1 背景概述
城市軌道交通中的信號系統(tǒng)是軌道交通的核心,直接關(guān)系到行車安全。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是通信技術(shù)與信號系統(tǒng)的深度融合,信號系統(tǒng)以各種方式與綜合監(jiān)控系統(tǒng)功能網(wǎng)絡(luò)、旅客信息、語音廣播等公共網(wǎng)絡(luò)互連,容易造成病毒、木馬等威脅向信號系統(tǒng)擴散,再加上信號系統(tǒng)自身存在的安全漏洞,一旦被不法分子利用,可能造成重大行車事故與社會影響,因此信號系統(tǒng)的安全防護體系建設(shè)已經(jīng)刻不容緩。
2 安全現(xiàn)狀
CNCERT針對城市軌道交通行業(yè)的聯(lián)網(wǎng)管理系統(tǒng)進行了全國專項掃描和探測,共發(fā)現(xiàn)聯(lián)網(wǎng)的城市軌道交通相關(guān)系統(tǒng)100個,分布在全國15個省、20個城市,涉及到遠程監(jiān)控、資產(chǎn)管理、工程安全等系統(tǒng)。由此可見,城市軌道交通行業(yè)網(wǎng)絡(luò)安全建設(shè)已勢在必行。
目前國內(nèi)城市軌道交通網(wǎng)絡(luò)安全建設(shè)還處于起步階段,各方面內(nèi)容都在摸索和完善過程中,存在的主要問題有:
( 1 ) 設(shè)備安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)中的主機終端、控制設(shè)備、網(wǎng)絡(luò)設(shè)備的安全防護不到位,存在內(nèi)部人員越權(quán)訪問、誤操作、違規(guī)操作的威脅,以及外部黑客攻擊、病毒感染的風(fēng)險。
( 2 ) 軟件安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)存在遠程命令執(zhí)行、目錄遍歷等系統(tǒng)漏洞、應(yīng)用軟件漏洞,導(dǎo)致系統(tǒng)中的敏感信息泄露、服務(wù)器權(quán)限被惡意操控等風(fēng)險。
( 3 ) 管理制度問題
針對城市軌道交通控制系統(tǒng)和信息系統(tǒng)網(wǎng)絡(luò)安全的各項制度以及應(yīng)急預(yù)案尚不完善。
3 風(fēng)險分析
信號系統(tǒng)作為指揮列車運行與調(diào)度的核心系統(tǒng),所有的操作控制及指令控制行為都與列車間的發(fā)車、停靠等息息相關(guān),外部的惡意攻擊或內(nèi)部的誤操作都是引發(fā)安全問題的因素,通常這些操作及控制指令通過網(wǎng)絡(luò)進行傳遞,往往惡意的指令都隱匿于看似正常的網(wǎng)絡(luò)流量之中,從網(wǎng)絡(luò)運行過程中無法判斷其流量所攜帶內(nèi)容的合法性和完整性,誤操作或接受惡意控制指令將會導(dǎo)致信號系統(tǒng)網(wǎng)絡(luò)中斷,造成列車調(diào)度及運行癱瘓。
通過分析其可能造成信號系統(tǒng)安全風(fēng)險的主要原因歸納為以下幾種:
( 1 ) 區(qū)域間未設(shè)置訪問控制措施
信號系統(tǒng)在內(nèi)、外系統(tǒng)邊界處缺少相應(yīng)的隔離防護措施,例如信號系統(tǒng)與綜合監(jiān)控、旅客信息、廣播等多個外部系統(tǒng)互聯(lián)時,存在無法識別的外部惡意訪問行為,同時在其系統(tǒng)間的內(nèi)部網(wǎng)絡(luò)存在相互隨意訪問的行為,出現(xiàn)網(wǎng)絡(luò)區(qū)域的邏輯混亂現(xiàn)象,一旦某個系統(tǒng)網(wǎng)絡(luò)遭受到病毒感染后,攜帶的惡意掃描探測程序直接貫穿到整個信號系統(tǒng)網(wǎng)絡(luò),形成風(fēng)暴式的攻擊危害。
( 2 ) 網(wǎng)絡(luò)操作行為無檢測,事后無有效追查手段
在信號系統(tǒng)網(wǎng)絡(luò)中,大量的列車信號數(shù)據(jù)不停地重復(fù)進行交替,這一過程缺乏對業(yè)務(wù)流程的異常操作行為審計。同時信號系統(tǒng)網(wǎng)絡(luò)對產(chǎn)生的攻擊威脅缺乏有效的監(jiān)測與審計,一旦安全威脅發(fā)生,只能盲目尋找問題產(chǎn)生的原因,無法及時有效地應(yīng)對攻擊。
( 3 ) 信息安全管理制度欠缺
現(xiàn)在大部分行業(yè)還未形成完整的制度來保障信息安全,在信號系統(tǒng)規(guī)劃、建設(shè)、運維、廢止全生命周期的信息安全需求和風(fēng)險管理亟待完善。
( 4 ) 事件檢測與響應(yīng)流程不完善
雖然信號系統(tǒng)具備對業(yè)務(wù)培訓(xùn)的能力,但是面向全員的工控安全意識宣傳,工控安全技術(shù)和管理培訓(xùn)均比較缺乏,需加強對工控安全體系化的宣傳和培訓(xùn)。
4 設(shè)計方案
4.1 設(shè)計思路
城市軌道交通信號系統(tǒng)安全防護體系的設(shè)計是依據(jù)白名單機制對信號系統(tǒng)的區(qū)域邊界、通信網(wǎng)絡(luò)、計算環(huán)境等進行安全策略的配置,建立信號系統(tǒng)“白環(huán)境”。然后基于信號系統(tǒng)的行為基線以及業(yè)務(wù)基線,結(jié)合大數(shù)據(jù)分析技術(shù)進行綜合的建模分析,全面感知信號系統(tǒng)的態(tài)勢信息,并通過可視化的界面進行綜合展示。
4.2 安全防護體系設(shè)計
4.2.1?安全通信網(wǎng)絡(luò)
由于城市軌道交通信號系統(tǒng)本身就是實時控制的數(shù)據(jù)傳輸系統(tǒng),并且其網(wǎng)絡(luò)也是獨立的專網(wǎng),因此在信號系統(tǒng)安全防護體系的設(shè)計中需要采用工控防火墻實現(xiàn)與其它互聯(lián)系統(tǒng)的安全隔離,并通過安全策略的配置實現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)南拗疲约胺鞘跈?quán)通信行為的禁止。
信號系統(tǒng)與其它互聯(lián)系統(tǒng)間的隔離,通過部署工控防火墻來實現(xiàn)。以此來保證信號系統(tǒng)的獨立性、完整性,避免其它系統(tǒng)的波及,并且能夠?qū)M出信號系統(tǒng)的流量進行有效管控,防止非法、異常流量流入信號系統(tǒng)網(wǎng)絡(luò)。
在信號系統(tǒng)網(wǎng)絡(luò)中,部署在網(wǎng)絡(luò)邊界的工控防火墻是以最小通過性原則進行策略配置,根據(jù)業(yè)務(wù)需求采用白名單機制,逐條梳理業(yè)務(wù)流程,增加開放IP和開放端口,實現(xiàn)嚴格的流量管控。
4.2.2?安全區(qū)域邊界
( 1 ) 訪問控制防護
由于信號系統(tǒng)的業(yè)務(wù)特點,信號系統(tǒng)需同時連接多個內(nèi)部子系統(tǒng),形成系統(tǒng)的聯(lián)動。從信號系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)可知,信號系統(tǒng)與其內(nèi)部子系統(tǒng)需形成一個整體的安全域進行保護。與此同時,在信號系統(tǒng)中仍存在與其它外部系統(tǒng),例如綜合監(jiān)控、廣播、時鐘等系統(tǒng)的外部互聯(lián)。這樣使得原本相對獨立的信號系統(tǒng)網(wǎng)絡(luò)出現(xiàn)了對外互聯(lián)的邊界,外部系統(tǒng)遭受惡意攻擊后,會通過互聯(lián)邊界造成信號系統(tǒng)的直接感染。針對邊界互聯(lián)所產(chǎn)生的安全威脅問題,可利用訪問控制技術(shù)實現(xiàn)與外部互聯(lián)系統(tǒng)間的細粒度管控。
在信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界處部署工控防火墻,利用工控防火墻深度包解析引擎和內(nèi)容檢測技術(shù),結(jié)合訪問控制白名單技術(shù),對信號系統(tǒng)內(nèi)部與外部連接系統(tǒng)執(zhí)行訪問控制規(guī)則,對通信內(nèi)容實現(xiàn)細粒度的訪問控制,僅允許信號系統(tǒng)的正常業(yè)務(wù)和數(shù)據(jù)通過邊界進行訪問,防止非業(yè)務(wù)系統(tǒng)的惡意訪問通過。
( 2 ) 入侵防范
基于網(wǎng)絡(luò)的入侵防范,主要是通過分析網(wǎng)絡(luò)流量中的異常攻擊行為對其進行攔截和響應(yīng)。當(dāng)前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括:基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報的入侵防范技術(shù)。信號系統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量和主機行為較為簡單,基于白名單的入侵防范技術(shù)更適合于信號系統(tǒng)的業(yè)務(wù)流程。
在控制中心通過部署工控入侵檢測或網(wǎng)絡(luò)審計類設(shè)備,并配置相應(yīng)的安全策略和功能,來提高信號系統(tǒng)應(yīng)用行為的安全監(jiān)測與審計能力。
( 3 ) 惡意代碼防范
由于城市軌道交通的特殊性,信號系統(tǒng)中采用的通信協(xié)議及應(yīng)用軟件都為專有的協(xié)議和專用的軟件,帶有強烈的行業(yè)屬性。因此可以通過在信號系統(tǒng)區(qū)域邊界、信號系統(tǒng)與其它系統(tǒng)之間部署訪問控制設(shè)備,在保證業(yè)務(wù)正常通信的情況下,以最小化原則,只允許信號系統(tǒng)中使用的專有協(xié)議通過,拒絕其它通用應(yīng)用和協(xié)議進入信號系統(tǒng)網(wǎng)絡(luò),以此來將惡意代碼安全風(fēng)險降低到可控范圍內(nèi),減少安全事件的發(fā)生,保障信號系統(tǒng)高效、穩(wěn)定運行。
( 4 ) 安全審計防護
安全審計是指按照一定的安全策略,記錄系統(tǒng)配置、系統(tǒng)活動、用戶活動等信息,檢測、審查和檢驗操作事件的環(huán)境及活動,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為等,并以此為基礎(chǔ)改善系統(tǒng)性能的過程,也是審查評估系統(tǒng)安全風(fēng)險并提出相應(yīng)整改措施的過程,它可以提高系統(tǒng)的安全性。安全審計不僅能夠監(jiān)視和控制來自外部的入侵,還能夠監(jiān)視來自內(nèi)部人員的違規(guī)和惡意破壞行為,為網(wǎng)絡(luò)違法與犯罪的調(diào)查取證提供有力支持。
結(jié)合當(dāng)前信號系統(tǒng)的業(yè)務(wù)特點,分別在控制中心、維修中心、設(shè)備集中站、車輛段/停車場的交換機處,采用鏡像流量方式,旁路部署工控監(jiān)測與審計系統(tǒng),實時監(jiān)測系統(tǒng)內(nèi)發(fā)生的訪問流量內(nèi)容,基于工控協(xié)議深度解析技術(shù),實現(xiàn)對數(shù)據(jù)流量的細粒度解析,以保證信號系統(tǒng)間的內(nèi)容訪問安全,及時發(fā)現(xiàn)信號系統(tǒng)網(wǎng)絡(luò)中的異常流量和異常操作的訪問行為,并進行記錄和實時告警。
4.2.3?安全計算環(huán)境
根據(jù)信號系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀并結(jié)合信號系統(tǒng)運行環(huán)境的特點,對于信號系統(tǒng)主機終端的安全防護,采用“白名單”機制的工控主機衛(wèi)士來實現(xiàn)主機終端服務(wù)、進程、外聯(lián)接口的管控。“白名單”機制相對“黑名單”而言更適合于信號系統(tǒng)的安全防護,由于信號系統(tǒng)相對比較封閉,無法聯(lián)網(wǎng)進行病毒庫更新。系統(tǒng)一旦建設(shè)完成,很長一段時間都不會再進行升級或改造,而且信號系統(tǒng)中的通信端口、協(xié)議、應(yīng)用軟件等都比較固定,采用“白名單”機制進行安全防護,能夠有效保障信號系統(tǒng)主機終端的安全。
在信號系統(tǒng)網(wǎng)絡(luò)中的工作站、服務(wù)器等設(shè)備,大多數(shù)以Windows系統(tǒng)作為操作平臺,一些設(shè)備處于老舊狀態(tài),無法及時升級或更新補丁。隨著Windows系統(tǒng)的廣泛應(yīng)用,一些安全漏洞隱患不斷爆出,采用傳統(tǒng)防病毒軟件或主機入侵防護產(chǎn)品進行安全防護的方式已不再適用于信號系統(tǒng)的主機終端。由于工業(yè)主機的特殊性,傳統(tǒng)安全防護產(chǎn)品無法有效地對工業(yè)主機進行安全防護,如果病毒庫更新不及時,依賴大量病毒特征庫的傳統(tǒng)安全防護產(chǎn)品將無法獲取最新的病毒庫特征,其安全防護能力將大打折扣,將面臨無法識別工業(yè)主機的關(guān)鍵程序、關(guān)鍵進程及服務(wù)的情況,造成誤刪誤報等影響業(yè)務(wù)正常運行的后果。
在信號系統(tǒng)中,分別在控制中心、設(shè)備集中站、維修中心、車輛段/停車場等處的工作站和服務(wù)器中安裝部署工控主機衛(wèi)士系統(tǒng)軟件,基于進程白名單技術(shù),將主機中的應(yīng)用、進程、服務(wù)等進行安全管控,阻止白名單外其它與控制運行無關(guān)的應(yīng)用軟件安裝使用,及運行進程、服務(wù)等。此外,基于“白名單”技術(shù),可實現(xiàn)對外聯(lián)接口以及外來存儲介質(zhì)的管控,禁用未經(jīng)授權(quán)移動存儲介質(zhì)接入主機終端設(shè)備,保障信號系統(tǒng)不受外來設(shè)備威脅,并提供安全可靠的運行環(huán)境。
4.2.4?安全管理中心
建設(shè)安全管理中心可以幫助城市軌道交通運維人員實現(xiàn)零散安全產(chǎn)品到信息安全保障體系的轉(zhuǎn)變。它解決了海量數(shù)據(jù)和信息孤島的困擾,簡化了安全管理的數(shù)據(jù)模型。安全管理中心通過分布在現(xiàn)場的各類安全探針采集來自信號系統(tǒng)網(wǎng)絡(luò)中的各類安全信息,上傳到安全管理平臺進行集中存儲,再根據(jù)平臺中定制的安全策略,結(jié)合大數(shù)據(jù)分析技術(shù)對這些數(shù)據(jù)進行關(guān)聯(lián)分析,最終以可視化的方式展示。
在城市軌道交通信號系統(tǒng)安全防護體系建設(shè)過程中,安全管理中心的建設(shè)將起到至關(guān)重要的作用。通常是在控制中心部署安全管理平臺,通過安全管理員為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)配置統(tǒng)一的安全策略。實現(xiàn)對信號系統(tǒng)全網(wǎng)安全設(shè)備、安全事件、安全策略、安全運維的統(tǒng)一集中監(jiān)控、管理及預(yù)警。通過安全審計員對安全審計機制進行集中管理,進行身份識別,根據(jù)權(quán)限進行操作及審計。通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,進行身份識別,根據(jù)權(quán)限進行操作及審計。
5 整體部署應(yīng)用
圖1為城市軌道交通信號系統(tǒng)安全防護體系中安全防護設(shè)備的部署。
圖1信號系統(tǒng)防護體系整體部署示意圖
( 1 ) 工控防火墻
部署于控制中心信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界。
可以實現(xiàn)隔離與訪問控制,能夠通過基于工業(yè)協(xié)議的深度識別,對訪問行為進行細粒度的控制。通過對訪問內(nèi)容與設(shè)定的基于寄存器的安全策略比對,確認報文的通過或阻斷。當(dāng)發(fā)生異常報文(超過設(shè)定閾值)時進行報警處理,以保障信號系統(tǒng)的安全性。滿足等級保護建設(shè)對訪問控制、邊界完整性檢查、入侵防范等基本安全要求。
( 2 ) 工控監(jiān)測與審計
旁路部署于控制中心核心交換機、各設(shè)備集中站、維修中心接入交換機以及車輛段/停車場交換機處。
通過對ATS網(wǎng)、ATC網(wǎng)和維護網(wǎng)的鏡像流量數(shù)據(jù)進行深度解析,閾值的設(shè)定和對數(shù)據(jù)變化速度范圍的設(shè)定,實現(xiàn)對下屬節(jié)點數(shù)據(jù)變化以及操作內(nèi)容的審計,分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為,同時基于網(wǎng)絡(luò)流量、協(xié)議和應(yīng)用進行全方位的審計記錄,并通過SYSLOG或SNMP將日志信息上傳至安全管理平臺。以便發(fā)生安全事件后能夠快速響應(yīng),對事件進行分析溯源。
( 3 ) 工控主機衛(wèi)士
管理端旁路部署于控制中心,客戶端部署于控制中心、設(shè)備集中站、非設(shè)備集中站、車輛段、停車場等處的工作站和服務(wù)器上。
通過對主機終端運行進程、服務(wù)、外聯(lián)接口等以“白名單”方式進行識別控制,限制白名單外的進程、服務(wù)的運行以及外聯(lián)設(shè)備的接入。從根本上遏制惡意代碼的運行。通過安全策略配置,主機只能安裝運行與列車運行控制相關(guān)的應(yīng)用軟件、程序,禁止其它非相關(guān)軟件的安裝,以此來增強主機終端的安全防護能力,保障信號系統(tǒng)主機終端的安全、穩(wěn)定運行。
( 4 ) 安全集中管理平臺
旁路部署于控制中心維護網(wǎng)交換機上。
通過工控安全管理平臺的建設(shè),可以實現(xiàn)系統(tǒng)內(nèi)安全設(shè)備的集中監(jiān)控管理、日志采集以及策略的下發(fā)。可以為信號系統(tǒng)運維管理提供決策支持,提升安全事件響應(yīng)速度與安全運維感知能力,增強整體安全防護水平。
( 5 ) 運維審計
部署于控制中心。
運維審計系統(tǒng)集賬號管理、授權(quán)管理、認證管理和綜合審計于一體,為信號系統(tǒng)提供統(tǒng)一框架,整合了中心、設(shè)備集中站、非集中站、車輛段/停車場信號系統(tǒng)中的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng),確保合法用戶安全、方便使用特定資源。有效地保障了合法用戶的權(quán)益,支撐了信號系統(tǒng)安全可靠地運行。
( 6 ) 工控入侵檢測
旁路部署于控制中心核心交換機處。
工控入侵檢測系統(tǒng)可對信號系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)流量進行深度檢測、實時分析,并對網(wǎng)絡(luò)中的攻擊行為進行監(jiān)測。工控入侵檢測系統(tǒng)主要是對應(yīng)用層的數(shù)據(jù)流進行深度分析,動態(tài)地發(fā)現(xiàn)來自內(nèi)部和外部網(wǎng)絡(luò)攻擊的行為,并發(fā)出報警,可與工控防火墻互補聯(lián)動,實現(xiàn)對攻擊的檢測與防御。
( 7 ) 數(shù)據(jù)庫審計
旁路部署于控制中心。
數(shù)據(jù)庫審計可根據(jù)解析的SQL,對用戶數(shù)據(jù)庫服務(wù)器進行安全判斷、攻擊檢測。數(shù)據(jù)庫審計系統(tǒng)內(nèi)置了多種攻擊檢測場景,能有效地對攻擊行為作出告警等處理,并且能夠通過審計記錄發(fā)現(xiàn)數(shù)據(jù)庫一些潛在的安全威脅,比如SQL注入、密碼猜解、執(zhí)行操作系統(tǒng)級的命令等,同時內(nèi)置了豐富的數(shù)據(jù)庫入侵檢測規(guī)則庫,及時發(fā)現(xiàn)并阻止數(shù)據(jù)庫安全威脅,保證數(shù)據(jù)庫安全運行。
