★ 鄒春明 公安部第三研究所

★ 許飛躍 上海電力大學

1  引言

我國城市軌道交通系統已成為支撐城市化進程的關鍵基礎設施，其涵蓋地鐵、輕軌、單軌、磁浮、市域快軌等多種制式。全國已有50多個城市開通運營軌道交通線路300余條，總里程達11,000公里，車站總數超6300座，全年客運量達300億人次，日均客流8830萬人次。城市軌道交通系統持續保持高速增長態勢，市民出行高度依賴軌道交通。

隨著軌道交通的快速發展，智能化成為主要趨勢之一。新建線路基本采用無人駕駛、全自動運營模式，高度依賴自動化控制系統。生產運營系統一旦遭受網絡攻擊或出現嚴重故障，將導致整個城市交通癱瘓，甚至引發人員傷亡等重大安全事故。因此，有必要建立軌道交通網絡安全態勢感知系統，對全路網安全運行進行實時監測和預警。軌道交通生成網絡與IT系統有著重大差異，也不同于一般工業控制系統，其安全態勢感知系統無法照搬通用的態勢感知平臺。基于此，本文提出了一套軌道交通網絡安全態勢感知平臺建設方案，以支撐城市軌道交通生產網絡安全運營。

2  軌道交通網絡特點和防護需求

2.1   軌道交通生產網絡基本情況

軌道交通在基礎設施建設階段會沿線鋪設專用光纖，建成多個光纖環網，車站和運營控制中心（Operating Control Center，OCC）各系統均接入不同的環網。同時，還會建設線網級大環網，將各線路接入線網指揮中心。軌交生產系統通常分為核心生產系統和輔助生產系統：核心生產系統包括信號控制系統、電力SCADA系統，直接關系到車輛安全運行；輔助生產系統包括綜合監控系統，或環境與設備監控系統（Environment and Equipment Monitoring System， EMCS）、火災報警系統（Fire Alarm System， FAS）、乘客信息系統（Passeng er Information System， PIS）等。此外，還有自動售檢票系統（Automatic Fare Collection，AFC）、票務系統、安防監控系統、時鐘系統等。各專業系統網絡相對獨立，又存在一定的交互需求， 特別是隨著智慧車站建設推進， 各系統間的交互需求持續增加，使得軌道交通網絡復雜度不斷提升， 面臨的安全威脅也隨之增多。大型城市的軌交線路多，建設時間跨度大，使得網絡結構尤其復雜。運營公司會設置多家子公司或部門，依據線路或者專業對各生產系統的運營進行分工。

2.2   軌道交通網絡特點及安全防護需求

軌道交通網絡具有工控系統的典型特點，高可用、強實時、強隔離、協議多樣。其涉及生產的信息資產類型多、分布范圍廣，不同系統之間的耦合度高，這些都大幅提升了網絡安全防護難度。

現實的網絡安全需求以及合規監管要求，是推動軌交網絡安全建設的兩大核心因素。生產系統若遭受網絡攻擊，將嚴重影響軌道交通的正常運營，使得運營單位具有較強的內生動力加強網絡安全防護。合規監管是另一主要推動力，《網絡安全法》要求運營者必需落實網絡安全等級保護要求和關鍵信息基礎設施保護要求，其對應的國家標準也明確要求建立網絡安全態勢感知系統。

網絡安全技術措施，主要包括安全防護和安全監測兩個大的方面。邊界防護、 信息資產安全加固、惡意代碼防護等都是最基本、最必需的措施，但是，具有控制功能的安全防護措施，將會增加系統復雜度、影響實時性、降低可靠性，使得一些在IT系統中成熟的技術防護措施無法應用于軌交網絡系統。

因此，加強安全監測，全方位監測網絡通信流量、資產運行狀態及日志數據，成為軌交網絡安全建設的重點方向。態勢感知系統是落實安全監測的核心手段，其既能滿足關鍵信息基礎設施保護要求，也能支撐主管部門建立行業安全監測和預警體系，以及落實《關鍵信息基礎設施安全保護條例》要求。

3  軌道交通態勢感知平臺設計

3.1   總體框架

從狹義產品角度出發，態勢感知平臺包括數據匯聚組件（數據采集、預處理及存儲）、數據分析組件、態勢展示組件、監測預警組件、系統管理組件等，如圖1所示。但前端配套的設備也是必需的，一是網絡流量采集分析組件，負責網絡流量采集和安全分析，并將結果發送至分析端。該組件優先由平臺配套提供，同時支持第三方產品接入；二是日志采集代理，屬于非必需組件，可便于系統部署，先通過接收一個區域的資產日志再發送至分析端。

圖1 軌道交通網絡安全態勢感知平臺總體框架

態勢感知平臺不能作為標準化的商業產品，需在標準產品（遵循GB/T 42453-2023要求）的框架上，結合具體行業、具體系統的特點和需求進行針對性優化，同時需具備良好擴展性，否則無法滿足系統安全需求，難以實現安全防護目的。

平臺核心功能包含三點：全面的數據采集、深度的數據分析、直觀的態勢展示。

3.2   數據采集

全面的數據采集是態勢感知平臺發揮其應有功能的基礎。其所需采集的數據包括但不限于以下內容：

信息資產數據，需覆蓋生產系統的全部信息資產，參數包括基本信息（名稱、類型、規格型號、軟件版本、包含的組件及版本等）、歸屬信息（IP/ MAC地址、物理及網絡位置，責任部門/人，所屬線路、車站、系統等）、安全屬性（CIA重要程度、開放的運維及業務服務和端口、特征庫日期等），其它還有上線時間、維保信息等資產管理所需信息。全面的資產信息是支撐后續安全分析、事件處置的基礎。

告警及日志數據：信息資產自身通常具有告警及日志審計功能，并支持以標準格式（snmp、 syslog等）進行外發，但默認情況下可能并未開啟或僅部分開啟日志功能，需要通過配置全面開啟。另外，也可以通過在資產上部署代理程序的方式更有針對性地獲取告警和日志數據。工控系統的功能安全也是保障系統安全運行的重要因素，還可以采集地面及車上業務功能日志，支撐后續的關聯分析。

網絡流量數據，是另一重要的數據源，需覆蓋關鍵網絡節點和重要網絡邊界的流量。全流量的采集是不現實的，后臺分析系統無法支撐，這就需要專門的采集分析設備，將分析得到的有效數據發送到態勢感知平臺。流量采集分析設備，不但需要能夠識別網絡層協議和通用應用協議，還需要能夠識別分析專有的工控應用協議，如信號系統的私有協議。分析功能需集成工控網絡審計（GB/T 37941-2019）、工控入侵檢測系統（GA/T 1485-2018）、網絡病毒監控系統（GA/T 1539-2018）等功能。

為支撐綜合的信息安全風險分析，威脅情報數據、脆弱性數據和安全策略數據也是必要的，可以通過外部獲取、人工錄入，或態勢感知平臺分析生成經人工確認后作為基礎數據。比如脆弱性數據，可以通過網絡安全漏洞掃描，以及內部安全檢查、外部等級保護測評等方式獲取并錄入。

各類網絡安全產品的防護和監測數據也是重要的數據源。這些數據是經識別和安全分析所得到的結果，具有較高的可信度、針對性，通常包括網管軟件、主機監控軟件、主機惡意代碼防護軟件、網絡邊界防護設備等。

數據質量也同樣重要，高質量的數據可提高后臺的分析效率與分析結果的準確性。這就需要對采集的數據進行預處理：包括數據篩選（去重、補全、刪除無效數據等）；格式化處理（對多源、異構數據進行標準化、歸一化處理）；數據質量評估和監控。數據預處理可以分級進行，優先由前端采集代理進行一次處理，平臺接收時進行二次處理。

數據采集方面與IT系統也存在一定差異。軌道交通態勢感知平臺應以被動采集方式為主，最大程度減少其對生產系統的干擾，比如安全漏洞采集僅可在非運營期間進行，通過SNMP獲取告警信息僅開啟只讀權限即可。另外，外部威脅情報數據，應以惡意軟件、安全漏洞等情報為主。基于互聯網IP、URL、郵件等的情報價值較低，在軌道交通網絡中只要出現互聯網IP、郵件協議就可直接判定為異常。

3.3   數據分析

數據分析模塊作為軌道交通網絡安全態勢感知平臺的核心，旨在將多源異構數據轉化為可追溯、可解釋、可度量、可處置的結論，為運營期風險管控、事件處置及持續改進提供支撐。數據分析的技術多樣，平臺需要融合各種分析技術，最大限度地全面、準確感知系統的網絡安全態勢。

統計與規則分析：這是最傳統的數據分析技術，也是行之有效的方法，通過正則表達式還能夠實現一定復雜關系的分析，分析結果具有高準確性。

融合與關聯分析：平臺前端采集了網絡流量、資產日志與告警、業務功能日志，需要將相關的數據融合關聯后再進行分析，可圍繞資產、會話、行為、業務等維度。另外，也可結合統計、規則構建分析模型進行綜合分析。

基于基線的異常分析：軌交生產系統網絡有著高度的穩定性、可靠性和可預測性，可通過機器學習結合人工優化，建立基于白名單基線的分析策略，識別異常行為。但異常行為是否屬于網絡攻擊等嚴重問題，還需結合特征匹配等其它方式進行進一步分析。

人工智能分析：近年，AI快速發展，并迅速應用到各個領域，它對自然語言分析處理有著明顯優勢，可通過AI發掘出更多有價值的信息。但這需要基于通用大模型進行針對性的訓練，以提升其分析能力。

數據分析的目標是識別、挖掘出各類潛在的安全威脅（網絡攻擊、惡意代碼、異常行為）、脆弱性（安全漏洞、配置缺陷）、安全事件等。其所識別的威脅、脆弱性，結合人工確認和賦值，支撐了對系統量化信息安全風險的評估。對于安全事件，應支持溯源分析，并給出可行的處置建議。

3.4   態勢展示

態勢感知平臺在采集足夠的數據并進行充分的分析后，應具有監測范圍內網絡安全的各項數據，這就需要以合適的方式面向不同的用戶進行展示。態勢展示是連接數據預處理、分析研判與用戶決策的核心環節，其核心目標是將復雜的安全態勢信息轉化為直觀、分類、分層的可視化內容，支撐不同角色（如管理層、安全管理員、網絡管理員、系統管理員等）的決策及處置需求。

軌道交通運營公司通常從線路、專業兩個維度來設置態勢展示。線路維度：運營公司設置多個單位（子公司或部門）分別負責單條或多條線路的運維管理；專業維度：運營公司設置不同的單位分別負責所有線路不同專業系統的集中運維，如信號系統、電力SCADA系統等。公司層面關注的是線網級的宏觀安全態勢，并對下屬各具體的運營單位進行監督。而運營單位則重點關注及管理范圍內的總體安全態勢及具體的專題態勢。這就要求態勢感知平臺能夠從不同的維度為用戶提供對應的態勢展示。

首先需要具有整體態勢展示，通常是通過大屏方式。態勢感知平臺將會采取各種日志、流量數據，并通過分析，還會挖掘出威脅、脆弱性、安全事件等數據。這些數據無法通過一個大屏進行全面展示，這就需要進行必要的取舍。整體展示僅選取重點數據以圖表、統計數據（如Top10）、總體態勢指數等方式展示整個軌道交通線網的安全態勢。

其次是專題展示：從展示內容維度來說，包括資產態勢、流量態勢、運行態勢、威脅態勢、脆弱性態勢、風險態勢、安全事件態勢等；從面向對象來說，應支持按線路、按專業、按等級保護定級系統等方式進行展示。

第三，自定義展示。網絡安全及運維管理人員通常會根據系統、資產的分類設定管理范圍，平臺應該能夠根據人員管理范圍和對象自定義展示其所關注的內容，通常是通過終端電腦接入展示。

另外，軌交生產系統的資產規模相對較小，可以結合數字孿生系統方式更直觀地進行安全態勢展示。

3.5   輔助功能

態勢感知平臺除提供核心的數據采集、分析和態勢展示功能之外，還會提供必需和增強的一些輔助功能。首先是平臺的管理類功能，包括平臺自身的用戶與授權，安全策略，資產、威脅、脆弱性等基礎數據及知識庫維護，數據接收、共享、上報及預處理規則管理，數據分析規則及模型管理，數據查詢及分析報表，以及監測預警功能。

其次，獲取系統的安全態勢不是最終目的，需要通過態勢感知平臺發現系統存在的安全風險并進行處置，這就需要提供工單管理系統，對系統的脆弱性問題、安全事件等進行閉環跟蹤管理。

另外，有些IT系統態勢感知平臺常見的功能并不適合軌道交通領域，比如事件自動化處置相關功能，以及聯動阻斷、自動化運維等。

4  軌道交通態勢感知系統部署與運營

4.1   系統部署

系統部署的基本原則是盡可能減少其對生產系統的影響，不得破壞原有專業系統的隔離性，嚴格控制其對核心生產系統網絡資源的占用，除必要的配置外，避免在已有操作系統上部署代理程序和修改應用軟件。同時需兼顧經濟性，以相對可接受的投入達到安全目的。

態勢感知平臺根據軌道交通運營單位的組織架構采用分級部署方式，分為公司級、線路/專業級兩級，如圖2所示。線路/專業級平臺向公司級平臺上報基礎數據以及經安全分析生成的安全態勢數據，如威脅、脆弱性數據，以及安全事件數據等，不上報原始流量、日志等敏感數據。公司級用戶可查看全路網安全態勢，線路/專業級用戶僅能查看管轄范圍內的態勢數據。若網絡中設置了安全管理中心，系統則部署在安全管理中心，否則可部署在線網指揮中心相對獨立的區域。根據線路規模、數據量以單臺服務器或集群方式部署，同時配備AI分析支持系統。

圖2 軌道交通態勢感知系統網絡部署圖

態勢感知網絡設置：軌道交通需具備通信網絡，建設時會預留備用網絡線路。態勢感知系統可使用一套預留的環網，或在輔助生產系統網絡中設置獨立的虛擬局域網（Virtual Local Area Network， VLAN），既能減少其對已有生產系統網絡的影響，也能維持原有的網絡隔離措施。

網絡流量采集分析設備部署：該設備通常具有一個管理接口（用于遠程管理和數據上報）和多個業務接口（以鏡像方式采集網絡流量）。其中，管理接口用于將數據上報到分析平臺，多個業務接口可以同時監測多個業務環網。該設備至少覆蓋OCC、線路上的集中站，最佳方式是覆蓋所有車站。

日志采集代理：各線路的核心生產系統分別部署一套日志采集代理，集中收集該系統各資產的日志數據，再通過網閘或單向隔離設備（可支持多條鏈路傳輸）將日志數據傳入態勢感知網絡。輔助生產系統可在OCC部署日志采集代理，統一收集日志數據，通過防火墻等設備發送分析平臺。

4.2   系統運營

態勢感知系統需持續優化運營，以保障長期穩定運行、精準輸出價值、適配業務與安全需求變化。其優化重點圍繞數據范圍與質量及分析檢測能力。

數據方面，基礎數據（資產數據、威脅情報數據、脆弱性數據等）需及時動態更新；日志和流量數據通常很難在部署時做到全覆蓋，需要在運營期間逐步完善，若缺少關鍵的數據源（如安全漏洞發現設備），需配備對應的網絡安全產品。數據分析綜合運用統計、關聯規則、AI等多種方式，相關規則需持續增減和優化，支撐的AI大模型需通過持續優化訓練，以提升其全面性和準確性，減少誤報，充分發揮態勢感知系統的潛力。

5  總結與展望

通過部署軌道交通網絡態勢感知系統，可以提升軌道交通網絡安全的防護能力，即使是安全形勢所需，也是合規要求的落地。本文提出了軌道交通態勢感知平臺的設計及部署運營要求，能夠為軌道交通態勢感知系統的建設提供參考。

后續可進一步強化態勢感知產品與軌道交通業務系統的深度聯動，提升智能分析算法對工控協議異常的識別精度；同時結合實際運營數據持續優化系統性能，推動態勢感知從“被動監測”向“主動預警、自動處置”升級，使其更好適配軌道交通高可靠性、高實時性的安全防護需求。另外，高鐵系統、能源、大型制造業等工業企業，也可參照此方案建設全面的網絡安全態勢感知系統，以提升網絡安全監測和預警能力。

作者簡介：

  鄒春明（1979-），男，湖南衡陽人，副研究員、高級測評師，碩士，現就職于公安部第三研究所，主要從事工控網絡安全方面的研究。

許飛躍（2002-），男，江蘇泗陽人，碩士，現就讀于上海電力大學人工智能學部，主要從事人工智能、計算機視覺方面的研究。

參考文獻：

[1] GB/T 42453-2023, 信息安全技術 網絡安全態勢感知通用技術要求[S].

[2] GB/T 37941-2019, 信息安全技術 工業控制系統網絡審計產品安全技術要求[S].

[3] 鄒春明. 基于白名單策略的工業控制網絡審計監控技術研究[J]. 自動化博覽, 2017, 287 (11) : 50 - 53.

[4] 劉彪. 工控系統態勢感知與威脅檢測技術研究[J]. 中國高新科技, 2025 (17) : 118 - 120.

摘自《自動化博覽》2026年第二期暨《工業控制系統信息安全專刊（第十二輯）》