城市轨道交通信号系统信息安全等级保护策略分析和探讨
城市轨道交通信号系统从2015年前后陆续开始在新建线路中按照信息系统安全等级保护(暂定3级)的要求推进相应等级保护工作,并在正式运营前通过等级保护测评。2017年《网络安全法》颁布实施后,国内城市轨道交通领域又迅速将目光转向既有线信号系统信息安全等级保护,并进行了广泛的分析和探讨。本文结合当前国内城市轨道交通线路建设和运营的实际情况,对轨道交通信号系统信息安全等级保护策略进行分析和探讨。
1.系统概述
城市轨道交通信号系统是保证列车运行安全,控制列车运营间隔,提高列车运行效率的先进控制系统,一般由列车自动控制系统(ATC)、计算机联锁系统(CI)、数据通信系统(DCS)以及外围信号设备组成。
信号系统的网络由有线网络、无线网络两部分组成。有线网络部分包括骨干网和接入网,骨干网主要由工业以太网交换机组成,接入网主要由交换机和光电转换器组成;无线网络部分包括轨旁无线网络和车载无线网络,轨旁无线网络由轨旁无线接入点AP、功分器及定向天线等组成,车载无线网络主要由车载调制解调器及天线组成。
2. 信息安全现状分析
对于城市轨道交通信号系统来说,其所面临的信息安全威胁,主要集中在以下几个方面:
(1)外部黑客攻击:通信、信号、综合监控、AFC等轨道交通系统大多都是关系民生的重要工业控制系统,极容易成为黑客攻击的目标。其中,信号系统更是直接关系列车运行安全的工业控制系统。虽然它一般不直接与互联网相连,但其拥有网络形式的外部接口,并与综合监控、通信等外部系统之间进行数据交换,存在被黑客攻击的可能,并且一旦成功就可能引发极为恶劣的社会影响。
(2)来自内部员工的威胁:与信号系统有直接接触的内部人员包括控制中心调度员、车站值班员、车辆段/场调度员、计划管理员、维护管理员、司机等。由于信号系统通常缺乏严格的网络准入和控制机制,内部通讯时身份鉴别和认证机制不够严密,同时也缺乏对系统最高权限的限制,这使得内部人员有意识的恶意行为成为系统重大的信息安全威胁。此外,在系统运行过程中,通常存在多个用户操作同一台设备的情况,加上事后有效追查工具的缺乏,也让责任划分和威胁追踪变得更加困难。
(3)来自外部单位人员的威胁:轨道交通建设过程中,信号系统设备一般由施工单位和设备厂家分别完成其安装和调试;轨道交通运营过程中,运营单位可能将部分非核心维保业务外包给第三方。如何有效地管控施工单位、设备厂商和第三方运维人员的操作行为,并进行严格的审计,这也是信号系统必须面对的一个关键问题。
(4)恶意代码的广泛传播:以病毒为代表的恶意代码,可通过移动存储设备、外来运维的电脑、无线系统等进入信号系统,当病毒侵入网络后,自动收集有用信息,如关键业务指令、网络中传输的明文口令等,或是探测网内计算机的漏洞,向网内计算机传播。这也是当前影响信号系统网络安全的主要因素之一。
3. 等级保护策略
基于信号系统的特殊性,信号系统等级保护整体方案应保持信号系统既有功能和架构不受影响,采用的技术手段要考虑实施的可行性,并兼顾轨道交通建设、运营、维护等各方的需求,在增加安全防护措施的同时尽量减少新增故障点的可能。
此外,信息安全问题从来都不是单纯的技术问题。如果把防范黑客入侵和病毒感染简单理解为信息安全问题的全部,这也是片面且不准确的。因此,信号系统等级保护整体方案必须把技术措施和管理措施结合起来,这样才能更有效地保障和提升系统的整体安全性。
3.1 安全域划分
安全域的划分应以业务角度为主,辅以安全角度,并充分参照信号系统现有网络结构和管理现状。由于信号系统是单独的业务系统,因此,首先就要将整个信号系统作为一个安全域,从结构上与综合监控系统、时钟系统等外部系统划分为不同的安全区域。
3.2 技术防护策略
从信息安全等级保护技术要求来讲,一个信息系统的安全由物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复五个方面组成。
3.2.1 物理安全
信号系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处环境安全以及整个系统可靠运行等方面,是系统安全运行的基本保障。信号系统的实际建设和运行过程中,物理安全方面对系统设备的电磁兼容、电磁屏蔽及接地等方面的要求已经有成熟的解决方案;同时,机房其他相关要求则由机房管理来覆盖。
3.2.2 网络安全
数据通信网络是信号系统进行信息交互的通道,通信网络安全设计通过对通信双方进行可信鉴别验证,建立安全通道,对通信数据包的保密性和完整性实施保护,确保其在传输过程中不会被非授权窃听、篡改和破坏,使得数据在传输过程中的安全得到保障。在区域边界对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界。
3.2.3 主机安全
主机计算环境,即信号系统的运行环境,包括信号系统正常运行所必须的终端、服务器、网络设备以及业务应用系统等。主机计算环境安全是信号系统安全的根本。主机安全就是通过终端、服务器、操作系统、上层应用系统和数据库的安全机制和策略,保障信号系统业务处理过程的安全。通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制和策略,建立可信、无隐蔽通道的安全保护环境,形成严密的安全保护环境,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,从而为信号系统的正常运行和免遭恶意破坏提供支撑和保障。
3.2.4 应用安全和数据安全
在应用和数据安全方面,应从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面进行安全防护。以软件自身功能实现为主,部署使用终端安全防护、主机监控与审计为辅,完成达到信息系统安全等级保护三级的具体要求。同时,通过安全防护技术和管理体系建立信号系统数据保护基线,确保数据安全的完整性、保密性、可靠性。
3.2 系统安全管理
信号系统的安全管理是对信号系统生命周期全过程实施符合安全等级责任要求的科学管理,即从安全管理机构建设、安全方针和安全管理制度的制定,以及对资产安全、人员安全、物理和环境安全、通信和操作安全、系统建设、信息安全事件、业务连续性等方面建立日常管理规程,从管理的角度确保信号系统的安全。该部分工作主要由轨道交通建设和运营管理单位结合轨道交通信息系统特点和信号系统独有的特性具体推进和落实。
3.3 安全运维管理
信号系统的安全运维体系是降低信号系统运行风险、确保系统安全稳定运行的必要保障,即通过建设运维支撑平台为信号系统的日常运行维护提供技术支持;通过确定安全运维组织为信号系统的安全运行维护提供相匹配的组织和人员保障;通过建立与信号系统相适应的运维制度、程序文件、操作规程为信号系统的安全运行维护提供规范保障;通过进行备份与恢复、定期安全评估、紧急应急响应、实时安全监控以及日常运行维护操作等安全运维活动为信号系统安全运行提供可靠保障。该部分工作由轨道交通运营维护单位在系统厂商配合下完成。
4.结语
以上等级保护策略在尚未开建和在建线路上实施相对容易,但是,如果要在已开通运营的既有线路上实施上述策略则还应充分考虑以下几点:
(1)目前国内鲜有相应成功案例可供参考,方案实施存在一定的风险性;
(2)根据实际情况对既有系统方案进行重新设计,且设计、安装、调试等整体耗时相对较长;
(3)所有现场安装和调试工作只能在夜间非运营时段进行,且须在次日运营开始前退回原系统方案(包括软件、硬件及其接口等)并完成相应测试和验证,直至所有安装和调试工作完成;
(4)信号系统接口较多,安装和调试过程中,新老接口频繁倒接、数据更新等可能导致PIS、PA等外部系统不可用;
(5)现场安装和调试过程中,系统软件、硬件需要在新旧版本之间来回更换,须加强版本管理和过程控制,否则极易影响次日正常运营。
参考文献:
[1] 刘建.城市轨道交通信号系统信息安全设计方案[J].铁道通信信号,2017(5):85.
[2] GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S].
[3] GB/T 25058-2010.信息安全技术信息系统安全等级保护实施指南[S].