軌交行業安全解決方案

某地鐵信號系統網絡安全方案

1.  行業痛點

目前地鐵信號系統大多采用CBTC技術實現列車和地面設備的雙向通信，利用通信技術實現“車地通信”并實時地傳遞“列車定位”信息。通過車載設備、軌旁通信設備實現列車與車站或控制中心之間的信息交換，完成速度控制。但隨著計算機和網絡技術的發展，特別是信息化與信號系統深度融合，CBTC系統產品越來越多地采用通用協議、通用硬件和通用軟件，采用以太網與綜合監控、PIS網絡、語音廣播等其他業務系統互聯，造成病毒、木馬等威脅向CBTC系統擴散。一旦CBTC系統受到網絡攻擊，將對城市軌道交通的穩定運行和旅客的人身安全帶來重大威脅。 

根據前期對該項目的需求調研和風險評估，總結該項目網絡安全建設的痛點如下：

? 信號系統與其他業務系統如綜合監控系統、AFC系統、PIS系統等之間存在互聯接口，采用標準Modbus協議進行通訊，數據采用明文傳輸。但未采取任何訪問控制或技術隔離手段進行區域隔離，無法對進出網絡的信息內容進行過濾，不能實現對應用層協議命令級的控制；

? 信號系統受網絡結構及運營模式影響，投入使用后設備、系統補丁、漏洞庫、病毒庫無法采用自動模式進行自動更新，設備易出現重大缺陷受到網絡攻擊；
? 地鐵信號系統網絡內缺乏對非授權設備私自聯到內部網絡的行為進行檢查、定位和阻斷的能力；缺乏檢測網絡攻擊行為及惡意代碼的手段，無法對攻擊源IP、攻擊類型等信息進行記錄、并回溯；
? 沒有獨立的信息安全部門或者信息安全崗位，安全策略和安全管理制度不完善。

2.  解決方案

 
1）邊界防護

采用工業級防火墻實現區域邊界訪問控制。在信號系統和其它系統（如PIS系統和綜合監控系統）互聯的邊界（A，B網）各部署一臺防火墻，通過邊界部署防火墻設置訪問控制策略，實現對信號系統和其它系統間的通信進行訪問控制，僅允許特定的數據傳輸，禁止所有非必要的網絡通信。訪問控制策略可基于傳統五元組、協議、資產、時間等多元組；同時對信號系統與其他業務系統通訊采用的modbus協議實現指令級訪問控制。

2）入侵檢測

釆用入侵檢測系統對網絡中的流量進行監測。

在骨干環網交換機上旁路部署入侵檢測系統，檢測可能發生的入侵行為并報警。入侵檢測通過對系統中的應用層協議進行深度解析，并與規則策略對比，實現對應用系統的入侵檢測和業務操作異常分析。

3）業務審計

通過部署數據庫審計系統，運維審計系統，日志審計系統（包含在安全管理平臺中），對信號系統進行安全審計。
數據庫審計系統，對中心數據庫進行網絡審計，審計內容包括數據庫用戶的登錄和對數據庫的增、刪、改、查等操作。

運維審計系統對維護工作站的維護操作進行審計，審計內容包括維護工作站對網絡設備，ATS服務器，ATC維護機的遠程操作，可進行操作回放。

4）終端安全管理

在信號系統各工作站上安全主機安全防護軟件，對工作站進行安全防護，防護內容包括安全基線管理，網絡ACL控制，外設控制，U盤管控，非法外聯阻斷，病毒查殺等。對全線工作站進行集中統一管理，集中配置安全策略，集中展示全線工作站的安全狀態。

5）集中安全管理

安全管理平臺可對網絡中所有的工作站主機，服務器主機，網絡設備，安全設備進行狀態、資源監控，自動生成資產列表、實現資產管理，動態生成網絡拓撲，實現全網設備性能監控，日志管理等。

3.  方案成果與價值

保障信號系統的最低時延要求，采用旁路安全監測為主，以安全系統自響應為原則來構建防護系統；例如：IDS與FW的聯動；建立信號系統各類控制設備，實現信號系統整體的安全管控。保證信號網絡的高安全性。通過威脅檢測、安全預警、安全加固、安全審計、應急響應等，建立安全事件事前、事中、事后的安全維護管理，確保信號系統的持續安全，滿足持續性按需防御的安全需求。?

地鐵云平臺網絡安全方案

1.  行業痛點

地鐵業務系統作為國家關鍵信息基礎設施，一直以來其網絡都是相對獨立和封閉的，地鐵內部的各個業務系統之間的網絡都是獨立建設。近年來為了推動地區的軌道交通的發展，提升行業的服務質量，部分地區的地鐵建設方通過引進云計算技術來改變傳統的地鐵業務建設模式，將各大專業（業務系統），諸如：AFC系統、ISCS系統、SIG系統等等都集中在一個云數據中心，將車站級的數據要求降低甚至取消，提高全局的資源利用率，減少業務建設過程中過多的對車站的投入，同時通過集中的管理中心對全局的各系統個資產進行管理，提高管理效率。

地鐵云平臺面臨的安全問題主要有：

? 云平臺自身的安全問題

云平臺的底層架構是通過虛擬化技術實現資源共享調用，但是共享需要保證用戶資源間的隔離，目前大多數云平臺存在VENOM(毒液)漏洞，通過該漏洞能讓攻擊者越過虛擬化技術的限制，訪問并監視控制宿主機，并通過宿主機的權限來訪問控制其他虛擬主機。因此需要提供面向虛擬機、存儲等虛擬對象的安全保護策略。

? 不同專業的安全控制與管理

雖然將各專業的計算都集中到了云中心，但是部分專業的現場級的數據采集組件都是部署在車站的，在目前的技術背景下，無法實現現場級設備的虛擬化，且采用TCP/IP協議作為數據傳輸協議，且各業務系統如ISCS與AFC、SIG等專業都是采用的工業控制協議：TCP/MODBUS，應用層協議依靠傳統的網絡分析技術是無法進行分析的。

? 云端數據的安全傳輸與交換

地鐵云平臺將所有數據都集中到云端加工、存儲，站段數據向云端傳輸需要云平臺向各業務系統開放相應的接口，這種中心級的數據交換需要保障各業務系統的數據安全傳輸與交換。

2.  解決方案
 

1）云平臺網絡安全邊界防護體系

建立外部服務網、內部管理網、安全生產網三個安全域間防護體系；各安全域內部業務系統安全邊界；帶外管理網區域邊界；車站/車輛段節點安全域邊界；區域邊界實現以下幾方面的防護措施：邊界隔離及訪問控制、安全審計、抗DDoS攻擊、入侵檢測及防御、未知威脅檢測、通信鏈路加密、負載均衡、Web安全防護。

2）云平臺網絡安全防護支撐體系

云平臺網絡安全防護支撐體系旨在建立云平臺安全管理中心，云平臺安全管理中心定位于云安全體系中的上層管理平臺系統，可以整合云中各類安全監控資源、采集環境中全量的安全監測信息，形成面向云計算集中安全監測、綜合安全分析和統一運維支撐的安全運維管理，承擔云上態勢感知的功能。

3.  方案成果與價值

該方案以安全生產網、內部管理網以及外部服務網為基礎，實現區域化的安全治理。集合云技術資源動態調度的優勢，將安全能力以資源池的形態進行交付，各專網、系統按需提出需求，由云安全管理中心進行分配；最終實現跨專業、跨網絡的統一安全管理，解決了資源利用不足，安全部署繁瑣、不利于統一管理的問題。

某市地鐵自動售檢票系統網絡安全方案

1.  行業痛點

AFC系統是軌道交通業務系統的重要組成部分之一，AFC系統在城市軌道交通中扮演自動化票務管理的角色，它的安全性、可靠性及保密性極高。AFC系統結構層次目前通常劃分為5個層次，分別為票卡、車站終端設備、車站控制中心、線路控制中心（或多線路控制中心）以及清分清算中心。隨著AFC互聯網售票等新業務架構的興起，傳統的AFC系統面臨了新的安全風險，如何保障AFC系統運行的數據安全和業務穩定性是在AFC系統建設過程中必須考慮的問題。

根據對現場的需求調研和風險評估，總結痛點如下：

? 未進行安全域劃分，區域間未設置訪問控制措施；
? 缺少網絡監控手段，不能及時發現網絡安全問題；
? 缺少網絡審計手段，出現問題后靠人員經驗排查；
? 系統運行后，操作站和服務器很少打補丁，存在系統漏洞，系統安全配置較薄弱，防病毒軟件安裝不全面；
? 缺少身份認證和接入控制，且權限很大；
? 存在使用移動存儲介質不規范問題，易引入病毒以及黑客攻擊程序；
? 第三方人員運維生產系統無審計措施；
? 上線前未進行網絡安全測試；

? 缺少對網絡安全的全局監控，頭疼醫頭，腳疼醫腳。

2.  解決方案

? 邊界防護隔離
在控制中心、車站與各系統互聯邊界部署防火墻，實現冗余。通過防火墻實現AFC系統與地鐵運營非直接相關系統的訪問控制，對數據包進行過濾，同時避免系統受到病毒入侵、非法入侵及未授權人員的非法訪問，嚴格執行基于業務的訪問控制機制。
? 終端安全管理
在控制中心、車站、車輛段部署殺毒軟件、終端管理對終端設備進行病毒防護、進程白名單、移動存儲介質管理。
? 內部監測審計
在控制中心核心交換處旁路部署入侵檢查、網絡安全監測審計、運維審計，對網絡操作行為進行細粒度審計的合規性管理。通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進核心資產的正常運營。
? 應用安全網關

在線路中心邊界部署應用安全網關對數據進行2-7層的全面檢查和分析，深度識別、管控和審計近千種常見應用。應用安全網關支持詳細、清晰、易用的日志特性，可以全面記錄審計網絡行為、使用流量、訪問業務、所用終端系統及設備類型平臺等信息。

3.  方案價值

自動售檢票等保安全解決方案，成功的解決了自動售檢票系統安全問題。方案對軌道交通自動售檢票系統進行實時在線的監測、預警、防護、評估和控制，構建軌道交通信息安全一體化平臺，符合國家《網絡安全法》條例規定，切合等保2.0的安全建設指導建議，為軌道交通工業控制系統正常運行提供全面穩固的安全保障。?

某市地鐵綜合監控系統網絡安全方案

1.  行業背景

近年來，國內地鐵綜合監控系統的信息化建設呈現快速穩步的發展，隨著信息化與軌道交通自動化的深度融合，軌道交通自動化與控制網絡也向著分布式、智能化的方向迅速發展，越來越多基于TCP/IP的通信協議和接口被采用，從而實現了自管理信息層延伸至現場設備的一致性識別、通訊和控制。實現了各子系統的互聯互通，資源共享和自動化水平。隨著地鐵綜合監控系統的集成化、智能化程度越來越高，運行線路包含的信息點越來越多，與之而來的網絡管理和安全面臨的挑戰也變得更大。

根據對現場的需求調研和風險評估，總結痛點如下：

? 綜合監控系統的集成化越來越高，與各系統互聯接口僅在應用層面進行訪問控制，系統底層沒有訪問控制措施，很容易繞過應用層的控制措施，直接對變電站/所的供電系統進操作，對環控系統的PLC控制器進行操作。而與互聯系統間通過通信處理機FEP進行接口通信，僅考慮功能實現，未對通信處理機上的通用操作系統進行安全加固，導致通信處理機容易成為攻擊靶標并淪陷為網絡攻擊的跳板。
? 綜合監控系統工作站一般采用Windows系統，上線后基本不會對操作系統進行升級，系統上線前沒有關閉掉多余的系統服務，以及系統的密碼策略等進行安全加固等問題，系統安全配置薄弱，容易遭受攻擊。

? 地鐵建設和運營公司未設置網絡安全管理部門，未明確建設運營相關部門的安全職責和技能要求。同時普遍缺乏網絡安全人才。

因此如何應對地鐵綜合監控系統面臨的安全風險，是我們在新形勢下迫切需要解決的現實問題。

2.  解決方案

通過對軌道交通多年的研究，已經為北京、上海、深圳、成都、廣州等城市地鐵建設提供了網絡安全服務，目前與80%以上已開通地鐵城市建立了合作關系，通過100多個安全項目形成了獨有的行業認識與經驗，結合等保2.0的要求提出“邊界防護隔離、內部監測審計、終端安全管理、集中管控預警” 的建設思路，建立“預測、防御、檢測、響應”立體式的安全防護體系，實現安全威脅快速檢測與有效防御。

? 邊界防護隔離

在控制中心、車站、車輛段與各系統互聯邊界部署防火墻，實現冗余。通過防火墻實現綜合監控系統與地鐵運營非直接相關系統的訪問控制，對數據包進行過濾，同時避免系統受到病毒入侵、非法入侵及未授權人員的非法訪問，嚴格執行基于業務的訪問控制機制。

? 內部監測審計

在控制中心、車站、車輛段部署核心交換處旁路部署入侵檢查、網絡審計，對網絡操作行為進行細粒度審計的合規性管理。通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進核心資產的正常運營。

? 終端安全管理

在控制中心、車站、車輛段部署殺毒軟件、終端管理、網絡準入系統對終端設備進行病毒防護、進程白名單、移動存儲介質、客戶端接入進行管理。

? 集中管控預警

在控制中心部署態勢感知系統、漏洞掃描和配置核查系統，對分布在控制中心、車輛段、停車場和各車站的防火墻、入侵檢測系統、網絡審計系統和主機防護軟件進行集中管控。統一設置安全策略、補丁升級和病毒庫更新等安全事項。對綜合監控系統的網絡鏈路、網絡設備、安全設備、服務器、工作站進行集中監測。收集、存儲和分析全線的安全日志，對有潛在威脅的安全事件進行識別和報警，定期生成安全報表。

在控制中心部署運維安全網關對綜合監控系統的網管子系統和維護子系統的遠程運維操作進行認證、授權、監控和審計，實現對網管和運維人員的雙因素認證。

3.  方案價值

綜合監控解決方案，是目前針對綜合監控系統安全比較全面的解決方案，方案對綜合監控系統進行實時在線的監測、預警、防護、評估和控制，構建軌道交通信息安全一體化平臺，同時也滿足法律法規要求，為軌道交通工業控制系統正常運行提供全面的網絡空間信息安全保障。