城市轨道交通综合监控系统信息安全防护研究

城市轨道交通综合监控系统信息安全防护研究

赵兴华党晓勇

赵兴华党晓勇

中铁电气化勘测设计研究院有限公司天津300250

摘要：目前，城市轨道交通综合监控系统的信息安全问题已变得备受关注。本文在分析城市轨道交通综合监控系统构成基础上，进行了综合监控系统安全域的划分，并提出综合监控系统信息安全定级建议，给出了一种综合监控系统信息安全防护的方案，具有一定工程参考价值。

关键词：城市轨道交通；综合监控系统；信息安全防护

0引言

城市轨道交通综合监控系统是一种大型SCADA监控系统，可实现多专业、多系统的数据采集、信息集成和信息共享，为轨道交通科学高效的运营组织和运营管理提供了先进的技术手段。当然，在实现信息整合、提高运营管理效率的同时，综合监控也面临诸如信息安全的问题。

1综合监控系统构成

综合监控系统主要由中央级综合监控系统、车站级综合监控系统和传输骨干网组成，设置网络管理系统（NMS）、培训管理及测试系统(TMS)和设备维修管理系统(DMS)。典型的以电调、环调为核心的综合监控系统将电力监控（PSCADA）、环境与设备监控（BAS）等系统集成到综合监控系统，并互联站台门系统（PSD）、列车自动监控系统（ATS）、火灾自动报警（FAS）系统、广播（PA）、视频监控（CCTV）、乘客信息（PIS）、自动售检票(AFC/MLC)、门禁（ACS）、通信系统集中告警(ALM)、线网监控平台（TCC）等，主要通过基于以太网的TCP/IP协议与相关接口系统进行数据交互，实现数据共享。

2综合监控系统安全域划分

结合综合监控系统的业务类型、业务重要性、物理位置差异、系统组网方案及与相关接口系统的关系，可将综合监控系统安全区划分为生产控制系统I、生产控制系统II、传输网络及生产管理系统四个安全分区，具体如下表1所示。

表1

3综合监控系统定级

3.1综合监控系统安全风险识别

目前综合监控系统配置普遍存在安全监测和入侵防范措施缺失；系统运行后，操作工作站和服务器很少打补丁，存在系统漏洞，系统安全配置较薄弱，防病毒软件安装不全面；综合监控系统网络普遍缺少信息安全监控机制，不能及时发现入侵行为、病毒、网络访问异常、网络拥塞等问题，这些都是综合监控系统的信息安全风险。

3.2确定综合监控破坏时受侵害的客体

根据对地铁运营场景分析，综合监控系统受到破坏时所侵害的客体主要包括：

表2

3.2确定综合监控破坏时客体的侵害程度

生产控制系统信息安全受到破坏，会对地铁运营商自身造成损害，损害程度为特别严重损害，业务信息安全等级建议为二级。生产控制系统服务安全受到破坏，综合监控系统工作职能受到严重影响，PSCADA业务能力严重下降且严重影响主要功能执行，对社会秩序和公共利益造成较大范围不良影响，损害程度为严重损害，系统服务安全等级建议为三级。

生产管理系统信息和服务安全受到破坏，会对地铁运营商自身造成损害，损害程度为严重损害。业务信息安全和系统服务安全等级建议为二级。

3.3综合监控系统定级建议

结合上述分析，建议将综合监控系统的生产控制系统信息安全定为三级（S2A3G3），生产管理系统定级为二级（S2A2G2）。

4综合监控系统信息安全防护方案

为保障综合监控系统安全，防范黑客及恶意代码对综合监控系统的攻击，防止综合监控系统崩溃或瘫痪而造成地铁行车及电力安全生产事故，提出综合监控系统信息安全防护方案。

4.1信息安全防护原则

综合监控系统总体安全防护原则为“安全分区、网络专用、边界防护、纵向认证、集中监管”。重点强化边界防护，加强内部物理、网络、主机、应用和数据安全，提高综合监控系统整体安全防护能力，保证综合监控系统的数据安全。

4.2信息安全防护方案

综合监控机房及系统配置在目前传统机房配置基础上增加防水检测，满足三级物理安全要求。

综合监控系统部署工业控制信息安全管理平台、工控异常监测系统、工业防火墙、操作站防病毒终端、现场运维审计与管理系统、工控漏洞扫描等，满足网络、主机、应用、数据安全及备份恢复等技术层面安全，防护方案构成如下图所示。

4.2.1生产控制系统I信息安全防护设计

（1）中央级方案

综合监控系统与线网监控平台、乘客信息系统、门禁系统等系统边界部署工业防火墙，实现边界网络隔离，配置有效访问控制策略，对数据流进行深度解析和数据筛查，过滤掉无关数据，保证正常合规业务数据有效传输。如FEP具备防火墙功能，可仅配置FEP实现网络边界隔离。

中央级网络部署入侵检测系统，检测并审计经过交换机的镜像数据，通过镜像口抓取获得的数据流进行深度分析和入侵特征库的有效匹配，对非法数据流及数据动作做出告警提示。

操作工作站部署操作系统安全及防病毒软件，对主机系统中的系统进程进行扫描并生成白名单，保证主机系统的可用性和可靠性。

部署信息安全数据库及运维审计平台，对数据库进行统一监控，详细记录用户操作的每一条指令，具备审计数据的汇总和审计回放，具备网络的内控审计功能保证审计人员有据可查。

部署信息安全管理平台对信息安全系统运行状态进行监控，对安全日志集中存储。

部署漏洞扫描系统，定期对综合监控系统服务器、网络设备、安全设备进行漏洞扫描，掌握内网安全风险，引导安全管理员及时修补系统补丁。

综合监控系统与主干网络间部署数据加密认证装置或数据加密认证软件模块，实现PSCADA控制命令的加密传输，保证调度命令传输的保密性。

（2）车站级方案

综合监控系统与站台门等系统边界部署工业防火墙，实现边界网络隔离。如FEP具备防火墙的功能，可仅配置FEP实现网络的边界隔离。

车站网络部署入侵检测系统，检测并审计经过交换机的镜像数据。在操作工作站上部署操作系统安全及防病毒软件对主机系统中的系统进程进行扫描并生成白名单。部署数据库审计系统，对数据库进行统一监控和审计。

综合监控系统与主干网络之间部署数据加密认证装置或数据加密认证软件模块，实现PSCADA控制命令的解密传输。

4.2.2生产控制系统II信息安全防护设计

综合监控系统与培训系统边界部署工业防火墙，实现边界网络隔离。在操作工作站上部署操作系统安全及防病毒软件对主机系统中的系统进程进行扫描并生成白名单。

4.2.3生产管理系统信息安全防护设计

在设备维修管理系统与OA系统、车辆段综合监控系统系统边界部署单向隔离网闸，实现边界网络隔离，配置有效的访问控制策略，对与综合监控系统、OA系统的数据流进行深度解析和数据筛查，保证正常合规的业务数据流进行有效传输。

设备维修管理系统网络部署入侵检测系统，检测并审计经过交换机的镜像数据，系统工作站部署操作系统安全及防病毒软件，对主机系统中的系统进程进行扫描并生成白名单。

部署信息安全数据库审计平台，对数据库进行统一监控和审计。

综合监控系统信息安全防护系统构成图

5结束语

综合监控系统是轨道交通核心生产系统，但其信息安全防护尚处研究阶段，尚无一个标准方案。本文立足综合监控系统安全域划分，提出综合监控信息安全防护定级建议和信息安全风险分析，提出综合监控信息安全防护原则及防护方案，具有很好的工程参考价值。实际运营过程中，应同步制定信息安全防护管理制度，技术措施和管理措施相结合，保障综合监控系统整体安全。

参考文献

[1]《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）

[2]《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）

[3]《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）