城市轨道交通整体网络安全风险分析及应对策略

赵庆安 戴克平 唐龙

1 安全问题

目前，城轨网络安全环境和需求错综复杂，网络安全防护对象呈现多样性，需要进行信息安全防护的环节比较多，众多的城轨信息化智能设备不可避免的存在信息和数据安全薄弱环节，而且网络信息安全防护手段和措施缺乏整体规划。

近期，对某城轨现有网络进行了一次实地测试。被渗透穿越（攻击失陷）的系统包括集团移动办公网、集团内网、集团邮箱系统、VPN系统、人力资源系统、文件管理后台、数据库服务器、UMC统一管理系统、内网系统等。分析数据发现了各类安全事件，例如，通过未授权访问进入移动办公系统，通过获取VPN登录账户进入信息内网，通过内网扫描及横向渗透获取企业价值信息。其中，信息安全漏洞利用的细节包括弱口令、Structs 2远程代码执行、Weblogic反序列化、SQL注入漏洞、数据库配置信息泄露、PhpInfo泄露、XSS网站脚本、Webshell等。这些威胁和安全缺陷带来的影响和后果令人震惊，比如，可以获取重要部门的通信信息、手机号码、邮箱、个人档案、工资信息等，可以从办公OA系统中获取部分文件及处理意见，可以获取部分数据库的所有数据，获取部分服务器的所有文件。总结各类安全事件，其共性的问题如下。

1）缺乏行业自身标准，以及相关工程建设中网络层面上的信息安全体系结构整体规划；已有的信息系统安全设计无规划指导，实施相互独立，所采用的安全保障技术和措施属于局部性建设，定位于补充完善，作用单一且范围有限。

2）缺乏信息安全保障机制和相应的测评技术，以及评估模型和工具、评测项目选择及分析优化的方法。

3）缺乏完善的信息安全管理体系，全国建成和在建的工程仅具备一些简单的日常网络信息安全管理制度和方法，细节缺陷较多。

面对以上问题，需要从全行业范围综合考虑信息安全规划和建设的体系问题。

2 安全设计

作为保障城轨主要运行业务安全有序运转的机构，城轨管理和运营的信息化部门应从顶层视角规划和建设网络安全，立足于安全和信息化的“全面覆盖、深度融合”定位，以“内生安全”的思想，推进安全和IT的融合，制定城轨相关企业级网络安全全景作战地图和演进路线，监督落实“三同步”，构建面向实战的网络安全体系。

2.1 安全策略

自动化系统信息安全策略，应根据等级保护要求对城轨业务信息化系统进行防护设计，重点实现“垂直分层、水平分区、边界控制、内部监测”，包括网络间、业务平台（云平台）、业务子系统的安全加固和风险监控，系统和应用间进行逻辑隔离和防护［1］，确保应用、数据、系统、设备及人员的信息安全集中管理和统一呈现。

其中，垂直分层是对各类业务生产网垂直方向划分层次；水平分区是水平方向划分安全管理区域，平台之间、系统之间等应该从网络上隔离，并处于不同安全策略管控的安全区中；边界控制，需要有效实施在系统边界，即各操作终端站、远端维护站、互联互通级干线网络上的系统连接处、站房外延无线网络等基础边界进行身份识别、访问控制；内部监测，通过工业控制生产网的信息安全保障体系，以及相应的安全管理工具，对整个行车、站房、线路运行管理系统内各个子系统和安全设备，进行统一管理、实时监测［2］，发现网络异常立即报警。

2.2 设计要求

根据城轨各个业务系统的实际情况及等级保护2.0要求，按照业务系统实际定级（例如二级系统和三级系统），有针对性地进行等级保护安全设计，建议考虑以下7个方面。

1）业务系统定级。首先了解主要业务系统的基本构成、运行管理的类型、含有数据和信息类别、服务对象和范围，包括对IT支撑系统的依赖程度，分析系统状况、系统业务流程和数据应用模块的关联性，以及通过安全事件影响范围和大小来确定系统的等级。

2）安全控制项现状评估。根据国家相关风险评估方法，首先要确定主要业务系统和相关子系统所对应的各等级必须满足的安全控制项评估内容［3－4］，再对系统各层次的安全管理域逐项进行等级风险评估。从而可以明确安全控制项做了哪些有效工作，哪些还需要完善，哪些还有高风险的场景存在，由此找到各层次安全域相应等级的安全差距，为后续合规工作和安全规划指明方向。

3）设计合理的安全管理域［1］。结合业务系统运行及管理流程、数据访问模式和相应IT功能组件，设计合理的安全域划分原则，将业务系统分解为多个可管理层次，完善系统安全管理域框架。

4）明确安全管理域指标。依照安全管理域适用的安全等级要求，选择合适的方法确定业务系统各区域不同的等级（例如二级和三级等）。同时，参照国家相关等级保护安全要求和指南，参考设计系统应具备的相应等级的安全指标库，来确定各安全管理域所需采用的安全指标项。

5）设计安全保障体系的适用框架。依据安全管理域框架，设计系统各个层次的安全框架，包括安全策略、安全组织、安全制度［5］、安全流程、安全技术和安全运营［5］等，并最终形成适用于城轨系统整体的安全保障体系框架。

6）设计安全措施及控制项技术方案。针对评估安全差距要求，设计并建立面向城轨业务系统的安全风险和技术措施库。通过等级风险评估，设计系统安全技术和工具解决方案。

7）优化安全管理体系。针对评估安全差距要求，设计并建立面向业务的管理风险和管理措施库。通过等级风险评估，进行城轨相关企业集团和业务生产网的安全管理组织、制度和流程建设。

一个城轨业务系统的网络信息系统，应整体形成合理、有效、适用的安全保障体系［2］，根据安全组织、安全制度、安全流程、安全技术及工具的建设，实现生产业务系统良好运行的安全保障。

2.3 工程设计

针对新基建大环境和创新技术的广泛应用，建议信息安全专项工程设计如下。

1）新一代身份安全。大数据、物联网、云计算改变了各个业务系统以往身份管理和使用模式，“身份管理”从面向人员管理演进为对设备、程序等数字身份的管理。新一代身份安全应立足于信息化和网络安全双基础设施的定位，采用基于零信任架构的技术路线，建设新一代身份安全体系。

2）重构企业级网络纵深防御。混合云、物联网、工业生产网等的技术应用产生更多类型的外部网络出口，接入风险日趋严峻，应构建多层级网络，采用集约化模式，设计标准化、模块化灵活部署的网络安全防护组件，在实际业务生产网中适配各层级网络节点，统一策略管理，形成以城轨运营数据为防护核心的网络纵深防御体系。

3）数字化终端环境安全。安全管理的复杂性随着数字化时代的快速发展而急剧上升，终端类别和创新应用快速增加，终端资产安全属性也在发生变化，终端信息化安全的事件处理和防范需求不断扩大。从良好的用户体验视角出发，充分考虑城轨相关企业内部和外部组织的管理模式，建设涵盖生产网、办公网、远程维护、智慧数据共享平台等多场景数字化终端，全面覆盖统一的安全管理保障体系。

4）建设云数据中心的安全防护。随着云计算的深入应用，云数据中心将取代传统数据中心，其混合了公有云、专有云及企业自建云等复杂场景。来自内部用户、互联网用户、公有云的资源访问等行为，与云平台管理、云交付管理业务混合在一起，导致了云内网络风险的高发。应立足于混合云模式，适应于IaaS、PaaS、SaaS云服务类型，在云数据中心各个业务和网络纵深中部署相应的安全能力。

5）建设面向大数据应用的安全防护。数据是驱动业务发展的核心动力，数据集中导致风险集中，数据流转产生更多攻击面。应基于数据生命周期及数据应用场景，开展数据安全防护工作，保障大数据采集、存储、传输、处理、使用、共享开放、销毁等的安全，做到大数据场景下的数据不失控、不被盗用、不被误用、不被滥用。

6）建设面向实战化全局态势感知体系［5］。态势感知是网络安全防护体系的“中枢”，全天候全方位感知网络安全态势。应构建面向安全实战化的全局态势感知体系，要覆盖城轨相关企业所有信息资产，包括设备、系统、应用和数据，具备实时采集安全数据和分析监测的能力，能动态识别安全威胁并及时处置相关安全风险，还要具备实现安全态势全面分析、逐级钻取事件调查分析、安全溯源和取证能力。

7）面向资产/漏洞/配置/补丁的系统安全。大多数城轨相关企业都存在信息化资产不清、漏洞分布不知、系统未按合规要求进行加固、漏洞修复不及时、基础安全运行流程不闭环、缺乏一体化平台工具支撑等问题，无法满足实战化的需求，应将合规要求中系统安全控制的执行落地，从定期检查模式转变为可持续验证模式，提高安全漏洞修复工作的确定性。通过聚合IT资产、配置、漏洞、补丁等数据，从依靠自发自觉模式提升到体系化支撑模式，建设数据驱动的系统安全运行体系，达到及时实现、分析准确、响应可持续的业务系统网络信息安全防护。

8）建设工业控制生产业务网安全防护。由于数字化升级，使工业生产网络从封闭走向开放，工业控制生产网与多个数据源区、控制管理域、甚至与外网互联互通，这将面临很大的潜在信息和数据安全威胁。工业控制生产网在建设网络信息安全防护体系时，须考虑涵盖业务系统中的多个数据使用控制和交换场景，例如面向工业控制生产网络的内部，工控安全管理的有线和无线网络边界［6］，生产数据的采集、通信、远程维护管理，城轨相关企业的数据中心与分支业务部门，以及系统集成商和服务商之间，构建多层次安全措施，全面有效地掌握工业控制生产网的全局安全态势，确保重要工业控制生产网络和数据的安全。

9）建设面向内部威胁的综合防控体系。基于新基建的需求，多数业务向云迁移，大数据集中化、数据共享增多，导致内部威胁已成为信息安全事件的重要原因，造成的后果愈发严重。因此，应构建内部威胁安全管控体系，采集相关的业务操作和管理日志、业务子系统中的数据、访问流量、重要及敏感数据，结合各个生产网和安全管理域的管控制度，以及基层员工的综合网络信息安全意识培训，加强主动防范和防护内部威胁的能力。

10）密码应用相关的建设任务。密码技术与信息系统、数据和业务应用紧密结合，密码法的实施也为密码技术应用和评估提供了法律依据，城轨相关企业应从密码基础设施、密码应用中间件、密码业务应用、密码应用管理、密码应用测评等方面开展密码体系建设。

2.4 运营管理

实战化的安全运行体系是保障各个主要城轨业务安全稳定运行的基础［5］，通过信息安全运行活动将静态的信息安全产品变为动态的信息安全防护体系并持续改进，如图1所示。由于信息安全态势瞬息万变，这就要求持续检测信息系统的安全状态，发现问题及时处理。因此，安全产品需要人工持续管理、维护和优化，安全告警需要实时分析和处理，安全情报要及时分析和适配，才能发挥安全产品和服务的最大作用。

图1 信息安全防护阶段和持续改进示意图

2.4.1 整体建设要求

为保障业务安全有序运转，城轨作为公共交通服务机构必须建立实战化的信息安全运行体系，涵盖信息安全运行团队、信息安全运行流程、信息安全操作规程、信息安全运行支撑平台和安全工具等方面。

1）安服响应团队。作为安全运行活动的执行者，设立城轨相关企业的信息安全运行团队或外包安全服务资源，应该充分考虑应急响应和日常安全运营，并需要持续提升信息安全技能；同时，要发挥人防与技防融合提升的效果，保持与先进的网络信息安全技术相匹配。

2）操作流程。制定安全运行流程和安全操作规程，作为安全运行人员合规、快速、准确执行闭环安全运行活动的依据和指导。

3）身份主线。确保以人员身份为主线的身份、凭证、权限管理，和以资产为主线的资产、配置、漏洞、补丁管理。

4）安全策略。确保以安全策略和访问关系为主线的纵深防御安全策略管理，确保以威胁和安全事件为主线的安全事件处理，通过威胁猎杀、攻击模拟、策略优化来提升安全防护水平。

5）情报数据。确保以情报数据为主线的威胁情报运营和适配，来提升响应速度和安全预防能力。安全运行团队依照既定的操作规程快速有效地处理安全事务。

6）安全平台。安全运行支撑平台和安全工具的建设，需要结合整个安全运行体系的运行状态，进行定期的、必要的、持续化的评估，不断总结和优化，同时也需要与实战化的安全运行能力相匹配，不断完善网路信息安全运行管理体系水平。

2.4.2 日常管理要求

1）完善安全运行体系。安全运行服务团队，充分运用系统安全资产管理平台、数据安全生命周期管理平台，以及综合态势感知和相关安全分析工具，完善安全运行和服务响应流程，以及安全操作指南和岗位规程，构建城轨相关企业和服务线路网络环境实战化的安全运行管理体系。

2）满足安全合规性要求［7-8］。依据安全战略目标和安全合规性要求，梳理涵盖基础架构安全、纵深防御、积极防御、威胁情报等的安全运行流程，采用持续性的模式定义每项安全运行工作的闭环流程，为安全运行常态化打下基础，平时能够保持整体良好的安全状况，在面对大型实战演练时也能从容应对。

3）加强基础架构安全。以资产为主线的资产运维、漏洞管理、配置基线管理及补丁管理等日常安全运行活动，接受来自积极防御运行活动中的安全加固指令，并依据威胁情报运行活动中的加固方法对相关资产进行加固；以身份为主线的身份、凭证的生命周期管理及权限管理，接受积极防御运行活动中临时禁用账号的指令。

4）坚持纵深防御策略［9］。以安全策略为主线，结合安全工程的建设以及网络互访关系，对安全防护策略进行全生命周期管理，接受积极防御运行活动中的指令临时调整策略或者优化策略，依据威胁情报运行活动的防护特征和黑名单情报调整安全策略。

5）持续积极防御。以事件或者威胁为主线，利用安全大数据结合威胁情报，采用交互式分析方法，发现、分析安全事件或者威胁，制定缓解和处置措施，并下发给基础架构和纵深防御安全运行活动去执行。

6）定义安全运行的各个岗位职责。各个岗位包括安全运维工程师、安全分析师、渗透工程师、威胁猎杀专家、情报分析师、安全策略优化专家、安全流程优化专家，组建安全运行团队，使得安全运行工作能够有效执行。

7）明确标准操作规程。根据每个安全运行岗位的职责拆解安全运行流程，面向岗位形成明确的标准操作规程，将所有安全运行工作要求分解落实到具体的操作项目中。

8）设计安全运行工作流程。在各项安全工程和任务的平台或系统建设交付项目过程中，同步设计相应的安全运行工作流程。随着项目的试点和推广，建立并完善安全运行机制，并随着项目投产纳入实战化安全运行体系。

9）建立安全运行成熟度评估机制。评估项目包括安全运行流程评估、专业技术人员能力评估、技术运行平台能力评估等，找出差距，制定提升计划，促使安全运行体系成熟。

3 工作规划

网络信息安全的规划，如图2所示，应完善各项重要业务信息化，支持系统的近远期的技术、运营、管理体系的发展规划，落实从基础网络安全、业务应用安全和日常运营管理安全3个层面出发。

图2 网络信息安全的规划全景图（示意）

3.1 具体项目

1）开展相关信息安全关键技术和重点产品安全攻关工程。针对制约信息化网络安全发展的关键技术和重点产品进行技术攻关。

2）设立网络安全应用试点示范工程［10］。建立完善统一的实时在线安全监测和预警系统、跨网跨专业信息安全交换管理平台、敏感信息防泄漏系统、核心生产运行系统仿真平台，制定网络信息安全相关标准规范。

3）建立统一的网络与信息安全管理平台［11］。实现网络与信息安全监管电子化，各项管理工作流程化和统一化。

根据城市建设中实际工程的需求，基于本地建设和安全运营的基础调研，有针对性地提出运营管理系统的信息安全需求，制定网络信息安全相关规范，参照国内外网络安全实践和相关标准，建立包括信息系统安全框架、信息安全保障管理体系等信息安全体系结构，并基于可持续优化的原则，提出相应的信息安全保障措施清单和综合测评工具［12］。

3.2 建议和意见

3.2.1 加强信息安全顶层设计

成立信息安全工作领导小组，设立信息安全专家咨询委员会，跟踪分析行业发展和工程建设状况，定期研究工程建设的信息安全保障工作的重大事项，为科学决策提供咨询意见建议。各企事业单位成立相应信息安全保障工作组织，领导本单位信息安全工作，加强对信息安全工作的组织领导和内部管理，将信息安全纳入各单位年度重点工作，完善信息安全保障体系。

加强多方战略合作，统筹衔接与国家部委、地方政府的网络和信息安全的发展规划。深入实施行业信息安全工程，保障重要科研、建设、运营平台的持续服务能力。通过培育并逐步建立支撑行业的网络信息安全的公共战略联盟，有计划的建立以企业为主导的行业网络信息安全技术相关的创新体系。加强并协调好业务系统及平台与网络信息安全规划的实施落实。健全信息安全规划的任务分解、监测评估和动态调整的工作机制，对重大任务的执行情况进行制度化、规范化的检查评估，为信息安全规划的动态调整提供依据，确保各项任务落到实处。

3.2.2 建立信息安全资源投入体系

保证信息安全资源投入持续稳定，建立多层次、多渠道信息安全资源投入体系。面向国家信息安全战略重大需求，积极运用信息安全科技前沿技术，争取国家支持，加大信息安全资源投入力度，吸引社会资本参与，激励各企业加大信息安全科研投入，持续提升企业自主创新能力。设立信息安全应用科技成果转化专项资金，促进适合工程建设和安全运营的信息安全技术成果转化。设立网络和信息安全科学普及专项资金，普及信息安全科学知识，为重点实验室（如网络信息安全工程技术中心）建设提供资金支持。

3.2.3 建立科学评估评价体系

建设由行业内外部高水平信息安全专家构成的多层级专家库，在信息安全保障规划项目征集、评估、评审过程中，充分发挥信息安全领域的专家作用，提高企业代表在评估、评审、决策、咨询中的作用。改进信息安全建设的评价方式，完善以可靠、创新和质量为导向的体系评价办法，建立以信息安全技术创新绩效为导向的资源配置模式。支持、鼓励行业协会、第三方专业机构信息安全保障及规划服务能力建设，逐步将信息安全技术和工程评估、安全保障奖励等工作整体或部分交由相关协会或第三方专业机构承担，探索决策、执行、评价相对分开的运行机制，加强政府对行业信息安全活动的政策引导和监督管理。

3.2.4 完善信息安全管理制度

完善行业的建设和运营企业报告制度，加强信息安全管理信息系统建设。加强行业重点实验室（例如网络信息安全工程技术中心）、信息安全保障人才与团队、信息安全技术科技成果转化等制度建设，加快行业信息安全保障科技成果使用、处置和收益管理改革。完善有关网络和信息安全新技术实验验证和新产品开发、应用的法规、规章和标准，为科技创新活动创造良好的制度环境。

4 结语

通过实测和分析总结，针对城轨相关企业和行业层面，从网信安全的计划和实施方法提出了思考方向，给出建议；列举了网络信息安全立项、规划、建设和行业顶层设计的方法，希望对有关部门能有所启发。