城市軌道交通信號系統(tǒng)信息安全等級保護(hù)策略分析和探討
城市軌道交通信號系統(tǒng)從2015年前后陸續(xù)開始在新建線路中按照信息系統(tǒng)安全等級保護(hù)(暫定3級)的要求推進(jìn)相應(yīng)等級保護(hù)工作,并在正式運(yùn)營前通過等級保護(hù)測評。2017年《網(wǎng)絡(luò)安全法》頒布實(shí)施后,國內(nèi)城市軌道交通領(lǐng)域又迅速將目光轉(zhuǎn)向既有線信號系統(tǒng)信息安全等級保護(hù),并進(jìn)行了廣泛的分析和探討。本文結(jié)合當(dāng)前國內(nèi)城市軌道交通線路建設(shè)和運(yùn)營的實(shí)際情況,對軌道交通信號系統(tǒng)信息安全等級保護(hù)策略進(jìn)行分析和探討。
1.系統(tǒng)概述
城市軌道交通信號系統(tǒng)是保證列車運(yùn)行安全,控制列車運(yùn)營間隔,提高列車運(yùn)行效率的先進(jìn)控制系統(tǒng),一般由列車自動控制系統(tǒng)(ATC)、計(jì)算機(jī)聯(lián)鎖系統(tǒng)(CI)、數(shù)據(jù)通信系統(tǒng)(DCS)以及外圍信號設(shè)備組成。
信號系統(tǒng)的網(wǎng)絡(luò)由有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)兩部分組成。有線網(wǎng)絡(luò)部分包括骨干網(wǎng)和接入網(wǎng),骨干網(wǎng)主要由工業(yè)以太網(wǎng)交換機(jī)組成,接入網(wǎng)主要由交換機(jī)和光電轉(zhuǎn)換器組成;無線網(wǎng)絡(luò)部分包括軌旁無線網(wǎng)絡(luò)和車載無線網(wǎng)絡(luò),軌旁無線網(wǎng)絡(luò)由軌旁無線接入點(diǎn)AP、功分器及定向天線等組成,車載無線網(wǎng)絡(luò)主要由車載調(diào)制解調(diào)器及天線組成。
2. 信息安全現(xiàn)狀分析
對于城市軌道交通信號系統(tǒng)來說,其所面臨的信息安全威脅,主要集中在以下幾個方面:
(1)外部黑客攻擊:通信、信號、綜合監(jiān)控、AFC等軌道交通系統(tǒng)大多都是關(guān)系民生的重要工業(yè)控制系統(tǒng),極容易成為黑客攻擊的目標(biāo)。其中,信號系統(tǒng)更是直接關(guān)系列車運(yùn)行安全的工業(yè)控制系統(tǒng)。雖然它一般不直接與互聯(lián)網(wǎng)相連,但其擁有網(wǎng)絡(luò)形式的外部接口,并與綜合監(jiān)控、通信等外部系統(tǒng)之間進(jìn)行數(shù)據(jù)交換,存在被黑客攻擊的可能,并且一旦成功就可能引發(fā)極為惡劣的社會影響。
(2)來自內(nèi)部員工的威脅:與信號系統(tǒng)有直接接觸的內(nèi)部人員包括控制中心調(diào)度員、車站值班員、車輛段/場調(diào)度員、計(jì)劃管理員、維護(hù)管理員、司機(jī)等。由于信號系統(tǒng)通常缺乏嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制,內(nèi)部通訊時(shí)身份鑒別和認(rèn)證機(jī)制不夠嚴(yán)密,同時(shí)也缺乏對系統(tǒng)最高權(quán)限的限制,這使得內(nèi)部人員有意識的惡意行為成為系統(tǒng)重大的信息安全威脅。此外,在系統(tǒng)運(yùn)行過程中,通常存在多個用戶操作同一臺設(shè)備的情況,加上事后有效追查工具的缺乏,也讓責(zé)任劃分和威脅追蹤變得更加困難。
(3)來自外部單位人員的威脅:軌道交通建設(shè)過程中,信號系統(tǒng)設(shè)備一般由施工單位和設(shè)備廠家分別完成其安裝和調(diào)試;軌道交通運(yùn)營過程中,運(yùn)營單位可能將部分非核心維保業(yè)務(wù)外包給第三方。如何有效地管控施工單位、設(shè)備廠商和第三方運(yùn)維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì),這也是信號系統(tǒng)必須面對的一個關(guān)鍵問題。
(4)惡意代碼的廣泛傳播:以病毒為代表的惡意代碼,可通過移動存儲設(shè)備、外來運(yùn)維的電腦、無線系統(tǒng)等進(jìn)入信號系統(tǒng),當(dāng)病毒侵入網(wǎng)絡(luò)后,自動收集有用信息,如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹?,或是探測網(wǎng)內(nèi)計(jì)算機(jī)的漏洞,向網(wǎng)內(nèi)計(jì)算機(jī)傳播。這也是當(dāng)前影響信號系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一。
3. 等級保護(hù)策略
基于信號系統(tǒng)的特殊性,信號系統(tǒng)等級保護(hù)整體方案應(yīng)保持信號系統(tǒng)既有功能和架構(gòu)不受影響,采用的技術(shù)手段要考慮實(shí)施的可行性,并兼顧軌道交通建設(shè)、運(yùn)營、維護(hù)等各方的需求,在增加安全防護(hù)措施的同時(shí)盡量減少新增故障點(diǎn)的可能。
此外,信息安全問題從來都不是單純的技術(shù)問題。如果把防范黑客入侵和病毒感染簡單理解為信息安全問題的全部,這也是片面且不準(zhǔn)確的。因此,信號系統(tǒng)等級保護(hù)整體方案必須把技術(shù)措施和管理措施結(jié)合起來,這樣才能更有效地保障和提升系統(tǒng)的整體安全性。
3.1 安全域劃分
安全域的劃分應(yīng)以業(yè)務(wù)角度為主,輔以安全角度,并充分參照信號系統(tǒng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀。由于信號系統(tǒng)是單獨(dú)的業(yè)務(wù)系統(tǒng),因此,首先就要將整個信號系統(tǒng)作為一個安全域,從結(jié)構(gòu)上與綜合監(jiān)控系統(tǒng)、時(shí)鐘系統(tǒng)等外部系統(tǒng)劃分為不同的安全區(qū)域。
3.2 技術(shù)防護(hù)策略
從信息安全等級保護(hù)技術(shù)要求來講,一個信息系統(tǒng)的安全由物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)五個方面組成。
3.2.1 物理安全
信號系統(tǒng)的物理安全涉及到整個系統(tǒng)的配套部件、設(shè)備和設(shè)施的安全性能、所處環(huán)境安全以及整個系統(tǒng)可靠運(yùn)行等方面,是系統(tǒng)安全運(yùn)行的基本保障。信號系統(tǒng)的實(shí)際建設(shè)和運(yùn)行過程中,物理安全方面對系統(tǒng)設(shè)備的電磁兼容、電磁屏蔽及接地等方面的要求已經(jīng)有成熟的解決方案;同時(shí),機(jī)房其他相關(guān)要求則由機(jī)房管理來覆蓋。
3.2.2 網(wǎng)絡(luò)安全
數(shù)據(jù)通信網(wǎng)絡(luò)是信號系統(tǒng)進(jìn)行信息交互的通道,通信網(wǎng)絡(luò)安全設(shè)計(jì)通過對通信雙方進(jìn)行可信鑒別驗(yàn)證,建立安全通道,對通信數(shù)據(jù)包的保密性和完整性實(shí)施保護(hù),確保其在傳輸過程中不會被非授權(quán)竊聽、篡改和破壞,使得數(shù)據(jù)在傳輸過程中的安全得到保障。在區(qū)域邊界對進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查和訪問控制,確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。
3.2.3 主機(jī)安全
主機(jī)計(jì)算環(huán)境,即信號系統(tǒng)的運(yùn)行環(huán)境,包括信號系統(tǒng)正常運(yùn)行所必須的終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及業(yè)務(wù)應(yīng)用系統(tǒng)等。主機(jī)計(jì)算環(huán)境安全是信號系統(tǒng)安全的根本。主機(jī)安全就是通過終端、服務(wù)器、操作系統(tǒng)、上層應(yīng)用系統(tǒng)和數(shù)據(jù)庫的安全機(jī)制和策略,保障信號系統(tǒng)業(yè)務(wù)處理過程的安全。通過在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪問控制為主體的系統(tǒng)安全機(jī)制和策略,建立可信、無隱蔽通道的安全保護(hù)環(huán)境,形成嚴(yán)密的安全保護(hù)環(huán)境,通過對用戶行為的控制,可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問,確保信息和信息系統(tǒng)的保密性和完整性,從而為信號系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。
3.2.4 應(yīng)用安全和數(shù)據(jù)安全
在應(yīng)用和數(shù)據(jù)安全方面,應(yīng)從身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面進(jìn)行安全防護(hù)。以軟件自身功能實(shí)現(xiàn)為主,部署使用終端安全防護(hù)、主機(jī)監(jiān)控與審計(jì)為輔,完成達(dá)到信息系統(tǒng)安全等級保護(hù)三級的具體要求。同時(shí),通過安全防護(hù)技術(shù)和管理體系建立信號系統(tǒng)數(shù)據(jù)保護(hù)基線,確保數(shù)據(jù)安全的完整性、保密性、可靠性。
3.2 系統(tǒng)安全管理
信號系統(tǒng)的安全管理是對信號系統(tǒng)生命周期全過程實(shí)施符合安全等級責(zé)任要求的科學(xué)管理,即從安全管理機(jī)構(gòu)建設(shè)、安全方針和安全管理制度的制定,以及對資產(chǎn)安全、人員安全、物理和環(huán)境安全、通信和操作安全、系統(tǒng)建設(shè)、信息安全事件、業(yè)務(wù)連續(xù)性等方面建立日常管理規(guī)程,從管理的角度確保信號系統(tǒng)的安全。該部分工作主要由軌道交通建設(shè)和運(yùn)營管理單位結(jié)合軌道交通信息系統(tǒng)特點(diǎn)和信號系統(tǒng)獨(dú)有的特性具體推進(jìn)和落實(shí)。
3.3 安全運(yùn)維管理
信號系統(tǒng)的安全運(yùn)維體系是降低信號系統(tǒng)運(yùn)行風(fēng)險(xiǎn)、確保系統(tǒng)安全穩(wěn)定運(yùn)行的必要保障,即通過建設(shè)運(yùn)維支撐平臺為信號系統(tǒng)的日常運(yùn)行維護(hù)提供技術(shù)支持;通過確定安全運(yùn)維組織為信號系統(tǒng)的安全運(yùn)行維護(hù)提供相匹配的組織和人員保障;通過建立與信號系統(tǒng)相適應(yīng)的運(yùn)維制度、程序文件、操作規(guī)程為信號系統(tǒng)的安全運(yùn)行維護(hù)提供規(guī)范保障;通過進(jìn)行備份與恢復(fù)、定期安全評估、緊急應(yīng)急響應(yīng)、實(shí)時(shí)安全監(jiān)控以及日常運(yùn)行維護(hù)操作等安全運(yùn)維活動為信號系統(tǒng)安全運(yùn)行提供可靠保障。該部分工作由軌道交通運(yùn)營維護(hù)單位在系統(tǒng)廠商配合下完成。
4.結(jié)語
以上等級保護(hù)策略在尚未開建和在建線路上實(shí)施相對容易,但是,如果要在已開通運(yùn)營的既有線路上實(shí)施上述策略則還應(yīng)充分考慮以下幾點(diǎn):
(1)目前國內(nèi)鮮有相應(yīng)成功案例可供參考,方案實(shí)施存在一定的風(fēng)險(xiǎn)性;
(2)根據(jù)實(shí)際情況對既有系統(tǒng)方案進(jìn)行重新設(shè)計(jì),且設(shè)計(jì)、安裝、調(diào)試等整體耗時(shí)相對較長;
(3)所有現(xiàn)場安裝和調(diào)試工作只能在夜間非運(yùn)營時(shí)段進(jìn)行,且須在次日運(yùn)營開始前退回原系統(tǒng)方案(包括軟件、硬件及其接口等)并完成相應(yīng)測試和驗(yàn)證,直至所有安裝和調(diào)試工作完成;
(4)信號系統(tǒng)接口較多,安裝和調(diào)試過程中,新老接口頻繁倒接、數(shù)據(jù)更新等可能導(dǎo)致PIS、PA等外部系統(tǒng)不可用;
(5)現(xiàn)場安裝和調(diào)試過程中,系統(tǒng)軟件、硬件需要在新舊版本之間來回更換,須加強(qiáng)版本管理和過程控制,否則極易影響次日正常運(yùn)營。
參考文獻(xiàn):
[1] 劉建.城市軌道交通信號系統(tǒng)信息安全設(shè)計(jì)方案[J].鐵道通信信號,2017(5):85.
[2] GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S].
[3] GB/T 25058-2010.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南[S].