城軌交通網絡安全系列（一） | 信號系統的安全防護 - 網安 - 專業的網絡安全產業、社區、知識平臺

各子系統通過信息交換網絡構成閉環系統，實現地面控制與車上控制結合、現地控制與中央控制結合，構成一個集行車指揮、運行調整以及列車駕駛自動化等功能為一體的列車自動控制系統。自上世紀七十年代中國第一條地鐵線路試運行后，中國城市軌道交通的信號系統經歷了從基于模擬電路的固定閉塞制式到基于數字電路的準移動閉塞制式，再到基于大容量車地無線通信的移動閉塞制式的演變。基于通信的列車運行控制系統（Communication Based Train Control system，CBTC）是目前最先進的列控系統之一。按照信號系統實際業務需求，目前信號系統的等級建設主要涉及到ATS子系統和維護網子系統。

二信號系統安全防護現狀

01信號系統安全特性

信號系統雖屬于工業控制系統，但與電力、水利系統仍有較大區別，更高的網絡化水平使得信號系統可以被劃歸到信息物理系統范疇（Cyber Physical System，CPS），CPS系統“信息-物理”融合的特性導致其信息安全問題也橫跨信息域和物理域，與此同時，近年來頻發的針對工業控制系統的APT攻擊也具有類似的特點，攻擊由不同階段組成，往往僅在最后APT攻擊才對信號系統中被非法控制的進程造成破壞性影響，具有很高的隱蔽性和破壞性。

此外，信號系統還具有其獨有特點。首先，列控系統中關鍵設備采用安全計算機架構，如二乘二取二、三取二等；其次，列控系統采用冗余網絡架構，容忍數據傳輸過程中一定程度的數據丟失和數據錯誤；最后，“故障-安全”原則遍布列控系統的各個設計細節，在系統故障情況下保證列車安全。這些特點導致列控系統中的攻擊行為，攻擊效果都與其它系統不同。

02信號系統安全建設歷程

信號系統安全防護的需求

自1999年國家質量技術監督局發布國家標準《計算機信息系統安全保護等級劃分準則 GB/T17859-1999》，我國正式開始信息安全標準化建設，后續發布了與信息安全等級保護相關的技術要求、定級規范、等級測評等規范，在安全技術和安全管理兩個方面設置，明確各等級系統應當滿足的要求。2017年《中華人民共和國網絡安全法》的頒布也為信息安全等級保護制度的實施提供了強力支持。為彌補原有等級保護中內容不夠完善，新技術領域空白的問題，我國于2019年發布《信息安全技術網絡安全等級保護基本需求GB/T22239-2019》，標志著我國正式進入“等保2.0”時代。

既有信號系統的安全防護大部分僅限于采用了傳統防火墻、防病毒等初級的防護。傳統防火墻主要進行兩個網絡之間的邏輯區域隔離控制，主要訪問控制、安全域管理等功能，但是傳統防火墻一般未裝載工業協議解析模塊，不能理解支持工業控制協議，傳統防火墻的架構也不太適應工業網絡實時性和生產環境的要求。終端主機防護通過安裝防病毒軟件來實現，但是防病毒軟件需要定期升級最新的病毒庫，工業控制系統網絡環境下不能保證病毒庫實時更新。

信號系統等級保護演進

2019年之前，信號系統參照等級保護1.0的標準加強了的安全防護工作，主要體現邊界防護、安全檢測、安全審計等方面。信號系統現有的這些傳統的安全防護手段雖然可以抵御大多數常見類型的威脅和攻擊，但仍然存在著局限性，有一定的安全風險隱患，具體問題如下：

1) 安全防護僅依靠安全產品的堆砌，缺少整體的安全體系規劃，部署的安全產品各司其職，關聯程度不高，僅能進行單點或單一層面的防護，防護體系呈現扁平化的結構，沒有構建統一的安全防護體系。

2) 防護手段主要作用于攻擊或威脅發生后，屬于靜態監測、被動防御，對于未知威脅和新型網絡攻擊很難發揮作用。

3) 無法預測信號系統的安全風險，缺少工控系統安全態勢感知能力，無法從資產、脆弱性、威脅等多個視角全面分析安全態勢。

4) 安全管理制度建設落后，運營人員安全意識不足，信息安全技術水平較低。

信號系統的網絡安全防護在做好頂層設計構建安全防護體系的基礎上，重點在等保2.0新增要求項上展開安全防護新思路，主要體現在構建安全管理中心、應對新型網絡攻擊、安全態勢感知、安全管理等方面。

構建安全管理中心

構建信號系統網絡安全防護體系需要從信號系統業務流程及系統安全需求分析為基礎，保證信號系統所有用戶訪問、操作都經過授權，保證信號系統運行環境安全可靠，以細粒度的訪問控制為核心，遵循“一個中心、三重防護”的原則構建信號系統網絡安全縱深防護體系。“一個中心、三重防御”是指以安全管理中心為核心，構建以安全計算環境為基礎、安全區域邊界和安全通信網絡為保障的信息安全整體防護體系。

應對新型網絡攻擊

隨著針對工控系統的新型網絡攻擊的出現，如APT攻擊、勒索軟件、遠程木馬、網絡蠕蟲、郵件釣魚等，信號系統雖然采用了一些網絡安全防護措施，但仍面臨著網絡信息安全的嚴峻考驗。其中 APT 攻擊是信號系統面臨的最大威脅，這種攻擊通常采用0day漏洞，攻擊目標明確，持續時間很長，很難被發現和進行防御。

因此采用有效的技術應對新型網絡攻擊，成為信號系統安全防護的重要部分，應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析，應部署抗 APT攻擊系統、網絡回溯系統和威脅情報檢測系統或相關組件，并驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。

安全態勢感知

信號系統在安全管理中心三大功能的基礎上，強化安全態勢感知，通過安全態勢感知平臺建設，實現對所有安全設備的安全事件的統一收集、關聯分析達到安全態勢感知，宏觀展現系統的安全態勢。安全管理中心的安全態勢感知功能主要由信號系統防護、檢測、審計系統共同實現，通過對信號系統的安全信息進行統一持續監測，對采集的數據進行深度分析和信息挖掘，發現面臨的信息安全威脅態勢，對正在發生的及將來的威脅進行“客觀、準確、及時、直觀”的集中展示與告警，為安全風險威脅提供分析手段，為安全保障措施提供客觀的決策依據。

安全管理

“三分技術，七分管理”，技術是安全防護的必要手段，人是安全防護的核心和尺度。信號系統運營人員普遍存在安全意識不高，安全知識缺乏，安全能力不足的問題。面對日益嚴峻的網絡安全現狀，需要組建專業的安全管理團隊來提供網絡安全保障服務。安全管理團隊可以由信號系統運營單位自己組建，也可通過專業的第三方安全團隊來提供安全管理。安全管理團隊在做好基本安全管理工作的同時，還需加強風險監測預警、應急預案和演練、安全事件響應和處置、威脅調查和溯源。

三

總結

隨著我國城市軌道交通信息化技術與信號系統的深度融合，顯著提升了信號系統自動化水平并具備了與其它業務系統的互聯互通能力，尤其是在全自動駕駛、云計算、大數據、人工智能等信息化技術不斷應用到城市軌道交通領域的大環境下，信號系統的網絡環境將變得更加開放，ATP等新型攻擊方式將會給信號系統網絡安全帶來更加嚴峻的挑戰，信號系統傳統的防御措施已經無法應對此類新型網絡攻擊。

等級保護2.0時代信號系統安全防護要在現有的傳統安全防護基礎上，結合等級保護新增要求項，做好安全防護頂層設計。綠盟科技以“一個中心、三重防御”為核心思想，構建一個事前態勢感知、事中響應防護、事后追蹤溯源的主動安全防御體系，全面提升信號系統網絡安全感知能力和防護能力。