1 背景概述
城市軌道交通中的信號系統(tǒng)是軌道交通的核心,,直接關系到行車安全,。隨著計算機和網(wǎng)絡技術的發(fā)展,,特別是通信技術與信號系統(tǒng)的深度融合,信號系統(tǒng)以各種方式與綜合監(jiān)控系統(tǒng)功能網(wǎng)絡,、旅客信息,、語音廣播等公共網(wǎng)絡互連,容易造成病毒,、木馬等威脅向信號系統(tǒng)擴散,,再加上信號系統(tǒng)自身存在的安全漏洞,一旦被不法分子利用,可能造成重大行車事故與社會影響,,因此信號系統(tǒng)的安全防護體系建設已經(jīng)刻不容緩,。
2 安全現(xiàn)狀
CNCERT針對城市軌道交通行業(yè)的聯(lián)網(wǎng)管理系統(tǒng)進行了全國專項掃描和探測,共發(fā)現(xiàn)聯(lián)網(wǎng)的城市軌道交通相關系統(tǒng)100個,,分布在全國15個省,、20個城市,涉及到遠程監(jiān)控,、資產(chǎn)管理,、工程安全等系統(tǒng)。由此可見,,城市軌道交通行業(yè)網(wǎng)絡安全建設已勢在必行,。
目前國內城市軌道交通網(wǎng)絡安全建設還處于起步階段,,各方面內容都在摸索和完善過程中,,存在的主要問題有:
( 1 ) 設備安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)中的主機終端,、控制設備,、網(wǎng)絡設備的安全防護不到位,存在內部人員越權訪問,、誤操作,、違規(guī)操作的威脅,以及外部黑客攻擊,、病毒感染的風險,。
( 2 ) 軟件安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)存在遠程命令執(zhí)行,、目錄遍歷等系統(tǒng)漏洞,、應用軟件漏洞,導致系統(tǒng)中的敏感信息泄露,、服務器權限被惡意操控等風險,。
( 3 ) 管理制度問題
針對城市軌道交通控制系統(tǒng)和信息系統(tǒng)網(wǎng)絡安全的各項制度以及應急預案尚不完善,。
3 風險分析
信號系統(tǒng)作為指揮列車運行與調度的核心系統(tǒng),,所有的操作控制及指令控制行為都與列車間的發(fā)車、??康认⑾⑾嚓P,,外部的惡意攻擊或內部的誤操作都是引發(fā)安全問題的因素,通常這些操作及控制指令通過網(wǎng)絡進行傳遞,,往往惡意的指令都隱匿于看似正常的網(wǎng)絡流量之中,,從網(wǎng)絡運行過程中無法判斷其流量所攜帶內容的合法性和完整性,誤操作或接受惡意控制指令將會導致信號系統(tǒng)網(wǎng)絡中斷,造成列車調度及運行癱瘓,。
通過分析其可能造成信號系統(tǒng)安全風險的主要原因歸納為以下幾種:
?。?1 ) 區(qū)域間未設置訪問控制措施
信號系統(tǒng)在內、外系統(tǒng)邊界處缺少相應的隔離防護措施,,例如信號系統(tǒng)與綜合監(jiān)控,、旅客信息、廣播等多個外部系統(tǒng)互聯(lián)時,,存在無法識別的外部惡意訪問行為,,同時在其系統(tǒng)間的內部網(wǎng)絡存在相互隨意訪問的行為,出現(xiàn)網(wǎng)絡區(qū)域的邏輯混亂現(xiàn)象,,一旦某個系統(tǒng)網(wǎng)絡遭受到病毒感染后,,攜帶的惡意掃描探測程序直接貫穿到整個信號系統(tǒng)網(wǎng)絡,形成風暴式的攻擊危害,。
?。?2 ) 網(wǎng)絡操作行為無檢測,事后無有效追查手段
在信號系統(tǒng)網(wǎng)絡中,,大量的列車信號數(shù)據(jù)不停地重復進行交替,,這一過程缺乏對業(yè)務流程的異常操作行為審計。同時信號系統(tǒng)網(wǎng)絡對產(chǎn)生的攻擊威脅缺乏有效的監(jiān)測與審計,,一旦安全威脅發(fā)生,,只能盲目尋找問題產(chǎn)生的原因,無法及時有效地應對攻擊,。
?。?3 ) 信息安全管理制度欠缺
現(xiàn)在大部分行業(yè)還未形成完整的制度來保障信息安全,在信號系統(tǒng)規(guī)劃,、建設,、運維、廢止全生命周期的信息安全需求和風險管理亟待完善,。
?。?4 ) 事件檢測與響應流程不完善
雖然信號系統(tǒng)具備對業(yè)務培訓的能力,但是面向全員的工控安全意識宣傳,,工控安全技術和管理培訓均比較缺乏,,需加強對工控安全體系化的宣傳和培訓。
4 設計方案
4.1 設計思路
城市軌道交通信號系統(tǒng)安全防護體系的設計是依據(jù)白名單機制對信號系統(tǒng)的區(qū)域邊界,、通信網(wǎng)絡,、計算環(huán)境等進行安全策略的配置,建立信號系統(tǒng)“白環(huán)境”,。然后基于信號系統(tǒng)的行為基線以及業(yè)務基線,,結合大數(shù)據(jù)分析技術進行綜合的建模分析,全面感知信號系統(tǒng)的態(tài)勢信息,并通過可視化的界面進行綜合展示,。
4.2 安全防護體系設計
4.2.1?安全通信網(wǎng)絡
由于城市軌道交通信號系統(tǒng)本身就是實時控制的數(shù)據(jù)傳輸系統(tǒng),,并且其網(wǎng)絡也是獨立的專網(wǎng),因此在信號系統(tǒng)安全防護體系的設計中需要采用工控防火墻實現(xiàn)與其它互聯(lián)系統(tǒng)的安全隔離,,并通過安全策略的配置實現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)南拗?,以及非授權通信行為的禁止?/p>
信號系統(tǒng)與其它互聯(lián)系統(tǒng)間的隔離,通過部署工控防火墻來實現(xiàn),。以此來保證信號系統(tǒng)的獨立性,、完整性,避免其它系統(tǒng)的波及,,并且能夠對進出信號系統(tǒng)的流量進行有效管控,,防止非法、異常流量流入信號系統(tǒng)網(wǎng)絡,。
在信號系統(tǒng)網(wǎng)絡中,,部署在網(wǎng)絡邊界的工控防火墻是以最小通過性原則進行策略配置,根據(jù)業(yè)務需求采用白名單機制,,逐條梳理業(yè)務流程,,增加開放IP和開放端口,,實現(xiàn)嚴格的流量管控,。
4.2.2?安全區(qū)域邊界
( 1 ) 訪問控制防護
由于信號系統(tǒng)的業(yè)務特點,,信號系統(tǒng)需同時連接多個內部子系統(tǒng),,形成系統(tǒng)的聯(lián)動。從信號系統(tǒng)的網(wǎng)絡結構可知,,信號系統(tǒng)與其內部子系統(tǒng)需形成一個整體的安全域進行保護,。與此同時,在信號系統(tǒng)中仍存在與其它外部系統(tǒng),,例如綜合監(jiān)控,、廣播、時鐘等系統(tǒng)的外部互聯(lián),。這樣使得原本相對獨立的信號系統(tǒng)網(wǎng)絡出現(xiàn)了對外互聯(lián)的邊界,,外部系統(tǒng)遭受惡意攻擊后,會通過互聯(lián)邊界造成信號系統(tǒng)的直接感染,。針對邊界互聯(lián)所產(chǎn)生的安全威脅問題,,可利用訪問控制技術實現(xiàn)與外部互聯(lián)系統(tǒng)間的細粒度管控。
在信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界處部署工控防火墻,,利用工控防火墻深度包解析引擎和內容檢測技術,,結合訪問控制白名單技術,對信號系統(tǒng)內部與外部連接系統(tǒng)執(zhí)行訪問控制規(guī)則,對通信內容實現(xiàn)細粒度的訪問控制,,僅允許信號系統(tǒng)的正常業(yè)務和數(shù)據(jù)通過邊界進行訪問,,防止非業(yè)務系統(tǒng)的惡意訪問通過。
?。?2 ) 入侵防范
基于網(wǎng)絡的入侵防范,,主要是通過分析網(wǎng)絡流量中的異常攻擊行為對其進行攔截和響應。當前比較流行的網(wǎng)絡入侵防范技術包括:基于特征簽名的入侵防范技術,、基于沙箱的入侵防范技術,、基于網(wǎng)絡行為白名單的入侵防范技術和基于威脅情報的入侵防范技術。信號系統(tǒng)網(wǎng)絡中的網(wǎng)絡流量和主機行為較為簡單,,基于白名單的入侵防范技術更適合于信號系統(tǒng)的業(yè)務流程,。
在控制中心通過部署工控入侵檢測或網(wǎng)絡審計類設備,并配置相應的安全策略和功能,,來提高信號系統(tǒng)應用行為的安全監(jiān)測與審計能力,。
( 3 ) 惡意代碼防范
由于城市軌道交通的特殊性,,信號系統(tǒng)中采用的通信協(xié)議及應用軟件都為專有的協(xié)議和專用的軟件,,帶有強烈的行業(yè)屬性。因此可以通過在信號系統(tǒng)區(qū)域邊界,、信號系統(tǒng)與其它系統(tǒng)之間部署訪問控制設備,,在保證業(yè)務正常通信的情況下,以最小化原則,,只允許信號系統(tǒng)中使用的專有協(xié)議通過,,拒絕其它通用應用和協(xié)議進入信號系統(tǒng)網(wǎng)絡,以此來將惡意代碼安全風險降低到可控范圍內,,減少安全事件的發(fā)生,,保障信號系統(tǒng)高效、穩(wěn)定運行,。
?。?4 ) 安全審計防護
安全審計是指按照一定的安全策略,記錄系統(tǒng)配置,、系統(tǒng)活動,、用戶活動等信息,檢測,、審查和檢驗操作事件的環(huán)境及活動,,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為等,,并以此為基礎改善系統(tǒng)性能的過程,,也是審查評估系統(tǒng)安全風險并提出相應整改措施的過程,,它可以提高系統(tǒng)的安全性。安全審計不僅能夠監(jiān)視和控制來自外部的入侵,,還能夠監(jiān)視來自內部人員的違規(guī)和惡意破壞行為,,為網(wǎng)絡違法與犯罪的調查取證提供有力支持。
結合當前信號系統(tǒng)的業(yè)務特點,,分別在控制中心,、維修中心、設備集中站,、車輛段/停車場的交換機處,,采用鏡像流量方式,旁路部署工控監(jiān)測與審計系統(tǒng),,實時監(jiān)測系統(tǒng)內發(fā)生的訪問流量內容,,基于工控協(xié)議深度解析技術,實現(xiàn)對數(shù)據(jù)流量的細粒度解析,,以保證信號系統(tǒng)間的內容訪問安全,,及時發(fā)現(xiàn)信號系統(tǒng)網(wǎng)絡中的異常流量和異常操作的訪問行為,并進行記錄和實時告警,。
4.2.3?安全計算環(huán)境
根據(jù)信號系統(tǒng)網(wǎng)絡安全現(xiàn)狀并結合信號系統(tǒng)運行環(huán)境的特點,,對于信號系統(tǒng)主機終端的安全防護,采用“白名單”機制的工控主機衛(wèi)士來實現(xiàn)主機終端服務,、進程,、外聯(lián)接口的管控?!鞍酌麊巍睓C制相對“黑名單”而言更適合于信號系統(tǒng)的安全防護,,由于信號系統(tǒng)相對比較封閉,無法聯(lián)網(wǎng)進行病毒庫更新,。系統(tǒng)一旦建設完成,很長一段時間都不會再進行升級或改造,,而且信號系統(tǒng)中的通信端口,、協(xié)議、應用軟件等都比較固定,,采用“白名單”機制進行安全防護,,能夠有效保障信號系統(tǒng)主機終端的安全。
在信號系統(tǒng)網(wǎng)絡中的工作站,、服務器等設備,,大多數(shù)以Windows系統(tǒng)作為操作平臺,一些設備處于老舊狀態(tài),,無法及時升級或更新補丁,。隨著Windows系統(tǒng)的廣泛應用,,一些安全漏洞隱患不斷爆出,采用傳統(tǒng)防病毒軟件或主機入侵防護產(chǎn)品進行安全防護的方式已不再適用于信號系統(tǒng)的主機終端,。由于工業(yè)主機的特殊性,,傳統(tǒng)安全防護產(chǎn)品無法有效地對工業(yè)主機進行安全防護,如果病毒庫更新不及時,,依賴大量病毒特征庫的傳統(tǒng)安全防護產(chǎn)品將無法獲取最新的病毒庫特征,,其安全防護能力將大打折扣,將面臨無法識別工業(yè)主機的關鍵程序,、關鍵進程及服務的情況,,造成誤刪誤報等影響業(yè)務正常運行的后果。
在信號系統(tǒng)中,,分別在控制中心,、設備集中站、維修中心,、車輛段/停車場等處的工作站和服務器中安裝部署工控主機衛(wèi)士系統(tǒng)軟件,,基于進程白名單技術,將主機中的應用,、進程,、服務等進行安全管控,阻止白名單外其它與控制運行無關的應用軟件安裝使用,,及運行進程,、服務等。此外,,基于“白名單”技術,,可實現(xiàn)對外聯(lián)接口以及外來存儲介質的管控,禁用未經(jīng)授權移動存儲介質接入主機終端設備,,保障信號系統(tǒng)不受外來設備威脅,,并提供安全可靠的運行環(huán)境。
4.2.4?安全管理中心
建設安全管理中心可以幫助城市軌道交通運維人員實現(xiàn)零散安全產(chǎn)品到信息安全保障體系的轉變,。它解決了海量數(shù)據(jù)和信息孤島的困擾,,簡化了安全管理的數(shù)據(jù)模型。安全管理中心通過分布在現(xiàn)場的各類安全探針采集來自信號系統(tǒng)網(wǎng)絡中的各類安全信息,,上傳到安全管理平臺進行集中存儲,,再根據(jù)平臺中定制的安全策略,結合大數(shù)據(jù)分析技術對這些數(shù)據(jù)進行關聯(lián)分析,,最終以可視化的方式展示,。
在城市軌道交通信號系統(tǒng)安全防護體系建設過程中,安全管理中心的建設將起到至關重要的作用,。通常是在控制中心部署安全管理平臺,,通過安全管理員為安全計算環(huán)境,、安全區(qū)域邊界、安全通信網(wǎng)絡配置統(tǒng)一的安全策略,。實現(xiàn)對信號系統(tǒng)全網(wǎng)安全設備,、安全事件、安全策略,、安全運維的統(tǒng)一集中監(jiān)控,、管理及預警。通過安全審計員對安全審計機制進行集中管理,,進行身份識別,,根據(jù)權限進行操作及審計。通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置,、控制和管理,,進行身份識別,根據(jù)權限進行操作及審計,。
5 整體部署應用
圖1為城市軌道交通信號系統(tǒng)安全防護體系中安全防護設備的部署,。
圖1信號系統(tǒng)防護體系整體部署示意圖
( 1 ) 工控防火墻
部署于控制中心信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界,。
可以實現(xiàn)隔離與訪問控制,,能夠通過基于工業(yè)協(xié)議的深度識別,對訪問行為進行細粒度的控制,。通過對訪問內容與設定的基于寄存器的安全策略比對,,確認報文的通過或阻斷。當發(fā)生異常報文(超過設定閾值)時進行報警處理,,以保障信號系統(tǒng)的安全性,。滿足等級保護建設對訪問控制、邊界完整性檢查,、入侵防范等基本安全要求,。
( 2 ) 工控監(jiān)測與審計
旁路部署于控制中心核心交換機,、各設備集中站,、維修中心接入交換機以及車輛段/停車場交換機處。
通過對ATS網(wǎng),、ATC網(wǎng)和維護網(wǎng)的鏡像流量數(shù)據(jù)進行深度解析,閾值的設定和對數(shù)據(jù)變化速度范圍的設定,,實現(xiàn)對下屬節(jié)點數(shù)據(jù)變化以及操作內容的審計,,分析網(wǎng)絡內是否存在異常流量、操作等行為,,同時基于網(wǎng)絡流量,、協(xié)議和應用進行全方位的審計記錄,,并通過SYSLOG或SNMP將日志信息上傳至安全管理平臺。以便發(fā)生安全事件后能夠快速響應,,對事件進行分析溯源,。
( 3 ) 工控主機衛(wèi)士
管理端旁路部署于控制中心,,客戶端部署于控制中心,、設備集中站、非設備集中站,、車輛段,、停車場等處的工作站和服務器上。
通過對主機終端運行進程,、服務,、外聯(lián)接口等以“白名單”方式進行識別控制,限制白名單外的進程,、服務的運行以及外聯(lián)設備的接入,。從根本上遏制惡意代碼的運行。通過安全策略配置,,主機只能安裝運行與列車運行控制相關的應用軟件,、程序,禁止其它非相關軟件的安裝,,以此來增強主機終端的安全防護能力,,保障信號系統(tǒng)主機終端的安全、穩(wěn)定運行,。
?。?4 ) 安全集中管理平臺
旁路部署于控制中心維護網(wǎng)交換機上。
通過工控安全管理平臺的建設,,可以實現(xiàn)系統(tǒng)內安全設備的集中監(jiān)控管理,、日志采集以及策略的下發(fā)??梢詾樾盘栂到y(tǒng)運維管理提供決策支持,,提升安全事件響應速度與安全運維感知能力,增強整體安全防護水平,。
?。?5 ) 運維審計
部署于控制中心。
運維審計系統(tǒng)集賬號管理,、授權管理,、認證管理和綜合審計于一體,為信號系統(tǒng)提供統(tǒng)一框架,,整合了中心,、設備集中站,、非集中站、車輛段/停車場信號系統(tǒng)中的應用系統(tǒng),、網(wǎng)絡設備,、主機系統(tǒng),確保合法用戶安全,、方便使用特定資源,。有效地保障了合法用戶的權益,支撐了信號系統(tǒng)安全可靠地運行,。
?。?6 ) 工控入侵檢測
旁路部署于控制中心核心交換機處。
工控入侵檢測系統(tǒng)可對信號系統(tǒng)網(wǎng)絡中的數(shù)據(jù)流量進行深度檢測,、實時分析,,并對網(wǎng)絡中的攻擊行為進行監(jiān)測。工控入侵檢測系統(tǒng)主要是對應用層的數(shù)據(jù)流進行深度分析,,動態(tài)地發(fā)現(xiàn)來自內部和外部網(wǎng)絡攻擊的行為,,并發(fā)出報警,可與工控防火墻互補聯(lián)動,,實現(xiàn)對攻擊的檢測與防御,。
( 7 ) 數(shù)據(jù)庫審計
旁路部署于控制中心,。
數(shù)據(jù)庫審計可根據(jù)解析的SQL,,對用戶數(shù)據(jù)庫服務器進行安全判斷、攻擊檢測,。數(shù)據(jù)庫審計系統(tǒng)內置了多種攻擊檢測場景,,能有效地對攻擊行為作出告警等處理,并且能夠通過審計記錄發(fā)現(xiàn)數(shù)據(jù)庫一些潛在的安全威脅,,比如SQL注入,、密碼猜解、執(zhí)行操作系統(tǒng)級的命令等,,同時內置了豐富的數(shù)據(jù)庫入侵檢測規(guī)則庫,,及時發(fā)現(xiàn)并阻止數(shù)據(jù)庫安全威脅,保證數(shù)據(jù)庫安全運行,。
