★ 邹春明 公安部第三研究所

★ 许飞跃 上海电力大学

1  引言

我国城市轨道交通系统已成为支撑城市化进程的关键基础设施，其涵盖地铁、轻轨、单轨、磁浮、市域快轨等多种制式。全国已有50多个城市开通运营轨道交通线路300余条，总里程达11,000公里，车站总数超6300座，全年客运量达300亿人次，日均客流8830万人次。城市轨道交通系统持续保持高速增长态势，市民出行高度依赖轨道交通。

随着轨道交通的快速发展，智能化成为主要趋势之一。新建线路基本采用无人驾驶、全自动运营模式，高度依赖自动化控制系统。生产运营系统一旦遭受网络攻击或出现严重故障，将导致整个城市交通瘫痪，甚至引发人员伤亡等重大安全事故。因此，有必要建立轨道交通网络安全态势感知系统，对全路网安全运行进行实时监测和预警。轨道交通生成网络与IT系统有着重大差异，也不同于一般工业控制系统，其安全态势感知系统无法照搬通用的态势感知平台。基于此，本文提出了一套轨道交通网络安全态势感知平台建设方案，以支撑城市轨道交通生产网络安全运营。

2  轨道交通网络特点和防护需求

2.1   轨道交通生产网络基本情况

轨道交通在基础设施建设阶段会沿线铺设专用光纤，建成多个光纤环网，车站和运营控制中心（Operating Control Center，OCC）各系统均接入不同的环网。同时，还会建设线网级大环网，将各线路接入线网指挥中心。轨交生产系统通常分为核心生产系统和辅助生产系统：核心生产系统包括信号控制系统、电力SCADA系统，直接关系到车辆安全运行；辅助生产系统包括综合监控系统，或环境与设备监控系统（Environment and Equipment Monitoring System， EMCS）、火灾报警系统（Fire Alarm System， FAS）、乘客信息系统（Passeng er Information System， PIS）等。此外，还有自动售检票系统（Automatic Fare Collection，AFC）、票务系统、安防监控系统、时钟系统等。各专业系统网络相对独立，又存在一定的交互需求， 特别是随着智慧车站建设推进， 各系统间的交互需求持续增加，使得轨道交通网络复杂度不断提升， 面临的安全威胁也随之增多。大型城市的轨交线路多，建设时间跨度大，使得网络结构尤其复杂。运营公司会设置多家子公司或部门，依据线路或者专业对各生产系统的运营进行分工。

2.2   轨道交通网络特点及安全防护需求

轨道交通网络具有工控系统的典型特点，高可用、强实时、强隔离、协议多样。其涉及生产的信息资产类型多、分布范围广，不同系统之间的耦合度高，这些都大幅提升了网络安全防护难度。

现实的网络安全需求以及合规监管要求，是推动轨交网络安全建设的两大核心因素。生产系统若遭受网络攻击，将严重影响轨道交通的正常运营，使得运营单位具有较强的内生动力加强网络安全防护。合规监管是另一主要推动力，《网络安全法》要求运营者必需落实网络安全等级保护要求和关键信息基础设施保护要求，其对应的国家标准也明确要求建立网络安全态势感知系统。

网络安全技术措施，主要包括安全防护和安全监测两个大的方面。边界防护、 信息资产安全加固、恶意代码防护等都是最基本、最必需的措施，但是，具有控制功能的安全防护措施，将会增加系统复杂度、影响实时性、降低可靠性，使得一些在IT系统中成熟的技术防护措施无法应用于轨交网络系统。

因此，加强安全监测，全方位监测网络通信流量、资产运行状态及日志数据，成为轨交网络安全建设的重点方向。态势感知系统是落实安全监测的核心手段，其既能满足关键信息基础设施保护要求，也能支撑主管部门建立行业安全监测和预警体系，以及落实《关键信息基础设施安全保护条例》要求。

3  轨道交通态势感知平台设计

3.1   总体框架

从狭义产品角度出发，态势感知平台包括数据汇聚组件（数据采集、预处理及存储）、数据分析组件、态势展示组件、监测预警组件、系统管理组件等，如图1所示。但前端配套的设备也是必需的，一是网络流量采集分析组件，负责网络流量采集和安全分析，并将结果发送至分析端。该组件优先由平台配套提供，同时支持第三方产品接入；二是日志采集代理，属于非必需组件，可便于系统部署，先通过接收一个区域的资产日志再发送至分析端。

图1 轨道交通网络安全态势感知平台总体框架

态势感知平台不能作为标准化的商业产品，需在标准产品（遵循GB/T 42453-2023要求）的框架上，结合具体行业、具体系统的特点和需求进行针对性优化，同时需具备良好扩展性，否则无法满足系统安全需求，难以实现安全防护目的。

平台核心功能包含三点：全面的数据采集、深度的数据分析、直观的态势展示。

3.2   数据采集

全面的数据采集是态势感知平台发挥其应有功能的基础。其所需采集的数据包括但不限于以下内容：

信息资产数据，需覆盖生产系统的全部信息资产，参数包括基本信息（名称、类型、规格型号、软件版本、包含的组件及版本等）、归属信息（IP/ MAC地址、物理及网络位置，责任部门/人，所属线路、车站、系统等）、安全属性（CIA重要程度、开放的运维及业务服务和端口、特征库日期等），其它还有上线时间、维保信息等资产管理所需信息。全面的资产信息是支撑后续安全分析、事件处置的基础。

告警及日志数据：信息资产自身通常具有告警及日志审计功能，并支持以标准格式（snmp、 syslog等）进行外发，但默认情况下可能并未开启或仅部分开启日志功能，需要通过配置全面开启。另外，也可以通过在资产上部署代理程序的方式更有针对性地获取告警和日志数据。工控系统的功能安全也是保障系统安全运行的重要因素，还可以采集地面及车上业务功能日志，支撑后续的关联分析。

网络流量数据，是另一重要的数据源，需覆盖关键网络节点和重要网络边界的流量。全流量的采集是不现实的，后台分析系统无法支撑，这就需要专门的采集分析设备，将分析得到的有效数据发送到态势感知平台。流量采集分析设备，不但需要能够识别网络层协议和通用应用协议，还需要能够识别分析专有的工控应用协议，如信号系统的私有协议。分析功能需集成工控网络审计（GB/T 37941-2019）、工控入侵检测系统（GA/T 1485-2018）、网络病毒监控系统（GA/T 1539-2018）等功能。

为支撑综合的信息安全风险分析，威胁情报数据、脆弱性数据和安全策略数据也是必要的，可以通过外部获取、人工录入，或态势感知平台分析生成经人工确认后作为基础数据。比如脆弱性数据，可以通过网络安全漏洞扫描，以及内部安全检查、外部等级保护测评等方式获取并录入。

各类网络安全产品的防护和监测数据也是重要的数据源。这些数据是经识别和安全分析所得到的结果，具有较高的可信度、针对性，通常包括网管软件、主机监控软件、主机恶意代码防护软件、网络边界防护设备等。

数据质量也同样重要，高质量的数据可提高后台的分析效率与分析结果的准确性。这就需要对采集的数据进行预处理：包括数据筛选（去重、补全、删除无效数据等）；格式化处理（对多源、异构数据进行标准化、归一化处理）；数据质量评估和监控。数据预处理可以分级进行，优先由前端采集代理进行一次处理，平台接收时进行二次处理。

数据采集方面与IT系统也存在一定差异。轨道交通态势感知平台应以被动采集方式为主，最大程度减少其对生产系统的干扰，比如安全漏洞采集仅可在非运营期间进行，通过SNMP获取告警信息仅开启只读权限即可。另外，外部威胁情报数据，应以恶意软件、安全漏洞等情报为主。基于互联网IP、URL、邮件等的情报价值较低，在轨道交通网络中只要出现互联网IP、邮件协议就可直接判定为异常。

3.3   数据分析

数据分析模块作为轨道交通网络安全态势感知平台的核心，旨在将多源异构数据转化为可追溯、可解释、可度量、可处置的结论，为运营期风险管控、事件处置及持续改进提供支撑。数据分析的技术多样，平台需要融合各种分析技术，最大限度地全面、准确感知系统的网络安全态势。

统计与规则分析：这是最传统的数据分析技术，也是行之有效的方法，通过正则表达式还能够实现一定复杂关系的分析，分析结果具有高准确性。

融合与关联分析：平台前端采集了网络流量、资产日志与告警、业务功能日志，需要将相关的数据融合关联后再进行分析，可围绕资产、会话、行为、业务等维度。另外，也可结合统计、规则构建分析模型进行综合分析。

基于基线的异常分析：轨交生产系统网络有着高度的稳定性、可靠性和可预测性，可通过机器学习结合人工优化，建立基于白名单基线的分析策略，识别异常行为。但异常行为是否属于网络攻击等严重问题，还需结合特征匹配等其它方式进行进一步分析。

人工智能分析：近年，AI快速发展，并迅速应用到各个领域，它对自然语言分析处理有着明显优势，可通过AI发掘出更多有价值的信息。但这需要基于通用大模型进行针对性的训练，以提升其分析能力。

数据分析的目标是识别、挖掘出各类潜在的安全威胁（网络攻击、恶意代码、异常行为）、脆弱性（安全漏洞、配置缺陷）、安全事件等。其所识别的威胁、脆弱性，结合人工确认和赋值，支撑了对系统量化信息安全风险的评估。对于安全事件，应支持溯源分析，并给出可行的处置建议。

3.4   态势展示

态势感知平台在采集足够的数据并进行充分的分析后，应具有监测范围内网络安全的各项数据，这就需要以合适的方式面向不同的用户进行展示。态势展示是连接数据预处理、分析研判与用户决策的核心环节，其核心目标是将复杂的安全态势信息转化为直观、分类、分层的可视化内容，支撑不同角色（如管理层、安全管理员、网络管理员、系统管理员等）的决策及处置需求。

轨道交通运营公司通常从线路、专业两个维度来设置态势展示。线路维度：运营公司设置多个单位（子公司或部门）分别负责单条或多条线路的运维管理；专业维度：运营公司设置不同的单位分别负责所有线路不同专业系统的集中运维，如信号系统、电力SCADA系统等。公司层面关注的是线网级的宏观安全态势，并对下属各具体的运营单位进行监督。而运营单位则重点关注及管理范围内的总体安全态势及具体的专题态势。这就要求态势感知平台能够从不同的维度为用户提供对应的态势展示。

首先需要具有整体态势展示，通常是通过大屏方式。态势感知平台将会采取各种日志、流量数据，并通过分析，还会挖掘出威胁、脆弱性、安全事件等数据。这些数据无法通过一个大屏进行全面展示，这就需要进行必要的取舍。整体展示仅选取重点数据以图表、统计数据（如Top10）、总体态势指数等方式展示整个轨道交通线网的安全态势。

其次是专题展示：从展示内容维度来说，包括资产态势、流量态势、运行态势、威胁态势、脆弱性态势、风险态势、安全事件态势等；从面向对象来说，应支持按线路、按专业、按等级保护定级系统等方式进行展示。

第三，自定义展示。网络安全及运维管理人员通常会根据系统、资产的分类设定管理范围，平台应该能够根据人员管理范围和对象自定义展示其所关注的内容，通常是通过终端电脑接入展示。

另外，轨交生产系统的资产规模相对较小，可以结合数字孪生系统方式更直观地进行安全态势展示。

3.5   辅助功能

态势感知平台除提供核心的数据采集、分析和态势展示功能之外，还会提供必需和增强的一些辅助功能。首先是平台的管理类功能，包括平台自身的用户与授权，安全策略，资产、威胁、脆弱性等基础数据及知识库维护，数据接收、共享、上报及预处理规则管理，数据分析规则及模型管理，数据查询及分析报表，以及监测预警功能。

其次，获取系统的安全态势不是最终目的，需要通过态势感知平台发现系统存在的安全风险并进行处置，这就需要提供工单管理系统，对系统的脆弱性问题、安全事件等进行闭环跟踪管理。

另外，有些IT系统态势感知平台常见的功能并不适合轨道交通领域，比如事件自动化处置相关功能，以及联动阻断、自动化运维等。

4  轨道交通态势感知系统部署与运营

4.1   系统部署

系统部署的基本原则是尽可能减少其对生产系统的影响，不得破坏原有专业系统的隔离性，严格控制其对核心生产系统网络资源的占用，除必要的配置外，避免在已有操作系统上部署代理程序和修改应用软件。同时需兼顾经济性，以相对可接受的投入达到安全目的。

态势感知平台根据轨道交通运营单位的组织架构采用分级部署方式，分为公司级、线路/专业级两级，如图2所示。线路/专业级平台向公司级平台上报基础数据以及经安全分析生成的安全态势数据，如威胁、脆弱性数据，以及安全事件数据等，不上报原始流量、日志等敏感数据。公司级用户可查看全路网安全态势，线路/专业级用户仅能查看管辖范围内的态势数据。若网络中设置了安全管理中心，系统则部署在安全管理中心，否则可部署在线网指挥中心相对独立的区域。根据线路规模、数据量以单台服务器或集群方式部署，同时配备AI分析支持系统。

图2 轨道交通态势感知系统网络部署图

态势感知网络设置：轨道交通需具备通信网络，建设时会预留备用网络线路。态势感知系统可使用一套预留的环网，或在辅助生产系统网络中设置独立的虚拟局域网（Virtual Local Area Network， VLAN），既能减少其对已有生产系统网络的影响，也能维持原有的网络隔离措施。

网络流量采集分析设备部署：该设备通常具有一个管理接口（用于远程管理和数据上报）和多个业务接口（以镜像方式采集网络流量）。其中，管理接口用于将数据上报到分析平台，多个业务接口可以同时监测多个业务环网。该设备至少覆盖OCC、线路上的集中站，最佳方式是覆盖所有车站。

日志采集代理：各线路的核心生产系统分别部署一套日志采集代理，集中收集该系统各资产的日志数据，再通过网闸或单向隔离设备（可支持多条链路传输）将日志数据传入态势感知网络。辅助生产系统可在OCC部署日志采集代理，统一收集日志数据，通过防火墙等设备发送分析平台。

4.2   系统运营

态势感知系统需持续优化运营，以保障长期稳定运行、精准输出价值、适配业务与安全需求变化。其优化重点围绕数据范围与质量及分析检测能力。

数据方面，基础数据（资产数据、威胁情报数据、脆弱性数据等）需及时动态更新；日志和流量数据通常很难在部署时做到全覆盖，需要在运营期间逐步完善，若缺少关键的数据源（如安全漏洞发现设备），需配备对应的网络安全产品。数据分析综合运用统计、关联规则、AI等多种方式，相关规则需持续增减和优化，支撑的AI大模型需通过持续优化训练，以提升其全面性和准确性，减少误报，充分发挥态势感知系统的潜力。

5  总结与展望

通过部署轨道交通网络态势感知系统，可以提升轨道交通网络安全的防护能力，即使是安全形势所需，也是合规要求的落地。本文提出了轨道交通态势感知平台的设计及部署运营要求，能够为轨道交通态势感知系统的建设提供参考。

后续可进一步强化态势感知产品与轨道交通业务系统的深度联动，提升智能分析算法对工控协议异常的识别精度；同时结合实际运营数据持续优化系统性能，推动态势感知从“被动监测”向“主动预警、自动处置”升级，使其更好适配轨道交通高可靠性、高实时性的安全防护需求。另外，高铁系统、能源、大型制造业等工业企业，也可参照此方案建设全面的网络安全态势感知系统，以提升网络安全监测和预警能力。

作者简介：

  邹春明（1979-），男，湖南衡阳人，副研究员、高级测评师，硕士，现就职于公安部第三研究所，主要从事工控网络安全方面的研究。

许飞跃（2002-），男，江苏泗阳人，硕士，现就读于上海电力大学人工智能学部，主要从事人工智能、计算机视觉方面的研究。

参考文献：

[1] GB/T 42453-2023, 信息安全技术 网络安全态势感知通用技术要求[S].

[2] GB/T 37941-2019, 信息安全技术 工业控制系统网络审计产品安全技术要求[S].

[3] 邹春明. 基于白名单策略的工业控制网络审计监控技术研究[J]. 自动化博览, 2017, 287 (11) : 50 - 53.

[4] 刘彪. 工控系统态势感知与威胁检测技术研究[J]. 中国高新科技, 2025 (17) : 118 - 120.

摘自《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》