趙 晗 王燕娜 李建峰

(1.鄭州地鐵集團(tuán)有限公司， 450052， 鄭州； 2.河南輝煌城軌科技有限公司， 450052， 鄭州∥第一作者， 高級工程師)

城市軌道交通具有運(yùn)量大、速度快、安全舒適、班次密、準(zhǔn)點(diǎn)率高、節(jié)能環(huán)保等優(yōu)點(diǎn)，是廣大市民出行首選的綠色交通。ISCS(綜合監(jiān)控系統(tǒng))是城市軌道交通安全運(yùn)營、可靠運(yùn)營的保障，一旦發(fā)生系統(tǒng)安全風(fēng)險(xiǎn)，會(huì)直接影響乘客的生命安全，對社會(huì)、經(jīng)濟(jì)的影響也非常大。

2017年4月，中央密碼工作領(lǐng)導(dǎo)小組辦公室印發(fā)了《關(guān)于做好金融和重要領(lǐng)域國產(chǎn)密碼試點(diǎn)工作的通知》。2017年11月，中共河南省委密碼工作領(lǐng)導(dǎo)小組印發(fā)了《河南省金融和重要領(lǐng)域國產(chǎn)密碼應(yīng)用試點(diǎn)工作方案》。鄭州地鐵集團(tuán)有限公司作為全國唯一的城市軌道交通國產(chǎn)密碼應(yīng)用試點(diǎn)單位承擔(dān)試點(diǎn)任務(wù)，選取城市軌道交通4大核心系統(tǒng)先期進(jìn)行國產(chǎn)密碼應(yīng)用試點(diǎn)研究。

ISCS是城市軌道交通四大核心系統(tǒng)之一。本文主要就ISCS內(nèi)部可能存在的安全風(fēng)險(xiǎn)進(jìn)行分析，詳細(xì)介紹相應(yīng)的國產(chǎn)密碼應(yīng)用解決方案，以及在鄭州市市民文化服務(wù)區(qū)地下工程中的實(shí)際應(yīng)用。

1 ISCS安全風(fēng)險(xiǎn)分析

1.1 系統(tǒng)結(jié)構(gòu)

ISCS是用系統(tǒng)化方法將分散獨(dú)立的各類自動(dòng)化系統(tǒng)聯(lián)結(jié)為一個(gè)有機(jī)整體，從而形成一個(gè)新的綜合型自動(dòng)化監(jiān)控系統(tǒng)。該系統(tǒng)解決了城市軌道交通中各專業(yè)系統(tǒng)之間的信息互通、資源共享等問題，提高各系統(tǒng)的協(xié)調(diào)配合能力，實(shí)現(xiàn)系統(tǒng)間的高效聯(lián)動(dòng)機(jī)制。在技術(shù)層面上，該系統(tǒng)提供了高效的技術(shù)手段，增強(qiáng)了運(yùn)營管理人員對各種突發(fā)事件的應(yīng)變能力，提高了反應(yīng)速度，增強(qiáng)了災(zāi)害事故的抵御能力，從而提高了城市軌道交通運(yùn)營服務(wù)質(zhì)量和服務(wù)水平。

ISCS采用兩級管理、三級控制的結(jié)構(gòu)體系。兩級管理分別為中央級、車站級，三級控制分別為中央級、車站級和現(xiàn)場級。

中央級綜合監(jiān)控系統(tǒng)對全線重要監(jiān)控對象的狀態(tài)、性能數(shù)據(jù)進(jìn)行實(shí)時(shí)收集和處理，通過各種調(diào)度員工作站和大屏幕，以圖形、圖像、表格和文本的形式顯示出來，供調(diào)度人員控制和監(jiān)視。同時(shí)，根據(jù)一定的邏輯關(guān)系自動(dòng)向分布在各站點(diǎn)的被監(jiān)控對象或系統(tǒng)發(fā)送模式、程控、點(diǎn)控等控制命令，或由調(diào)度員人工發(fā)布控制命令，從而完成對全線環(huán)境、設(shè)備和客流信息的集中監(jiān)控。

車站級綜合監(jiān)控系統(tǒng)對本站監(jiān)控對象的狀態(tài)、性能數(shù)據(jù)進(jìn)行實(shí)時(shí)收集和處理，通過操作員工作站以圖形、圖像、表格和文本的形式顯示出來，供車站值班人員控制和監(jiān)視。當(dāng)中央級和主干網(wǎng)絡(luò)發(fā)生故障時(shí)，車站級仍可在車站范圍內(nèi)繼續(xù)進(jìn)行控制。

現(xiàn)場級是由BAS(環(huán)境監(jiān)控系統(tǒng))、FAS(防災(zāi)報(bào)警系統(tǒng))、PSCADA(電力監(jiān)控與數(shù)據(jù)采集)、PSD(站臺(tái)屏蔽門)、ACS(門禁系統(tǒng))、ATS(列車自動(dòng)監(jiān)控系統(tǒng))、AFC(自動(dòng)售檢票系統(tǒng))、CCTV(閉路電視)、PA(公共廣播)、PIS(乘客信息系統(tǒng))、CLK(時(shí)鐘)等系統(tǒng)的現(xiàn)場層設(shè)備組成。ISCS與BAS、FAS、PSCADA、PSD、ACS、ATS、AFC、CCTV、PA、PIS、CLK等系統(tǒng)在車站級或中央級進(jìn)行接口。一般采用工業(yè)控制網(wǎng)絡(luò)或現(xiàn)場總線，進(jìn)行分散控制結(jié)構(gòu)。

1.2 系統(tǒng)現(xiàn)狀及潛在安全風(fēng)險(xiǎn)

綜合監(jiān)控系統(tǒng)是一個(gè)相對封閉的局域網(wǎng)系統(tǒng)，具有分布范圍廣、設(shè)備數(shù)量大、系統(tǒng)使用人員多、軟件功能復(fù)雜等特點(diǎn)。目前綜合監(jiān)控系統(tǒng)的身份認(rèn)證采用用戶名和密碼登錄方式實(shí)現(xiàn)，并未對傳輸?shù)男畔?shù)據(jù)進(jìn)行加密。

因此，系統(tǒng)主要存在以下4類潛在安全風(fēng)險(xiǎn)：

1) 非法用戶登錄風(fēng)險(xiǎn)。在目前的綜合監(jiān)控系統(tǒng)中，每個(gè)操作人員都有一個(gè)對應(yīng)的用戶名和密碼。一個(gè)非法用戶在獲取他人的登錄名和密碼的情況下，可以正常地登錄系統(tǒng)平臺(tái)，一旦其在人機(jī)界面下發(fā)出控制命令，系統(tǒng)因無法識(shí)別出該類非授權(quán)的操作而正常執(zhí)行，就會(huì)造成不可預(yù)知的后果。

如何確認(rèn)登錄用戶身份的合法性以保證非法用戶無法正常登錄，就需要采取更可靠的手段來加以保證。

2) 非法設(shè)備接入風(fēng)險(xiǎn)。綜合監(jiān)控系統(tǒng)為分布式大型集成系統(tǒng)，系統(tǒng)用到的服務(wù)器、FEP(前置機(jī))、工作站等分散在中心和車站的各個(gè)房間，中心和各車站一般采用雙環(huán)網(wǎng)的方式組建骨干網(wǎng)，目前只要接入到系統(tǒng)環(huán)網(wǎng)交換機(jī)就能夠訪問系統(tǒng)資源。若一個(gè)未經(jīng)授權(quán)的設(shè)備接入了綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)，通過篡改或偽造控制命令，對電力、環(huán)控、門禁、售檢票、屏蔽門等系統(tǒng)設(shè)備進(jìn)行控制，將會(huì)造成非常嚴(yán)重的后果。

如何保證接入網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備都為合法的授權(quán)設(shè)備，非授權(quán)設(shè)備無法通過網(wǎng)絡(luò)環(huán)境進(jìn)入系統(tǒng)，這就是系統(tǒng)設(shè)備的認(rèn)證加密需求。

3) 偽造控制命令下發(fā)風(fēng)險(xiǎn)。在綜合監(jiān)控系統(tǒng)內(nèi)部存在多種通信鏈路，包括系統(tǒng)數(shù)據(jù)、設(shè)備實(shí)時(shí)狀態(tài)、歷史歸檔信息、事項(xiàng)記錄、控制命令及結(jié)果反饋等，這些信息具有不同的數(shù)據(jù)流向，使用TCP(傳輸控制協(xié)議)或UDP(用戶數(shù)據(jù)包協(xié)議)不同方式進(jìn)行傳輸。在數(shù)據(jù)傳輸中，控制數(shù)據(jù)流尤為重要，其他數(shù)據(jù)流在操作員界面大多是進(jìn)行數(shù)據(jù)的顯示處理，而控制數(shù)據(jù)流賦予了操作員工作站對系統(tǒng)監(jiān)控設(shè)備的控制功能，一旦篡改或偽造的控制命令下發(fā)，無疑會(huì)對系統(tǒng)的正常運(yùn)行造成損害。上述數(shù)據(jù)流通過數(shù)據(jù)掃描工具非常容易監(jiān)測到網(wǎng)絡(luò)上的數(shù)據(jù)報(bào)文，進(jìn)而竊取數(shù)據(jù)，同時(shí)也很容易偽造TCP或UDP數(shù)據(jù)包，進(jìn)而對網(wǎng)絡(luò)上的設(shè)備發(fā)起攻擊。

如何保證通信網(wǎng)絡(luò)上的重要數(shù)據(jù)內(nèi)容不被竊取，如何防止非法設(shè)備偽造發(fā)送控制指令，維護(hù)系統(tǒng)正常的控制管理規(guī)則，是網(wǎng)絡(luò)通信安全必須要解決的問題。

4) 數(shù)據(jù)泄露或被篡改風(fēng)險(xiǎn)。從數(shù)據(jù)存儲(chǔ)形式來看，綜合監(jiān)控系統(tǒng)數(shù)據(jù)主要有系統(tǒng)配置文件、數(shù)據(jù)庫文件、圖形文件3種。系統(tǒng)配置文件里包括系統(tǒng)正常運(yùn)行所必需的配置參數(shù)；數(shù)據(jù)庫文件主要包括用戶信息、系統(tǒng)參數(shù)、各監(jiān)控設(shè)備的信息以及事件信息等；圖形文件主要包括頁面、設(shè)備圖元等。目前，這些數(shù)據(jù)均是采用明文的方式進(jìn)行存儲(chǔ)。

系統(tǒng)配置參數(shù)通常以操作系統(tǒng)文件的形式在本地保存，一旦配置文件泄露，將造成綜合監(jiān)控系統(tǒng)平臺(tái)無法正常啟動(dòng)，或者可能會(huì)構(gòu)造一個(gè)虛假系統(tǒng)平臺(tái)對原有系統(tǒng)控制設(shè)備發(fā)送偽造控制命令。

數(shù)據(jù)庫文件中，用戶信息的安全是系統(tǒng)正常登錄的保障，因此要避免用戶信息被篡改或盜用。另外，一些重要且敏感的歷史數(shù)據(jù)也需要安全防護(hù)，避免被意外泄露，確保無權(quán)限操作人員無法查看系統(tǒng)的敏感數(shù)據(jù)，有權(quán)限操作人員查看的數(shù)據(jù)為真實(shí)可靠的。

如何保證數(shù)據(jù)庫關(guān)鍵字段以及重要的系統(tǒng)配置文件不被竊取，是數(shù)據(jù)存儲(chǔ)應(yīng)重點(diǎn)考慮的問題之一。

2 綜合監(jiān)控系統(tǒng)國產(chǎn)密碼應(yīng)用方案

針對上面4類安全風(fēng)險(xiǎn)，本文進(jìn)行了深入分析，形成了綜合監(jiān)控系統(tǒng)的國密應(yīng)用方案。該方案主要由系統(tǒng)認(rèn)證、通信加密和存儲(chǔ)加密3個(gè)部分組成。

國產(chǎn)密碼應(yīng)用于綜合監(jiān)控系統(tǒng)后的系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 綜合監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖

2.1 系統(tǒng)認(rèn)證

系統(tǒng)認(rèn)證包括對綜合監(jiān)控系統(tǒng)的服務(wù)器、工作站、FEP等設(shè)備的身份認(rèn)證，以及對綜合監(jiān)控系統(tǒng)的操作人員的用戶身份認(rèn)證，這是整個(gè)系統(tǒng)安全性的基礎(chǔ)。

對設(shè)備和用戶的身份認(rèn)證，使用UKey(智能密碼鑰匙)設(shè)備，采用SM2橢圓曲線公鑰密碼算法和SM9標(biāo)識(shí)密碼算法來實(shí)現(xiàn)數(shù)字簽名和認(rèn)證功能，保證只有授權(quán)合法用戶有權(quán)訪問系統(tǒng)。UKey具有完善的身份鑒別功能，能區(qū)分兩個(gè)不同的個(gè)體。將一個(gè)UKey與人或設(shè)備綁定，只有持有該UKey的人才具有相對應(yīng)的權(quán)限，別人無法冒名登錄，也無法有權(quán)限執(zhí)行。另外，利用UKey的追溯和防抵賴機(jī)制，能夠確認(rèn)網(wǎng)絡(luò)上執(zhí)行的操作就是本人操作。用戶認(rèn)證過程如圖2所示。

設(shè)備認(rèn)證過程如圖3所示。

綜合監(jiān)控系統(tǒng)軟件平臺(tái)記錄認(rèn)證結(jié)果，認(rèn)證未通過時(shí)，平臺(tái)軟件模塊不能正常啟動(dòng)，該登錄失敗操作將被記錄。通過系統(tǒng)的登錄日志可以查看非法用戶登錄記錄，也可以查看非法設(shè)備接入記錄，為系統(tǒng)問題的調(diào)查提供依據(jù)。

圖2 用戶認(rèn)證過程

圖3 設(shè)備認(rèn)證過程

2.2 通信加密

系統(tǒng)內(nèi)部通信時(shí)，關(guān)鍵數(shù)據(jù)采用密文形式傳輸，以保證網(wǎng)絡(luò)通信的安全。數(shù)據(jù)傳輸過程如圖4所示。

圖4 數(shù)據(jù)傳輸過程

用戶通道建立加密通信前，先進(jìn)行用戶密鑰的認(rèn)證，通過認(rèn)證后即可通過各種加密密鑰和存儲(chǔ)密鑰進(jìn)行數(shù)據(jù)的交換，密鑰都是動(dòng)態(tài)產(chǎn)生，防止了密鑰的泄露。

首先，由數(shù)據(jù)的發(fā)送方采用接收方的標(biāo)識(shí)密鑰對傳輸數(shù)據(jù)進(jìn)行加密；然后，發(fā)送給接收方，接收方收到數(shù)據(jù)后，用自身的標(biāo)識(shí)向密鑰管理中心申請認(rèn)證標(biāo)識(shí)的私鑰，密鑰管理中心認(rèn)證成功后將私鑰發(fā)送給接收方，數(shù)據(jù)的接收方即可使用該私鑰進(jìn)行數(shù)據(jù)解密。

2.3 存儲(chǔ)加密

由于綜合監(jiān)控系統(tǒng)涉及的數(shù)據(jù)庫數(shù)據(jù)和文件數(shù)據(jù)非常多，因此考慮到系統(tǒng)的性能，只對系統(tǒng)的關(guān)鍵核心數(shù)據(jù)(如用戶名和密碼、車站、關(guān)鍵配置等)進(jìn)行加密存儲(chǔ)，其他數(shù)據(jù)仍采用明文方式存儲(chǔ)。數(shù)據(jù)存儲(chǔ)加密通過調(diào)用符合國密要求的SDK軟件開發(fā)包來實(shí)現(xiàn)。

數(shù)據(jù)的存儲(chǔ)加密采用軟件SDK加密包的方式，使用SM3密碼雜湊算法和SM4分組加密算法來實(shí)現(xiàn)數(shù)據(jù)庫字段和配置文件存取的加解密功能。在數(shù)據(jù)存儲(chǔ)前，調(diào)用加密算法進(jìn)行數(shù)據(jù)加密，然后進(jìn)行數(shù)據(jù)庫存儲(chǔ)或文件存儲(chǔ)。在使用數(shù)據(jù)庫數(shù)據(jù)或配置文件前，先調(diào)用解密算法，對讀取的密文數(shù)據(jù)解密后再使用。在加解密過程，所需的加密和解密密鑰在設(shè)備UKey中保存。

通過數(shù)據(jù)的加密存儲(chǔ)，使數(shù)據(jù)的意外泄露造成的損失降到最低，為系統(tǒng)的穩(wěn)定運(yùn)行提供一個(gè)良好、安全、可靠的數(shù)據(jù)環(huán)境。

3 國產(chǎn)密碼在鄭州市市民文化服務(wù)區(qū)工程綜合監(jiān)控系統(tǒng)中的應(yīng)用

3.1 現(xiàn)場設(shè)備配置

鄭州市市民文化服務(wù)區(qū)工程綜合監(jiān)控系統(tǒng)一期工程范圍包括1個(gè)中心、6個(gè)車站和1個(gè)車輛段。

硬件：在中心部署1臺(tái)加密機(jī)，1套密管系統(tǒng)；在中心、車站、車輛段的各個(gè)服務(wù)器、FEP、工作站上配置1個(gè)設(shè)備UKey；對每個(gè)操作人員配置1個(gè)用戶UKey。

操作系統(tǒng)：服務(wù)器為Solaris；FEP、工作站為Redhat。

軟件平臺(tái)：在中心、車站、車輛段的各個(gè)服務(wù)器、FEP、工作站上部署輝煌城軌自動(dòng)化監(jiān)控平臺(tái)(MAS)V2.0。

3.2 國密功能

鄭州市市民文化服務(wù)區(qū)工程現(xiàn)場國密功能測試結(jié)果如表1所示。

表1 現(xiàn)場國密功能測試結(jié)果

3.3 國產(chǎn)密碼應(yīng)用于綜合監(jiān)控系統(tǒng)后的系統(tǒng)性能

鄭州市市民文化服務(wù)區(qū)工程現(xiàn)場性能測試結(jié)果如表2所示。

表2 系統(tǒng)性能測試結(jié)果

根據(jù)測試結(jié)果，綜合監(jiān)控系統(tǒng)增加國密功能后性能指標(biāo)仍然符合GB/T 50636—2018《城市軌道交通綜合監(jiān)控系統(tǒng)工程技術(shù)標(biāo)準(zhǔn)》。

4 結(jié)語

在鄭州市市民文化服務(wù)區(qū)地下交通工程綜合監(jiān)控系統(tǒng)的1個(gè)中心、6個(gè)車站、1個(gè)車輛段的現(xiàn)場環(huán)境下，進(jìn)行了綜合監(jiān)控系統(tǒng)國密應(yīng)用方案的測試和長期試點(diǎn)應(yīng)用，實(shí)現(xiàn)了用戶和設(shè)備的身份認(rèn)證、訪問控制、信息安全傳遞，提升了綜合監(jiān)控系統(tǒng)的安全性。該國密方案中使用的國產(chǎn)密碼算法、技術(shù)和設(shè)備均為國內(nèi)自主設(shè)計(jì)、自主研發(fā)，符合國家對信息安全的“自主、安全、可控”要求。該系統(tǒng)的研發(fā)為城市軌道交通信息化安全建設(shè)提供了新的思路，可更好地為公眾提供安全、便捷的出行。