技术分享 |【八步】提高城市轨道交通ISCS系统网络安全（上）

一、引言  

1.1 城市轨道交通综合监控系统概述

城市轨道交通综合监控系统（ISCS）是指以协同轨道交通运营调度管理为目的，在统一的计算机软件和硬件平台上集成各专业机电系统的系统管理平台。通俗地说，ISCS是一个高度集成的综合自动化监控系统，其目的主要是通过集成地铁中多个强、弱电系统，形成统一的监控层硬件平台和软件平台，从而实现对地铁主要的强、弱电设备的集中监控和管理功能。

现代的轨道交通实际运营中，需要多个专业的监控系统协调配合，它包含了内部的集成子系统和与其他自动化专业系统的互联，实现信息共享。而随着城市轨道交通建设的发展，综合监控系统集成和互联的子系统也会越来越多，如上海地铁的10号线是国内最大的综合监控系统之一，其集成和互联的子系统竟高达15个之多，几乎包含了城市轨道交通运行的所有子系统。

综合监控系统深度集成化、互联已经成为一种趋势，也反映了当下城市轨道交通发展的迫切需求。而这样的深度集成、深度互联的发展趋势也势必对城市轨道交通综合监控系统提出了更高的系统网络安全要求。

1.2 城市轨道交通ISCS系统结构分析

ISCS系统由中央综合监控系统、车站综合监控系统（包括车辆段综合监控系统）以及将它们连接的综合监控主干网组成。中央综合监控系统和车站综合监控系统的支持网为局域网，主干网为广域网。主干网分布在各地（车站）的节点与节点所支持的本地局域网构成了综合监控系统的总体网络架构。 

 综合监控系统最大设计特点就是三级调度、四级控制。三级调度指的是城市级指挥中心（如北京TCC系统）、中央级综合监控系统（OCC控制中心）和车站级综合监控系统；四级控制指的是城市级指挥中心控制、中央级综合监控系统控制、车站级综合监控系统控制、就地级控制。

二、城市轨道交通ISCS系统面临的安全挑战 

我们可以了解到，封闭性网络已经不是工控网络安全的绿洲，越来越多的封闭式网络遭受了攻击。最具代表性的事件是，2010年伊朗核燃料工厂遭遇“震网病毒”袭击，导致控制系统失效，1000台离心机损坏。而轨道交通也没有幸免于难，在2016年11月25日，美国旧金山轻轨系统的电脑屏幕上出现了“你被黑了，所有数据已加密。这是一起针对轨道交通系统的勒索软件攻击事件。一例接着一例的安全事件在不断地挑战着我们的神经。 

三、应采取增加ISCS系统网络安全性的具体行动的重点 

8月23日中国工程院沈昌祥院士在《中国经济大讲堂》演讲时讲到了三重防御体系，第一是保护重点，以前是办公室，如果想要盗取资料，直接盗入办公室，打开保险柜，即可获取资料，而现在是由机器组成的基础环境代替了原有的办公室环境，由边界代替了原有单位的各层检查，如警卫室、保卫室，最终到达办公室；第二是单位有保密室。干什么、什么文件、什么数据、能怎么处理等等，在安全领域中，我们称之为访问控制策略。第三是单位有很多监控室。到处部署摄像头，及时发现情况，传到监控室，发现异常及时处理。

三中科技认为这三重防护亦能很好的融合到城市轨道交通的网络安全建设中来，结合城市轨道交通综合监控系统的业务特点，三中科技总结了八点建议，通过这八步能够有效的提高综合监控系统的安全性，今天先与大家分享前四步。

第一步：梳理ISCS系统网络边界，形成边界“防守围墙”

对ISCS系统进行一次全面的风险分析，分析的主要目的是评估系统中存在的风险。同时对ISCS系统网络边界进行梳理，确定所有与ISCS系统存在业务交互的系统。确定边界后，在边界处通过部署工业防火墙对交互的数据流进行访问控制策略，保证只有可信任的设备才能接入到ISCS系统中。同时利用“白名单”技术交互的数据流进行协议审计解析，保证只有正确的数据流才能进入到ISCS中。 

第二步：实施内部和外部的行为监测系统，建立“纯净”的网络环境

为了能够有效应对网络攻击，必须建立整体ISCS网络环境的检测策略。通常情况下，第一想到的是部署入侵检测系统，但对于ISCS系统而言，仅仅部署入侵检测系统是不够的，毕竟入侵检测系统要依赖于其黑名单“库”，所以入侵检测系统更多作用是对外部系统与内部系统之间边界处的恶意代码流量进行检测。

在ISCS系统中，应部署采用“白名单”技术的监测审计系统，通过在各层级交换网络内部署工控监测与审计系统，对ISCS系统内部的所有活动建立正常通信模型，形成逻辑上“摄像头”，对安全事件进行全天候监测和快速响应，从而有效的保证只有可信任的消息才能在ISCS系统网络中传输。 

第三步：提高主机安全基线加固ISCS计算环境安全

在ISCS系统中，建议在工作站和服务器上安装主机加固系统，通过“文件级”白名单的方式，对可执行程序加载进行控制，保证只有经过验证的、可信任的可执行程序才能被执行。通过对可执行程序加载的控制，有效的解决工作站和服务器中毒的问题。三中科技在2017年利用主机加固系统成功的拦截了勒索病毒，防止了其对工业控制系统的破坏。

除病毒防护外，主机加固通过一键式加固的方式提升主机安全基线：

1） 提高用户身份验证的能力，服务器采用双因子身份认证，工作站采用高强度密码策略；

2） 加深了访问控制的颗粒度，形成ISCS系统计算环境的“保密室”，对系统内用户干什么、处理什么文件、处理什么数据、能怎么处理等进行严格控制；

3） 加强对外设管控，包括U盘、光驱等，一切非授权移动介质均无法使用。

第四步：建立安全管理“大脑”，通过技术手段有效支撑管理行为

“三分技术，七分管理”，安全管理在保证ISCS系统安全中也起到了至关重要的作用。而实际运营中，往往因为业务管理的关系，使得很多技术手段无法起到应有的作用，如策略颗粒度不细致等问题。为此，建议在ISCS系统中部署安全管理的“大脑”，通过“大脑”来保证全网安全设备的策略配置的一致性，从而形成有效的安全防护体系。 

四、结束语 

待续，三中科技将继续分享ISCS系统【八步】中的后四步。

三中科技深耕轨道交通行业安全建设，目前已承接多条城市轨道交通线路的信号系统、综合监控系统的等级保护安全建设。在大量的城市轨道交通网络安全防护案例中证明，三中科技对于轨道交通业务系统、业务场景、工业控制系统安全建设有着深入的理解，能够提供完整的安全解决方案，并依靠着成熟的技术服务团队提供良好的技术支撑，为城市轨道交通安全建设提供坚实的后盾。·

三中科技期待在城市轨道交通系统安全防护领域，与更多业界同仁不断探讨，持续深入。