城市轨道交通综合监控系统和FAS信息安全技术网络安全等级保护定级与方案研究

高强

关键词 综合监控系统 信息安全技术网络安全 等级保护

工业现场控制系统是石油、轨道交通、电力等国家工业基础设施的核心。该系统一旦遭受网络攻击，可能造成重特大安全事故，引起人员伤亡、环境灾难，危及公共生活及国家安全，因此保障其安全稳定运行具有重大意义[1～2] 。

针对城市轨道交通领域，通过查阅资料发现：国内学者主要关注综合监控系统的安全域的划分，即依据国家信息安全技术信息系统安全等级保护相关标准和指南的要求，给出综合监控系统信息安全技术网络安全等级保护的定级建议以及在定级基础上提出建设目标和较详尽的安全防护方案[3] 。国内学者较少关注FAS 信息安全技术网络安全等级保护。

1城市轨道交通信息安全技术网络安全等级保护定级

1.1综合监控系统

依据《城市轨道交通综合监控系统工程技术规范》（GB/ T 50636—2018），综合监控系统的信息安全应符合现行国家标准《工业控制系统信息安全第1 部分：评估规范》（GB/ T 30976.1）和《工业控制系统信息安全第2 部分：验收规范》（GB/ T 30976.2）的规定，且应按信息系统安全等级保护标准第三级进行设计、工程实施和验收。

据调研，全国城市轨道交通综合监控系统均按照信息系统安全等级保护标准第三级进行建设。

1.2FAS

随着信息安全技术网络安全等级保护进入2.0 时代，城市轨道交通FAS 信息安全技术网络安全渐渐引起了公安部门、测评机构、建设管理方、设计院、集成商等各方关注，成为各方讨论的重要课题。

经过对大连、青岛、西安、南京、合肥、武汉、佛山、长沙、成都、广州等地绝大多数在建和已通车地铁线路调研得知，信息安全技术网络安全设备（软件）廠家和FAS 集成商均反馈FAS 未专门进行信息安全技术网络安全建设。多家第三方信息安全技术网络安全等级保护测评机构反馈未做过FAS 信息安全技术网络安全等级保护测评。

2019 年，大连地铁建设有限公司聘请第三方测评机构（公司）对大连地铁1 号线和2 号线FAS 按照信息系统网络安全等级保护第二级进行等级保护测评。

2020 年8 月，大连地铁建设有限公司组织设计、监理和地铁生产系统总集单位针对大连地铁1 号线和2号线FAS 工业控制信息系统网络安全等级保护整改项目进行探讨，尝试对FAS 按照信息系统网络安全等级保护第二级进行配置，最终主要结论为：（1）未安装主机安全防护软件;（2）根据测评单位专家指导建议，针对系统边界保护、物理机房安全、授权访问机制及管理制度的严格实施，安全风险相对可控;（3）经过与等级保护测评公司沟通后确认，FAS 为网络底层设备，不具备网络数据传输机制，安全风险相对可控，做好系统的基础物理安全、授权访问即可。

2信息安全技术网络安全等级保护的基本要求

2.1综合监控系统

2019 年12 月1 日起实施的《信息安全技术网络安全等级保护基本要求》（GB/ T 22239—2019）指出，等级保护工作进入2.0 时代，信息安全技术网络安全强制执行力度加大，工作内容扩展，等级保护监管范围扩大，新兴场景重点防护的技术要求有所增强。

较等级保护1.0，等级保护2.0 发生了一些变化，主要体现在：（1）名称变化，即等级保护1.0 为《信息安全技术信息系统安全等级保护基本要求》，等级保护2.0 为《信息安全技术网络安全等级保护基本要求》;（2）内容变化，等级保护2.0 新增云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;（3）控制措施变化，等级保护2.0 强调“一个中心三重防护”，即安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;（4）测评标准变化，即等级保护1.0 的最低通过标准为60 分， 等级保护2.0 的最低通过标准为70 分以上，且无高风险项。

2.2FAS

2.2.1FAS 不建议安装主机防护软件

等级保护厂家不建议对系统进行补丁加固和修改，不建议安装主机防护软件。主要原因有：（1）FAS较独立、封闭，通信协议大多为私有协议，而等级保护防护软件一般仅支持标准协议，可能导致防护软件不能识别FAS 通信协议数据包，将会默认数据包丢失，从而造成FAS 通信中断，系统信息安全保护会报故障或者通信连接失败;（2）由于FAS 工作站的操作系统和应用都属于FAS 厂商定制的版本，对系统进行补丁加固和修改存在软件无法兼容、破坏系统完整性、干扰火灾报警信号传输等风险，不满足相关规范要求“在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新”条款。由于目前国内没有在建或已建地铁线FAS 单独专门配置系统信息安全防护设备（软件），此风险又不被大家所熟知和评估，故等级保护厂家一般不建议对系统进行补丁加固和修改，不建议安装主机防护软件;（3）根据网络版主机防护软件使用机制要求，该FAS 终端PC 设备所有网络配置为同一IP 地址，不具备安装网络版主机防护的条件。同时，FAS 为网络底层设备，不连接互联网，也不具备网络数据传输机制，安全风险相对可控，无须设置网络版防护软件。

2.2.2FAS 设备（数据）日志

FAS 较独立、封闭，通信协议大多为私有协议，可能导致FAS 设备日志不能被系统信息安全保护采集，系统信息安全保护无法进行日志审计。此外，FAS 未使用网络层应用，其主机安全服务器无法通过网络上传及下发相关数据日志。

3信息安全技术网络安全等级保护解决方案

3.1综合监控系统

3.1.1方案争议

综合监控系统FEP（前端处理器）用于管理ISCS系统与集成和互联系统（电力监控、环境与设备监控、站台门系统、列车自动监控、FAS、广播、视频监控、乘客信息、自动售检票、门禁、通信系统集中告警、线网管理平台等）的接口，具有转换各种硬件接口、软件协议的能力，同时能有效地把ISCS 系统与各集成和互联系统的数据进行隔离。ISCS 系统既可通过FEP 获得集成和互联系统的数据，也能通过FEP 完成发往被集成和互联系统的数据和命令。gzslib202204021809

作为综合监控系统中核心部件，在进行信息安全技术网络安全建设时，防火墙应将FEP 纳入防护范围，如图1 所示。不过，这会增加接口数量，因此国内部分轨道交通建设者建议可以将FEP 置于防火墙防护之外，将防火墙设置在FEP 上端口。

3.1.2建议配置清单

信息安全技术网络安全等级保护测评依据为《信息安全技术网络安全等级保护基本要求》（GB/ T22239—2019），主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行打分，70 分为合格线。涉及运营、管理、硬件设施、软件设施等轨道交通建设方应结合当地公安（测评机构）部门要求、建设线路运营管理特点、集成商（厂家）实际情况等条件，酌情进行信息安全技术网络安全硬件、软件系统配置，保证通过相应测评（安全等级认证）。

3.2FAS

单独组网型FAS 做好如下几点一般可满足第一级系统信息安全保护要求：（1） 车控室（消防控制室）应做到物理访问控制。车控室（消防控制室）出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员;（2）车控室（消防控制室）需具备安全的物理环境。车控室（消防控制室） 需防盗、防破坏、防雷击、防火、防水、防潮，保证温湿度适宜，设备正常运行运转，机房、电源供应稳定等。同时，远离强电磁干扰、强热源等环境，并定期对供配电、空调、温湿度控制、消防等设施进行维护和管理;（3）系统授权访问限制。应指定专门的部门或人员进行账户管理，控制设备应满足身份鉴别、访问控制等安全要求。

4结论

综合监控系统信息安全技术网络安全等级保护按照第三级進行设计、工程实施和验收，主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行打分，测评成绩70 分为合格线，涉及运营、管理、硬件设施、软件设施等。