娄永梅 马申瑞

(1.北京全路通信信号研究设计院集团有限公司，北京 100070 2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

随着近些年城市轨道交通建设投资规模的逐步扩大和运营线路数量的快速增长，国内各大城市轨道交通均实现由单线路型向线网型的转变，北京、上海、深圳、广州、南京等地轨道交通线网均已具规模。线路成网运行、建设投资和运营的多元化等因素，均对轨道交通路网综合调度形成迫切的需求。因此，北京、广州已经建设了城市轨道交通线网指挥中心，其他很多城市也在建或筹备建设城市轨道交通线网指挥中心，以提高综合协调能力，合理有效利用资源。

线网指挥中心作为地铁调度的中枢系统，承载了线网运营协调调度、应急指挥、信息发布等多项重要功能，对保障地铁安全运营的重要性毋庸置疑，并且线网指挥中心汇集了线网大量的核心运营生产数据，因此，建立一个安全、稳定的系统，对防御泛滥地网络病毒攻击、黑客的恶意入侵威胁和应用软件自身的漏洞隐患都有重要的意义。另外，作为地铁集团重要的对外窗口、生产平台，其内部重要、核心的行车和客流数据一旦被人非法窃取，将对地铁的日常运营造成巨大的安全隐患，甚至可能对乘客人身安全造成威胁。

2 线网指挥中心通用系统架构

综合考虑北京市轨道交通指挥中心（TCC）、深圳市轨道交通网络运营控制中心（NOCC）和广州轨道交通线网运营管理指挥中心（COCC）3个城市线网指挥中心的系统功能和系统构成，总结出线网指挥中心系统由数据采集系统、数据接入系统、核心数据处理系统、异地数据备份系统、安全管理系统、开发测试系统、信息发布系统、大屏幕系统、培训系统、人机交互系统和参观演示系统等构成，如图1所示。

图1 线网指挥中心通用系统架构图

3 信息安全总体设计方案

3.1 标准规范

依据《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息安全技术信息系统等级保护安全设计技术要求》（GB/T 25070-2010）等国家标准[1-3],线网指挥中心信息安全建设需要综合考虑物理层面（环境安全、设备安全、介质安全）、系统层面（操作系统安全、数据库管理系统安全）、网络层面（网络运行安全、网络数据传输安全）、应用层面（办公系统、业务系统、服务系统安全）和运营管理层面（安全策略、组织管理、技术管理）的实际安全需求，对线网指挥中心的信息安全保障体系进行全面、深入地规划和设计，符合其对应的相关信息安全等级保护级别安全标准，确保线网指挥中心系统安全，保障体系的广度和深度，如图2所示。

图2 线网指挥中心安全保障体系模型图

3.2 信息安全建设思路

3.2.1 安全等级保护定级

依照标准规范的要求，线网指挥中心的信息系统安全保护等级主要由系统所属类型、业务信息类别、系统服务范围和业务依赖程度4个主要因素来决定。通俗来说，就是线网指挥中心受到破坏时侵害了什么（客体）以及侵害的程度如何（对客体的侵害程度），其中具体对应如表1所示。

表1 定级要素与信息安全保护等级的关系

基于线网指挥中心系统的受侵害客体和对客体的侵害程度两方面要素，建议线网指挥中心系统应该至少满足三级的安全等级保护要求，应当按照三级安全等级保护要求进行系统设计。确保系统在安全产品选型、安全策略筛选、软件开发和项目实施过程都符合安全等级保护的技术和管理要求，并最终达到相应的安全等级保护建设要求，如表2所示。

表2 信息安全保护等级与监督强度的关系

3.2.2 结构性安全

随着信息化的发展，地铁信息安全建设逐步从脆弱性安全向结构性安全过渡，因为在信息安全体系中，脆弱性是永远存在的，谁也无法建立一堵永远不被攻破的“防护墙”，突破任何防御只是时间问题，所以建立一个注重结构安全的动态信息安全模型（P.D.R）是至关重要的，模型公式如下：

Pt ＞ Dt + Rt（防护的时间 ＞ 检测的时间＋响应的时间）

因此，建议线网指挥中心系统建立动态的结构性安全系统，综合分析各个安全域防范的薄弱环节，针对容易受到黑客攻击的区域或者链路进行相应的安全防护措施，有效提升系统安全性，做到防患于未然。

3.2.3 风险控制

根据动态反馈的结构性安全系统和地铁运营管理的实际情况，可以将风险控制归结为管理和技术2个层面。

管理层面：安全策略、组织管理和技术管理。技术层面：系统安全、网络安全、应用安全和物理安全。

通过管理驱动技术，通过技术实现管理，构建合理的风险管理机制，建立以“风险”为核心的安全模型，实现对线网指挥中心安全保障的目的，如图3所示。

3.2.4 兼容性

图3 以“风险”为核心的安全模型

安全设备应采用先进成熟并具有发展前景的产品，并且具有良好的兼容性。应支持符合国际标准和工业标准的相关接口，能够与其他相关系统实现可靠的互联，部署在线网指挥中心架构内不对原有的网络拓扑造成任何影响。

3.2.5 易维护性

安全设备应便于维修和管理，提供方案的维护手段，运营人员可通过工作站实时对相关设备的运行状态进行管理与监视。

应用系统设计要充分考虑方便运营人员，简化运营人员操作，提供友好的人机界面和丰富的实用软件，最大限度地满足运营人员需求。

3.2.6 可扩展性

根据目前城市在建线路的建设周期及开通运营计划，充分考虑未来轨道交通的建设发展，使线网指挥中心系统的信息安全体系建设具有可持续性和可扩展性，保证老旧线路和新建线路的安全措施和安全策略保持同步。

在信息安全系统结构部署和设备的选择方面，应具有良好的可扩展能力，可以根据需要对信息安全系统进行必要的调整、扩充，在全面升级的情况下，能够最大限度利用已投资建设内容，避免浪费。

3.3 设计要点

3.3.1 安全域的划分

针对NCC系统网络特点，可分为数据接入区域、数据处理区域、内网管理区域、开发测试区、信息服务区、系统展示区等安全区域，针对不同的安全区域及边界的划分，确定不同的安全策略。

数据接入区域：本区域包括数据采集系统和数据接入系统，通过数据接入系统交换机和线网指挥中心系统核心交换机相连；该区域负责线网指挥中心系统与各线路系统（SIG、ISCS等）和各线网系统（ACC、PCC等）之间的数据采集或业务接入。

数据处理区域：本区域包含核心数据处理系统和异地数据备份系统，通过核心数据处理系统汇聚交换机与异地数据备份系统汇聚交换机及线网指挥中心系统核心交换机相连；内网生产区域是安全保护要求最高的区域，非授权的连接及访问必须严格禁止，以确保数据的完整性、真实性、保密性。

内网管理区域：本区域位于安全管理系统交换机处，主要部署对全网进行全程管理监控的服务器和终端，如管理服务器、防病毒服务器等。

开发测试区域：本区域位于开发测试系统交换机处，其部署的设备供系统管理人员或系统集成商进行系统开发测试工作，该区域的设备须严格控制访问内网设备，并对接入本区域的终端实行严格的病毒防护。

信息服务区：本区域位于信息发布系统交换机处，为线网指挥中心系统与运营公司或地铁集团的其他信息系统提供信息交互的渠道，并提供移动决策系统和远程办公系统；因此在该区域要采用严格访问控制措施，该区域的用户和内网生产系统完全隔离。

系统展示区：本区域包含大屏幕系统、人机交互系统、参观演示系统、培训系统等，为线网指挥中心系统主要的业务平台；该区域的设备须严格控制访问内网设备，并对接入本区域的终端实行严格病毒防护。

针对上述安全区域的划分，各个安全区域的安全策略如下。

1）基本原则

在核心交换机和内网其他子系统的汇聚交换机边界处，部署防火墙，用于NCC系统内网各个子系统间的网络隔离。

2）数据接入区域

数据接入区域主要风险是线路、线网系统侧的非法连接和网络病毒。

在数据采集系统与各线路系统（SIG、ISCS等）和各线网系统（ACC、PCC等）之间部署防火墙，进行系统边界的隔离与防护，防止非授权访问和非法外联。

在数据接入系统交换机与线网指挥中心系统核心交换机之间部署防火墙和入侵防御系统（IPS），进行访问控制和网络隔离。

3）数据处理区域

数据处理区域主要风险是黑客对核心数据的恶意入侵和内部人员的非法操作。

在线网指挥中心系统核心交换机处旁路部署入侵检测系统，发现识别黑客常用入侵与攻击手段、监控网络异常通信、鉴别对系统漏洞及后门的利用、完善网络安全管理。使安全管理人员可以实时发现网络攻击和网络异常行为，并及时处理，保障系统正常运转。

在数据处理系统交换机处旁路部署数据库审计引擎，通过对调度人员的网络行为进行解析、分析、记录，帮助安全管理人员事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管。

内网关键设备如核心交换机等采用双链路、双设备，确保连接的可靠性。

4）开发测试区和系统展示区

在上述各区的汇聚层交换机与线网指挥中心系统核心层交换机之间部署防火墙，进行访问控制和网络隔离。

5）内网管理区域

内网管理区域主要风险是其被恶意入侵后，将丧失对线网指挥中心的掌控。

在内网管理区域的汇聚层交换机与线网指挥中心系统核心层交换机之间部署防火墙，进行访问控制和网络隔离。

在内网管理区域部署安全管理平台，实现安全设备、网络设备等的统一管理以及安全事件的发现、收集、分析、统计等功能。

在内网管理区域部署堡垒机，用于实现单点登录、多种认证服务等功能。

在内网管理区域部署漏洞扫描，定期对系统内外网进行系统漏洞扫描及加固，清晰定性安全风险，给出修复建议和预防措施，使安全管理人员可以实现安全自主掌控。

在内网管理区域部署数据库审计服务器、终端防病毒服务器和管理服务器。

由于国外品牌的大多数杀毒软件在碰到无法杀掉的感染文件时，采取保守策略，仅仅是警告用户或者将感染文件移至隔离区，国内的杀毒软件通常又采取删除文件的操作策略，在某些特殊环境下，这两种方法都有可能给用户带来问题。因此在内网管理区选用终端防病毒软件和终端管理软件相结合的部署方式，保证感染文件能通过网络移动到预先设定的病毒服务器的对应目录下，便于运营人员进行下一步处理。

6）信息发布区域

信息发布区域主要风险是其面临外部互联网的直接威胁，破坏地铁内网的纯净。

在信息发布区域汇聚层交换机与线网指挥中心系统核心交换机之间部署防火墙，实现该分区对内网设备的访问控制和网络隔离。部署数据网闸实现数据业务准物理隔离。部署防病毒网关实现网络病毒的过滤。

在信息服务区域外网边界处部署防火墙、入侵防御设备（IPS）、VPN网关等；其中，VPN网关负责管理人员的外网单点登陆；防火墙、入侵防御设备（IPS）实现信息服务区与外围隔离。

4 结束语

本文基于线网指挥中心的通用系统架构，提出满足安全等级保护三级要求的信息安全设计方案，可以为今后的城市线网指挥中心的建设和维护提供参考，并不断对方案进行优化，使系统具有在统一安全策略管控下，保护地铁集团核心数据资源的能力。

[1]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求[S].北京：中国计划出版社，2008.

[2]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南[S].北京：中国计划出版社，2008.

[3]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京：中国计划出版社，2010.

[4]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南[S].北京：中国标准出版社，2007.

[5]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 20984-2007 信息安全技术信息安全风险评估规范[S].北京：中国标准出版社，2007.

[6]尹嵘，石琦玉，张宁.城市轨道交通综合通信网的可靠性分析[J].铁路通信信号工程技术，2017，14（1）：40-44.

[7]刘靖，邹东，张劭，等.城市规道交通线线网运营指挥系统工程[M].北京:电子工业出版社，2017.

[8]李飞，吴春旺，王敏,等.信息安全理论与技术[M].西安: 西安电子科技大学出版社，2016.