城市軌道交通ACLC 系統(tǒng)信息安全研究

周品榮

(紹興市軌道交通集團(tuán)有限公司，浙江 紹興 312000)

0 引言

城市軌道交通是城市公共交通系統(tǒng)的骨干，是城市綜合交通體系的重要組成部分[1]。作為關(guān)鍵信息基礎(chǔ)設(shè)施，其安全運(yùn)行對(duì)保障人民群眾生命財(cái)產(chǎn)安全、維護(hù)社會(huì)安全穩(wěn)定具有重要意義。城市軌道交通中信號(hào)系統(tǒng)、通信系統(tǒng)、綜合監(jiān)控系統(tǒng)、清分中心系統(tǒng)和自動(dòng)售檢票系統(tǒng)等弱電系統(tǒng)是支撐城市軌道交通安全、穩(wěn)定運(yùn)行的關(guān)鍵控制系統(tǒng)和信息系統(tǒng)，如果這些系統(tǒng)一旦突發(fā)安全事故，將嚴(yán)重影響區(qū)域內(nèi)人們的生活和工作，造成嚴(yán)重的經(jīng)濟(jì)損失，甚至可能造成人員傷亡，因此如何保障這些系統(tǒng)的網(wǎng)絡(luò)安全是當(dāng)前亟需研究并解決的重大問題。

近年來(lái)，全國(guó)各地鐵公司都在大力加強(qiáng)城市軌道交通信息安全特別是弱電系統(tǒng)信息安全的建設(shè)，但是地鐵公司弱電系統(tǒng)信息安全在系統(tǒng)項(xiàng)目招標(biāo)中，各系統(tǒng)業(yè)務(wù)項(xiàng)目獨(dú)立招標(biāo)，業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)納入所在業(yè)務(wù)項(xiàng)目中，導(dǎo)致各業(yè)務(wù)系統(tǒng)選擇各自獨(dú)立的安全廠商、產(chǎn)品、防護(hù)方案，缺少總體防護(hù)和深度防護(hù)的思想。由于安全廠商的設(shè)備功能、設(shè)備、接口的差異，導(dǎo)致安全信息無(wú)法共享和集中管控，從而形成安全防護(hù)體系的漏洞。信息安全防護(hù)不僅需要技術(shù)保障，同時(shí)也需要管理及制度的保障，合理的安全管理機(jī)構(gòu)設(shè)置，制定和執(zhí)行完善的信息安全建設(shè)、運(yùn)營(yíng)等管理制度，是保障城市軌道交通關(guān)鍵信息基礎(chǔ)設(shè)施信息安全的必需手段[2]。

清分及多線路中心(ACLC)作為負(fù)責(zé)城市軌道交通全線資金清算管理的重要系統(tǒng)，其重要性不言而喻，因此必須結(jié)合《網(wǎng)絡(luò)安全法》等相關(guān)要求，以城市軌道交通相關(guān)政策為基礎(chǔ)，進(jìn)行ACLC 系統(tǒng)網(wǎng)絡(luò)安全的一體化頂層設(shè)計(jì)，通過建立集一體化設(shè)計(jì)、建設(shè)和管理為一體的ACLC 系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案，實(shí)現(xiàn)全天候協(xié)同持續(xù)監(jiān)控、防御、檢測(cè)、響應(yīng)、預(yù)測(cè)和分析等功能?；诎踩芾碇行牡腁CLC 系統(tǒng)信息安全防護(hù)方案可以有效避免各線路自動(dòng)售檢票系統(tǒng)(Automatic Fare Collection System，AFC)信息安全等級(jí)保護(hù)建設(shè)不同期、安全防護(hù)分設(shè)無(wú)關(guān)聯(lián)、防護(hù)范圍受局限、廠商執(zhí)行標(biāo)準(zhǔn)不統(tǒng)一、安全責(zé)任不明確等實(shí)施風(fēng)險(xiǎn)，較傳統(tǒng)等保方案優(yōu)勢(shì)明顯。

1 ACLC 系統(tǒng)構(gòu)成

ACLC 系統(tǒng)主要由多線路清分中心和各線路AFC 系統(tǒng)組成。系統(tǒng)包含五個(gè)層次的設(shè)備：清分及多線路中心(ACLC)、車站中心、終端設(shè)備、讀卡器、票卡，如圖1 所示。

圖1 ACLC 系統(tǒng)設(shè)備層次結(jié)構(gòu)圖

清分及多線路中心(ACLC)是整個(gè)網(wǎng)絡(luò)的資金清算管理中心，負(fù)責(zé)地鐵系統(tǒng)內(nèi)部各條線路及與其他商業(yè)實(shí)體之間的財(cái)務(wù)清算和運(yùn)營(yíng)管理，由數(shù)據(jù)處理服務(wù)器、前置通信服務(wù)器、歷史數(shù)據(jù)服務(wù)器、文檔管理服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、運(yùn)營(yíng)管理服務(wù)器及附屬設(shè)備共同構(gòu)成，實(shí)現(xiàn)對(duì)各線路系統(tǒng)中所有設(shè)備進(jìn)行監(jiān)視，對(duì)全部數(shù)據(jù)進(jìn)行收集和處理，對(duì)運(yùn)營(yíng)、票務(wù)、財(cái)務(wù)、維修進(jìn)行集中管理。

車站中心由車站服務(wù)器及監(jiān)控工作站、票務(wù)工作站和打印機(jī)及各種車站終端設(shè)備、緊急按鈕構(gòu)成，實(shí)現(xiàn)對(duì)本車站內(nèi)部所有設(shè)備的實(shí)時(shí)監(jiān)控，對(duì)車站AFC 系統(tǒng)運(yùn)營(yíng)、票務(wù)、收益及維修的集中管理功能。

終端設(shè)備主要包括自動(dòng)售票機(jī)、自動(dòng)檢票機(jī)、半自動(dòng)售票機(jī)、自動(dòng)查詢機(jī)及手持設(shè)備等，是整個(gè)AFC 系統(tǒng)中重要的組成部分。AFC 系統(tǒng)中終端設(shè)備收集乘客在其上的每筆交易數(shù)據(jù)并上傳給車站中心進(jìn)行統(tǒng)計(jì)分析；終端設(shè)備接收車站中心下傳的各類參數(shù)，根據(jù)參數(shù)進(jìn)行不同的業(yè)務(wù)處理。

2 ACLC 系統(tǒng)安全現(xiàn)狀與隱患分析

近年來(lái)城市軌道交通建設(shè)保持高速增長(zhǎng)，ACLC系統(tǒng)作為負(fù)責(zé)資金清算的核心系統(tǒng)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施，但其信息安全整體防護(hù)薄弱，不能為安全運(yùn)營(yíng)提供有力保障。ACLC 系統(tǒng)的終端設(shè)備也面臨著高危漏洞和后門、工業(yè)網(wǎng)絡(luò)病毒、高級(jí)持續(xù)性威脅以及無(wú)線技術(shù)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)，使ACLC 系統(tǒng)面臨著日益嚴(yán)峻的威脅。

目前城市軌道交通ACLC 系統(tǒng)的安全措施僅限于安裝防火墻和部署殺毒軟件等初級(jí)保護(hù)措施，無(wú)法避免信息被泄露、系統(tǒng)被攻擊等事件的發(fā)生，即使發(fā)現(xiàn)了也無(wú)法對(duì)事件進(jìn)行事故反演。同時(shí)，在軌道交通建設(shè)過程中，每條線路的系統(tǒng)都是被分別建設(shè)和管理的，缺乏頂層設(shè)計(jì)，形成了一個(gè)個(gè)信息安全孤島。

3 ACLC 系統(tǒng)信息安全防護(hù)方案

針對(duì)目前國(guó)內(nèi)城市軌道交通ACLC領(lǐng)域尚無(wú)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理的現(xiàn)狀，本方案從全局出發(fā)，從頂層設(shè)計(jì)，提出了以計(jì)算環(huán)境安全為基礎(chǔ)，以邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的“一個(gè)中心，三重防護(hù)”信息安全整體防護(hù)方案，能夠有效保障ACLC 系統(tǒng)的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，實(shí)現(xiàn)整體安全態(tài)勢(shì)的感知、溯源和應(yīng)急處理，防止業(yè)務(wù)數(shù)據(jù)被非法訪問和篡改[3]。本防護(hù)方案包括以下三個(gè)方面。

3.1 ACLC 安全管理中心設(shè)計(jì)方案

在ACLC 中心建設(shè)網(wǎng)絡(luò)安全管理中心，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備的運(yùn)行狀況進(jìn)行集中管控，實(shí)現(xiàn)對(duì)各線車站的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備上的審計(jì)數(shù)據(jù)的收集匯總和集中分析，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)發(fā)生的各類安全事件的識(shí)別、報(bào)警和分析。ACLC 安全管理中心的設(shè)計(jì)方案包含如下 3 部分：

(1)安全管理中心設(shè)計(jì)方案

本方案在ACLC 中心設(shè)計(jì)一個(gè)管轄各線車站系統(tǒng)的全線網(wǎng)絡(luò)安全管理中心。各線路ACLC 系統(tǒng)直接通過網(wǎng)絡(luò)邊界的工控防火墻連接到安全管理中心，利用安全管理中心實(shí)現(xiàn)ACLC 系統(tǒng)中心與各站段安全防護(hù)設(shè)備和軟件的集中管理。

(2)安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)方案

在安全管理中心設(shè)計(jì)安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)所有安全設(shè)備的安全事件的統(tǒng)一收集、關(guān)聯(lián)分析，達(dá)到安全態(tài)勢(shì)感知，宏觀展現(xiàn)系統(tǒng)的安全態(tài)勢(shì)[4]。通過對(duì)業(yè)務(wù)系統(tǒng)的安全信息進(jìn)行統(tǒng)一、持續(xù)的監(jiān)測(cè)，對(duì)采集到的各系統(tǒng)數(shù)據(jù)進(jìn)行深度分析和信息挖掘，發(fā)現(xiàn)面臨的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)，對(duì)正在發(fā)生的以及將來(lái)的威脅進(jìn)行集中展示和告警，為安全風(fēng)險(xiǎn)威脅提供分析手段，為安全保障措施提供客觀的決策依據(jù)[5]，保障線路中各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全、高效、有序運(yùn)行。

(3)信息安全數(shù)據(jù)傳輸方案

在ACLC 安全管理中心和各站段中心、車站、車輛段、停車場(chǎng)之間建設(shè)信息安全專網(wǎng)，建立一條安全的信息傳輸路徑，實(shí)現(xiàn)對(duì)分散的各車站系統(tǒng)及安全設(shè)備的統(tǒng)一管理。安全設(shè)備的設(shè)備監(jiān)測(cè)、安全日志等信息通過信息安全專網(wǎng)發(fā)送至ACLC 安全管理中心，ACLC 安全管理中心通過信息安全專網(wǎng)向各線車站的安全設(shè)備下發(fā)安全策略。

3.2 ACLC 中心防護(hù)方案

ACLC 安全管理中心防護(hù)示意圖如圖2 所示。ACLC 系統(tǒng)信息安全防護(hù)技術(shù)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、漏洞掃描、數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維審計(jì)等方面采取安全措施，實(shí)現(xiàn)ACLC 系統(tǒng)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，同時(shí)考慮各種技術(shù)的組合和功能的互補(bǔ)性，提升多重安全措施的綜合防護(hù)能力，形成從外到內(nèi)、從高層到底層的縱深安全防御體系，確保信息系統(tǒng)整體安全。中心防護(hù)方案包括如下6 部分：

(1)邊界隔離方案

在ACLC 系統(tǒng)與其他外部系統(tǒng)的網(wǎng)絡(luò)邊界部署工控防火墻來(lái)隔離非法訪問，拒絕非法入侵，實(shí)現(xiàn)邊界完整性檢查，實(shí)現(xiàn)隔離與訪問控制，保證ACLC管理中心的自身安全。

(2)入侵檢測(cè)方案

在ACLC 管理中心核心交換機(jī)業(yè)務(wù)節(jié)點(diǎn)處旁路部署入侵檢測(cè)系統(tǒng)，接收鏡像的網(wǎng)絡(luò)流量，并分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為，保證安全管理中心的自身安全，一旦發(fā)現(xiàn)攻擊及時(shí)上報(bào)至安全管理中心。

(3)數(shù)據(jù)庫(kù)審計(jì)方案

在中心ACLC 系統(tǒng)中部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，針對(duì)數(shù)據(jù)庫(kù)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)訪問審計(jì)、數(shù)據(jù)變更審計(jì)、權(quán)限操作審計(jì)以及數(shù)據(jù)庫(kù)的安全審計(jì)。

(4)主機(jī)防護(hù)方案

在ACLC 系統(tǒng)的工作站上安裝主機(jī)安全防護(hù)軟件，加強(qiáng)惡意代碼防范和對(duì)主機(jī)的入侵防范。主機(jī)安全防護(hù)軟件由ACLC 安全管理中心統(tǒng)一管理，進(jìn)行權(quán)限推送，在受控情況下完成日常軟件和配置變更操作，防止木馬、病毒等未授權(quán)軟件的運(yùn)行。

圖2 ACLC 安全管理中心防護(hù)示意圖

(5)安全運(yùn)維方案

在ACLC 安全管理中心部署綜合運(yùn)維安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)運(yùn)維人員的統(tǒng)一認(rèn)證管理、權(quán)限劃分，實(shí)現(xiàn)對(duì)資源的統(tǒng)一授權(quán)，同時(shí)對(duì)授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，實(shí)現(xiàn)集中審計(jì)和管理[6]。

(6)漏洞掃描方案

在安全管理中心部署漏洞掃描管理系統(tǒng)，定期對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描，快速發(fā)現(xiàn)并識(shí)別網(wǎng)絡(luò)資產(chǎn)屬性，全面掃描安全漏洞，定性安全風(fēng)險(xiǎn)，提出修復(fù)建議，采取預(yù)防措施，實(shí)施修復(fù)方案。

3.3 ACLC 站段防護(hù)方案

ACLC 站段系統(tǒng)包括車站、車輛段和停車場(chǎng)，站段防護(hù)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面采取安全措施，只部署邊界隔離功能和入侵檢測(cè)功能，其他功能復(fù)用安全管理中心功能。圖3所示為站段安全防護(hù)示意圖。站段防護(hù)方案包括以下兩部分：

(1)邊界隔離方案

在站段級(jí)ACLC 系統(tǒng)與其他外部系統(tǒng)(PA、CCTV等)的邊界部署工控防火墻來(lái)實(shí)現(xiàn)隔離和邊界完整性檢查，實(shí)現(xiàn)邊界入侵檢測(cè)和防范，實(shí)現(xiàn)安全的訪問控制。

(2)入侵檢測(cè)方案

在站段ACLC 交換機(jī)業(yè)務(wù)節(jié)點(diǎn)旁路部署入侵檢測(cè)系統(tǒng)，接收鏡像的網(wǎng)絡(luò)流量，并分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為，一旦發(fā)現(xiàn)攻擊及時(shí)上報(bào)至ACLC 安全管理中心。

圖3 AFC 安全防護(hù)示意圖

4 結(jié)束語(yǔ)

ACLC 系統(tǒng)作為城市軌道交通關(guān)鍵信息基礎(chǔ)設(shè)施，其安全的重要性不言而喻。我國(guó)已經(jīng)初步形成了以《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》為法律基礎(chǔ)、以《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為依據(jù)、以中國(guó)城市軌道交通協(xié)會(huì)行業(yè)政策發(fā)文為推力的城市軌道交通ACLC 系統(tǒng)信息安全防護(hù)工作辦法，為信息安全系統(tǒng)的實(shí)施提供了法律保障。

本方案通過頂層設(shè)計(jì)，建立起統(tǒng)一的ACLC 系統(tǒng)信息安全保護(hù)體系，對(duì)各線、各站段系統(tǒng)進(jìn)行集中管理，從邊界防護(hù)、入侵防御、運(yùn)維審計(jì)、漏洞掃描、白名單主動(dòng)防御、集中監(jiān)管等幾個(gè)方面進(jìn)行考慮，實(shí)施集中的安全審計(jì)與運(yùn)維，實(shí)現(xiàn)信息的集中與融合，從技術(shù)層面提升防護(hù)能力。另一方面要強(qiáng)化ACLC 系統(tǒng)的信息安全管理意識(shí)，從管理角度去杜絕各種潛在的安全隱患，完善各種規(guī)章制度，從人、設(shè)備、制度，建立起針對(duì) ACLC 系統(tǒng)的安全管理體系，避免各種可能的攻擊與破壞。只有這樣，才能全面提升ACLC 系統(tǒng)的安全防護(hù)水平。本文提出的方案對(duì)后續(xù)線路或其他項(xiàng)目的建設(shè)具很好的參考價(jià)值。