軌道交通LTE系統等保接入方案及實現

白 雪

（西安市軌道交通集團有限公司，西安 710021）

城市軌道交通信息化系統的集成化、智能化程度越來越高，隨之而來的網絡安全面臨的挑戰也變得更大，信息系統一旦出現故障，車輛調度、故障報警、安全運維等各個環節都將無法正常進行。而LTE 作為承載信號系統CBTC 業務涉及行車安全，若出現網絡安全事故將直接影響人們的正常生活，因此，對城市軌道交通LTE 系統安全的3 級等級保護研究有著重要意義。本文通過羅列LTE 系統2個等保接入方案，對比方案并選擇最優方案，實現LTE 網絡的等保接入，確保列車高效率運行。

1 工程背景

1.1 等保設備組成

西安地鐵14 號線在控制中心部署統一的安全管理平臺，方便對LTE 系統部署工業防火墻、工業安全監測與審計系統和工控主機衛士等所有安全防護設備，進行統一管理和維護。LTE 系統等保設備主要分為硬件安全設備和主機防護軟件2 大部分，其中硬件設備包含統一安全管理平臺、安全運維管理系統、日志審計與分析系統、漏洞掃描系統、工控安全監測與審計系統、入侵檢測系統和A、B 網工業互聯防火墻，具體安全設備及作用如表1 所示。

表1 安全設備Tab.1 Safety equipment

1.2 LTE有線部分既有接口

西安地鐵14 號線車地通信采用基于TD-LTE的寬帶移動通信系統，LTE 綜合承載子系統作為信號系統數據通信子系統（Data Communications System，DCS）的組成部分，采用A、B 雙網冗余組網設計，信號CBTC 業務信息通過A、B 雙網承載并同時傳輸，保證其對網絡可靠性的要求。同時還與通信PIS 系統、車輛TCMS 系統、通信集中告警系統及時鐘系統都存在有物理接口。其中A 網設有上述全部物理接口，B 網設置除通信PIS 系統外的全部物理接口。LTE 系統有線部分網絡與外部系統的物理接口均設置在控制中心A、B 網核心網交換機上，具體位置如表2 所示。

表2 LTE系統有線部分網絡與外部系統的物理接口Tab.2 Physical interfaces between LTE wired network and external systems

LTE 網管工作站分布情況：停車場網管室A、B網各1 臺；控制中心網管室、控制中心通信設備室A、B 網各1 臺。此次14 號線部署的旁路設備為工控安全監測與審計系統和入侵檢測系統。入侵檢測系統的數據來源是由工控安全監測與審計系統發送，入侵檢測系統業務口不接入LTE 核心交換機，只有工控安全監測與審計系統通過核心交換機的鏡像功能接收數據，且該設備只被動接收數據進行分析，監視交換機內的網絡流量和會話情況，不會主動對LTE 網絡轉發業務數據，不對LTE 網絡造成影響。

2 等保部署方案一

2.1 工業防火墻接入

將工業防火墻串接在LTE 核心交換機與其他外部接口（CBTC、信號、集中告警、時鐘、CCTV、PIS）之間，對LTE 網絡邊界進行隔離，工業防火墻的管理口連接在LTE 核心交換機劃分的VLAN內，為完成與其他安全設備組網。

2.2 旁路設備接入

統一安全管理平臺、安全運維管理系統、日志審計與分析系統、漏洞掃描系統、工控安全監測與審計系統、入侵檢測系統旁路均部署在LTE 的核心交換機處，其中統一安全管理平臺需對工業防火墻、工控安全監測與審計系統、工控主機衛士進行統一管理，并負責接收運行狀態和告警信息的安全設備策略管理和下發，具體系統網絡拓撲如圖1 所示。

圖1 方案1系統網絡拓撲Fig.1 System network topology of solution 1

日志審計分析系統負責對LTE 系統內所有網絡設備、服務器、工作站、安全設備等相關日志信息進行統一收集分析和展示。漏洞掃描系統旁路負責對LTE 系統內的網絡設備、服務器和工作站等進行漏洞掃描和檢查。工控安全監測與審計系統和入侵檢測系統各自的業務口被動接收LTE 核心交換機發來的鏡像流量，主要負責對網絡會話流量及網絡內的入侵或惡意行為分析和采集。安全運維管理系統通過2 個管理口對LTE 系統的服務器、工作站、交換機等進行集中運維管理，同時通過管理口將安全運維管理系統產生的日志信息發送至日志審計與分析系統。

2.3 主機安全衛士接入

工控主機衛士軟件為白名單機制的終端防護軟件，部署在控制中心網管室的LTE 網管工作站中，用于維護控制中心通信設備室的服務器和車站的服務器等。該軟件除在主機層面開展安全防護，也需將終端狀態和告警及日志信息發送至統一安全管理平臺，接收統一安全管理平臺的策略指令。

3 等保部署方案二

3.1 旁路設備接入

本方案在交換機內對安全設備管理口進行2 層隔離，使安全設備與LTE 網絡內其他設備不產生通信；其次所有安全設備的管理口只接在LTE 的A網交換機，因此不會對LTE 的B 網產生影響；同時日志審計與分析系統、安全運維管理系統只對此VLAN 內安全設備的日志進行運維管理。A/B 網各配1 臺工業防火墻進行部署，所有安全設備管理口及旁路部署的安全設備的業務口只接入A 網核心交換機， 均不接入B 網，同時工業防火墻的管理口只用于設備狀態和告警信息的上傳和策略接收。并且系統中管理口與業務口不關聯，因此串接在B 網的工業防火墻不會因業務接入而影響B 網，系統的管理口接入A 網也不會對A/B 網業務產生影響。系統網絡拓撲如圖2 所示。

圖2 方案2系統網絡拓撲Fig.2 System network topology of solution 2

3.2 主機安全衛士接入

因統一安全管理平臺只接入A 網，且無法與LTE 系統內的所有工作站和服務器進行通信，致使工控主機衛士無法通過平臺獲取授權和集中管理，因此需將LTE 系統所需部署的主機衛士改為單機版軟件進行部署。單機版的告警信息和日志內容記錄在本地進行信息處理，統一安全管理平臺部署完畢后再進行主機安全衛士的接入。需要在14 號線各車站、停車場、控制中心通信網管室以及控制中心通信設備室的LTE 相關網管工作站進行安裝，實現各站級安全監測條件。

4 方案對比

1）部署方案一

所有硬件設備所連接的端口劃分了VLAN 及VLAN 地址，設備網卡配置了網關，安全設備可遍歷訪問至LTE 全網設備，可能會對LTE 網絡造成影響。在空策略防火墻接入確認對相關業務無影響且穩定運行一段時間以后，沒有對A 網防火墻做1個寬松的策略模板，致使交換機資源被大量占用。交換機會對所有接收到的數據包進行CRC 錯誤檢測和長度校驗，將檢查出有錯誤的包丟棄，正確的包轉發。該過程中可能存在CRC 錯誤檢測和長度校驗中均未檢測出的錯誤包，將會堆積在動態緩存中，等緩存中堆積滿就會造成交換機死機的現象。

2）部署方案二

本方案中取消了安全設備所屬VLAN 的路由，在交換機內對安全設備管理口進行2 層隔離，避免安全設備與LTE 網絡內其他設備產生通信；其次，所有安全設備的管理口及旁路部署安全設備的業務口，只接在LTE 的A 網交換機，避免對LTE 的B網產生影響，取消了安全設備所屬VLAN 的路由；LTE A 網核心網交換機只為旁路設備提供內部交換的接口，且接口均劃分在一個2 層VLAN 下。需在14 號線相關站點及設備室的LTE 相關網管工作站安裝工控主機衛士。

3）方案比較

部署方案一能夠詳細遍歷LTE 全網設備，對網絡出現問題能夠實時檢測，并給出檢測信息，對于LTE 網管工作站和服務器改造升級較大，若網絡出現網絡風暴、MAC 地址漂移等現象，不能夠快速定位故障點；而部署方案二增加了2 層隔離交換機，對于LTE 網絡起過濾隔離作用，不用詳細遍歷LTE 全網，網絡風險較小，網絡時延較小，并且一旦LTE 網絡出現問題能夠快速定位故障點，但是對于網絡各節點遍歷性要求降低。西安地鐵14 號線鑒于傳輸速率及可靠性要求，采取方案二實現LTE 等保系統的接入?，F以網絡時延作為性能評估指標，若流量傳輸時間越小則表明網絡傳輸性能越好，反之則傳輸性能越差；通過外掛檢測設備來計算平均時延。并對系統的傳輸時延進行統計，通過累加計算出各檢測系統中各路徑的傳輸時延，如公式（1）所示。

圖3 時延對比Fig.3 Time delay comparison diagram

從圖3 中可以看出，2 種部署方案的平均傳輸時延均隨負載的增加而增加；當流量負載低于300 Mbits/s 時，2 種部署方案平均時延相差不大，但當負載超過300 Mbit/s 之后，2 種部署方案平均時延的上升趨勢都較為明顯，這是由于隨著流量負載的不斷增加，網絡鏈路負載增加，因此鏈路傳輸過程中會出現網絡時延增加的現象，但從整體來看，隨著負載的增加，部署方案二降低網絡時延的能力更為凸顯。

5 等保設備接入實施步驟

1）刪除LTE 核心網交換機上等保設備管理業務的Vlanif 地址（即等保安全設備的網關），在A網核心交換機44 口配置為工控安全監測與審計系統所需的鏡像口，用于接受捕獲集中告警、時鐘系統接口的流量。

2）接空策略防火墻，并且利用1 ～2 個動車點測試A 網防火墻功能，確認無異常再接入B 網。

3）防火墻安全策略確認無異常后，利用1 ～2個動車點測試A 網核心交換機旁路設備。逐個設備接入并檢測，確認旁路設備無影響后，在A 網核心交換機正式接入旁路設備。

4）在空策略防火墻上加載安全策略，并且利用1 ～2 個動車點測試A 網防火墻對策略工作效果，觀察網絡是否存在異常，確認無異常再在B 網防火墻上加載并測試安全策略。

5）工控主機衛士安裝測試，在1 臺影響較小的工作站進行系統備份和病毒查殺工作，如出現問題或主機病毒，可將備份的系統回退避免影響，由運營和廠家共同確認并進行殺毒處理，再無上述問題之后進行主機衛士安裝測試。

6）測試后主機衛士運行無任何問題，對剩余網管工作站進行系統備份、病毒查殺和主機衛士安裝的工作。

6 風險控制

1）參考CCTV 系統工業防火墻接入時，因時鐘接口長時間中斷而導致無法自動校時的問題，在LTE 系統工業防火墻接入完成后，對系統設備的校時情況進行查驗，確認網絡時鐘(Network Time Protocol，NTP)恢復正常。

2）防火墻安全策略涉及對PIS/CCTV 業務、時鐘系統、集中告警系統業務報文的白名單過濾，需要相關專業廠家對與其系統相關的安全策略進行評審，并在策略加載完成后進行業務確認。

3）防火墻安全策略部署完成后，外部系統升級或配置變更時應考慮其業務是否與原安全策略相匹配，避免新增業務報文被攔截。

7 總結

本文研究基于軌道交通LTE 系統等級保護接入問題，在控制中心設置統一安全管理平臺實現對信號系統全網安全設備、安全事件、安全策略、安全運維的統一集中監控、管理及預警，提高全面的安全管理、風險管理能力。列出2 個接入方案，對比方案優缺點，選擇最優方案接入，總結接入要點及風險控制，接口對接過程中注意事項等，為今后軌道交通LTE 等保系統的接入提供可參考價值。