引言

　　2019年12月1日，《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代，等級保護對象范圍從傳統的網絡和信息系統，向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變為通用安全要求+新技術安全擴展要求，且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在“關鍵信息基礎設施的等保2.0之路”系列文章中，天地和興將從關鍵信息基礎設施保護的實踐出發，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰。

　　一、 安全現狀

　　城市軌道交通作為大容量公共交通工具，其安全性直接關系到廣大乘客的生命安全。作為城市軌道交通運行的神經中樞，信號系統在軌道交通中發揮著越來越重要的作用。近年來，隨著計算機系統在信號系統中的應用日益廣泛和深入，信號系統朝著網絡化、智能化的方向發展。如何保證其網絡及信息安全，使其符合安全完整性等級及信息安全等級保護要求，成為城市軌道交通系統迫切需要解決的問題。

　　面對嚴峻的信息安全環境，國家高度重視關鍵信息基礎設施信息安全相關工作的建設和發展水平，由各相關部門陸續出臺相關政策和文件，強化頂層設計，對工控信息安全防護工作進行監督和指導，包括了《中華人民共和國網絡安全法》、《工業控制系統信息安全防護指南》、《GBT22239-2019 信息安全技術網絡安全等級保護基本要求》等多個政策文件。同時，城市軌道交通協會也下發了《智慧城規信息技術架構及信息安全規范》，對于信號系統、綜合監控系統、AFC系統等關鍵業務系統也做出了新的技術規范要求及網絡安全要求，其中重點強調了網絡安全建設的重要性及具體技術要求。

　　信號系統通常由列車運行自動控制系統(ATC)和車輛段信號控制系統兩大部分組成，用于列車進路控制、列車間隔控制、調度控制、信息管理、設備工況監測及維護管理，由此構建了一個高效的綜合自動化系統。當前軌交行業信號系統普遍存在以下網絡安全隱患：

　　1、城市軌道交通信息系統眾多且系統間的數據交互頻繁，特別是信號系統，由列車自動防護、列車自動駕駛、列車自動監控等諸多子系統組成，同時還有LTE等網絡接入信號系統，存在大量子系統間、控制中心與車站、車地通訊等高實時性要求的數據交互行為。在日常頻繁的數據交互中，一旦防護不當會導致惡意攻擊從其他系統直接滲透到信號系統，從而導致入侵病毒在通信傳輸網絡中的蔓延。

　　2、信號系統中的應用軟件是在操作系統及支持軟件之上完成信號系統及子系統特定功能的軟件。這些業務應用軟件在設計開發過程中，主要考慮可靠性，較多選擇通用軟、硬件產品，此舉雖然大大降低了設計和建設上的成本，但同時也帶來了潛在的風險，如近年來曝光的工控配套軟件存在的漏洞、后門，默認賬戶不做處理，使用過程中采用弱口令導致系統權限易被獲取等。

　　3、為了追求可用性而犧牲整體安全，缺乏完整有效的安全策略與管理流程。例如系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。大量的終端、服務器、工作站都是Windows/Linux平臺，考慮到過程控制系統的相對獨立性以及系統的穩定運行，通?，F場工程師在系統開車后，將不再會對系統平臺進行補丁安裝、策略加固，從而埋下巨大的安全隱患。

　　4、信息安全的構建是一個系統工程，大部分的控制系統建設時間比較早，缺乏統一規劃、技術種類多，安全防護設備雜，未形成統一的有機防護體系。整個城市軌道交通系統信息安全運行狀態監控手段薄弱，缺乏有效的網絡感知能力。目前整個系統也未形成全局性網絡安全態勢感知能力和安全事件處理能力，缺乏有效的全景可視化能力。

　　二、解決方案

　　面對上述軌交行業信號系統的安全現狀，天地和興做了深入的調查與研究，面對自動控制系統(ATC)、車輛段信號控制系統等不同的應用場景，提供全生命周期的安全解決方案，為軌交行業信號系統構建安全防御體系。

　　1、風險評估方案

　　風險評估是全面了解與驗證信號系統網絡中存在的各種風險的一種必要手段，是安全防護體系建設的前提，天地和興將針對當前信號系統運行環境與安全管理制度，對信號系統網絡做全面的安全檢查與驗證，并對當前網絡環境進行深度的工控漏洞挖掘。

　　從風險管理角度，運用科學的方法和手段，系統地分析當前網絡及系統面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，為防范和化解信息安全風險，或者將風險控制在可以接受的水平，制定針對性的抵御威脅防護對策和整改措施，最大限度地保障網絡和信息安全并為其提供科學依據。

　　圖1 信息安全風險評估完整過程

　　2、安全防護方案

　　鑒于信號系統在軌道交通中的重要性，結合行業以及公安部相關的要求，將地鐵信號系統信息安全保護等級定為三級，信號系統各部分將按照等級保護三級的標準要求進行安全規劃建設。

　　參照國家網絡安全等級保護基本要求的“一個中心、三重防護”安全理念，根據信號系統高實時性要求的特點，通過部署工控防火墻、工控安全審計、入侵檢測等安全防護產品，重點針對信號系統安全域內的網絡安全防護，提升信號系統網絡整體防護能力，部署示意圖如下：

圖2 信號系統安全防護

　　安全通信網絡：對信號系統進行網絡結構梳理，并按照業務訪問邏輯進行網安全域劃分，并分析各安全域的安全權重，重點實現對控制中心的安全防護;在控制中心與外部系統之間(如綜合監控等其他子專業)串聯部署工控防火墻系統，建立不同區域之間的隔離與細粒度控制。

　　安全區域邊界：在控制中心通過在核心交換機上旁路部署入侵檢測系統、威脅檢測系統、安全審計系統等產品，實時監測業務網絡中核心數據服務安全域的異常行為并進行審計告警，異常行為包括各類入侵、網絡病毒、非法訪問等。在設備集中站、停車場、車輛段同樣需要部署安全審計系統來實現對網絡安全的監測審計。

　　安全計算環境：在信號系統全線對各類工作站、服務器等人機交互界面上的主機系統部署主機安全防護系統，實現對主機系統的安全防控，包括主機系統防病毒、防第三方軟件非授權安裝使用以及外接設備，尤其是外接存儲設備的認證、操作管理與安全審計，保護主機系統運行安全與數據安全。另外，通過人工加固工作提高自身的本體安全，包括：對安全漏洞與脆弱性進行管理，對可修復的漏洞進行可行性驗證與修復，關閉不需要的默認賬號、服務，關閉外設;完善操作系統、數據庫、應用系統口令長度及復雜度，配置用戶登錄失敗處理機制等。

　　安全管理中心：設立安全管理中心，并部署工控安全監管平臺、運維審計系統以及工控安全檢查工具等產品，實現全網安全設備運行監控、安全日志收集與分析、安全事件集中處置，全網系統賬戶的統一管理與操作審計，全網資產無損掃描識別與管理，資產漏洞匹配與統計報告等安全集中管理能力。通過系統加固，更多是通過縱深防御技術體系邊界防護設備的策略調優進行補償式修復，提升信號系統網絡安全整體的防護能力。

　　3、安全檢查方案

　　應建立信號系統定期安全檢查和整改工作機制，每年至少自行開展一次安全檢查，發現問題需制定整改計劃及措施，并將整改情況進行相關單位上報。等級保護定級為三級的系統，除每年自行開展一次安全檢查外，還應按照等級保護要求，做好安全評估及整改工作。配合用戶每年的抽檢，并協助開展信號系統網絡安全專項檢查。

　　4、應急演練方案

　　協助信號系統用戶制訂安全應急處置預案每年至少進行一次演練，確保發生安全事件時能夠有序處置、快速恢復。當信號系統網絡安全受到外部入侵等干擾，導致系統發生變化時，及時組織對應急處置預案進行評估，根據實際情況適時修改并進行演練，形成快速反應、快速處置的能力。確保當信號系統出現安全事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時，立即向上級相關單位、當地政府相應部門等進行報告，同時按應急處理預案采取安全應急措施。處理安全事件過程中應注意保護現場，以便進行調查取證和分析。最后將制訂安全防護事件通報制度，有關安全問題做好記錄。由安全管理中心定期整理信號系統安全防護情況，并及時上報信號系統安全防護出現的異?，F象。

　　5、安全服務方案

　　現階段，軌交行業網絡安全設備部署范圍廣域，包括但不限于控制中心、車站、車輛段、停車場等位置，針對主管、運維等部門的“專業壁壘”等問題，天地和興綜合現狀為相關人員提供專業的培訓、咨詢、運維等服務，涉及網絡安全培訓、安全防護標準培訓、當前攻防技術培訓與應用、安全管理與規范操作日常運維等內容。協助企業全員提高專業知識與安全防范意識，同時提供7*24小時的專家級安全咨詢服務與運維、應急保障。

　　6、安全運營方案

　　安全運營的好壞直接影響信號系統網絡安全防護體系的防護效能。安全運營涵蓋的內容較多，包括安全管理中心建立、安全意識培訓、安全運營管理、安全體系管理、安全運維管理等多維度內容。針對企業實際情況進行詳細方案設計，規范城市軌道交通信號系統的整體安全運營工作。

　　三、總結

　　城市軌道交通的網絡安全是國家信息化工程建設的主體領域，也是信息化發展和國家安全的重要支撐，而信號系統的網絡安全建設是城市軌道交通網絡安全一體化建設的重要組成部分。通過信號系統由點及面的網絡安全建設，將有利于逐步實現城市軌道交通業務網絡安全、工業信息安全和自動化安全控制等關鍵裝備技術及系統的國產化，符合城市軌道交通的快速發展和智慧軌道交通建設的總體要求，促進產業結構調整，提高國家核心競爭力。