軌道交通自動(dòng)化信息安全面臨的挑戰(zhàn)與應(yīng)對(duì)
2020-12-23
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
聯(lián)盟旨在搭建政府,、產(chǎn),、學(xué),、研、用之間的交流平臺(tái),,推進(jìn)我國(guó)工業(yè)安全產(chǎn)業(yè)發(fā)展,,保障關(guān)鍵基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,支撐中國(guó)工業(yè)健康可持續(xù)發(fā)展,。此賬號(hào)用于發(fā)布聯(lián)盟成果,、專家視點(diǎn)及工業(yè)安全前沿動(dòng)態(tài)等內(nèi)容。
隨著信息化與工業(yè)自動(dòng)化的深度融合,,以及物聯(lián)網(wǎng)技術(shù)的快速發(fā)展,,工業(yè)自動(dòng)化與控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展,,越來(lái)越多基于TCP/IP的通信協(xié)議和接口被采用,,從而實(shí)現(xiàn)了自管理信息層延伸至現(xiàn)場(chǎng)設(shè)備的一致性識(shí)別、通訊和控制,。然而,,在工控系統(tǒng)越來(lái)越開放的同時(shí),也同步削弱了控制系統(tǒng)與外界的隔離和安全保護(hù)。因此,,行業(yè)/企業(yè)在享受網(wǎng)絡(luò)互連帶來(lái)的種種好處的同時(shí)也面臨著各種來(lái)源的信息安全威脅,,包括病毒、木馬向控制網(wǎng)絡(luò)的擴(kuò)散等,,國(guó)內(nèi)工控系統(tǒng)(ICS)的安全隱患問題日益嚴(yán)峻,,應(yīng)給予足夠的重視。
軌道交通中的自動(dòng)化系統(tǒng)一般分為:與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)與電力SCADA系統(tǒng)等),、為列車運(yùn)行提供輔助,、支撐的系統(tǒng)(如綜合監(jiān)控系統(tǒng)、設(shè)備監(jiān)控系統(tǒng),、火災(zāi)報(bào)警系統(tǒng)等)以及輔助于安全管理的系統(tǒng)(如門禁系統(tǒng)等),。這些系統(tǒng)存在著共同的特點(diǎn):一般系統(tǒng)分為信息管理層、控制執(zhí)行層和現(xiàn)場(chǎng)操作層三層架構(gòu),;系統(tǒng)以采集與執(zhí)行控制器(如PLC)和工業(yè)控制網(wǎng)絡(luò)為核心開展工作,;工業(yè)控制網(wǎng)絡(luò)要求有更好的實(shí)時(shí)性、更高的傳輸速率以及可靠性,。
工業(yè)控制網(wǎng)絡(luò)中的現(xiàn)場(chǎng)總線由于技術(shù)的局限性已經(jīng)不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡(luò)的需求,,當(dāng)前應(yīng)用最為廣泛的是工業(yè)以太網(wǎng)技術(shù)。具有如下優(yōu)點(diǎn):
?。?1 ) 幾乎所有的編程語(yǔ)言都支持以太網(wǎng),;
( 2 ) 軟硬件資源豐富,,成本低廉(可降低系統(tǒng)的整體成本),;
( 3 ) 通信速率高( 百兆設(shè)備已被廣泛使用,,千兆,、萬(wàn)兆逐漸成為工業(yè)骨干網(wǎng)的主流);
?。?4 ) 由于基于TCP/IP開放式標(biāo)準(zhǔn),,不同設(shè)備很容易互聯(lián),具有很好的發(fā)展?jié)摿Γ?/p>
?。?5 ) 易于實(shí)現(xiàn)一體化的管理與控制,;
( 6 ) 工業(yè)產(chǎn)品設(shè)計(jì),,提供其它自動(dòng)化組件相同的MTBF(平均故障間隔時(shí)間)值,,通常是10年以上(相比之下,典型商用產(chǎn)品在建造時(shí),,最多實(shí)現(xiàn)5年平均壽命),;
?。?7 ) 方便安裝:通常采用DIN-Rail導(dǎo)軌安裝,或者直接用螺栓連接到機(jī)器上,;
?。?8 ) 無(wú)風(fēng)扇設(shè)計(jì),實(shí)現(xiàn)被動(dòng)散熱,;
( 9 ) 冗余電源,,冗余鏈路,,支持采取冗余設(shè)備以保證全天候正常運(yùn)行時(shí)間;
?。?10 ) 符合特定行業(yè)標(biāo)準(zhǔn)[包括軌道交通行業(yè)普遍認(rèn)可EN50121-4認(rèn)證(軌旁應(yīng)用)以及EN50155認(rèn)證(車載應(yīng)用)],,以保證能在極端的現(xiàn)場(chǎng)條件下正常運(yùn)作,如濕度,、防塵,、防腐蝕、溫度,、振動(dòng),、沖擊和電磁干擾。但無(wú)法掩蓋一個(gè)事實(shí),,工業(yè)控制網(wǎng)絡(luò)是工控系統(tǒng)安全隱患中的主要因素,。
工控系統(tǒng)信息安全現(xiàn)狀以及對(duì)軌交安全的影響
現(xiàn)實(shí)情況的調(diào)研說(shuō)明了工業(yè)控制系統(tǒng)信息安全問題日趨嚴(yán)重。
近兩年,,在工業(yè)網(wǎng)絡(luò)信息安全領(lǐng)域有幾個(gè)影響較大的實(shí)例:
?。?1 ) 2010年7月首次檢測(cè)出以某公司的ICS/SCADA為攻擊目標(biāo)的Stuxnet震網(wǎng)病毒;三個(gè)月后,,全球已有十萬(wàn)臺(tái)主機(jī)計(jì)算機(jī)受到感染,。這是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒,由此引發(fā)了工業(yè)界對(duì)信息安全的特別關(guān)注,。
?。?2 ) 2012年8月,BBC技術(shù)版報(bào)道,,在西門子旗下的羅杰康平臺(tái)交換機(jī)中發(fā)現(xiàn)了后門,,這個(gè)程序讓黑客可以容易的侵入網(wǎng)絡(luò),竊取信息,。該設(shè)備主要應(yīng)用在美國(guó)的國(guó)家發(fā)電廠中,,得到美國(guó)國(guó)土安全局的高度重視。
?。?3 ) 2013年底,,“棱鏡門”事件的主角斯諾登曝光了一份材料,,顯示美國(guó)在2008年研制了48種間諜工具,可以實(shí)現(xiàn)對(duì)與互聯(lián)網(wǎng)隔離的計(jì)算機(jī)的隔空打擊,。這一情況對(duì)人們存在將工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離,、ICS不存在信息安全問題的想法構(gòu)成顛覆性沖擊。
根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,,在工業(yè)最為發(fā)達(dá)的美國(guó),,2010年工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計(jì)僅為39條,到了2013年,,這一數(shù)據(jù)增至256條,。其中在2013年,工業(yè)控制系統(tǒng)的安全事件在能源,、關(guān)鍵制造,、供水、交通,、核工業(yè)等直接關(guān)系到國(guó)民生計(jì)以及人身安全的行業(yè)都有涉及,。其中交通行業(yè)工業(yè)控制系統(tǒng)安全事件的比例達(dá)到5%。
中國(guó)的工業(yè)發(fā)展暫落后于美國(guó),。因此,,可以預(yù)見到未來(lái)中國(guó)的工業(yè)控制系統(tǒng)安全事件也將呈現(xiàn)覆蓋范圍廣、增長(zhǎng)速度快的趨勢(shì),。交通行業(yè),,尤其是軌道交通行業(yè),工業(yè)基礎(chǔ)設(shè)施中的關(guān)鍵ICS系統(tǒng)的安全事件可能造成的影響包括:
?。?1 ) 軌道交通子系統(tǒng)性能的下降,,影響系統(tǒng)的可用性;
?。?2 ) 關(guān)鍵控制數(shù)據(jù)被篡改或者喪失,;
( 3 ) 失去控制(2008年一少年攻擊了波蘭的Lodz的城鐵系統(tǒng),,用一個(gè)遙控器改變軌道扳道器,,導(dǎo)致4節(jié)列車出軌);
?。?4 ) 嚴(yán)重甚至導(dǎo)致人員傷亡,;
( 5 ) 軌道運(yùn)輸單位聲譽(yù)受損,,信任度降低,;
( 6 ) 基礎(chǔ)設(shè)施破壞,;
?。?7 ) 嚴(yán)重的經(jīng)濟(jì)損失等,。
工業(yè)以太網(wǎng)信息安全威脅的主要原因
從業(yè)者一般認(rèn)為工業(yè)控制網(wǎng)絡(luò)通信協(xié)議相對(duì)私有,與更廣范圍的網(wǎng)絡(luò)存在隔離的特性,,加上設(shè)備自身的優(yōu)勢(shì),,使得他們對(duì)于工業(yè)網(wǎng)絡(luò)的安全性很有信心。但在如今不斷變化,、更廣互聯(lián)的網(wǎng)絡(luò)世界中,,許多工業(yè)運(yùn)營(yíng)商甚至都沒有意識(shí)到他們的系統(tǒng)已經(jīng)被暴露在互聯(lián)網(wǎng)上,必須要進(jìn)行一些特別的安全漏洞處理,。在近期的一則報(bào)道中反映,,美國(guó)國(guó)土安全部顧問InfraCritical僅僅通過(guò)監(jiān)控引擎就發(fā)現(xiàn)了50萬(wàn)個(gè)暴露在網(wǎng)絡(luò)中的SCADA設(shè)備,其中7200個(gè)設(shè)備控制著關(guān)鍵的基礎(chǔ)設(shè)施,,比如說(shuō)水利、能源以及其它領(lǐng)域的設(shè)備,。因此,,安全研究人員描述工業(yè)控制系統(tǒng)的狀態(tài)“很安全”,就聽起來(lái)很可笑了,。
現(xiàn)有的工業(yè)自動(dòng)化網(wǎng)絡(luò)中漏洞存在主要體現(xiàn)在以下三方面:
( 1 ) 工業(yè)基礎(chǔ)協(xié)議Modbus TCP/IP 協(xié)議數(shù)據(jù)包存在安全隱患
Modbus TCP/IP 協(xié)議被廣泛應(yīng)用于工業(yè)通信中,,但由于缺乏內(nèi)置的安全處置,使得協(xié)議應(yīng)用時(shí)相對(duì)脆弱,。具體地說(shuō),,即使當(dāng)傳送一個(gè)檢測(cè)過(guò)源IP地址的TCP/IP的數(shù)據(jù)包時(shí),看起來(lái)似乎是合法的,,但由于它可能包涵有惡意的Modbus TCP 通信數(shù)據(jù)包,,讓整個(gè)通信過(guò)程存在疑慮。假設(shè)讓系統(tǒng)對(duì)Modbus的源設(shè)備ID,、功能碼或者命令類型進(jìn)行檢測(cè)時(shí),,這種惡意的數(shù)據(jù)包將無(wú)處遁形。同時(shí)由于工業(yè)設(shè)備幾乎沒有應(yīng)用層的安全防護(hù)方式,,因此這樣的關(guān)鍵任務(wù)應(yīng)用的安全保護(hù)將落地在網(wǎng)絡(luò)安全設(shè)備,,如硬件防火墻等,而傳統(tǒng)防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機(jī)制,。
( 2 ) 自動(dòng)化控制中對(duì)時(shí)序的要求很嚴(yán)格,,存在傳輸延遲的安全隱患
SCADA和自動(dòng)化控制對(duì)受控對(duì)象的直接操作是具有高度時(shí)效性的,比如說(shuō)變電站運(yùn)作對(duì)時(shí)間非常敏感,,觸發(fā)電路開關(guān)的延遲可以導(dǎo)致功率波動(dòng)甚至停電,。操作的高時(shí)效性要求工業(yè)網(wǎng)絡(luò)不能存在重大的延遲問題。然而,,惡意攻擊者使用一個(gè)常見請(qǐng)求程序去攻擊一個(gè)網(wǎng)絡(luò),,即便防火墻可以阻止一個(gè)未經(jīng)授權(quán)的請(qǐng)求,,也會(huì)造成網(wǎng)絡(luò)延遲。同時(shí)防火墻在處理數(shù)據(jù)時(shí)也存在能力不足,、帶寬不夠的情況,,同樣也會(huì)在關(guān)鍵時(shí)刻導(dǎo)致網(wǎng)絡(luò)的延遲,無(wú)法滿足實(shí)時(shí)性傳輸要求,。
另外,,隨著需求的不斷增長(zhǎng),工業(yè)網(wǎng)絡(luò)將集成更多的系統(tǒng),,如視頻,、語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)等;網(wǎng)絡(luò)設(shè)備需要更大的帶寬和吞吐量來(lái)支持更高級(jí)的應(yīng)用程序,,并不影響網(wǎng)絡(luò)安全,,也不會(huì)造成其它工業(yè)操作的延遲。
( 3 ) 嚴(yán)苛的現(xiàn)場(chǎng)環(huán)境促使網(wǎng)絡(luò)設(shè)備被動(dòng)適應(yīng),,存在適應(yīng)性安全隱患
軌交現(xiàn)場(chǎng)機(jī)電機(jī)械和工業(yè)控制設(shè)備都部署在較為嚴(yán)苛的環(huán)境中,。采用傳統(tǒng)的IT網(wǎng)絡(luò)安全設(shè)備很難在這些嚴(yán)苛的環(huán)境中穩(wěn)定運(yùn)行并保障工業(yè)網(wǎng)絡(luò)及系統(tǒng)的信息安全。這些嚴(yán)苛的環(huán)境條件包括如極端的溫度,、EMC,、EMI等,對(duì)傳統(tǒng)IT網(wǎng)絡(luò)安全設(shè)備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴(yán)重,。因此,,確保工業(yè)網(wǎng)絡(luò)免受黑客的攻擊,保障信息安全,,首要任務(wù)是確保這些設(shè)備能夠在這些嚴(yán)苛工業(yè)環(huán)境下持續(xù),、穩(wěn)定地運(yùn)行。
消除以上漏洞的思路,,第一步是確認(rèn)漏洞,、關(guān)閉漏洞;第二步至關(guān)重要,,必須將安全漏洞完全處理掉,。
工控網(wǎng)信息安全解決方案探討
3.1 軌交行業(yè)信息安全的總體考慮
軌交業(yè)務(wù)總體可以分為自動(dòng)化控制和管理信息兩大類。劃分為三個(gè)安全域:生產(chǎn)網(wǎng)域,、管理網(wǎng)域和互聯(lián)網(wǎng)域,。上海在處置信息安全時(shí),一般有以下做法:
?。?1 ) 同區(qū)域訪問,、各不同區(qū)域之間實(shí)行受控訪問或禁止訪問。安全域之間的訪問控制策略見表1,。
表1 訪問控制策略表
?。?2 ) 自動(dòng)化控制系統(tǒng)按照既有的建設(shè)安全體系進(jìn)行防護(hù)的同時(shí),,與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)和SCADA系統(tǒng))級(jí)別應(yīng)定為非常重要,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第三級(jí),;為列車運(yùn)行提供輔助,、支撐的系統(tǒng)級(jí)別應(yīng)定為重要,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第二級(jí),;
?。?3 ) 僅供軌交行業(yè)內(nèi)部使用的管理、決策,、辦公類系統(tǒng)級(jí)別應(yīng)定為一般,,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第一級(jí)。
3.2 工控網(wǎng)信息安全的考慮
針對(duì)以上的分析,,建議從硬件以及軟件兩個(gè)方面實(shí)現(xiàn)工業(yè)以太網(wǎng)的信息安全,。
( 1 ) 硬件實(shí)現(xiàn)多層次網(wǎng)絡(luò)信息安全防護(hù)
針對(duì)軌道交通自動(dòng)化系統(tǒng)構(gòu)成特征,,將現(xiàn)場(chǎng)級(jí)系統(tǒng)分解成多層結(jié)構(gòu)(如圖1所示),,在各層網(wǎng)絡(luò)中根據(jù)不同情況(如連接設(shè)備數(shù)目、帶寬以及性能要求等),,設(shè)置合適的工業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品。以Moxa公司的EDR-810系列為例,,隨著集成技術(shù)發(fā)展,,在市場(chǎng)上推出了一體化的防火墻交換機(jī),主要面對(duì)最底層需連接多個(gè)終端設(shè)備,,必須放置一臺(tái)交換機(jī)的情況,;該集成設(shè)備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能,具有千兆上聯(lián)口以及多個(gè)快速以太網(wǎng)口,,在滿足現(xiàn)場(chǎng)設(shè)備接入的同時(shí),,還可利用網(wǎng)管的功能,有效防止由于現(xiàn)場(chǎng)設(shè)備故障導(dǎo)致的廣播風(fēng)暴對(duì)于其它關(guān)鍵設(shè)備的影響,;對(duì)于現(xiàn)場(chǎng)不被使用的端口,,在物理封存的同時(shí)系統(tǒng)可以將其關(guān)閉,從而防止利用現(xiàn)場(chǎng)設(shè)備接入交換機(jī)進(jìn)行的惡意篡改以及非法入侵,。另外,,該設(shè)備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防御內(nèi)部局域網(wǎng)免受未經(jīng)授權(quán)從外部主機(jī)傳來(lái)的活動(dòng),能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測(cè),,從而有效地防止對(duì)于現(xiàn)場(chǎng)PLC等關(guān)鍵設(shè)備的非法控制,,確保關(guān)鍵設(shè)備的可靠性。
在最上層對(duì)接辦公網(wǎng)絡(luò)時(shí),,宜選擇設(shè)置工業(yè)級(jí)千兆防火墻/VPN安全路由器設(shè)備,,同時(shí)應(yīng)考慮滿足帶寬需求高,、對(duì)外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例,,其具備冗余的WAN接口,,千兆的寬帶性能,吞吐量能夠達(dá)到500Mbps,,能夠建立的Firewall/NAT規(guī)則數(shù)為512/256以上,,從而確保企業(yè)信息網(wǎng)與自動(dòng)化網(wǎng)絡(luò)之間的安全通信;同時(shí),,支持VPN三層隧道協(xié)議IPSec可達(dá)100條,,能夠滿足遠(yuǎn)端的多通道安全通訊。
?。?2 ) 在網(wǎng)管軟件中設(shè)置信息安全的選項(xiàng)
工業(yè)網(wǎng)絡(luò)管理套件可以實(shí)現(xiàn)簡(jiǎn)易配置,、智能可視化管理、簡(jiǎn)便的備份管理以及快速故障排除,,將整個(gè)網(wǎng)絡(luò)生命周期都結(jié)合到了一個(gè)工具包內(nèi),。為了回應(yīng)工業(yè)網(wǎng)絡(luò)對(duì)于信息安全的重視,須基于ISA與IEC共同制定的針對(duì)工業(yè)網(wǎng)絡(luò)分隔的工業(yè)自動(dòng)化系統(tǒng)和控制信息系統(tǒng)的標(biāo)準(zhǔn)IEC 62443標(biāo)準(zhǔn),,分別在安裝,、運(yùn)行和診斷三個(gè)階段來(lái)確保網(wǎng)絡(luò)安全。
在安裝階段,,要從軟件上可以批量部署設(shè)備的安全功能,,可選擇不同的設(shè)備安全級(jí)別,規(guī)范不同的安全條款,,以滿足不同的應(yīng)用需要,。
在運(yùn)行階段,軟件可在可視化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,,用不同顏色來(lái)標(biāo)注設(shè)備的不同安全等級(jí),,方便進(jìn)行設(shè)備管理。在偵測(cè)到安全異常情況后,,有相應(yīng)的界面輸出警告,,通知操作人員,進(jìn)行及時(shí)處理,。
案例與結(jié)語(yǔ)
案例:美國(guó)亨利科縣交通控制系統(tǒng)的安全處置
弗吉尼亞州亨利科縣交通部門按NEMA TS2交通控制規(guī)范升級(jí)現(xiàn)有的公路交通信號(hào)控制系統(tǒng),,使其成為先進(jìn)交通管理系統(tǒng)(ATMS)。亨利科縣現(xiàn)有的交通控制系統(tǒng)是由140個(gè)信號(hào)控制的十字路口組成,,但只有25個(gè)十字路口是相互連接的,,其余115個(gè)十字路口的信號(hào)控制電路隔離。該系統(tǒng)將采用一個(gè)集中的網(wǎng)絡(luò)架構(gòu),使得中央指揮中心可以與每一個(gè)現(xiàn)場(chǎng)交通信號(hào)控制器進(jìn)行數(shù)據(jù)通信?,F(xiàn)場(chǎng)的交通控制器也可以調(diào)整和安排每天不同時(shí)間段的交通信號(hào)配時(shí)參數(shù),,以此來(lái)提高交通車流量。從中央指揮中心,,運(yùn)營(yíng)商將能夠訪問交通信號(hào)的實(shí)時(shí)監(jiān)控和應(yīng)急響應(yīng)遠(yuǎn)程流量控制的位置,。這種先進(jìn)的交通控制網(wǎng)絡(luò)將通過(guò)公用網(wǎng)絡(luò)進(jìn)行部署,不只需要一個(gè)高度可靠的連接,,同時(shí)也保護(hù)了網(wǎng)絡(luò)安全,,禁止未經(jīng)授權(quán)的訪問。
圖1 現(xiàn)場(chǎng)系統(tǒng)的多層結(jié)構(gòu)圖
為了使交通控制器能夠?qū)?shù)據(jù)傳送到交通指揮中心,,系統(tǒng)集成商需要利用現(xiàn)有的ISP公共網(wǎng)絡(luò),。然而,在公共網(wǎng)絡(luò)中存在可能的安全性問題,,會(huì)直接威脅到交通控制網(wǎng)絡(luò)的通信,。所以,采用VPN和現(xiàn)場(chǎng)及核心防火墻來(lái)保證數(shù)據(jù)通信的安全就顯得至關(guān)重要,。
2011年,,工業(yè)和信息化部頒發(fā)了451號(hào)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,從國(guó)家層面強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的重要性和緊迫性,,而軌道交通的核心生產(chǎn)系統(tǒng)正屬于此通知范圍內(nèi),。因此希望通過(guò)上述討論,提請(qǐng)相關(guān)人士重視對(duì)軌道交通現(xiàn)有的,、各個(gè)層次系統(tǒng)部署狀況,、網(wǎng)絡(luò)架構(gòu)及主要安全問題的分析,形成一套有效的信息安全架構(gòu)方案,,推動(dòng)軌道交通信息安全基礎(chǔ)建設(shè),完善軌道交通信息安全技術(shù)防護(hù)體系,、信息安全管理體系,,提升軌交行業(yè)的信息安全預(yù)警能力、信息安全保障能力,、信息安全檢測(cè)能力,、信息安全應(yīng)急能力和信息安全恢復(fù)能力。