摘要：基于CBTC信号系统的业务模型，从网络安全法、工控信息安全和网络安全等级保护等国家相关法规、标准角度出发，分析了城市轨道交通信号系统的网络安全防护现状以及存在的安全隐患，提出了一种信号系统网络安全防护方案，可全面防护信号系统的网络安全。

关键词：城市轨道交通；信号系统；网络安全

Abstract: From the perspective of relevant laws, regulations andthe national standards related to network security，industrial control security and network security protection, this paper analyzes the current network security status and hidden risks ofurban rail based on CBTC system. Furthermore，a scheme forthe protection of signal system network security is proposed， which can achieve the goal of comprehensive protection.

Key words: Urban rail transit；Signal system；Network security

1　概述

随着城镇化建设步伐的加快，城市轨道交通迎来新一轮建设高潮。基于无线网络通信的CBTC系统在可用性、可靠性等方面均能满足当前城市轨道交通安全高效运营的需要，是实现轨道交通高安全、高速度和高密度的最佳技术之一。但随着计算机和网络技术的发展，特别是信息化与信号系统深度融合，CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与综合监控系统网络、旅客信息系统、语音广播等公共网络连接，容易造成病毒、木马等威胁向CBTC系统扩散，信号系统安全问题日益突出。一旦CBTC系统的信息安全出现漏洞，将对城市轨道交通的生产运行和国家安全造成重大隐患。

《中华人民共和国网络安全法》中明确要求“国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”；“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

中央网络安全和信息化领导小组办公室（简称“中央网信办”）发布了《国家网络安全检查操作指南》，并确定了关键信息基础设施的定义和范围。对于生产业务系统一旦发生安全事故，可能造成影响单个地市级行政区30%以上人口的工作、生活，可能影响10万人用水、用电、用气、用油、取暖或交通出行等，均属于关键信息基础设施，如图1所示。城市轨道交通一旦发生安全事故，则可能会影响几十万人的交通出行，所以城市轨道交通属于市政类关键信息基础设施，需要在网络安全等级保护的基础上，实行重点保护。

图1 关键信息基础设施判定图

市政 水、暖、气供应管理城市轨道交通污水处理智慧城市运行及管控城市轨道交通信号系统从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长的生命周期中，各个阶段都面临着不同的网络安全问题。要真正做到信号系统网络安全，需要按照等级保护建设的思路作为最佳实践，建立健全信号系统的信息安全管理制度和信息安全管理机构，完善信号信息安全管理体制；建立信号系统信息安全纵深防御技术体系，需要从网络编辑到内部流量、再到主机的全方位技术防护措施，从而保障城市轨道交通平稳、安全、高效运行。

2　安全防护现状及需求分析

2.1　安全现状与隐患分析

目前，大部分已开通线路信号系统的安全防护措施严重缺失，无法有效防御攻击者对信号系统发起的网络攻击。基于国家和行业内网络安全标准，结合已开通线路网络安全调研情况，分析了信号系统的网络安全隐患如下：

（1）安全区域边界问题

信号系统与综合监控系统、旅客信息系统、广播系统、时钟系统等多个外部系统互联互通，缺乏访问控制措施，不能对进出网络的信息内容进行过滤，不能实现对应用层协议命令级的控制，无法在网络边界处对恶意攻击进行检测和清除；缺少防止地址欺骗的技术手段。

（2）安全通信网络方面

缺乏有效的安全审计功能，缺少对业务模型的异常分析，缺少流量的实时监控和记录，所以无法有效的检测到网络攻击行为，也无法对攻击源IP、攻击类型等信息进行记录，无法及时发现业务流程的异常操作，无法发现高级持续威胁、无法有效应对目标性强的攻击。

（3）安全计算环境方面

缺少恶意代码防护手段，采用传统网络防病毒软件，对业务应用误杀现象突出，影响业务系统稳定运行，传统防病毒软件无法及时更新恶意代码库，无法识别新的恶意软件，起不到完整的主机防护作用；USB接口滥用现象明显，缺少技术手段对外设接口实施有效管控。

（4）安全管控方面

未建设统一的安全管控平台，整体安全态势无感知；各安全设备独立运行，没有形成纵深防御的安全合力。

2.2　安全防护要求

《城市轨道交通信号系统用户需求书（范本）》第一部分通用技术要求和第二部分专用技术要求中分别对信号系统的网络安全提出要求。信号系统应符合国家安全部门对信号信息系统等级（暂定3级）保护要求，能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。信号系统应接受并通过信息保护等级相适应的测试，并在正式运营前通过等级保护测评。参照《信息系统安全等级保护基本要求》中第三级的要求，进行差异分析和安全加固，保障信号系统能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。

3　方案设计

城市轨道交通信号系统等级保护建设方案将根据系统在不同阶段的需求、业务特性及应用重点，采用评估、管理、技术和持续运维安全体系设计方法，帮助用户构建一套覆盖全面、重点突出、节约成本、持续运行的纵深安全防御体系。

3.1　技术防护方案

根据城市轨道交通信号系统与其他系统的数据流交互情况、系统内部各子系统和模块之间的数据流交换情况，结合“一个中心”管理下的“三重保护”体系框架进行设计，构建安全机制和策略，形成定级系统的安全保护环境。包括：安全区域边界、安全通信网络、安全计算环境和安全管理中心，设计信号系统的安全防护技术方案，如图2所示。

图2 信号系统网络安全防护图

3.1.1　安全区域边界

城市轨道交通信号系统根据系统自身的网络特点，各子系统结合比较紧密，同时城市轨道交通的《技术需求书》要求信号系统内网与外网相互独立，所以本方案将信号系统和外部互联系统从结构上划分为不同的安全域，将信号系统整体作为一个完整的安全域进行保护。

为满足等级保护建设对访问控制、边界完整性检查、入侵防范等基本安全要求，在信号系统与外部系统互联处，通过部署工业防火墙来实现隔离与访问控制，能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口（对应请求的服务类型）等信息执行访问控制规则，允许信号系统和其他互联系统正常业务数据穿过该平台，禁止其他应用的连接请求，以保障信号系统的安全性。由于信号系统与外部系统互联的网络是冗余网络，所以本方案在控制中心与互联系统（旅客信息系统、综合监控系统、时钟系统、广播系统等）的网络边界位置冗余部署2台工业防火墙产品。通过配置访问控制策略，能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口（对应请求的服务类型）、时间、用户名等信息执行访问控制规则，允许信号系统和其他互联系统正常业务数据穿过该网络边界，同时禁止其他与业务无关的访问连接。

3.1.2　安全通信网络

通信网络的安全性是指由外部攻击和内部误操作甚至恶意操作行为引起的安全问题，一般隐藏在正常的通信流量中、合法的操作行为中，所以通过对关键位置核心流量的实时监控，可实现对异常流量和操作的及时告警和记录。

为满足等级保护建设对网络安全的安全审计、入侵防范等基本安全要求，根据信号系统业务特点，本方案需要在控制中心核心交换机、设备集中站接入交换机、停车场接入交换机、车辆段接入交换机、维修中心接入交流旁路部署监测审计平台，分别接收来自安全网（冗余）、非安全（冗余）和管理网的镜像流量数据，并分析网络内是否存在异常流量、操作等行为，同时基于网络流量、协议和应用进行全方位的审计记录，以便发生安全事件后能够快速对事件进行分析溯源。

3.1.3　安全计算环境

城市轨道交通信号系统的计算任务执行主要是工作站、服务器和控制器，这些工作站和服务器直接参与列车运行调度命令的下发、运行图的绘制存储、列车运行状态数据存储等业务过程。所以需要通过多种加固措施提升主机自身的安全能力，从而提升信号系统整体安全能力，达到立体防御的安全防护目标。

为满足等级保护建设对主机的恶意代码防范、入侵防范等基本安全要求，在信号系统中各工作站和服务器上，安装主机安全防护系统软件，通过进程白名单的方式从根本上扼制恶意代码的运行。在控制中心、设备集中站、非设备集中站、车辆段、停车场等处的工作站和服务器分别安装主机安全防护系统软件。通过安全策略配置，主机只能运行与列车运行控制相关的软件应用程序（例如计算机联锁的表示软件），其他与列车运行无关的软件或应用程序需要禁止安装，以防止无关程序的漏洞或误操作而影响业务程序的运行，所以主机安全防护系统能够智能识别软件的安装与升级，并以白名单方式避免非法软件安装。主机安全防护系统在进程启动之前进行安全性检查以保证运行进程的合法性和完整性，同时对系统做深入的分析，感知针对操作系统漏洞进行的恶意代码执行过程，发现隐藏的进程，保护系统的完整性。

3.1.4　安全管控中心

信号系统的安全防护设计，从网络边界安全、主机安全、入侵行为安全等不同维度部署了相应的防护设备和软件进行纵深防御，那么多种技术类型的防护设备和软件需要一个统一指挥的平台，才能形成安全防护的合力，构成纵深防护的整体，以达到协同联动抵御针对网络攻击的目的。

为满足等级保护建设对监控管理和安全管理中心的基本安全要求，本方案在控制中心维护网交换机上旁路部署安全管理平台，其他监测审计平台和工业防火墙的管理口就近接入维护网中，这样方便运营方对信号系统部署的所有的安全防护设备进行统一管理和维护，以及提高全面的安全态势感知能力。控制中心维护网交换机旁路部署统一安全管理平台。

部署统一安全管理平台，可以实现对各车站和控制中心的安全防护设备和软件进行集中管理，提供统一的策略配置接口，总览各设备和软件的运行状态、事件记录和威胁日志等关键信息。各安全防护设备和软件由集中管理装置统一控制、配置和管理，统一部署安全策略，并监测信号系统网络的通信流量与安全事件，对信号系统网络内的安全威胁进行分析，消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源等，重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。

3.2　安全管理方案

为满足等级保护建设对信号系统安全管理的基本安全要求，本方案通过等保安全咨询服务实现安全管理方案的建设。结合城市轨道交通信号系统的业务流程，从安全管理制度、安全管理机构、安全人员管理、安全意识培训等方面进行全面梳理，并设置相应的组织架构、人员职责、管理制度、培训机制等管理方案，以保障信号系统能够长时间持续的安全稳定运行。

3.2.1　安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。

制定严格的制度与发布流程、方式、范围等，制度需要统一格式并进行有效版本控制；发布方式需要正式、有效并注明发布范围，对收发文进行登记。信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，定期或不定期对安全管理制度进行评审和修订，修订不足及进行改进。

3.2.2　安全组织架构

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。建立授权与审批制度； 建立内外部沟通合作渠道；定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。

3.2.3　人员安全管理根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。

3.2.4　系统建设管理

根据基本要求制定系统建设管理制度，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全评测、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。

3.2.5　系统运维管理

根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于安全状态中。

4　总结

（1）完善的安全建设方案

本方案基于轨道交通各专业的业务流程进行设计，以保障业务安全为目标，将网络安全产品以对业务最小影响方式融入既有业务系统网络，例如，串接到网络中的工业防火墙部署在各系统网络外部边界，同时具备Bypass功能，以保障故障情况下的业务可用性。主机安全防护系统软件通过白名单技术，彻底解决工控主机不能安装杀毒软件的问题或者病毒库升级后影响程序运行的问题，保障了软件的兼容性和对业务系统的无影响性。

（2）安全合规的防护体系建设

城市轨道交通作为市政体系的关键信息基础设施，需要符合《网络安全法》中的信息安全等级保护制度要求，同时城市轨道交通由多个重要的工业控制系统组成，需要符合《工业控制系统安全防护指南》要求，所以本方案深度融合法规标准进行设计，结合等保评估、等保咨询、运维实施等持续的安全服务，协助轨道交通建设和运营单位规避法律风险。

（3）领先的纵深防御技术方案

本方案以纵深防御理念为核心，在充分了解信号系统的网络结构和安全现状的基础上，构建了从区域边界隔离、通信流量监测、主机终端防护到统一安全管控一体的纵深防御技术体系，针对攻击链条的各个阶段采取有效的防护措施，切实保护业务系统远离复杂多样的网络攻击手段，保障城市轨道交通信号系统安全稳定运行。

（4）可靠的工业级安全产品

城市轨道交通各业务系统的现场工作环境恶劣，大部分设备部署在地下机房、轨旁等位置，EMC干扰严重、温湿度环境苛刻、振动冲击环境恶劣，本方案所选用的网络安全产品具备工业级品质，关键网络安全设备采用低功耗无风扇设计，满足城市轨道交通相关标准要求并通过测试，稳定可靠、坚固耐用。

参考文献：

[1] 中国人大网. 中华人民共和国网络安全法[EB/OL]. 2016 - 11 - 08.

[2] 中央网络安全和信息化领导小组办公室网络安全协调局. 国家网络安全检查操作指南[Z]. 2016.

[3] 中城装备. 城市轨道交通信号系统用户需求书（范本）[Z]. 2015.

[4] GB/T 22239-2008, 信息安全技术 信息系统安全等级保护基本要求[S].

[5] GB/T 25070-2010, 信息安全技术 信息系统等级保护安全设计技术要求[S].

[6] 工信部信软司, 工业控制系统信息安全防护指南〔2016〕338号[Z].

作者简介：

姜立群，男，辽宁阜新人，毕业于中国科学院研究生院沈阳自动化研究所。具备多年网络安全工作经验，从事过网络产品开发、铁路网络产品规划、信息安全产品规划等工作，曾负责列控网络产品、下一代防火墙产品设计项目，负责国内多条地铁线路网络安全等级保护解决方案研究与设计项目。

井   柯，男，河南人，毕业于北京理工大学。多年从事工业控制系统信息安全研究，参与各地工控安全检查、评估、测试工作以及轨道交通、石化、电力等行业工控安全解决方案的研究与设计工作。主要研究领域为信息安全研究、解决方案研究与设计等。

刘   畅，女，重庆人，毕业于重庆大学工商管理学院。具备多年网络安全项目管理经验，参与过国家支撑计划、智能制造专项、北京市网络安全研究等多个项目。

摘自《自动化博览》2018年12月刊