某地铁信号系统网络安全方案

　　1. 行业痛点

　　目前地铁信号系统大多采用CBTC技术实现列车和地面设备的双向通信，利用通信技术实现“车地通信”并实时地传递“列车定位”信息。通过车载设备、轨旁通信设备实现列车与车站或控制中心之间的信息交换，完成速度控制。但随着计算机和网络技术的发展，特别是信息化与信号系统深度融合，CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件，采用以太网与综合监控、PIS网络、语音广播等其他业务系统互联，造成病毒、木马等威胁向CBTC系统扩散。一旦CBTC系统受到网络攻击，将对城市轨道交通的稳定运行和旅客的人身安全带来重大威胁。

　　根据前期对该项目的需求调研和风险评估，总结该项目网络安全建设的痛点如下：

　　 信号系统与其他业务系统如综合监控系统、AFC系统、PIS系统等之间存在互联接口，采用标准Modbus协议进行通讯，数据采用明文传输。但未采取任何访问控制或技术隔离手段进行区域隔离，无法对进出网络的信息内容进行过滤，不能实现对应用层协议命令级的控制；

　　 信号系统受网络结构及运营模式影响，投入使用后设备、系统补丁、漏洞库、病毒库无法采用自动模式进行自动更新，设备易出现重大缺陷受到网络攻击；

　　 地铁信号系统网络内缺乏对非授权设备私自联到内部网络的行为进行检查、定位和阻断的能力；缺乏检测网络攻击行为及恶意代码的手段，无法对攻击源IP、攻击类型等信息进行记录、并回溯；

　　 没有独立的信息安全部门或者信息安全岗位，安全策略和安全管理制度不完善。

　　2. 解决方案

　　1）边界防护

　　采用工业级防火墙实现区域边界访问控制。在信号系统和其它系统（如PIS系统和综合监控系统）互联的边界（A，B网）各部署一台防火墙，通过边界部署防火墙设置访问控制策略，实现对信号系统和其它系统间的通信进行访问控制，仅允许特定的数据传输，禁止所有非必要的网络通信。访问控制策略可基于传统五元组、协议、资产、时间等多元组；同时对信号系统与其他业务系统通讯采用的modbus协议实现指令级访问控制。

　　2）入侵检测

　　釆用入侵检测系统对网络中的流量进行监测。

　　在骨干环网交换机上旁路部署入侵检测系统，检测可能发生的入侵行为并报警。入侵检测通过对系统中的应用层协议进行深度解析，并与规则策略对比，实现对应用系统的入侵检测和业务操作异常分析。

　　3）业务审计

　　通过部署数据库审计系统，运维审计系统，日志审计系统（包含在安全管理平台中），对信号系统进行安全审计。

　　数据库审计系统，对中心数据库进行网络审计，审计内容包括数据库用户的登录和对数据库的增、删、改、查等操作。

　　运维审计系统对维护工作站的维护操作进行审计，审计内容包括维护工作站对网络设备，ATS服务器，ATC维护机的远程操作，可进行操作回放。

　　4）终端安全管理

　　在信号系统各工作站上安全主机安全防护软件，对工作站进行安全防护，防护内容包括安全基线管理，网络ACL控制，外设控制，U盘管控，非法外联阻断，病毒查杀等。对全线工作站进行集中统一管理，集中配置安全策略，集中展示全线工作站的安全状态。

　　5）集中安全管理

　　安全管理平台可对网络中所有的工作站主机，服务器主机，网络设备，安全设备进行状态、资源监控，自动生成资产列表、实现资产管理，动态生成网络拓扑，实现全网设备性能监控，日志管理等。

　　3. 方案成果与价值

　　保障信号系统的最低时延要求，采用旁路安全监测为主，以安全系统自响应为原则来构建防护系统；例如：IDS与FW的联动；建立信号系统各类控制设备，实现信号系统整体的安全管控。保证信号网络的高安全性。通过威胁检测、安全预警、安全加固、安全审计、应急响应等，建立安全事件事前、事中、事后的安全维护管理，确保信号系统的持续安全，满足持续性按需防御的安全需求。 

　　责任编辑：广汉