城市轨道交通网络安全集中管控防护方案

刘 魁

（中铁第四勘察设计院集团有限公司，武汉 430063）

随着城市轨道交通与信息化的融合程度越来越高，各系统之间互联互通和数据共享越来越多，如综合监控系统与互联子系统(自动售检票系统、乘客信息系统和视频监视系统等)之间，互联网售票系统与公共网络之间数据交互和访问连接日益频繁。各系统之间互联互通的边界处因各自安全策略与机制的差异易造成病毒、木马等乘虚而入在各系统间扩散，网络安全问题日益突出[1]。一旦系统的安全漏洞被别人利用，将对城市轨道交通的运营安全乃至人身安全造成重大影响，集中化管控是减少上述隐患发生的有效对策。

1 城市轨道交通网络安全风险分析

通过对城市轨道交通各系统的网络架构和数据流向的分析发现，各系统网络安全主要存在以下4方面风险。

1.1 网络边界无隔离

1) 系统与系统之间的网络边界无隔离。各系统之间存在各式各样的接口，多个系统之间直接互联互通[2]。如乘客信息系统与信号ATS子系统、综合监控系统等存在接口。各系统之间未设置有效的隔离防护设备，存在安全隐患。

2) 系统内部子系统之间网络边界无隔离。各系统内部各个子系统之间也存在网络边界无隔离的现象，各集成子系统之间存在无隔离的任意访问的问题。

3) 生产系统与互联网边界隔离措施不到位。部分系统与互联网之间存在网络接口，如自动售检票系统与支付宝、银联的接口，这些网络接口仅仅部署了简单的隔离防护措施，无法抵御有组织的网络攻击。

1.2 计算机系统防护薄弱

各系统在城市轨道交通各个站点均部署了服务器和工作站。若各系统主机、服务器未安装杀毒软件，或更新升级不及时[3]，则存在一定的安全隐患。而且各个工作站上安装的软件不可控，工作站USB接口虽然管理制度不允许随便接入存储设备，但没有技术支撑，管理制度形同虚设。工作站和服务器自身的脆弱性成为黑客攻击得手的关键点，查找自身的弱点，针对工作站和服务器加强防护，才能防患于未然。

1.3 入侵行为检测有遗漏

在各个系统未部署入侵检测设备的情况下，缺少对系统内部和系统之间数据流量的实时监控和记录，容易存在以下几类问题：

1) 入侵行为看不见。城市轨道交通网络入侵行为隐蔽性非常强，会使用正常的应用做异常的操作，没有专门的设备很难发现入侵行为。

2) 安全事件查不到。出现安全事件后，没有审计记录和追溯的手段，无法对历史安全事件进行查询，无法有效预防类似的安全事件再次发生。

3) 网络异常无感知。网络连接、未知设备接入、通信协议、网络流量等的异常关键事件，只能在业务中断或出现其他故障的情况下才能追溯和查询，缺少对网络异常情况的预警和实施监控。

1.4 运营管理不完善

1) 网络安全管理制度[4]不完善，缺少重要网络安全岗位、缺少人员的网络安全意识培训；

2) 系统集成商或第三方维护人员对设备的日常维护、故障定位、软件升级等操作缺乏有效的管控措施；

3) 缺少对安全防护设备的综合管理和运维，各设备的安全管理各自为政，没有形成有效的协同联动机制；

4) 缺少定期的风险评估，无法掌握自身系统的风险和描述系统的安全状态。

2 网络安全集中管控防护的必要性

2.1 安全响应需要协同联动

各业务系统独立设计网络安全防护方案，独立选择网络安全产品，缺少总体防护和深度防护的思想。不同品牌、不同类型的安全设备在功能、接口、策略和日志格式方面差异较大，导致安全事件无法同步，安全情报无法共享，从而无法形成安全有效的防御体系。通过统一建设网络安全集中管控防护系统，可打破各系统之间的安全数据共享壁垒，加强各系统之间的网络安全协同联动，实现对各系统协同持续监控、防御、检测、响应、预测和分析等功能。通过各系统网络安全数据的汇聚、分析，可以对网络安全威胁事件进行关联分析，实现对整体网络安全态势的预测，对安全事件快速响应。

2.2 安全设备需要集中运维

由于不同安全厂商之间的网管无法实现互通，各系统独立建设网络安全系统，容易造成多网管的状态，运营管理人员需登录不同的网管进行安全设备的配置和维护，不利于资源的充分共享，而且大大增加了运营维护的工作量。通过统一建设网络安全集中管控防护系统，可以对各系统网络安全设备进行统一监控和配置，并对安全设备的状态进行集中监测，给安全设备的统一运营维护带来了极大的便利。

2.3 安全资源需要统一共享

各系统单独建设网络安全系统的情况下，由于缺乏统一协调的配置管控，在各系统边界容易出现多重防护的情况，即各系统均在边界配置防火墙设备。一方面设备重复配置造成资源浪费，另一方面增加了系统数据交互时延，也增加了故障点。而且不同人员配置不同厂家的防火墙设备，策略可能存在一定的差异，从而导致数据阻断的风险。一体化的集中管控防护方案可以有效避免防火墙重复配置的问题，各系统还能共享漏洞扫描、主机安全防护服务器等设备，有利于资源的充分共享，降低工程造价。

2.4 安全人员需要整体部署

各系统单独建设网络安全的情况下，各系统工班的工作内容均涵盖对机房的巡检和对安全设备工作状态、接口状态和日志的检查工作，存在一定的交叉和重复。各个工班均需配置安全方面的检修和维护人员，造成人力的浪费。若采用网络安全集中管控防护方案，可以实现安全设备的统一运维，配置单独的网络安全运营团队，各系统工班不需要再去运维和管理安全设备，只要专注于系统业务的运营和维护即可，同时可以利用统一安全管理平台实现防护方案自动化部署、设备状态集中分析、设备配置统一下发等，降低运维难度，大大提高了运维的效率和可靠性。

2.5 安全管理需要顶层规划

在特殊时期如重大事件保障的情况下，对网络安全的运维管理提出了很高的要求，往往需要各个系统网络安全的协同联动，紧密配合。传统方案下各个系统各自为政，运维管理人员参差不齐，安全厂商责任范围不明确，很难实现各系统之间的紧密协作。一体化的集中管控防护由于可以统一规划和统一运维，也不存在多个安全厂商之间推诿责任的情况，有利于在重大事件保障情况下提供可靠的网络安全服务。

3 网络安全集中管控防护方案

以某城市的轨道交通线网为例，主要研究包括安全生产网、内部管理网、外部服务网和运维管理网的网络安全集中管控防护方案。随着云技术在城市轨道交通中越来越广泛地应用，目前各系统架构正逐步采用统一融合的云架构方案，本文按各业务系统均采用云计算的网络架构和业务模型(按主备双中心，设置车站云节点的方式考虑)[5]，研究符合等级保护要求的方案设计，建设网络安全集中管控防护系统。

3.1 系统等级保护定级

根据GB/T22240-2020《网络安全等级保护定级指南》以及其他相关规范和目前中国既有城市轨道交通各系统定级情况，信号系统、综合监控系统、自动售检票系统、乘客信息系统等生产系统建议定级为等保三级系统，内部管理网按照等保二级进行建设，外部服务网的视频监视系统建议定级为等保二级系统，云平台的安全等级不低于其所承载的业务。

3.2 各系统集中管控防护

集中管控防护方案应遵循“系统自保、平台统保、边界防护、等保达标、安全确保”的策略，以网络安全等级保护为基础，分级分类建立应用系统的安全保护措施[6]。网络安全集中管控防护系统由统一安全管理中心、云平台防护区以及各业务系统防护区(包括信号系统防护区、综合监控系统防护区、自动售检票系统防护区、乘客信息系统防护区、视频监视系统防护区等)构成，实现对各系统设备网络安全的整体防护，有效保障轨道交通运营安全。

网络安全集中化防护系统总体方案如图1所示。

图1 城市轨道交通网络安全集中管控防护总体架构Figure 1 Overall architecture of centralized control and protection for urban rail transit network security

1) 统一安全管理中心。统一安全管理中心是整个线路网络安全防护体系的指挥控制中枢[7]，其功能包括建立安全的信息传输路径，对各业务系统及云平台中的安全设备进行管理，对分散在各业务系统主机设备、网络设备上的审计数据进行收集汇总和集中分析，对各业务系统网络及云平台网络中发生的各类安全事件进行识别、报警和分析，实现各业务系统网络链路、安全设备、网络设备和主机设备等的运行状况的集中监测等。

统一安全管理中心设备包括安全管理平台(含安全态势感知)、综合运维安全审计系统、漏洞扫描管理系统、云安全资源池、安全维护终端、核心交换机、接入交换机以及为了保证自身安全的入侵检测系统与防火墙。

2) 云平台防护区。云平台安全体系设计方案是为保证云上承载的各业务系统安全而设计，按照纵深防御和分区分域原则，对安全生产网、内部管理网、外部服务网和运维管理网的各网络采取边界防护和域内安全防护措施[8]，主要考虑云外安全和云内安全两个方面。对于云外安全，主要通过部署传统软硬件安全防护设备保障云平台在对外提供服务和运维管理过程中不被攻击。对于云内安全，主要考虑云内各业务系统间(即东西向)的边界隔离与访问控制。由于云安全资源池可以实现弹性扩展，本文推荐采用云安全资源池的方案进行云内防护，通过在云安全资源池上部署虚拟化的安全防护产品来实现云内安全防护[9]。云平台的网络安全防护包括主中心的防护方案和备中心的防护方案(备中心防护方案与主中心类似，本文不再赘述)，如图2所示[10]。

图2 云平台主中心网络安全防护架构Figure 2 Network security protection architecture of main center of cloud platform

云平台的安全防护设备主要包括防火墙、入侵检测系统和云安全资源池等设备。云安全资源池组件主要包括虚拟化防火墙、虚拟化入侵检测、虚拟日志审计、虚拟数据库审计和虚拟堡垒机5种，主要提供基础的边界防护、入侵检测和安全审计类能力，保障云上应用可以满足最基本的等级保护合规要求。

各系统防护区需根据系统自身与其他系统的数据流交互情况、系统内部各子系统和模块之间的数据流交换情况，结合“一个中心”管理下的“三重保护”体系框架进行设计。应按照系统等级保护相应等级的安全基本要求，构建安全机制和策略，形成定级系统的安全保护环境，包括：安全区域边界、安全通信网络、安全计算环境和安全管理中心，设计本系统的安全防护技术方案。各系统防护方案与综合监控系统基本类似(略有区别，如CCTV系统仅按等保二级进行设计即可，可以不配置漏洞扫描等设备)，本文以综合监控系统为例阐述系统防护方案，综合监控系统等保三级防护方案如图3所示[11]。

图3 综合监控系统网络安全防护架构Figure 3 Network security protection architecture of integrated supervisory and control system

控制中心级综合监控系统的安全防护设备主要包括工控防火墙、入侵检测系统和主机安全防护等设备，综合监控与内联区的终端之间的防护由云平台网络防护方案统一考虑。站段级综合监控系统包括车站、车辆段和停车场，由于网络结构类似，所以车站、车辆段和停车场的安全防护方案一致。站段综合监控系统的安全防护设备主要包括工控防火墙、入侵检测系统和主机安全防护等设备。

4 经济效益分析

绍兴地铁1、2号线、金义东市域轨道交通和大连地铁1、2号线改造均采用了一体化的集中管控防护方案，武汉、厦门、南京、无锡、太原、宁波、昆明、温州等地采用传统的各系统分别建设的方案。结合各城市网络安全的建设和运维经验，一体化的集中管控防护方案能有效降低工程建设成本、降低运营管理成本和提高运维效率。

4.1 降低工程建设成本

各系统安全设备(如漏洞扫描设备等)可以在各系统间共享，配套的培训、厂验、安装督导和验收等服务均可以共享，且统一打包招标能一定程度降低采购价格。结合绍兴和金华的经验，集中管控防护方案相比传统建设方案可以节省建设成本约20%。

4.2 降低运营管理成本

根据对厦门地铁1、2号线各系统维修工班的调研情况，传统方案各系统单独建设网络安全的情况下，各系统工班的工作内容均涵盖对机房的巡检和对安全设备工作状态、接口状态和日志的检查工作，各系统的工作存在一定的重复。采用网络安全集中管控防护方案，可以配置单独的网络安全运维团队[12]，大大节省运维人力，降低了运营管理成本。

4.3 提高运维效率

采用一体化的集中管控防护方案可以通过安全管理中心进行设备的统一配置和安全策略的统一下发，相比传统方案大大提高了运维的效率。对比太原地铁2号线和绍兴地铁1号线，一体化的集成防护方案使各系统网络安全配置部署时间比传统方案节省20%以上，如果多线多专业同时建设，时间节省的比例将更大。

5 结语

由于地铁集团(公司)内部组织结构设置问题，未成立独立的网络安全运营部门，大部分网络安全设备一般纳入各系统自行运维，一体化的集成管控防护方案仅在部分城市开展了试点。随着各地对数据融合共享要求的提高，规范体系的不断完善以及各地运维经验的充分积累，一体化的集成管控防护方案将成为未来发展的趋势。在安全数据充分共享的情况下，充分利用各系统的数据进行协同管控，同时结合各系统的网络数据、业务数据，实现对潜在威胁进行及时预警，对安全威胁进行预测，从被动防御逐步转换为主动防御，形成完善的城市轨道交通网络安全防护体系，有效地抵御各类安全威胁。