白 雪

（西安市軌道交通集團(tuán)有限公司，西安 710021）

城市軌道交通信息化系統(tǒng)的集成化、智能化程度越來越高，隨之而來的網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也變得更大，信息系統(tǒng)一旦出現(xiàn)故障，車輛調(diào)度、故障報警、安全運(yùn)維等各個環(huán)節(jié)都將無法正常進(jìn)行。而LTE 作為承載信號系統(tǒng)CBTC 業(yè)務(wù)涉及行車安全，若出現(xiàn)網(wǎng)絡(luò)安全事故將直接影響人們的正常生活，因此，對城市軌道交通LTE 系統(tǒng)安全的3 級等級保護(hù)研究有著重要意義。本文通過羅列LTE 系統(tǒng)2個等保接入方案，對比方案并選擇最優(yōu)方案，實現(xiàn)LTE 網(wǎng)絡(luò)的等保接入，確保列車高效率運(yùn)行。

1 工程背景

1.1 等保設(shè)備組成

西安地鐵14 號線在控制中心部署統(tǒng)一的安全管理平臺，方便對LTE 系統(tǒng)部署工業(yè)防火墻、工業(yè)安全監(jiān)測與審計系統(tǒng)和工控主機(jī)衛(wèi)士等所有安全防護(hù)設(shè)備，進(jìn)行統(tǒng)一管理和維護(hù)。LTE 系統(tǒng)等保設(shè)備主要分為硬件安全設(shè)備和主機(jī)防護(hù)軟件2 大部分，其中硬件設(shè)備包含統(tǒng)一安全管理平臺、安全運(yùn)維管理系統(tǒng)、日志審計與分析系統(tǒng)、漏洞掃描系統(tǒng)、工控安全監(jiān)測與審計系統(tǒng)、入侵檢測系統(tǒng)和A、B 網(wǎng)工業(yè)互聯(lián)防火墻，具體安全設(shè)備及作用如表1 所示。

表1 安全設(shè)備Tab.1 Safety equipment

1.2 LTE有線部分既有接口

西安地鐵14 號線車地通信采用基于TD-LTE的寬帶移動通信系統(tǒng)，LTE 綜合承載子系統(tǒng)作為信號系統(tǒng)數(shù)據(jù)通信子系統(tǒng)（Data Communications System，DCS）的組成部分，采用A、B 雙網(wǎng)冗余組網(wǎng)設(shè)計，信號CBTC 業(yè)務(wù)信息通過A、B 雙網(wǎng)承載并同時傳輸，保證其對網(wǎng)絡(luò)可靠性的要求。同時還與通信PIS 系統(tǒng)、車輛TCMS 系統(tǒng)、通信集中告警系統(tǒng)及時鐘系統(tǒng)都存在有物理接口。其中A 網(wǎng)設(shè)有上述全部物理接口，B 網(wǎng)設(shè)置除通信PIS 系統(tǒng)外的全部物理接口。LTE 系統(tǒng)有線部分網(wǎng)絡(luò)與外部系統(tǒng)的物理接口均設(shè)置在控制中心A、B 網(wǎng)核心網(wǎng)交換機(jī)上，具體位置如表2 所示。

表2 LTE系統(tǒng)有線部分網(wǎng)絡(luò)與外部系統(tǒng)的物理接口Tab.2 Physical interfaces between LTE wired network and external systems

LTE 網(wǎng)管工作站分布情況：停車場網(wǎng)管室A、B網(wǎng)各1 臺；控制中心網(wǎng)管室、控制中心通信設(shè)備室A、B 網(wǎng)各1 臺。此次14 號線部署的旁路設(shè)備為工控安全監(jiān)測與審計系統(tǒng)和入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的數(shù)據(jù)來源是由工控安全監(jiān)測與審計系統(tǒng)發(fā)送，入侵檢測系統(tǒng)業(yè)務(wù)口不接入LTE 核心交換機(jī)，只有工控安全監(jiān)測與審計系統(tǒng)通過核心交換機(jī)的鏡像功能接收數(shù)據(jù)，且該設(shè)備只被動接收數(shù)據(jù)進(jìn)行分析，監(jiān)視交換機(jī)內(nèi)的網(wǎng)絡(luò)流量和會話情況，不會主動對LTE 網(wǎng)絡(luò)轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)，不對LTE 網(wǎng)絡(luò)造成影響。

2 等保部署方案一

2.1 工業(yè)防火墻接入

將工業(yè)防火墻串接在LTE 核心交換機(jī)與其他外部接口（CBTC、信號、集中告警、時鐘、CCTV、PIS）之間，對LTE 網(wǎng)絡(luò)邊界進(jìn)行隔離，工業(yè)防火墻的管理口連接在LTE 核心交換機(jī)劃分的VLAN內(nèi)，為完成與其他安全設(shè)備組網(wǎng)。

2.2 旁路設(shè)備接入

統(tǒng)一安全管理平臺、安全運(yùn)維管理系統(tǒng)、日志審計與分析系統(tǒng)、漏洞掃描系統(tǒng)、工控安全監(jiān)測與審計系統(tǒng)、入侵檢測系統(tǒng)旁路均部署在LTE 的核心交換機(jī)處，其中統(tǒng)一安全管理平臺需對工業(yè)防火墻、工控安全監(jiān)測與審計系統(tǒng)、工控主機(jī)衛(wèi)士進(jìn)行統(tǒng)一管理，并負(fù)責(zé)接收運(yùn)行狀態(tài)和告警信息的安全設(shè)備策略管理和下發(fā)，具體系統(tǒng)網(wǎng)絡(luò)拓?fù)淙鐖D1 所示。

圖1 方案1系統(tǒng)網(wǎng)絡(luò)拓?fù)銯ig.1 System network topology of solution 1

日志審計分析系統(tǒng)負(fù)責(zé)對LTE 系統(tǒng)內(nèi)所有網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、安全設(shè)備等相關(guān)日志信息進(jìn)行統(tǒng)一收集分析和展示。漏洞掃描系統(tǒng)旁路負(fù)責(zé)對LTE 系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器和工作站等進(jìn)行漏洞掃描和檢查。工控安全監(jiān)測與審計系統(tǒng)和入侵檢測系統(tǒng)各自的業(yè)務(wù)口被動接收LTE 核心交換機(jī)發(fā)來的鏡像流量，主要負(fù)責(zé)對網(wǎng)絡(luò)會話流量及網(wǎng)絡(luò)內(nèi)的入侵或惡意行為分析和采集。安全運(yùn)維管理系統(tǒng)通過2 個管理口對LTE 系統(tǒng)的服務(wù)器、工作站、交換機(jī)等進(jìn)行集中運(yùn)維管理，同時通過管理口將安全運(yùn)維管理系統(tǒng)產(chǎn)生的日志信息發(fā)送至日志審計與分析系統(tǒng)。

2.3 主機(jī)安全衛(wèi)士接入

工控主機(jī)衛(wèi)士軟件為白名單機(jī)制的終端防護(hù)軟件，部署在控制中心網(wǎng)管室的LTE 網(wǎng)管工作站中，用于維護(hù)控制中心通信設(shè)備室的服務(wù)器和車站的服務(wù)器等。該軟件除在主機(jī)層面開展安全防護(hù)，也需將終端狀態(tài)和告警及日志信息發(fā)送至統(tǒng)一安全管理平臺，接收統(tǒng)一安全管理平臺的策略指令。

3 等保部署方案二

3.1 旁路設(shè)備接入

本方案在交換機(jī)內(nèi)對安全設(shè)備管理口進(jìn)行2 層隔離，使安全設(shè)備與LTE 網(wǎng)絡(luò)內(nèi)其他設(shè)備不產(chǎn)生通信；其次所有安全設(shè)備的管理口只接在LTE 的A網(wǎng)交換機(jī)，因此不會對LTE 的B 網(wǎng)產(chǎn)生影響；同時日志審計與分析系統(tǒng)、安全運(yùn)維管理系統(tǒng)只對此VLAN 內(nèi)安全設(shè)備的日志進(jìn)行運(yùn)維管理。A/B 網(wǎng)各配1 臺工業(yè)防火墻進(jìn)行部署，所有安全設(shè)備管理口及旁路部署的安全設(shè)備的業(yè)務(wù)口只接入A 網(wǎng)核心交換機(jī)， 均不接入B 網(wǎng)，同時工業(yè)防火墻的管理口只用于設(shè)備狀態(tài)和告警信息的上傳和策略接收。并且系統(tǒng)中管理口與業(yè)務(wù)口不關(guān)聯(lián)，因此串接在B 網(wǎng)的工業(yè)防火墻不會因業(yè)務(wù)接入而影響B(tài) 網(wǎng)，系統(tǒng)的管理口接入A 網(wǎng)也不會對A/B 網(wǎng)業(yè)務(wù)產(chǎn)生影響。系統(tǒng)網(wǎng)絡(luò)拓?fù)淙鐖D2 所示。

圖2 方案2系統(tǒng)網(wǎng)絡(luò)拓?fù)銯ig.2 System network topology of solution 2

3.2 主機(jī)安全衛(wèi)士接入

因統(tǒng)一安全管理平臺只接入A 網(wǎng)，且無法與LTE 系統(tǒng)內(nèi)的所有工作站和服務(wù)器進(jìn)行通信，致使工控主機(jī)衛(wèi)士無法通過平臺獲取授權(quán)和集中管理，因此需將LTE 系統(tǒng)所需部署的主機(jī)衛(wèi)士改為單機(jī)版軟件進(jìn)行部署。單機(jī)版的告警信息和日志內(nèi)容記錄在本地進(jìn)行信息處理，統(tǒng)一安全管理平臺部署完畢后再進(jìn)行主機(jī)安全衛(wèi)士的接入。需要在14 號線各車站、停車場、控制中心通信網(wǎng)管室以及控制中心通信設(shè)備室的LTE 相關(guān)網(wǎng)管工作站進(jìn)行安裝，實現(xiàn)各站級安全監(jiān)測條件。

4 方案對比

1）部署方案一

所有硬件設(shè)備所連接的端口劃分了VLAN 及VLAN 地址，設(shè)備網(wǎng)卡配置了網(wǎng)關(guān)，安全設(shè)備可遍歷訪問至LTE 全網(wǎng)設(shè)備，可能會對LTE 網(wǎng)絡(luò)造成影響。在空策略防火墻接入確認(rèn)對相關(guān)業(yè)務(wù)無影響且穩(wěn)定運(yùn)行一段時間以后，沒有對A 網(wǎng)防火墻做1個寬松的策略模板，致使交換機(jī)資源被大量占用。交換機(jī)會對所有接收到的數(shù)據(jù)包進(jìn)行CRC 錯誤檢測和長度校驗，將檢查出有錯誤的包丟棄，正確的包轉(zhuǎn)發(fā)。該過程中可能存在CRC 錯誤檢測和長度校驗中均未檢測出的錯誤包，將會堆積在動態(tài)緩存中，等緩存中堆積滿就會造成交換機(jī)死機(jī)的現(xiàn)象。

2）部署方案二

本方案中取消了安全設(shè)備所屬VLAN 的路由，在交換機(jī)內(nèi)對安全設(shè)備管理口進(jìn)行2 層隔離，避免安全設(shè)備與LTE 網(wǎng)絡(luò)內(nèi)其他設(shè)備產(chǎn)生通信；其次，所有安全設(shè)備的管理口及旁路部署安全設(shè)備的業(yè)務(wù)口，只接在LTE 的A 網(wǎng)交換機(jī)，避免對LTE 的B網(wǎng)產(chǎn)生影響，取消了安全設(shè)備所屬VLAN 的路由；LTE A 網(wǎng)核心網(wǎng)交換機(jī)只為旁路設(shè)備提供內(nèi)部交換的接口，且接口均劃分在一個2 層VLAN 下。需在14 號線相關(guān)站點及設(shè)備室的LTE 相關(guān)網(wǎng)管工作站安裝工控主機(jī)衛(wèi)士。

3）方案比較

部署方案一能夠詳細(xì)遍歷LTE 全網(wǎng)設(shè)備，對網(wǎng)絡(luò)出現(xiàn)問題能夠?qū)崟r檢測，并給出檢測信息，對于LTE 網(wǎng)管工作站和服務(wù)器改造升級較大，若網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)風(fēng)暴、MAC 地址漂移等現(xiàn)象，不能夠快速定位故障點；而部署方案二增加了2 層隔離交換機(jī)，對于LTE 網(wǎng)絡(luò)起過濾隔離作用，不用詳細(xì)遍歷LTE 全網(wǎng)，網(wǎng)絡(luò)風(fēng)險較小，網(wǎng)絡(luò)時延較小，并且一旦LTE 網(wǎng)絡(luò)出現(xiàn)問題能夠快速定位故障點，但是對于網(wǎng)絡(luò)各節(jié)點遍歷性要求降低。西安地鐵14 號線鑒于傳輸速率及可靠性要求，采取方案二實現(xiàn)LTE 等保系統(tǒng)的接入。現(xiàn)以網(wǎng)絡(luò)時延作為性能評估指標(biāo)，若流量傳輸時間越小則表明網(wǎng)絡(luò)傳輸性能越好，反之則傳輸性能越差；通過外掛檢測設(shè)備來計算平均時延。并對系統(tǒng)的傳輸時延進(jìn)行統(tǒng)計，通過累加計算出各檢測系統(tǒng)中各路徑的傳輸時延，如公式（1）所示。

圖3 時延對比Fig.3 Time delay comparison diagram

從圖3 中可以看出，2 種部署方案的平均傳輸時延均隨負(fù)載的增加而增加；當(dāng)流量負(fù)載低于300 Mbits/s 時，2 種部署方案平均時延相差不大，但當(dāng)負(fù)載超過300 Mbit/s 之后，2 種部署方案平均時延的上升趨勢都較為明顯，這是由于隨著流量負(fù)載的不斷增加，網(wǎng)絡(luò)鏈路負(fù)載增加，因此鏈路傳輸過程中會出現(xiàn)網(wǎng)絡(luò)時延增加的現(xiàn)象，但從整體來看，隨著負(fù)載的增加，部署方案二降低網(wǎng)絡(luò)時延的能力更為凸顯。

5 等保設(shè)備接入實施步驟

1）刪除LTE 核心網(wǎng)交換機(jī)上等保設(shè)備管理業(yè)務(wù)的Vlanif 地址（即等保安全設(shè)備的網(wǎng)關(guān)），在A網(wǎng)核心交換機(jī)44 口配置為工控安全監(jiān)測與審計系統(tǒng)所需的鏡像口，用于接受捕獲集中告警、時鐘系統(tǒng)接口的流量。

2）接空策略防火墻，并且利用1 ～2 個動車點測試A 網(wǎng)防火墻功能，確認(rèn)無異常再接入B 網(wǎng)。

3）防火墻安全策略確認(rèn)無異常后，利用1 ～2個動車點測試A 網(wǎng)核心交換機(jī)旁路設(shè)備。逐個設(shè)備接入并檢測，確認(rèn)旁路設(shè)備無影響后，在A 網(wǎng)核心交換機(jī)正式接入旁路設(shè)備。

4）在空策略防火墻上加載安全策略，并且利用1 ～2 個動車點測試A 網(wǎng)防火墻對策略工作效果，觀察網(wǎng)絡(luò)是否存在異常，確認(rèn)無異常再在B 網(wǎng)防火墻上加載并測試安全策略。

5）工控主機(jī)衛(wèi)士安裝測試，在1 臺影響較小的工作站進(jìn)行系統(tǒng)備份和病毒查殺工作，如出現(xiàn)問題或主機(jī)病毒，可將備份的系統(tǒng)回退避免影響，由運(yùn)營和廠家共同確認(rèn)并進(jìn)行殺毒處理，再無上述問題之后進(jìn)行主機(jī)衛(wèi)士安裝測試。

6）測試后主機(jī)衛(wèi)士運(yùn)行無任何問題，對剩余網(wǎng)管工作站進(jìn)行系統(tǒng)備份、病毒查殺和主機(jī)衛(wèi)士安裝的工作。

6 風(fēng)險控制

1）參考CCTV 系統(tǒng)工業(yè)防火墻接入時，因時鐘接口長時間中斷而導(dǎo)致無法自動校時的問題，在LTE 系統(tǒng)工業(yè)防火墻接入完成后，對系統(tǒng)設(shè)備的校時情況進(jìn)行查驗，確認(rèn)網(wǎng)絡(luò)時鐘(Network Time Protocol，NTP)恢復(fù)正常。

2）防火墻安全策略涉及對PIS/CCTV 業(yè)務(wù)、時鐘系統(tǒng)、集中告警系統(tǒng)業(yè)務(wù)報文的白名單過濾，需要相關(guān)專業(yè)廠家對與其系統(tǒng)相關(guān)的安全策略進(jìn)行評審，并在策略加載完成后進(jìn)行業(yè)務(wù)確認(rèn)。

3）防火墻安全策略部署完成后，外部系統(tǒng)升級或配置變更時應(yīng)考慮其業(yè)務(wù)是否與原安全策略相匹配，避免新增業(yè)務(wù)報文被攔截。

7 總結(jié)

本文研究基于軌道交通LTE 系統(tǒng)等級保護(hù)接入問題，在控制中心設(shè)置統(tǒng)一安全管理平臺實現(xiàn)對信號系統(tǒng)全網(wǎng)安全設(shè)備、安全事件、安全策略、安全運(yùn)維的統(tǒng)一集中監(jiān)控、管理及預(yù)警，提高全面的安全管理、風(fēng)險管理能力。列出2 個接入方案，對比方案優(yōu)缺點，選擇最優(yōu)方案接入，總結(jié)接入要點及風(fēng)險控制，接口對接過程中注意事項等，為今后軌道交通LTE 等保系統(tǒng)的接入提供可參考價值。