背景概述

城市轨道交通是现代化都市的重要基础设施，它安全、迅速、舒适、便利地在城市范围内运送乘客，最大限度的满足市民出行的需要。城市轨道交通信号系统(SIG)通常由列车自动控制系统（Automatic Train Control，简称ATC）组成，ATC系统包括了列车自动监控系统（Automatic Train Supervision，简称ATS）、列车自动防护子系统（Automatic Train Protection，简称ATP）、列车自动运行系统（Automatic Train Operation，简称ATO）这三个子系统。三个子系统通过信息交换网络构成闭环系统，实现地面控制与车上控制结合、现地控制与中央控制结合，构成一个以安全设备为基础，集行车指挥、运行调整以及列车驾驶自动化等功能为一体的列车自动控制系统。

目前地铁信号系统(SIG)正逐步向智能化、智慧化发展。而有地铁信号系统(SIG)工控系统的智能化建设极有可能引入信息安全风险，且地铁信号系统(SIG)工控安全建设往往滞后于智能化、智慧化建设，无法应对日益增长的网络威胁，可能导致其遭受网络攻击而使生产停滞。因此需加快地铁信号系统(SIG)工控安全建设，保障地铁信号系统(SIG)工控系统安全稳定运行。

需求分析
01/ 标准合规性需求
地铁信号系统(SIG)要加快完成工控安全防护体系的建设工作，使之符合《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《工业控制系统信息安全防护指南》及地铁信号系统(SIG)工控安全相关要求。

02/ 业务安全性需求
从地铁信号系统(SIG)分为车站层、停车场/车辆段、控制中心等3个控制层，针对各个控制层进行需求分析：

车站层及停车场 / 车辆段

信号系统车站层及停车场/车辆段内部，各类安全威胁不断涌入控制系统，而信号系统（SIG）车站及停车场/车辆段缺少对工业流量监测审计的手段，无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，大大增大了网络入侵的风险，最终导致行车事故的发生。
信号系统的上位机、服务器等主机工控系统上位机、服务器漏洞无处不在，对打补丁比较排斥，身份鉴别过于单一等情况；各主机也未部署对已知与未知病毒的防护措施；车站及停车场/车辆段存在误操作、非法攻击、勒索病毒感染等风险，信号系统（SIG）车站及停车场/车辆段迫切需要对工控主机进行加固及病毒免疫等。

控制中心

控制中心层在建设初期主要考虑易用性和快速部署，因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
内部缺少对工业流量监测审计的手段，无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，极易产生网络入侵事件，最终导致安全生产事故的发生。
各工控系统的上位机、服务器等主机，可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况；同时主机无针对已知、未知病毒的防护措施，容易发生误操作、非法攻击、勒索病毒感染等安全事件，地铁信号系统(SIG)迫切需要提升工控主机安全防御能力。
因此需加强边界安全、安全配置检查、日志审计、漏洞发现、运维审计、安全管理平台等防护能力。

解决方案

针对信号系统的网络架构特点及相关标准规范要求，进行分层、分区、划域，各层次、区域之间采用合理的安全防护措施。

地铁信号系统(SIG)工控安全防护拓扑示意图

01/ 车站

1. 在设备集中站采用工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警。对异常操作行为与数据进行实时监测和报警。
2. 在设备集中站、非设备集中站等部署工控主机卫士软件系统。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

1. 在停车场/车辆段采用工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警。对异常操作行为与数据进行实时监测和报警。
2. 在停车场/车辆段工作站等部署工控主机卫士软件系统。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

1. 在轨旁接口服务器、线网接口服务器、大屏接口工作站、外系统等对外接口采用工业防火墙进行逻辑隔离，并进行细粒度控制。精准按域进行防护。
2. 在控制中心采用工业应用审计系统、入侵检测系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警。对异常操作行为与数据进行实时监测和报警。
3. 在调度大厅、运行图编辑室、中央信号设备室工作站、服务器等部署工控主机卫士软件系统。以白名单方式阻止非法进程运行及USB等外设接入，防止工业主机被破坏。