1 系统概述

城市轨道交通作为城市公共交通的重要组成部分，近年来在国内取得了巨大的发展，运营里程不断增长。其中的综合监控系统、信号系统、电力系统更是关键的信息基础设施，是支撑城市轨道交通安全、稳定运行的基础。然而，随着技术的进步及数字化、智能化浪潮的推动，城市轨道交通实现全自动驾驶已成为一种趋势，更是推动了综合监控与信号等系统的高度融合，形成了以行车指挥为核心的行车综合自动化系统（TIAS）。真正实现了在统一的信息平台上对机、电、车的统一管控。

城市轨道交通TIAS的主要目的是要将分散的自动化系统联结为一个有机的整体，实现各专业系统之间的信息互通、资源共享，提高各系统间的协调配合能力及设备联动能力，提升线路的整体自动化水平。最终实现以行车指挥为核心的综合调度，应对各种突发事件，保障广大乘客的安全出行。

然而，随着系统集成度的越来越深，以及“两化融合”的进一步推进，TIAS系统面临的安全威胁也越来越广，城市轨道交通信息安全防护体系的建设已迫在眉睫。

2 需求分析

2.1　网络安全需求

TIAS系统与外部接入系统互联链路上无安全防护措施，易受到来自轨道交通其它系统（如自动售票检票系统AFC、乘客信息系统PIS、闭路电视监控系统CCTV等）未经授权访问、未知流量攻击、病毒木马等安全风险的入侵，从而影响TIAS的正常运行，引发行车安全事故。因此，需要配备必要的边界防护类设备，实现TIAS与互联接入系统之间的边界隔离防护。同时，还需对TIAS中的用户操作行为、网络流量进行合规性监测与审计，及时发现安全问题，保障TIAS的安全运行。

2.2　主机安全需求

TIAS中部署着若干的服务器、操作员站等主机终端，运行着TIAS相关服务数据与应用程序，其重要性不言而喻。然而主机终端存在的系统漏洞、应用软件漏洞、弱口令、未经授权访问及移动存储介质滥用等安全隐患，直接影响着主机终端的正常运行及TIAS系统的安全稳定。因此，需要加强对主机终端的安全防护。包括主机的脆弱性检测、病毒防护、安全加固、外联接口管控等，以此来提升主机终端的安全防护能力，保障主机终端的安全稳定运行。

2.3　应用安全需求

TIAS系统中的应用软件存在如账号密码共享、配置管理不规范、无安全审计措施等诸多安全隐患。这些隐患一旦被不法分子利用，容易引发TIAS系统的安全问题。因此，需要规范化管理，采用技术措施对系统的安全运维行为进行必要的安全管控和审计，以此来规避安全风险，提升应用软件的安全防护能力。

2.4　数据安全需求

数据安全对于系统的正常运行起到至关重要的作用。然而，TIAS系统中的实时数据库、历史数据库均存在诸多安全隐患，如数据库非授权访问、SQL注入、数据泄露等。一旦数据被非法访问或遭受攻击，造成数据丢失、数据篡改，将直接影响上层应用及整个系统的正常运行。因此，在数据安全方面，一方面需要在规划建设时进行数据的冗余备份设计，保护数据的安全性；另一方面需要采用数据合规性检查、审计等技术手段，来保障数据访问层面的安全性。同时，加强安全管理措施的执行，全面提升数据安全防护能力。

3 方案设计

3.1　设计理念

根据《信息安全技术 网络安全等级保护基本要求》中的相关技术要求，对TIAS系统进行安全防护体系设计。一方面，满足国家信息安全等级保护三级建设的要求；另一方面，为TIAS系统安全运行提供必要的安全保障。

本方案安全防护体系的设计主要包括以下几个方面：

第一，结合TIAS系统的业务特点及安全需求，在不改变系统网络架构的情况下，视整个TIAS系统为一个整体来进行安全防护。

第二，加强TIAS系统网络边界的安全策略配置，构建细粒度的边界安全防护能力，保障系统不受外来风险的入侵。

第三，强化TIAS系统中用户操作行为的合规性审计，重点对异常流量、异常入侵行为、异常操作行为等进行安全审计，提高系统网络的行为监测与审计能力，为事后的追踪溯源提供依据。

第四，加强工作站、服务器等主机终端的安全防护能力，包括主机的加固、外联接口管控、服务进程管控、主机防病毒等。提升主机终端的安全防护能力，增强主机终端的抗入侵能力。

第五，加强TIAS系统安全设备的集中管控能力。

3.2　安全防护体系设计

本方案安全防护体系的设计是从安全通信网络、安全区域边界、安全计算环境、安全管理中心四个方面进行的设计，构建了“一个中心，三重防护”的动态纵深安全防护体系。

下文将按照等级保护三级的相关要求进行安全防护体系的设计。

3.2.1　安全域划分

在不改变原有系统网络架构的情况下，将城市轨道交通TIAS系统划分为控制中心、车站、车辆段三个大区。其中，控制中心区域又划分为控制中心TIAS区、控制中心TIAS外联系统区、软件测试区以及DMS区（设备维修支持系统区）；车站区域又划分为车站TIAS区、车站TIAS外联系统区；车辆段区域又划分为车辆段TIAS区、车辆段TIAS外联系统区以及TMS区（培训管理系统区）。

详细的安全域划分示意图如图1所示。

图1 TIAS系统安全域划分示意图

3.2.2　安全通信网络

城市轨道交通TIAS系统与外部互联系统的安全防护，则是通过采用边界安全防护设备来实现安全技术的隔离，并通过安全策略的配置以及协议的深度解析来实现系统间数据的安全传输及非授权访问行为的阻断。

在城市轨道交通TIAS系统网络架构中，将TIAS系统大致分为控制中心TIAS系统、车站TIAS系统以及车辆段TIAS系统三大类。其中，控制中心TIAS系统是实现对各个车站、车辆段TIAS系统中数据的集中监控以及相应的备份存储。并通过TIAS系统的功能要求实现对各车站TIAS系统的权限的控制。然而这种权限的控制只是简单的权限的下放以及权限的回收等，并不能有效阻止其它系统的非授权访问以及数据的传输。因此，需要在TIAS系统与其它互联系统之间部署工控防火墙，通过配置相应的访问控制策略，建立白名单机制，对流经防火墙的数据流量基于工业协议进行深度的协议解析及指令级的内容检查和过滤，从而有效地实现对TIAS系统网络的非法访问、非法操作以及异常操作指令等的实时监测和防护。

3.2.3　安全区域边界

（1）边界隔离防护

边界隔离防护技术主要是根据已合理划分的安全域进行安全防护，原则上在每个安全域边界采取边界隔离措施，配置不同安全域间的安全策略，明确不同安全域的网络边界，对非授权或越权跨越边界的行为进行阻断并报警。

本方案TIAS系统边界隔离防护采用的是工控防火墙来实现相应的功能。

（2）访问控制防护

在TIAS系统与其它系统边界以及控制中心TIAS系统与软件测试平台边界，通过部署工控防火墙设备，利用工控防火墙的深度包解析引擎和内容检测技术，再结合访问控制白名单技术，实现对TIAS系统与外部互联系统的细粒度访问控制防护，保障TIAS系统正常业务数据的通行，阻止异常业务流量的恶意访问。

（3）入侵防护

对于TIAS系统的入侵防护，则是通过旁路部署工控入侵检测类设备，依据设备内置的工控入侵规则库，再结合业务系统的功能需求，制定符合应用场景的安全策略，实现对系统网络中通信内容的行为匹配，可有效发现基于病毒、蠕虫、木马、DDoS、异常行为、异常流量、恶意程序等内外部攻击威胁，并进行实时告警，帮助TIAS安全运维人员及时发现安全威胁，保障TIAS系统网络的安全运行。

（4）安全审计防护

对于TIAS系统网络安全的审计，是通过在TIAS系统核心交换机处旁路部署安全审计类设备，以镜像流量方式，对网络区域内的操作行为、访问记录进行监测与审计，同时详细记录一切网络通信行为，并基于工业协议对通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、违规操作、非法设备接入以及蠕虫、病毒等恶意代码的传播并实时报警、审计记录，为TIAS系统的事后的追踪溯源提供依据。

3.2.4　安全计算环境

考虑到城市轨道交通TIAS系统的业务特点及主机终端的特殊性。对于TIAS系统主机终端的安全防护，白名单机制的工业主机卫士更加适合。毕竟TIAS系统运行的软件、进程、服务等都比较固定，而且也不存在与互联网的连接。传统的防病毒无法应对这种特殊应用场景，并且存在工业应用软件中的进程、服务等被防病毒软件误杀的可能性。因此，通过在TIAS系统主机终端上安装基于“白名单”的主机安全防护软件，以最小化原则配置相应的安全策略，以此来实现对TIAS系统主机终端的安全加固、服务进程的安全管控、外联接口的实时监控，保障TIAS系统主机终端的安全稳定运行，阻止其它一切恶意程序、病毒木马，以及与系统运行无关应用程序的运行。

对于软件测试平台区域的主机终端的安全防护，则可以通过部署防病毒软件来实现对相关主机、服务器等设备的安全防护。毕竟该区域需要与外部系统进行连接，实现相关软件的测试工作。因此，需要频繁地进行端口、进程及服务的变更，不适合用基于白名单机制的工业主机卫士来实现。更适合用具有防病毒功能的终端威胁防御系统，基于终端杀毒及静态特征匹配和动态沙箱技术，实现主机终端的安全防护。同时系统还能实时监控每个服务器/工作站的运行状态、攻击日志、病毒状态信息等，并可通过策略与标签的配合来实现对移动存储介质的管理以及外联设备的监控，保障整个主机终端服务、进程等的安全运行。

3.2.5　安全管理中心

本方案TIAS系统安全管理中心的建设，是通过在控制中心部署安全集中管理平台、日志审计类及运维安全审计类设备来实现安全管理中心的建设。其中，安全集中管理平台实现安全设备、安全事件、安全策略等的集中监控管理及策略的统一下发，可以为TIAS系统运维管理提供决策支持，提升安全事件响应速度与安全运维感知能力，增强整体安全防护水平。

日志审计类设备采用主动、被动技术，实时采集安全设备、网络设备、主机、操作系统、数据库以及各类业务系统等的海量日志信息数据，并对海量原始数据进行高效存储、整理与分析，实现对海量日志的集中管理。为管理员提供一个方便、高效、直观的审计平台，提高安全管理员的工作效率和质量，更加有效地保障TIAS系统的安全运行。

运维安全审计类设备实现对用户、用户角色、资源和用户行为的集中授权、账号的集中管理、身份的集中认证等，以达到对权限的细粒度控制，最大限度保护用户资源的安全。并且能够有效拦截非法访问和恶意攻击，对不合法命令进行阻断，过滤掉所有对目标设备的非法访问行为，保障合法用户的权益，支撑系统安全可靠地运行。

4 部署应用

城市轨道交通TIAS系统安全防护的部署应用如图2所示。

图2 TIAS系统安全防护部署示意图

（1）边界安全防护

通过在控制中心/车站/车辆段TIAS系统与其它系统边界、控制中心TIAS系统与软件测试平台边界以及TIAS系统与DMS系统边界等处部署工控防火墙备，实现区域边界的安全技术隔离，并基于工业协议深度解析技术结合白名单机制对访问内容进行细粒度的控制，防止异常流量、异常操作及非授权访问行为的通过。

（2）网络安全防护

通过在TIAS系统核心交换机处旁路部署工控审计类设备或工控入侵检测类设备，基于工业协议的深度报文解析技术，对网络中的数据流量进行深度检测、实时分析匹配，对数据变化及写操作行为进行监测审计，及时发现来自内外部网络攻击的行为，并发出报警。可基于集中管理平台联动工控防火墙实现对攻击的检测与防御。

（3）主机安全防护

通过在TIAS系统工作站、服务器等主机终端上安装工业主机卫士软件或防病毒软件来实现主机终端的安全防护，增强主机终端防病毒、木马、恶意代码等入侵的能力，保障TIAS系统主机终端的安全稳定运行。

（4）应用安全防护

通过在控制中心设备维修支持系统（DMS）区部署安全集中管理平台类、日志审计类、运维安全审计类等安全设备，来实现系统内安全设备的集中监控管理、策略的配置下发；安全设备、网络设备、主机、操作系统、数据库等各类设备日志信息数据的采集、存储、管理与分析；网络设备、服务器等核心资产的常用访问方式的控制和审计；提升TIAS系统安全事件的响应速度、安全运维的感知能力，确保合法用户安全、方便使用特定资源；有效保障合法用户的权益，支撑系统安全可靠地运行；实现对用户行为的控制、追踪、判定；增强TIAS系统运维应用安全防护水平。

（5）数据安全防护

通过在控制中心旁路部署具有数据库审计类的安全设备来实现对用户数据库服务器的安全判断、攻击检测等。能够有效地对攻击行为做出告警等处理，并且能够通过审计记录发现数据库一些潜在的安全威胁，比如SQL注入、密码猜解、执行操作系统级的命令等。同时通过内置的数据库入侵检测规则库，能及时发现并阻止数据库安全威胁，保证数据库安全运行。

5 总结

TIAS系统进一步将列车自动监控系统（ATS）、综合监控系统（ISCS）进行了深度集成，实现了机、车、电的统一整合，为全自动驾驶的发展提供了条件。然而，TIAS系统的信息安全问题随着集成度的越来越深也将面临严重的威胁。本方案的设计则从根本上保障了城市轨道交通TIAS系统的正常运行，有效支撑了整个城市轨道交通的安全、稳定运营。

作者简介

陈鑫鑫（1990-），男，甘肃天水人，中级工程师，学士，现就职于北京天融信网络安全技术有限公司，主要研究方向是城市轨道交通网络安全、工业控制系统安全、工业互联网安全、物联网安全。

参考文献：

[1] DB43/T 1310-2017. 城市轨道交通控制系统信息安全通用要求[S].

[2] GB/T 22239-2019. 信息安全技术 网络安全等级保护基本要求[S].

[3] GB/T 25070-2019. 信息安全技术 网络安全等级保护安全设计技术要求[S].

[4] 工信部信息技术发展司. 工业控制系统信息安全防护指南〔2016〕338号[Z].

[5] 张辉, 钱江. 基于全自动驾驶的TIAS系统建设方案[J]. 铁道通信信号, 2019, (03) : 79 - 81.

摘自《自动化博览》2022年1月刊暨《工业控制系统信息安全专刊（第八辑）》