cè)系統(tǒng)中各路徑的傳輸時(shí)延，如公式（1）所示。

圖3 時(shí)延對(duì)比Fig.3 Time delay comparison diagram

從圖3 中可以看出，2 種部署方案的平均傳輸時(shí)延均隨負(fù)載的增加而增加；當(dāng)流量負(fù)載低于300 Mbits/s 時(shí)，2 種部署方案平均時(shí)延相差不大，但當(dāng)負(fù)載超過(guò)300 Mbit/s 之后，2 種部署方案平均時(shí)延的上升趨勢(shì)都較為明顯，這是由于隨著流量負(fù)載的不斷增加，網(wǎng)絡(luò)鏈路負(fù)載增加，因此鏈路傳輸過(guò)程中會(huì)出現(xiàn)網(wǎng)絡(luò)時(shí)延增加的現(xiàn)象，但從整體來(lái)看，隨著負(fù)載的增加，部署方案二降低網(wǎng)絡(luò)時(shí)延的能力更為凸顯。

5 等保設(shè)備接入實(shí)施步驟

1）刪除LTE 核心網(wǎng)交換機(jī)上等保設(shè)備管理業(yè)務(wù)的Vlanif 地址（即等保安全設(shè)備的網(wǎng)關(guān)），在A網(wǎng)核心交換機(jī)44 口配置為工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)所需的鏡像口，用于接受捕獲集中告警、時(shí)鐘系統(tǒng)接口的流量。

2）接空策略防火墻，并且利用1 ～2 個(gè)動(dòng)車點(diǎn)測(cè)試A 網(wǎng)防火墻功能，確認(rèn)無(wú)異常再接入B 網(wǎng)。

3）防火墻安全策略確認(rèn)無(wú)異常后，利用1 ～2個(gè)動(dòng)車點(diǎn)測(cè)試A 網(wǎng)核心交換機(jī)旁路設(shè)備。逐個(gè)設(shè)備接入并檢測(cè)，確認(rèn)旁路設(shè)備無(wú)影響后，在A 網(wǎng)核心交換機(jī)正式接入旁路設(shè)備。

4）在空策略防火墻上加載安全策略，并且利用1 ～2 個(gè)動(dòng)車點(diǎn)測(cè)試A 網(wǎng)防火墻對(duì)策略工作效果，觀察網(wǎng)絡(luò)是否存在異常，確認(rèn)無(wú)異常再在B 網(wǎng)防火墻上加載并測(cè)試安全策略。

5）工控主機(jī)衛(wèi)士安裝測(cè)試，在1 臺(tái)影響較小的工作站進(jìn)行系統(tǒng)備份和病毒查殺工作，如出現(xiàn)問(wèn)題或主機(jī)病毒，可將備份的系統(tǒng)回退避免影響，由運(yùn)營(yíng)和廠家共同確認(rèn)并進(jìn)行殺毒處理，再無(wú)上述問(wèn)題之后進(jìn)行主機(jī)衛(wèi)士安裝測(cè)試。

6）測(cè)試后主機(jī)衛(wèi)士運(yùn)行無(wú)任何問(wèn)題，對(duì)剩余網(wǎng)管工作站進(jìn)行系統(tǒng)備份、病毒查殺和主機(jī)衛(wèi)士安裝的工作。

6 風(fēng)險(xiǎn)控制

1）參考CCTV 系統(tǒng)工業(yè)防火墻接入時(shí)，因時(shí)鐘接口長(zhǎng)時(shí)間中斷而導(dǎo)致無(wú)法自動(dòng)校時(shí)的問(wèn)題，在LTE 系統(tǒng)工業(yè)防火墻接入完成后，對(duì)系統(tǒng)設(shè)備的校時(shí)情況進(jìn)行查驗(yàn)，確認(rèn)網(wǎng)絡(luò)時(shí)鐘(Network Time Protocol，NTP)恢復(fù)正常。

2）防火墻安全策略涉及對(duì)PIS/CCTV 業(yè)務(wù)、時(shí)鐘系統(tǒng)、集中告警系統(tǒng)業(yè)務(wù)報(bào)文的白名單過(guò)濾，需要相關(guān)專業(yè)廠家對(duì)與其系統(tǒng)相關(guān)的安全策略進(jìn)行評(píng)審，并在策略加載完成后進(jìn)行業(yè)務(wù)確認(rèn)。

3）防火墻安全策略部署完成后，外部系統(tǒng)升級(jí)或配置變更時(shí)應(yīng)考慮其業(yè)務(wù)是否與原安全策略相匹配，避免新增業(yè)務(wù)報(bào)文被攔截。

7 總結(jié)

本文研究基于軌道交通LTE 系統(tǒng)等級(jí)保護(hù)接入問(wèn)題，在控制中心設(shè)置統(tǒng)一安全管理平臺(tái)實(shí)現(xiàn)對(duì)信號(hào)系統(tǒng)全網(wǎng)安全設(shè)備、安全事件、安全策略、安全運(yùn)維的統(tǒng)一集中監(jiān)控、管理及預(yù)警，提高全面的安全管理、風(fēng)險(xiǎn)管理能力。列出2 個(gè)接入方案，對(duì)比方案優(yōu)缺點(diǎn)，選擇最優(yōu)方案接入，總結(jié)接入要點(diǎn)及風(fēng)險(xiǎn)控制，接口對(duì)接過(guò)程中注意事項(xiàng)等，為今后軌道交通LTE 等保系統(tǒng)的接入提供可參考價(jià)值。