案例精选丨基于LTE综合承载的信号系统等保三级建设案例

项目简介

天津市某地铁线路作为天津市的商务发展线路预计年底前通车，将带动天津市公共交通网络体系不断完善，进一步促进城市人流、物流、资金流的流通升级，带动其他商业、住宅和公共设施的建设，从而推动天津市经济高质量发展。

威努特作为国内工控安全领军企业，为本工程信号系统提供符合国家网络安全等级保护三级要求的安全建设方案，帮助用户构建一套覆盖全面、重点突出、节约成本、持续运行的纵深防御安全体系，保障轨道交通信号系统安全运营。

网络概述

城市轨道交通信号系统是保证列车运行安全,控制列车运营间隔,提高列车运行效率的先进控制系统,一般由列车自动监控系统(ATS)、列车自动防护系统（ATP）、列车自动运行系统（ATO）、计算机联锁系统(CI)、数据通信系统(DCS)以及外围信号设备组成。

本项目信号系统网络由有线网络和无线网络两部分组成：

• 控制中心、车辆段、车站之间通信采用双向自愈环形结构DCS有线骨干网络；

• 车地通信采用基于TD-LTE的宽带移动通信系统，LTE综合承载子系统作为信号系统DCS子系统的组成部分，采用A、B双网冗余组网设计，信号CBTC业务信息通过A、B双网承载并同时传输，保证其对网络可靠性的要求，由信号系统同时接收并判断确定使用有用信息；其他业务信息（PIS、CCTV等）由B网独立承载。

信号系统除内部通信外还需与外部系统进行互联，控制中心信号系统与TCC、ISCS、PIS、PA、CLOCK等外部系统通过FEP进行数据交换。

本项目信号系统网络示意图如下：

 

图1 本项目信号系统网络示意图

安全风险分析

随着信息化与轨道交通自动化的深度融合，轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，实现了各子系统的互联互通、资源共享，进一步提升了自动化水平。城市轨道交通信息化系统的集成化、智能化程度越来越高，业务运行过程对信息系统的依赖性日益增强，随之而来的网络安全面临的挑战也变得更大。信息系统一旦停滞，车辆调度、故障报警、安全运维等各个环节都无法正常进行，后果将不可想象。城市轨道交通系统每天承载上千万人的出行，一旦出现网络安全事故将直接影响人民的正常生活，造成的损失不可估量。因此，城市轨道交通的网络安全风险需引发高度重视。

城市轨道交通信号系统作为集行车指挥和列车运行控制的重要系统，所有的操作控制及指令控制行为都与列车间的发车、停靠等息息相关，一旦出现网络安全问题，将造成列车调度及运行瘫痪。对于城市轨道交通信号系统来说,其所面临的信息安全威胁,主要集中在以下几个方面:

缺乏边界防护，易遭受网络攻击

信号系统是关系民生，更是直接关系列车运行安全的重要工业控制系统,极易成为黑客攻击的目标。虽然它一般不直接与互联网相连,但其拥有网络形式的外部接口,与综合监控、乘客信息等外部系统之间进行数据交换。

• 在本项目信号系统与LTE综合承载网、ISCS、PIS等系统网络边界处缺少相应隔离防护措施,无法控制外部恶意访问行为；

• 无法在网络边界处对恶意代码进行检测和清除，恶意代码等攻击行为可通过边界渗透到信号系统内部，从而形成攻击；

• 缺乏对进出信号系统网络边界的数据进行有效过滤，无应用层协议指令级的控制，网络运行过程中无法判断应用层所携带内容的合法性。

边界防护的缺失导致信号系统存在被黑客攻击的可能,一旦成功将造成极为恶劣的社会影响，甚至会危及人民生命安全。

缺少监测手段，溯源取证难

信号系统具有数据的存储及备份功能，通过在控制中心交换机做端口镜像，将系统一定时间段内的网络数据记录并存储。但遗憾的是，所存储的网络数据仅用于信号系统的故障分析，缺乏技术手段对信号系统内部的网络流量进行监测与审计，无法及时发现系统内异常的网络连接、异常的通信行为、异常的控制指令等非法网络流量，对网络安全入侵看不见、摸不清，网络安全事件的定位和溯源仅基于人工经验进行排查，导致排障速度慢，调查取证难。

身份认证不严密，运维过程无审计

与信号系统有直接接触的人员众多且身份复杂，系统访问身份鉴别和认证机制（只有用户名和弱口令）不够严密,操作人员可以任意的访问系统内的所有资源，缺乏操作人员的身份多重认证机制，同时也缺乏对于操作人员的权限管控，不符合网络安全的“最小化”原则，这使得误操作、违规操作、有意识的越权访问等恶意行为成为系统重大的信息安全威胁。

主机安全防护不到位

• 采用传统网络防病毒软件，无法及时更新恶意代码库，无法识别新的恶意软件，起不到完整的主机防护作用；

• 传统网络防病毒软件对业务应用误杀现象突出，影响信号系统稳定运行；

• 无法对重要程序的完整性进行检测，即使检测到完整性受到破坏也不具有恢复能力；

• 缺少外设使用管控技术手段，病毒、恶意代码等极易通过移动存储设备进入信号系统内部。

工控设备漏洞逐年递增

2020年CNCERT《全国城市轨道交通行业网络安全态势调研分析报告》针对城市轨道交通行业中主要供应商漏洞情况展开分析。结合中心CNVD漏洞数据库对城市轨道交通行业设备主要供应商漏洞情况进行梳理，城市轨道交通行业主要供应商的工控产品共计发布漏洞539个，其中，高危漏洞234个、中危漏洞271个、低危漏洞34个，中高危漏洞数量占93.69%。对漏洞的发现年份统计发现，城市轨道交通行业中主要供应商的产品漏洞数量整体呈现逐年递增趋势，这也使得城市轨道交通面临着更高级别的安全风险。

  

图2 城市轨道交通行业主要供应商设备漏洞等级

及漏洞年份统计图

技术方案

为避免用户面临的安全风险，参考GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和T/CAMET 11001.3—2019《智慧城市轨道交通 信息技术架构及网络安全规范》第3部分：网络安全要求，对本项目信号系统进行符合国家网络安全等级保护三级要求的建设。

   

图3 《智慧城市轨道交通 信息技术架构及网络安全规范》

第3部分

威努特基于多年对工控领域的深入研究，在业内率先提出了“白环境”理念。本项目基于威努特“白环境”理念研发的多款白名单安全防护产品，并结合“一个中心、三重防护”的纵深防御思想，形成了适用于信号系统的基于“白环境”的纵深防御安全防护技术体系。

本项目信号系统等级保护建设方案如下图所示：

 

图4 本项目信号系统等级保护三级建设方案

安全区域边界：

• 边界隔离防护

本项目车地无线通信采用LTE综合承载系统，LTE-B网除承载信号CBTC业务信息之外还承载有PIS、CCTV等业务信息。为保证信号系统安全，在信号系统与LTE综合承载系统边界部署工业防火墙。同时，在信号系统控制中心与ISCS、PIS、CCTV、PA系统等的常规区域边界部署工业防火墙，进行边界隔离和访问控制。

由于城市轨道交通的特殊性，信号系统中采用的控制协议为专有的工控协议，同时业务通信规则带有强烈的行业属性。威努特工业防火墙支持信号系统专用工业控制协议的深度解析，在建立访问控制白名单的同时建立信号系统业务白名单，保证只有符合信号系统业务逻辑的指令和消息才能在网络上传输，为信号系统构筑安全“白环境”边界隔离和控制防护体系。

 

图5 工业防火墙白名单告警展示

威努特工业防火墙所有接口均支持bypass，从硬件设计上保证对信号系统“零影响”。

• 边界恶意代码防护

控制中心部署的工业防火墙在保证信号系统业务正常通信的情况下，以“最小化”原则，只允许信号系统中使用的专有协议通过，拒绝其它通用应用和协议进入信号系统网络，以此来将恶意代码安全风险降到最低。

同时在控制中心的ATS网、ATC网和维护网交换机旁路部署入侵检测系统产品，接收镜像流量，结合超过4000种预定义特征库进行相应行为匹配，及时发现信号系统内部、外部违反安全策略的行为和被攻击迹象，实现入侵行为检测、病毒和恶意代码检测、安全威胁可视化等。

安全通信网络：

• 异常流量行为监测审计

为解决本项目缺乏技术监测手段无法及时发现网络异常行为的安全问题，结合信号系统网络流量和主机行为较为简单的实际情况，本项目采用基于白名单的流量监测审计技术，在控制中心、车辆段、设备集中站的ATS网、ATC网、CI网和维护网交换机旁路部署支持“白名单+智能学习”机制的工控安全监测与审计系统。

威努特工控安全监测与审计系统采用专业“单”向设计，旁路接入信号系统网络，硬件设计上阉割对外发送数据的物理通路，避免无关流量进入信号系统内部从而影响业务正常运行，对信号系统“零风险”。

工控安全监测与审计系统通过镜像方式接收信号系统网络流量，基于对信号系统控制协议的深度解析，实时检测网络内是否存在网络攻击、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播，详实记录一切网络行为，结合“白名单+智能学习”机制，对信号系统数据进行指令级的工业控制协议通信记录，以便发生安全事件后能够快速对事件进行分析溯源，为信号系统构筑安全“白环境”通信网络防护体系。

 

图6 工控安全监测与审计系统白名单告警展示

安全计算环境：

根据信号系统运行环境相对固化、网络相对封闭的特点，在本项目信号系统控制中心、车辆段、设备集中站和非设备集中站所有服务器、工作站安装威努特轻量级“白名单”机制工控主机卫士进行计算环境安全防护。

威努特工控主机卫士是国内首款针对操作员站、工程师站、数据服务器等工业现场主机进行安全防护及加固的软件产品，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。提供介质管控功能，有效避免管理、运维、设备厂商等人员不合规的移动存储设备接入带来的安全问题，防止未授权存储设备携带恶意代码在信号系统传播。此外提供程序白名单、安全基线、身份鉴别、强制访问控制、漏洞防护、非法外联监控、网络防护、安全应用商店等安全价值，实现完整的信号系统工业主机安全防护，为信号系统构筑安全“白环境”计算环境防护体系。

 

图7 工控主机卫士程序白名单扫描展示

安全管理中心：

• 统一安全管理

在控制中心部署统一安全管理平台，方便地铁运营方对信号系统部署的工业防火墙、工业安全监测与审计系统和工控主机卫士等所有安全防护设备进行统一管理和维护。同时统一安全管理平台具备资产可视、漏洞可视、网络可视、攻击可视、策略可视等数据可视化能力，从资产及风险角度，实现对信号系统全网安全设备、安全事件、安全策略、安全运维的统一集中监控、管理及预警，提高全面的安全管理、风险管理能力。

 

图8 安全管理平台效果展示

• 日志审计与分析

在控制中心部署日志审计与分析系统，统一对信号系统内所有网络设备、安全设备、服务器、工作站的日志进行收集、分析、存储，符合《网络安全法》及等级保护建设对日志审计的相关要求。

 

图9 日志审计与分析系统效果展示

• 安全运维审计

在控制中心部署安全运维管理平台，统一对内部设备的所有运营和维护操作进行授权和管理，有效管控地铁运维人员、施工单位、设备厂商和第三方运维人员的操作行为。提供身份鉴别与认证机制，对不同身份用户操作进行严格的审计，从而提高信号系统持续的安全运维能力。

• 安全漏洞扫描

在控制中心部署工控漏洞扫描平台，并供漏洞扫描服务，定期对信号系统安全防护措施的有效性进行全面扫描，并对识别出的漏洞给出相关建议，提升业主网络安全风险把控能力，定期核查与等级保护三级的防护差距，形成定期漏洞扫描、风险评估的可持续性安全运维模式。

 

现场实施展示

图10 等级保护机柜

 用户价值

• 首个等保测评的信号系统：本项目为天津地铁第一个等保测评的信号系统，威努特提供专业服务，协助业主梳理项目整体工作流程，结合项目进度及等保测评要求，帮助业主制定合理定级、备案、测评等流程工作计划，确保试运营前完成项目建设并通过测评；

• 安全合规：符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、T/CAMET 11001.3—2019《智慧城市轨道交通 信息技术架构及网络安全规范》的网络安全等级保护三级要求；

•  建立主动防御体系，保障城市轨道交通正常运行：以主动防御为指导思想，以白名单技术为基础，采用工业防火墙、工控主机卫士、工控安全监测与审计系统、入侵检测系统、统一安全管理平台等网络安全设备，建立主动防御网络安全防护体系，解决信号系统面临的网络安全风险，保障城市轨道交通正常稳定运行。

结 语

威努特深耕城市轨道交通行业等级保护安全建设工作，已获得100多个中标项目，累计交付设备4000+台套，涉及信号系统、综合监控系统、AFC系统、通信系统（PIS+CCTV）、电力监控系统（PSCADA）等多个专业子系统，对于轨道交通业务系统、业务场景、网络安全建设有着深入的理解。威努特期待在城市轨道交通各专业系统安全防护领域，与更多业界同仁不断探讨，持续深入。

威努特简介

北京威努特技术有限公司（简称：威努特）成立于2014年，专注于工控安全领域，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务。凭借持续的研发创新能力和丰富的实战经验入选全球六家荣获国际自动化协会ISASecure认证企业之一和亚太地区唯一全球网络安全联盟(GCA)创始成员。

威努特秉承首创的工业网络“白环境” 技术理念，迄今为国内及“一带一路”沿线国家的2000多家客户实现了业务的安全合规运行，已成为最受客户信赖的工控安全领军企业。同时，作为中国工控安全国家队，积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，致力于为国家关键信息基础设施保驾护航。

威努特始终以“专注工控，捍卫安全”为使命，致力于为我国关键信息基础设施网络空间安全保驾护航！

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号（威努特工控安全）：案例精选丨基于LTE综合承载的信号系统等保三级建设案例