信号系统作为指挥列车运行与调度的核心系统，所有的操作控制及指令控制行为都与列车间的发车、停靠等息息相关，外部的恶意攻击或内部的误操作都是引发安全问题的因素，通常这些操作及控制指令通过网络进行传递，往往恶意的指令都隐匿于看似正常的网络流量之中，从网络运行过程中无法判断其流量所携带内容的合法性和完整性，误操作或接受恶意控制指令将会导致信号系统网络中断，造成列车调度及运行瘫痪。

通过分析其可能造成信号系统安全风险的主要原因归纳为以下几种：

（1）区域间未设置访问控制措施

信号系统在内、外系统边界处缺少相应的隔离防护措施，例如信号系统与综合监控、旅客信息、广播等多个外部系统互联时，存在无法识别的外部恶意访问行为，同时在其系统间的内部网络存在相互随意访问的行为，出现网络区域的逻辑混乱现象，一旦某个系统网络遭受到病毒感染后，携带的恶意扫描探测程序直接贯穿到整个信号系统网络，形成风暴式的攻击危害。

（2）网络操作行为无检测，事后无有效追查手段

在信号系统网络中，大量的列车信号数据不停地重复进行交替，这一过程缺乏对业务流程的异常操作行为审计。同时信号系统网络对产生的攻击威胁缺乏有效的监测与审计，一旦安全威胁发生，只能盲目寻找问题产生的原因，无法及时有效地应对攻击。

（3）信息安全管理制度欠缺

现在大部分行业还未形成完整的制度来保障信息安全，在信号系统规划、建设、运维、废止全生命周期的信息安全需求和风险管理亟待完善。

（4）事件检测与响应流程不完善

虽然信号系统具备对业务培训的能力，但是面向全员的工控安全意识宣传，工控安全技术和管理培训均比较缺乏，需加强对工控安全体系化的宣传和培训。

4 设计方案

4.1 设计思路

城市轨道交通信号系统安全防护体系的设计是依据白名单机制对信号系统的区域边界、通信网络、计算环境等进行安全策略的配置，建立信号系统“白环境”。然后基于信号系统的行为基线以及业务基线，结合大数据分析技术进行综合的建模分析，全面感知信号系统的态势信息，并通过可视化的界面进行综合展示。

4.2 安全防护体系设计

4.2.1 安全通信网络

由于城市轨道交通信号系统本身就是实时控制的数据传输系统，并且其网络也是独立的专网，因此在信号系统安全防护体系的设计中需要采用工控防火墙实现与其它互联系统的安全隔离，并通过安全策略的配置实现系统间数据传输的限制，以及非授权通信行为的禁止。

信号系统与其它互联系统间的隔离，通过部署工控防火墙来实现。以此来保证信号系统的独立性、完整性，避免其它系统的波及，并且能够对进出信号系统的流量进行有效管控，防止非法、异常流量流入信号系统网络。

在信号系统网络中，部署在网络边界的工控防火墙是以最小通过性原则进行策略配置，根据业务需求采用白名单机制，逐条梳理业务流程，增加开放IP和开放端口，实现严格的流量管控。

4.2.2 安全区域边界

（1）访问控制防护

由于信号系统的业务特点，信号系统需同时连接多个内部子系统，形成系统的联动。从信号系统的网络结构可知，信号系统与其内部子系统需形成一个整体的安全域进行保护。与此同时，在信号系统中仍存在与其它外部系统，例如综合监控、广播、时钟等系统的外部互联。这样使得原本相对独立的信号系统网络出现了对外互联的边界，外部系统遭受恶意攻击后，会通过互联边界造成信号系统的直接感染。针对边界互联所产生的安全威胁问题，可利用访问控制技术实现与外部互联系统间的细粒度管控。

在信号系统与外部系统互联边界处部署工控防火墙，利用工控防火墙深度包解析引擎和内容检测技术，结合访问控制白名单技术，对信号系统内部与外部连接系统执行访问控制规则，对通信内容实现细粒度的访问控制，仅允许信号系统的正常业务和数据通过边界进行访问，防止非业务系统的恶意访问通过。

（2）入侵防范

基于网络的入侵防范，主要是通过分析网络流量中的异常攻击行为对其进行拦截和响应。当前比较流行的网络入侵防范技术包括：基于特征签名的入侵防范技术、基于沙箱的入侵防范技术、基于网络行为白名单的入侵防范技术和基于威胁情报的入侵防范技术。信号系统网络中的网络流量和主机行为较为简单，基于白名单的入侵防范技术更适合于信号系统的业务流程。

在控制中心通过部署工控入侵检测或网络审计类设备，并配置相应的安全策略和功能，来提高信号系统应用行为的安全监测与审计能力。

（3）恶意代码防范

由于城市轨道交通的特殊性，信号系统中采用的通信协议及应用软件都为专有的协议和专用的软件，带有强烈的行业属性。因此可以通过在信号系统区域边界、信号系统与其它系统之间部署访问控制设备，在保证业务正常通信的情况下，以最小化原则，只允许信号系统中使用的专有协议通过，拒绝其它通用应用和协议进入信号系统网络，以此来将恶意代码安全风险降低到可控范围内，减少安全事件的发生，保障信号系统高效、稳定运行。

（4）安全审计防护

安全审计是指按照一定的安全策略，记录系统配置、系统活动、用户活动等信息，检测、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为等，并以此为基础改善系统性能的过程，也是审查评估系统安全风险并提出相应整改措施的过程，它可以提高系统的安全性。安全审计不仅能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和恶意破坏行为，为网络违法与犯罪的调查取证提供有力支持。

结合当前信号系统的业务特点，分别在控制中心、维修中心、设备集中站、车辆段/停车场的交换机处，采用镜像流量方式，旁路部署工控监测与审计系统，实时监测系统内发生的访问流量内容，基于工控协议深度解析技术，实现对数据流量的细粒度解析，以保证信号系统间的内容访问安全，及时发现信号系统网络中的异常流量和异常操作的访问行为，并进行记录和实时告警。

4.2.3 安全计算环境

根据信号系统网络安全现状并结合信号系统运行环境的特点，对于信号系统主机终端的安全防护，采用“白名单”机制的工控主机卫士来实现主机终端服务、进程、外联接口的管控。“白名单”机制相对“黑名单”而言更适合于信号系统的安全防护，由于信号系统相对比较封闭，无法联网进行病毒库更新。系统一旦建设完成，很长一段时间都不会再进行升级或改造，而且信号系统中的通信端口、协议、应用软件等都比较固定，采用“白名单”机制进行安全防护，能够有效保障信号系统主机终端的安全。

在信号系统网络中的工作站、服务器等设备，大多数以Windows系统作为操作平台，一些设备处于老旧状态，无法及时升级或更新补丁。随着Windows系统的广泛应用，一些安全漏洞隐患不断爆出，采用传统防病毒软件或主机入侵防护产品进行安全防护的方式已不再适用于信号系统的主机终端。由于工业主机的特殊性，传统安全防护产品无法有效地对工业主机进行安全防护，如果病毒库更新不及时，依赖大量病毒特征库的传统安全防护产品将无法获取最新的病毒库特征，其安全防护能力将大打折扣，将面临无法识别工业主机的关键程序、关键进程及服务的情况，造成误删误报等影响业务正常运行的后果。

在信号系统中，分别在控制中心、设备集中站、维修中心、车辆段/停车场等处的工作站和服务器中安装部署工控主机卫士系统软件，基于进程白名单技术，将主机中的应用、进程、服务等进行安全管控，阻止白名单外其它与控制运行无关的应用软件安装使用，及运行进程、服务等。此外，基于“白名单”技术，可实现对外联接口以及外来存储介质的管控，禁用未经授权移动存储介质接入主机终端设备，保障信号系统不受外来设备威胁，并提供安全可靠的运行环境。

4.2.4 安全管理中心

建设安全管理中心可以帮助城市轨道交通运维人员实现零散安全产品到信息安全保障体系的转变。它解决了海量数据和信息孤岛的困扰，简化了安全管理的数据模型。安全管理中心通过分布在现场的各类安全探针采集来自信号系统网络中的各类安全信息，上传到安全管理平台进行集中存储，再根据平台中定制的安全策略，结合大数据分析技术对这些数据进行关联分析，最终以可视化的方式展示。

在城市轨道交通信号系统安全防护体系建设过程中，安全管理中心的建设将起到至关重要的作用。通常是在控制中心部署安全管理平台，通过安全管理员为安全计算环境、安全区域边界、安全通信网络配置统一的安全策略。实现对信号系统全网安全设备、安全事件、安全策略、安全运维的统一集中监控、管理及预警。通过安全审计员对安全审计机制进行集中管理，进行身份识别，根据权限进行操作及审计。通过系统管理员对系统的资源和运行进行配置、控制和管理，进行身份识别，根据权限进行操作及审计。

5 整体部署应用

图1为城市轨道交通信号系统安全防护体系中安全防护设备的部署。

图1 信号系统防护体系整体部署示意图

（1）工控防火墙

部署于控制中心信号系统与外部系统互联边界。

可以实现隔离与访问控制，能够通过基于工业协议的深度识别，对访问行为进行细粒度的控制。通过对访问内容与设定的基于寄存器的安全策略比对，确认报文的通过或阻断。当发生异常报文（超过设定阈值）时进行报警处理，以保障信号系统的安全性。满足等级保护建设对访问控制、边界完整性检查、入侵防范等基本安全要求。

（2）工控监测与审计

旁路部署于控制中心核心交换机、各设备集中站、维修中心接入交换机以及车辆段/停车场交换机处。

通过对ATS网、ATC网和维护网的镜像流量数据进行深度解析，阈值的设定和对数据变化速度范围的设定，实现对下属节点数据变化以及操作内容的审计，分析网络内是否存在异常流量、操作等行为，同时基于网络流量、协议和应用进行全方位的审计记录，并通过SYSLOG或SNMP将日志信息上传至安全管理平台。以便发生安全事件后能够快速响应，对事件进行分析溯源。

（3）工控主机卫士

管理端旁路部署于控制中心，客户端部署于控制中心、设备集中站、非设备集中站、车辆段、停车场等处的工作站和服务器上。

通过对主机终端运行进程、服务、外联接口等以“白名单”方式进行识别控制，限制白名单外的进程、服务的运行以及外联设备的接入。从根本上遏制恶意代码的运行。通过安全策略配置，主机只能安装运行与列车运行控制相关的应用软件、程序，禁止其它非相关软件的安装，以此来增强主机终端的安全防护能力，保障信号系统主机终端的安全、稳定运行。

（4）安全集中管理平台

旁路部署于控制中心维护网交换机上。

通过工控安全管理平台的建设，可以实现系统内安全设备的集中监控管理、日志采集以及策略的下发。可以为信号系统运维管理提供决策支持，提升安全事件响应速度与安全运维感知能力，增强整体安全防护水平。

（5）运维审计

部署于控制中心。

运维审计系统集账号管理、授权管理、认证管理和综合审计于一体，为信号系统提供统一框架，整合了中心、设备集中站、非集中站、车辆段/停车场信号系统中的应用系统、网络设备、主机系统，确保合法用户安全、方便使用特定资源。有效地保障了合法用户的权益，支撑了信号系统安全可靠地运行。

（6）工控入侵检测

旁路部署于控制中心核心交换机处。

工控入侵检测系统可对信号系统网络中的数据流量进行深度检测、实时分析，并对网络中的攻击行为进行监测。工控入侵检测系统主要是对应用层的数据流进行深度分析，动态地发现来自内部和外部网络攻击的行为，并发出报警，可与工控防火墙互补联动，实现对攻击的检测与防御。

（7）数据库审计

旁路部署于控制中心。

数据库审计可根据解析的SQL，对用户数据库服务器进行安全判断、攻击检测。数据库审计系统内置了多种攻击检测场景，能有效地对攻击行为作出告警等处理，并且能够通过审计记录发现数据库一些潜在的安全威胁，比如SQL注入、密码猜解、执行操作系统级的命令等，同时内置了丰富的数据库入侵检测规则库，及时发现并阻止数据库安全威胁，保证数据库安全运行。

作者简介

陈鑫鑫（1990-），男，甘肃天水人，中级工程师，学士，现任北京天融信网络安全技术有限公司工业互联网安全解决方案部解决方案工程师，主要研究方向是城市轨道交通网络安全、工业控制系统安全、工业互联网安全、云安全。

参考文献：

摘自《工业控制系统信息安全专刊（第七辑）》