城轨交通网络安全系列（一） | 信号系统的安全防护 - 网安 - 专业的网络安全产业、社区、知识平台

各子系统通过信息交换网络构成闭环系统，实现地面控制与车上控制结合、现地控制与中央控制结合，构成一个集行车指挥、运行调整以及列车驾驶自动化等功能为一体的列车自动控制系统。自上世纪七十年代中国第一条地铁线路试运行后，中国城市轨道交通的信号系统经历了从基于模拟电路的固定闭塞制式到基于数字电路的准移动闭塞制式，再到基于大容量车地无线通信的移动闭塞制式的演变。基于通信的列车运行控制系统（Communication Based Train Control system，CBTC）是目前最先进的列控系统之一。按照信号系统实际业务需求，目前信号系统的等级建设主要涉及到ATS子系统和维护网子系统。

二信号系统安全防护现状

01信号系统安全特性

信号系统虽属于工业控制系统，但与电力、水利系统仍有较大区别，更高的网络化水平使得信号系统可以被划归到信息物理系统范畴（Cyber Physical System，CPS），CPS系统“信息-物理”融合的特性导致其信息安全问题也横跨信息域和物理域，与此同时，近年来频发的针对工业控制系统的APT攻击也具有类似的特点，攻击由不同阶段组成，往往仅在最后APT攻击才对信号系统中被非法控制的进程造成破坏性影响，具有很高的隐蔽性和破坏性。

此外，信号系统还具有其独有特点。首先，列控系统中关键设备采用安全计算机架构，如二乘二取二、三取二等；其次，列控系统采用冗余网络架构，容忍数据传输过程中一定程度的数据丢失和数据错误；最后，“故障-安全”原则遍布列控系统的各个设计细节，在系统故障情况下保证列车安全。这些特点导致列控系统中的攻击行为，攻击效果都与其它系统不同。

02信号系统安全建设历程

信号系统安全防护的需求

自1999年国家质量技术监督局发布国家标准《计算机信息系统安全保护等级划分准则 GB/T17859-1999》，我国正式开始信息安全标准化建设，后续发布了与信息安全等级保护相关的技术要求、定级规范、等级测评等规范，在安全技术和安全管理两个方面设置，明确各等级系统应当满足的要求。2017年《中华人民共和国网络安全法》的颁布也为信息安全等级保护制度的实施提供了强力支持。为弥补原有等级保护中内容不够完善，新技术领域空白的问题，我国于2019年发布《信息安全技术网络安全等级保护基本需求GB/T22239-2019》，标志着我国正式进入“等保2.0”时代。

既有信号系统的安全防护大部分仅限于采用了传统防火墙、防病毒等初级的防护。传统防火墙主要进行两个网络之间的逻辑区域隔离控制，主要访问控制、安全域管理等功能，但是传统防火墙一般未装载工业协议解析模块，不能理解支持工业控制协议，传统防火墙的架构也不太适应工业网络实时性和生产环境的要求。终端主机防护通过安装防病毒软件来实现，但是防病毒软件需要定期升级最新的病毒库，工业控制系统网络环境下不能保证病毒库实时更新。

信号系统等级保护演进

2019年之前，信号系统参照等级保护1.0的标准加强了的安全防护工作，主要体现边界防护、安全检测、安全审计等方面。信号系统现有的这些传统的安全防护手段虽然可以抵御大多数常见类型的威胁和攻击，但仍然存在着局限性，有一定的安全风险隐患，具体问题如下：

1) 安全防护仅依靠安全产品的堆砌，缺少整体的安全体系规划，部署的安全产品各司其职，关联程度不高，仅能进行单点或单一层面的防护，防护体系呈现扁平化的结构，没有构建统一的安全防护体系。

2) 防护手段主要作用于攻击或威胁发生后，属于静态监测、被动防御，对于未知威胁和新型网络攻击很难发挥作用。

3) 无法预测信号系统的安全风险，缺少工控系统安全态势感知能力，无法从资产、脆弱性、威胁等多个视角全面分析安全态势。

4) 安全管理制度建设落后，运营人员安全意识不足，信息安全技术水平较低。

信号系统的网络安全防护在做好顶层设计构建安全防护体系的基础上，重点在等保2.0新增要求项上展开安全防护新思路，主要体现在构建安全管理中心、应对新型网络攻击、安全态势感知、安全管理等方面。

构建安全管理中心

构建信号系统网络安全防护体系需要从信号系统业务流程及系统安全需求分析为基础，保证信号系统所有用户访问、操作都经过授权，保证信号系统运行环境安全可靠，以细粒度的访问控制为核心，遵循“一个中心、三重防护”的原则构建信号系统网络安全纵深防护体系。“一个中心、三重防御”是指以安全管理中心为核心，构建以安全计算环境为基础、安全区域边界和安全通信网络为保障的信息安全整体防护体系。

应对新型网络攻击

随着针对工控系统的新型网络攻击的出现，如APT攻击、勒索软件、远程木马、网络蠕虫、邮件钓鱼等，信号系统虽然采用了一些网络安全防护措施，但仍面临着网络信息安全的严峻考验。其中 APT 攻击是信号系统面临的最大威胁，这种攻击通常采用0day漏洞，攻击目标明确，持续时间很长，很难被发现和进行防御。

因此采用有效的技术应对新型网络攻击，成为信号系统安全防护的重要部分，应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析，应部署抗 APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件，并验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

安全态势感知

信号系统在安全管理中心三大功能的基础上，强化安全态势感知，通过安全态势感知平台建设，实现对所有安全设备的安全事件的统一收集、关联分析达到安全态势感知，宏观展现系统的安全态势。安全管理中心的安全态势感知功能主要由信号系统防护、检测、审计系统共同实现，通过对信号系统的安全信息进行统一持续监测，对采集的数据进行深度分析和信息挖掘，发现面临的信息安全威胁态势，对正在发生的及将来的威胁进行“客观、准确、及时、直观”的集中展示与告警，为安全风险威胁提供分析手段，为安全保障措施提供客观的决策依据。

安全管理

“三分技术，七分管理”，技术是安全防护的必要手段，人是安全防护的核心和尺度。信号系统运营人员普遍存在安全意识不高，安全知识缺乏，安全能力不足的问题。面对日益严峻的网络安全现状，需要组建专业的安全管理团队来提供网络安全保障服务。安全管理团队可以由信号系统运营单位自己组建，也可通过专业的第三方安全团队来提供安全管理。安全管理团队在做好基本安全管理工作的同时，还需加强风险监测预警、应急预案和演练、安全事件响应和处置、威胁调查和溯源。

三

总结

随着我国城市轨道交通信息化技术与信号系统的深度融合，显著提升了信号系统自动化水平并具备了与其它业务系统的互联互通能力，尤其是在全自动驾驶、云计算、大数据、人工智能等信息化技术不断应用到城市轨道交通领域的大环境下，信号系统的网络环境将变得更加开放，ATP等新型攻击方式将会给信号系统网络安全带来更加严峻的挑战，信号系统传统的防御措施已经无法应对此类新型网络攻击。

等级保护2.0时代信号系统安全防护要在现有的传统安全防护基础上，结合等级保护新增要求项，做好安全防护顶层设计。绿盟科技以“一个中心、三重防御”为核心思想，构建一个事前态势感知、事中响应防护、事后追踪溯源的主动安全防御体系，全面提升信号系统网络安全感知能力和防护能力。