《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 軌道交通自動化信息安全面臨的挑戰(zhàn)與應(yīng)對

軌道交通自動化信息安全面臨的挑戰(zhàn)與應(yīng)對

2020-12-23
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 軌道交通 自動化 信息安全

  聯(lián)盟旨在搭建政府,、產(chǎn)、學(xué),、研,、用之間的交流平臺,,推進(jìn)我國工業(yè)安全產(chǎn)業(yè)發(fā)展,保障關(guān)鍵基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,支撐中國工業(yè)健康可持續(xù)發(fā)展,。此賬號用于發(fā)布聯(lián)盟成果,、專家視點(diǎn)及工業(yè)安全前沿動態(tài)等內(nèi)容。

  隨著信息化與工業(yè)自動化的深度融合,,以及物聯(lián)網(wǎng)技術(shù)的快速發(fā)展,,工業(yè)自動化與控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展,,越來越多基于TCP/IP的通信協(xié)議和接口被采用,,從而實(shí)現(xiàn)了自管理信息層延伸至現(xiàn)場設(shè)備的一致性識別、通訊和控制,。然而,,在工控系統(tǒng)越來越開放的同時,也同步削弱了控制系統(tǒng)與外界的隔離和安全保護(hù),。因此,,行業(yè)/企業(yè)在享受網(wǎng)絡(luò)互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅,,包括病毒,、木馬向控制網(wǎng)絡(luò)的擴(kuò)散等,國內(nèi)工控系統(tǒng)(ICS)的安全隱患問題日益嚴(yán)峻,,應(yīng)給予足夠的重視,。

  軌道交通中的自動化系統(tǒng)一般分為:與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號系統(tǒng)與電力SCADA系統(tǒng)等)、為列車運(yùn)行提供輔助,、支撐的系統(tǒng)(如綜合監(jiān)控系統(tǒng),、設(shè)備監(jiān)控系統(tǒng)、火災(zāi)報警系統(tǒng)等)以及輔助于安全管理的系統(tǒng)(如門禁系統(tǒng)等),。這些系統(tǒng)存在著共同的特點(diǎn):一般系統(tǒng)分為信息管理層,、控制執(zhí)行層和現(xiàn)場操作層三層架構(gòu);系統(tǒng)以采集與執(zhí)行控制器(如PLC)和工業(yè)控制網(wǎng)絡(luò)為核心開展工作,;工業(yè)控制網(wǎng)絡(luò)要求有更好的實(shí)時性,、更高的傳輸速率以及可靠性。

  工業(yè)控制網(wǎng)絡(luò)中的現(xiàn)場總線由于技術(shù)的局限性已經(jīng)不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡(luò)的需求,,當(dāng)前應(yīng)用最為廣泛的是工業(yè)以太網(wǎng)技術(shù),。具有如下優(yōu)點(diǎn):

  ( 1 ) 幾乎所有的編程語言都支持以太網(wǎng),;

 ?。?2 ) 軟硬件資源豐富,成本低廉(可降低系統(tǒng)的整體成本),;

 ?。?3 ) 通信速率高( 百兆設(shè)備已被廣泛使用,千兆、萬兆逐漸成為工業(yè)骨干網(wǎng)的主流),;

 ?。?4 ) 由于基于TCP/IP開放式標(biāo)準(zhǔn),不同設(shè)備很容易互聯(lián),,具有很好的發(fā)展?jié)摿Γ?/p>

 ?。?5 ) 易于實(shí)現(xiàn)一體化的管理與控制;

 ?。?6 ) 工業(yè)產(chǎn)品設(shè)計,,提供其它自動化組件相同的MTBF(平均故障間隔時間)值,通常是10年以上(相比之下,,典型商用產(chǎn)品在建造時,,最多實(shí)現(xiàn)5年平均壽命);

 ?。?7 ) 方便安裝:通常采用DIN-Rail導(dǎo)軌安裝,,或者直接用螺栓連接到機(jī)器上;

 ?。?8 ) 無風(fēng)扇設(shè)計,,實(shí)現(xiàn)被動散熱;

 ?。?9 ) 冗余電源,,冗余鏈路,支持采取冗余設(shè)備以保證全天候正常運(yùn)行時間,;

 ?。?10 ) 符合特定行業(yè)標(biāo)準(zhǔn)[包括軌道交通行業(yè)普遍認(rèn)可EN50121-4認(rèn)證(軌旁應(yīng)用)以及EN50155認(rèn)證(車載應(yīng)用)],以保證能在極端的現(xiàn)場條件下正常運(yùn)作,,如濕度,、防塵、防腐蝕,、溫度,、振動、沖擊和電磁干擾,。但無法掩蓋一個事實(shí),,工業(yè)控制網(wǎng)絡(luò)是工控系統(tǒng)安全隱患中的主要因素。

  工控系統(tǒng)信息安全現(xiàn)狀以及對軌交安全的影響

  現(xiàn)實(shí)情況的調(diào)研說明了工業(yè)控制系統(tǒng)信息安全問題日趨嚴(yán)重,。

  近兩年,,在工業(yè)網(wǎng)絡(luò)信息安全領(lǐng)域有幾個影響較大的實(shí)例:

  ( 1 ) 2010年7月首次檢測出以某公司的ICS/SCADA為攻擊目標(biāo)的Stuxnet震網(wǎng)病毒,;三個月后,,全球已有十萬臺主機(jī)計算機(jī)受到感染。這是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒,由此引發(fā)了工業(yè)界對信息安全的特別關(guān)注,。

 ?。?2 ) 2012年8月,BBC技術(shù)版報道,,在西門子旗下的羅杰康平臺交換機(jī)中發(fā)現(xiàn)了后門,,這個程序讓黑客可以容易的侵入網(wǎng)絡(luò),竊取信息,。該設(shè)備主要應(yīng)用在美國的國家發(fā)電廠中,,得到美國國土安全局的高度重視。

 ?。?3 ) 2013年底,,“棱鏡門”事件的主角斯諾登曝光了一份材料,顯示美國在2008年研制了48種間諜工具,,可以實(shí)現(xiàn)對與互聯(lián)網(wǎng)隔離的計算機(jī)的隔空打擊,。這一情況對人們存在將工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離、ICS不存在信息安全問題的想法構(gòu)成顛覆性沖擊,。

  根據(jù)統(tǒng)計數(shù)據(jù)顯示,,在工業(yè)最為發(fā)達(dá)的美國,2010年工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計僅為39條,,到了2013年,,這一數(shù)據(jù)增至256條,。其中在2013年,,工業(yè)控制系統(tǒng)的安全事件在能源、關(guān)鍵制造,、供水,、交通、核工業(yè)等直接關(guān)系到國民生計以及人身安全的行業(yè)都有涉及,。其中交通行業(yè)工業(yè)控制系統(tǒng)安全事件的比例達(dá)到5%,。

  中國的工業(yè)發(fā)展暫落后于美國。因此,,可以預(yù)見到未來中國的工業(yè)控制系統(tǒng)安全事件也將呈現(xiàn)覆蓋范圍廣,、增長速度快的趨勢。交通行業(yè),,尤其是軌道交通行業(yè),,工業(yè)基礎(chǔ)設(shè)施中的關(guān)鍵ICS系統(tǒng)的安全事件可能造成的影響包括:

  ( 1 ) 軌道交通子系統(tǒng)性能的下降,,影響系統(tǒng)的可用性,;

  ( 2 ) 關(guān)鍵控制數(shù)據(jù)被篡改或者喪失;

 ?。?3 ) 失去控制(2008年一少年攻擊了波蘭的Lodz的城鐵系統(tǒng),,用一個遙控器改變軌道扳道器,導(dǎo)致4節(jié)列車出軌),;

 ?。?4 ) 嚴(yán)重甚至導(dǎo)致人員傷亡;

 ?。?5 ) 軌道運(yùn)輸單位聲譽(yù)受損,,信任度降低;

 ?。?6 ) 基礎(chǔ)設(shè)施破壞,;

  ( 7 ) 嚴(yán)重的經(jīng)濟(jì)損失等,。

  工業(yè)以太網(wǎng)信息安全威脅的主要原因

  從業(yè)者一般認(rèn)為工業(yè)控制網(wǎng)絡(luò)通信協(xié)議相對私有,,與更廣范圍的網(wǎng)絡(luò)存在隔離的特性,加上設(shè)備自身的優(yōu)勢,,使得他們對于工業(yè)網(wǎng)絡(luò)的安全性很有信心,。但在如今不斷變化、更廣互聯(lián)的網(wǎng)絡(luò)世界中,,許多工業(yè)運(yùn)營商甚至都沒有意識到他們的系統(tǒng)已經(jīng)被暴露在互聯(lián)網(wǎng)上,,必須要進(jìn)行一些特別的安全漏洞處理。在近期的一則報道中反映,,美國國土安全部顧問InfraCritical僅僅通過監(jiān)控引擎就發(fā)現(xiàn)了50萬個暴露在網(wǎng)絡(luò)中的SCADA設(shè)備,,其中7200個設(shè)備控制著關(guān)鍵的基礎(chǔ)設(shè)施,比如說水利,、能源以及其它領(lǐng)域的設(shè)備,。因此,安全研究人員描述工業(yè)控制系統(tǒng)的狀態(tài)“很安全”,,就聽起來很可笑了,。

  現(xiàn)有的工業(yè)自動化網(wǎng)絡(luò)中漏洞存在主要體現(xiàn)在以下三方面:

  ( 1 ) 工業(yè)基礎(chǔ)協(xié)議Modbus TCP/IP 協(xié)議數(shù)據(jù)包存在安全隱患

  Modbus TCP/IP 協(xié)議被廣泛應(yīng)用于工業(yè)通信中,但由于缺乏內(nèi)置的安全處置,,使得協(xié)議應(yīng)用時相對脆弱,。具體地說,即使當(dāng)傳送一個檢測過源IP地址的TCP/IP的數(shù)據(jù)包時,,看起來似乎是合法的,,但由于它可能包涵有惡意的Modbus TCP 通信數(shù)據(jù)包,讓整個通信過程存在疑慮,。假設(shè)讓系統(tǒng)對Modbus的源設(shè)備ID,、功能碼或者命令類型進(jìn)行檢測時,,這種惡意的數(shù)據(jù)包將無處遁形。同時由于工業(yè)設(shè)備幾乎沒有應(yīng)用層的安全防護(hù)方式,,因此這樣的關(guān)鍵任務(wù)應(yīng)用的安全保護(hù)將落地在網(wǎng)絡(luò)安全設(shè)備,,如硬件防火墻等,而傳統(tǒng)防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機(jī)制,。

  ( 2 ) 自動化控制中對時序的要求很嚴(yán)格,,存在傳輸延遲的安全隱患

  SCADA和自動化控制對受控對象的直接操作是具有高度時效性的,比如說變電站運(yùn)作對時間非常敏感,,觸發(fā)電路開關(guān)的延遲可以導(dǎo)致功率波動甚至停電,。操作的高時效性要求工業(yè)網(wǎng)絡(luò)不能存在重大的延遲問題。然而,,惡意攻擊者使用一個常見請求程序去攻擊一個網(wǎng)絡(luò),,即便防火墻可以阻止一個未經(jīng)授權(quán)的請求,也會造成網(wǎng)絡(luò)延遲,。同時防火墻在處理數(shù)據(jù)時也存在能力不足,、帶寬不夠的情況,同樣也會在關(guān)鍵時刻導(dǎo)致網(wǎng)絡(luò)的延遲,,無法滿足實(shí)時性傳輸要求,。

  另外,隨著需求的不斷增長,,工業(yè)網(wǎng)絡(luò)將集成更多的系統(tǒng),,如視頻、語音和數(shù)據(jù)網(wǎng)絡(luò)等,;網(wǎng)絡(luò)設(shè)備需要更大的帶寬和吞吐量來支持更高級的應(yīng)用程序,,并不影響網(wǎng)絡(luò)安全,也不會造成其它工業(yè)操作的延遲,。

  ( 3 ) 嚴(yán)苛的現(xiàn)場環(huán)境促使網(wǎng)絡(luò)設(shè)備被動適應(yīng),,存在適應(yīng)性安全隱患

  軌交現(xiàn)場機(jī)電機(jī)械和工業(yè)控制設(shè)備都部署在較為嚴(yán)苛的環(huán)境中。采用傳統(tǒng)的IT網(wǎng)絡(luò)安全設(shè)備很難在這些嚴(yán)苛的環(huán)境中穩(wěn)定運(yùn)行并保障工業(yè)網(wǎng)絡(luò)及系統(tǒng)的信息安全,。這些嚴(yán)苛的環(huán)境條件包括如極端的溫度、EMC,、EMI等,,對傳統(tǒng)IT網(wǎng)絡(luò)安全設(shè)備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴(yán)重。因此,,確保工業(yè)網(wǎng)絡(luò)免受黑客的攻擊,,保障信息安全,首要任務(wù)是確保這些設(shè)備能夠在這些嚴(yán)苛工業(yè)環(huán)境下持續(xù),、穩(wěn)定地運(yùn)行,。

  消除以上漏洞的思路,,第一步是確認(rèn)漏洞、關(guān)閉漏洞,;第二步至關(guān)重要,,必須將安全漏洞完全處理掉。

  工控網(wǎng)信息安全解決方案探討

  3.1 軌交行業(yè)信息安全的總體考慮

  軌交業(yè)務(wù)總體可以分為自動化控制和管理信息兩大類,。劃分為三個安全域:生產(chǎn)網(wǎng)域,、管理網(wǎng)域和互聯(lián)網(wǎng)域。上海在處置信息安全時,,一般有以下做法:

 ?。?1 ) 同區(qū)域訪問、各不同區(qū)域之間實(shí)行受控訪問或禁止訪問,。安全域之間的訪問控制策略見表1,。

  表1 訪問控制策略表

微信圖片_20201223154837.jpg

  ( 2 ) 自動化控制系統(tǒng)按照既有的建設(shè)安全體系進(jìn)行防護(hù)的同時,,與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號系統(tǒng)和SCADA系統(tǒng))級別應(yīng)定為非常重要,,對應(yīng)安全等級保護(hù)體系的第三級;為列車運(yùn)行提供輔助,、支撐的系統(tǒng)級別應(yīng)定為重要,,對應(yīng)安全等級保護(hù)體系的第二級;

 ?。?3 ) 僅供軌交行業(yè)內(nèi)部使用的管理,、決策、辦公類系統(tǒng)級別應(yīng)定為一般,,對應(yīng)安全等級保護(hù)體系的第一級,。

  3.2 工控網(wǎng)信息安全的考慮

  針對以上的分析,建議從硬件以及軟件兩個方面實(shí)現(xiàn)工業(yè)以太網(wǎng)的信息安全,。

 ?。?1 ) 硬件實(shí)現(xiàn)多層次網(wǎng)絡(luò)信息安全防護(hù)

  針對軌道交通自動化系統(tǒng)構(gòu)成特征,將現(xiàn)場級系統(tǒng)分解成多層結(jié)構(gòu)(如圖1所示),,在各層網(wǎng)絡(luò)中根據(jù)不同情況(如連接設(shè)備數(shù)目,、帶寬以及性能要求等),設(shè)置合適的工業(yè)級網(wǎng)絡(luò)安全產(chǎn)品,。以Moxa公司的EDR-810系列為例,,隨著集成技術(shù)發(fā)展,在市場上推出了一體化的防火墻交換機(jī),,主要面對最底層需連接多個終端設(shè)備,,必須放置一臺交換機(jī)的情況;該集成設(shè)備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能,,具有千兆上聯(lián)口以及多個快速以太網(wǎng)口,,在滿足現(xiàn)場設(shè)備接入的同時,,還可利用網(wǎng)管的功能,有效防止由于現(xiàn)場設(shè)備故障導(dǎo)致的廣播風(fēng)暴對于其它關(guān)鍵設(shè)備的影響,;對于現(xiàn)場不被使用的端口,,在物理封存的同時系統(tǒng)可以將其關(guān)閉,從而防止利用現(xiàn)場設(shè)備接入交換機(jī)進(jìn)行的惡意篡改以及非法入侵,。另外,,該設(shè)備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防御內(nèi)部局域網(wǎng)免受未經(jīng)授權(quán)從外部主機(jī)傳來的活動,能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測,,從而有效地防止對于現(xiàn)場PLC等關(guān)鍵設(shè)備的非法控制,,確保關(guān)鍵設(shè)備的可靠性。

  在最上層對接辦公網(wǎng)絡(luò)時,,宜選擇設(shè)置工業(yè)級千兆防火墻/VPN安全路由器設(shè)備,,同時應(yīng)考慮滿足帶寬需求高、對外連線需要有備份鏈路的要求,。以Moxa公司的EDR-G903系列為例,,其具備冗余的WAN接口,千兆的寬帶性能,,吞吐量能夠達(dá)到500Mbps,,能夠建立的Firewall/NAT規(guī)則數(shù)為512/256以上,從而確保企業(yè)信息網(wǎng)與自動化網(wǎng)絡(luò)之間的安全通信,;同時,,支持VPN三層隧道協(xié)議IPSec可達(dá)100條,能夠滿足遠(yuǎn)端的多通道安全通訊,。

 ?。?2 ) 在網(wǎng)管軟件中設(shè)置信息安全的選項

  工業(yè)網(wǎng)絡(luò)管理套件可以實(shí)現(xiàn)簡易配置、智能可視化管理,、簡便的備份管理以及快速故障排除,,將整個網(wǎng)絡(luò)生命周期都結(jié)合到了一個工具包內(nèi)。為了回應(yīng)工業(yè)網(wǎng)絡(luò)對于信息安全的重視,,須基于ISA與IEC共同制定的針對工業(yè)網(wǎng)絡(luò)分隔的工業(yè)自動化系統(tǒng)和控制信息系統(tǒng)的標(biāo)準(zhǔn)IEC 62443標(biāo)準(zhǔn),,分別在安裝、運(yùn)行和診斷三個階段來確保網(wǎng)絡(luò)安全,。

  在安裝階段,,要從軟件上可以批量部署設(shè)備的安全功能,可選擇不同的設(shè)備安全級別,,規(guī)范不同的安全條款,以滿足不同的應(yīng)用需要,。

  在運(yùn)行階段,,軟件可在可視化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,,用不同顏色來標(biāo)注設(shè)備的不同安全等級,方便進(jìn)行設(shè)備管理,。在偵測到安全異常情況后,,有相應(yīng)的界面輸出警告,通知操作人員,,進(jìn)行及時處理,。

  案例與結(jié)語

  案例:美國亨利科縣交通控制系統(tǒng)的安全處置

  弗吉尼亞州亨利科縣交通部門按NEMA TS2交通控制規(guī)范升級現(xiàn)有的公路交通信號控制系統(tǒng),使其成為先進(jìn)交通管理系統(tǒng)(ATMS),。亨利科縣現(xiàn)有的交通控制系統(tǒng)是由140個信號控制的十字路口組成,,但只有25個十字路口是相互連接的,其余115個十字路口的信號控制電路隔離,。該系統(tǒng)將采用一個集中的網(wǎng)絡(luò)架構(gòu),,使得中央指揮中心可以與每一個現(xiàn)場交通信號控制器進(jìn)行數(shù)據(jù)通信。現(xiàn)場的交通控制器也可以調(diào)整和安排每天不同時間段的交通信號配時參數(shù),,以此來提高交通車流量,。從中央指揮中心,運(yùn)營商將能夠訪問交通信號的實(shí)時監(jiān)控和應(yīng)急響應(yīng)遠(yuǎn)程流量控制的位置,。這種先進(jìn)的交通控制網(wǎng)絡(luò)將通過公用網(wǎng)絡(luò)進(jìn)行部署,,不只需要一個高度可靠的連接,同時也保護(hù)了網(wǎng)絡(luò)安全,,禁止未經(jīng)授權(quán)的訪問,。

微信圖片_20201223154850.jpg

  圖1 現(xiàn)場系統(tǒng)的多層結(jié)構(gòu)圖

  為了使交通控制器能夠?qū)?shù)據(jù)傳送到交通指揮中心,系統(tǒng)集成商需要利用現(xiàn)有的ISP公共網(wǎng)絡(luò),。然而,,在公共網(wǎng)絡(luò)中存在可能的安全性問題,會直接威脅到交通控制網(wǎng)絡(luò)的通信,。所以,,采用VPN和現(xiàn)場及核心防火墻來保證數(shù)據(jù)通信的安全就顯得至關(guān)重要。

  2011年,,工業(yè)和信息化部頒發(fā)了451號文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,,從國家層面強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的重要性和緊迫性,而軌道交通的核心生產(chǎn)系統(tǒng)正屬于此通知范圍內(nèi),。因此希望通過上述討論,,提請相關(guān)人士重視對軌道交通現(xiàn)有的、各個層次系統(tǒng)部署狀況,、網(wǎng)絡(luò)架構(gòu)及主要安全問題的分析,,形成一套有效的信息安全架構(gòu)方案,推動軌道交通信息安全基礎(chǔ)建設(shè),,完善軌道交通信息安全技術(shù)防護(hù)體系,、信息安全管理體系,,提升軌交行業(yè)的信息安全預(yù)警能力、信息安全保障能力,、信息安全檢測能力,、信息安全應(yīng)急能力和信息安全恢復(fù)能力。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。