1 背景概述
城市軌道交通中的信號系統(tǒng)是軌道交通的核心,,直接關(guān)系到行車安全,。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,,特別是通信技術(shù)與信號系統(tǒng)的深度融合,,信號系統(tǒng)以各種方式與綜合監(jiān)控系統(tǒng)功能網(wǎng)絡(luò)、旅客信息,、語音廣播等公共網(wǎng)絡(luò)互連,,容易造成病毒,、木馬等威脅向信號系統(tǒng)擴(kuò)散,,再加上信號系統(tǒng)自身存在的安全漏洞,一旦被不法分子利用,,可能造成重大行車事故與社會影響,,因此信號系統(tǒng)的安全防護(hù)體系建設(shè)已經(jīng)刻不容緩。
2 安全現(xiàn)狀
CNCERT針對城市軌道交通行業(yè)的聯(lián)網(wǎng)管理系統(tǒng)進(jìn)行了全國專項(xiàng)掃描和探測,,共發(fā)現(xiàn)聯(lián)網(wǎng)的城市軌道交通相關(guān)系統(tǒng)100個,,分布在全國15個省、20個城市,,涉及到遠(yuǎn)程監(jiān)控,、資產(chǎn)管理、工程安全等系統(tǒng),。由此可見,,城市軌道交通行業(yè)網(wǎng)絡(luò)安全建設(shè)已勢在必行。
目前國內(nèi)城市軌道交通網(wǎng)絡(luò)安全建設(shè)還處于起步階段,,各方面內(nèi)容都在摸索和完善過程中,,存在的主要問題有:
( 1 ) 設(shè)備安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)中的主機(jī)終端,、控制設(shè)備,、網(wǎng)絡(luò)設(shè)備的安全防護(hù)不到位,存在內(nèi)部人員越權(quán)訪問,、誤操作,、違規(guī)操作的威脅,以及外部黑客攻擊,、病毒感染的風(fēng)險(xiǎn),。
( 2 ) 軟件安全問題
城市軌道交通控制系統(tǒng)和信息系統(tǒng)存在遠(yuǎn)程命令執(zhí)行,、目錄遍歷等系統(tǒng)漏洞,、應(yīng)用軟件漏洞,導(dǎo)致系統(tǒng)中的敏感信息泄露,、服務(wù)器權(quán)限被惡意操控等風(fēng)險(xiǎn),。
( 3 ) 管理制度問題
針對城市軌道交通控制系統(tǒng)和信息系統(tǒng)網(wǎng)絡(luò)安全的各項(xiàng)制度以及應(yīng)急預(yù)案尚不完善。
3 風(fēng)險(xiǎn)分析
信號系統(tǒng)作為指揮列車運(yùn)行與調(diào)度的核心系統(tǒng),,所有的操作控制及指令控制行為都與列車間的發(fā)車,、停靠等息息相關(guān),,外部的惡意攻擊或內(nèi)部的誤操作都是引發(fā)安全問題的因素,,通常這些操作及控制指令通過網(wǎng)絡(luò)進(jìn)行傳遞,往往惡意的指令都隱匿于看似正常的網(wǎng)絡(luò)流量之中,,從網(wǎng)絡(luò)運(yùn)行過程中無法判斷其流量所攜帶內(nèi)容的合法性和完整性,,誤操作或接受惡意控制指令將會導(dǎo)致信號系統(tǒng)網(wǎng)絡(luò)中斷,造成列車調(diào)度及運(yùn)行癱瘓,。
通過分析其可能造成信號系統(tǒng)安全風(fēng)險(xiǎn)的主要原因歸納為以下幾種:
?。?1 ) 區(qū)域間未設(shè)置訪問控制措施
信號系統(tǒng)在內(nèi)、外系統(tǒng)邊界處缺少相應(yīng)的隔離防護(hù)措施,,例如信號系統(tǒng)與綜合監(jiān)控,、旅客信息、廣播等多個外部系統(tǒng)互聯(lián)時(shí),,存在無法識別的外部惡意訪問行為,,同時(shí)在其系統(tǒng)間的內(nèi)部網(wǎng)絡(luò)存在相互隨意訪問的行為,出現(xiàn)網(wǎng)絡(luò)區(qū)域的邏輯混亂現(xiàn)象,,一旦某個系統(tǒng)網(wǎng)絡(luò)遭受到病毒感染后,,攜帶的惡意掃描探測程序直接貫穿到整個信號系統(tǒng)網(wǎng)絡(luò),形成風(fēng)暴式的攻擊危害,。
?。?2 ) 網(wǎng)絡(luò)操作行為無檢測,事后無有效追查手段
在信號系統(tǒng)網(wǎng)絡(luò)中,,大量的列車信號數(shù)據(jù)不停地重復(fù)進(jìn)行交替,,這一過程缺乏對業(yè)務(wù)流程的異常操作行為審計(jì)。同時(shí)信號系統(tǒng)網(wǎng)絡(luò)對產(chǎn)生的攻擊威脅缺乏有效的監(jiān)測與審計(jì),,一旦安全威脅發(fā)生,,只能盲目尋找問題產(chǎn)生的原因,無法及時(shí)有效地應(yīng)對攻擊,。
?。?3 ) 信息安全管理制度欠缺
現(xiàn)在大部分行業(yè)還未形成完整的制度來保障信息安全,在信號系統(tǒng)規(guī)劃,、建設(shè),、運(yùn)維、廢止全生命周期的信息安全需求和風(fēng)險(xiǎn)管理亟待完善,。
?。?4 ) 事件檢測與響應(yīng)流程不完善
雖然信號系統(tǒng)具備對業(yè)務(wù)培訓(xùn)的能力,,但是面向全員的工控安全意識宣傳,工控安全技術(shù)和管理培訓(xùn)均比較缺乏,,需加強(qiáng)對工控安全體系化的宣傳和培訓(xùn),。
4 設(shè)計(jì)方案
4.1 設(shè)計(jì)思路
城市軌道交通信號系統(tǒng)安全防護(hù)體系的設(shè)計(jì)是依據(jù)白名單機(jī)制對信號系統(tǒng)的區(qū)域邊界、通信網(wǎng)絡(luò),、計(jì)算環(huán)境等進(jìn)行安全策略的配置,,建立信號系統(tǒng)“白環(huán)境”。然后基于信號系統(tǒng)的行為基線以及業(yè)務(wù)基線,,結(jié)合大數(shù)據(jù)分析技術(shù)進(jìn)行綜合的建模分析,,全面感知信號系統(tǒng)的態(tài)勢信息,并通過可視化的界面進(jìn)行綜合展示,。
4.2 安全防護(hù)體系設(shè)計(jì)
4.2.1?安全通信網(wǎng)絡(luò)
由于城市軌道交通信號系統(tǒng)本身就是實(shí)時(shí)控制的數(shù)據(jù)傳輸系統(tǒng),,并且其網(wǎng)絡(luò)也是獨(dú)立的專網(wǎng),,因此在信號系統(tǒng)安全防護(hù)體系的設(shè)計(jì)中需要采用工控防火墻實(shí)現(xiàn)與其它互聯(lián)系統(tǒng)的安全隔離,,并通過安全策略的配置實(shí)現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)南拗疲约胺鞘跈?quán)通信行為的禁止,。
信號系統(tǒng)與其它互聯(lián)系統(tǒng)間的隔離,,通過部署工控防火墻來實(shí)現(xiàn)。以此來保證信號系統(tǒng)的獨(dú)立性,、完整性,,避免其它系統(tǒng)的波及,并且能夠?qū)M(jìn)出信號系統(tǒng)的流量進(jìn)行有效管控,,防止非法,、異常流量流入信號系統(tǒng)網(wǎng)絡(luò)。
在信號系統(tǒng)網(wǎng)絡(luò)中,,部署在網(wǎng)絡(luò)邊界的工控防火墻是以最小通過性原則進(jìn)行策略配置,,根據(jù)業(yè)務(wù)需求采用白名單機(jī)制,逐條梳理業(yè)務(wù)流程,,增加開放IP和開放端口,,實(shí)現(xiàn)嚴(yán)格的流量管控。
4.2.2?安全區(qū)域邊界
?。?1 ) 訪問控制防護(hù)
由于信號系統(tǒng)的業(yè)務(wù)特點(diǎn),,信號系統(tǒng)需同時(shí)連接多個內(nèi)部子系統(tǒng),形成系統(tǒng)的聯(lián)動,。從信號系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)可知,,信號系統(tǒng)與其內(nèi)部子系統(tǒng)需形成一個整體的安全域進(jìn)行保護(hù)。與此同時(shí),,在信號系統(tǒng)中仍存在與其它外部系統(tǒng),,例如綜合監(jiān)控,、廣播、時(shí)鐘等系統(tǒng)的外部互聯(lián),。這樣使得原本相對獨(dú)立的信號系統(tǒng)網(wǎng)絡(luò)出現(xiàn)了對外互聯(lián)的邊界,,外部系統(tǒng)遭受惡意攻擊后,會通過互聯(lián)邊界造成信號系統(tǒng)的直接感染,。針對邊界互聯(lián)所產(chǎn)生的安全威脅問題,,可利用訪問控制技術(shù)實(shí)現(xiàn)與外部互聯(lián)系統(tǒng)間的細(xì)粒度管控。
在信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界處部署工控防火墻,,利用工控防火墻深度包解析引擎和內(nèi)容檢測技術(shù),,結(jié)合訪問控制白名單技術(shù),對信號系統(tǒng)內(nèi)部與外部連接系統(tǒng)執(zhí)行訪問控制規(guī)則,,對通信內(nèi)容實(shí)現(xiàn)細(xì)粒度的訪問控制,,僅允許信號系統(tǒng)的正常業(yè)務(wù)和數(shù)據(jù)通過邊界進(jìn)行訪問,防止非業(yè)務(wù)系統(tǒng)的惡意訪問通過,。
?。?2 ) 入侵防范
基于網(wǎng)絡(luò)的入侵防范,主要是通過分析網(wǎng)絡(luò)流量中的異常攻擊行為對其進(jìn)行攔截和響應(yīng),。當(dāng)前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括:基于特征簽名的入侵防范技術(shù),、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報(bào)的入侵防范技術(shù),。信號系統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量和主機(jī)行為較為簡單,,基于白名單的入侵防范技術(shù)更適合于信號系統(tǒng)的業(yè)務(wù)流程。
在控制中心通過部署工控入侵檢測或網(wǎng)絡(luò)審計(jì)類設(shè)備,,并配置相應(yīng)的安全策略和功能,,來提高信號系統(tǒng)應(yīng)用行為的安全監(jiān)測與審計(jì)能力。
?。?3 ) 惡意代碼防范
由于城市軌道交通的特殊性,,信號系統(tǒng)中采用的通信協(xié)議及應(yīng)用軟件都為專有的協(xié)議和專用的軟件,帶有強(qiáng)烈的行業(yè)屬性,。因此可以通過在信號系統(tǒng)區(qū)域邊界,、信號系統(tǒng)與其它系統(tǒng)之間部署訪問控制設(shè)備,在保證業(yè)務(wù)正常通信的情況下,,以最小化原則,,只允許信號系統(tǒng)中使用的專有協(xié)議通過,拒絕其它通用應(yīng)用和協(xié)議進(jìn)入信號系統(tǒng)網(wǎng)絡(luò),,以此來將惡意代碼安全風(fēng)險(xiǎn)降低到可控范圍內(nèi),,減少安全事件的發(fā)生,保障信號系統(tǒng)高效,、穩(wěn)定運(yùn)行,。
?。?4 ) 安全審計(jì)防護(hù)
安全審計(jì)是指按照一定的安全策略,記錄系統(tǒng)配置,、系統(tǒng)活動,、用戶活動等信息,檢測,、審查和檢驗(yàn)操作事件的環(huán)境及活動,,從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為等,,并以此為基礎(chǔ)改善系統(tǒng)性能的過程,,也是審查評估系統(tǒng)安全風(fēng)險(xiǎn)并提出相應(yīng)整改措施的過程,它可以提高系統(tǒng)的安全性,。安全審計(jì)不僅能夠監(jiān)視和控制來自外部的入侵,,還能夠監(jiān)視來自內(nèi)部人員的違規(guī)和惡意破壞行為,為網(wǎng)絡(luò)違法與犯罪的調(diào)查取證提供有力支持,。
結(jié)合當(dāng)前信號系統(tǒng)的業(yè)務(wù)特點(diǎn),,分別在控制中心、維修中心,、設(shè)備集中站,、車輛段/停車場的交換機(jī)處,,采用鏡像流量方式,,旁路部署工控監(jiān)測與審計(jì)系統(tǒng),實(shí)時(shí)監(jiān)測系統(tǒng)內(nèi)發(fā)生的訪問流量內(nèi)容,,基于工控協(xié)議深度解析技術(shù),,實(shí)現(xiàn)對數(shù)據(jù)流量的細(xì)粒度解析,以保證信號系統(tǒng)間的內(nèi)容訪問安全,,及時(shí)發(fā)現(xiàn)信號系統(tǒng)網(wǎng)絡(luò)中的異常流量和異常操作的訪問行為,,并進(jìn)行記錄和實(shí)時(shí)告警。
4.2.3?安全計(jì)算環(huán)境
根據(jù)信號系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀并結(jié)合信號系統(tǒng)運(yùn)行環(huán)境的特點(diǎn),,對于信號系統(tǒng)主機(jī)終端的安全防護(hù),,采用“白名單”機(jī)制的工控主機(jī)衛(wèi)士來實(shí)現(xiàn)主機(jī)終端服務(wù)、進(jìn)程,、外聯(lián)接口的管控,。“白名單”機(jī)制相對“黑名單”而言更適合于信號系統(tǒng)的安全防護(hù),,由于信號系統(tǒng)相對比較封閉,,無法聯(lián)網(wǎng)進(jìn)行病毒庫更新。系統(tǒng)一旦建設(shè)完成,,很長一段時(shí)間都不會再進(jìn)行升級或改造,,而且信號系統(tǒng)中的通信端口,、協(xié)議、應(yīng)用軟件等都比較固定,,采用“白名單”機(jī)制進(jìn)行安全防護(hù),,能夠有效保障信號系統(tǒng)主機(jī)終端的安全。
在信號系統(tǒng)網(wǎng)絡(luò)中的工作站,、服務(wù)器等設(shè)備,,大多數(shù)以Windows系統(tǒng)作為操作平臺,一些設(shè)備處于老舊狀態(tài),,無法及時(shí)升級或更新補(bǔ)丁,。隨著Windows系統(tǒng)的廣泛應(yīng)用,一些安全漏洞隱患不斷爆出,,采用傳統(tǒng)防病毒軟件或主機(jī)入侵防護(hù)產(chǎn)品進(jìn)行安全防護(hù)的方式已不再適用于信號系統(tǒng)的主機(jī)終端,。由于工業(yè)主機(jī)的特殊性,傳統(tǒng)安全防護(hù)產(chǎn)品無法有效地對工業(yè)主機(jī)進(jìn)行安全防護(hù),,如果病毒庫更新不及時(shí),,依賴大量病毒特征庫的傳統(tǒng)安全防護(hù)產(chǎn)品將無法獲取最新的病毒庫特征,其安全防護(hù)能力將大打折扣,,將面臨無法識別工業(yè)主機(jī)的關(guān)鍵程序,、關(guān)鍵進(jìn)程及服務(wù)的情況,造成誤刪誤報(bào)等影響業(yè)務(wù)正常運(yùn)行的后果,。
在信號系統(tǒng)中,,分別在控制中心、設(shè)備集中站,、維修中心,、車輛段/停車場等處的工作站和服務(wù)器中安裝部署工控主機(jī)衛(wèi)士系統(tǒng)軟件,基于進(jìn)程白名單技術(shù),,將主機(jī)中的應(yīng)用,、進(jìn)程、服務(wù)等進(jìn)行安全管控,,阻止白名單外其它與控制運(yùn)行無關(guān)的應(yīng)用軟件安裝使用,,及運(yùn)行進(jìn)程、服務(wù)等,。此外,,基于“白名單”技術(shù),可實(shí)現(xiàn)對外聯(lián)接口以及外來存儲介質(zhì)的管控,,禁用未經(jīng)授權(quán)移動存儲介質(zhì)接入主機(jī)終端設(shè)備,,保障信號系統(tǒng)不受外來設(shè)備威脅,并提供安全可靠的運(yùn)行環(huán)境,。
4.2.4?安全管理中心
建設(shè)安全管理中心可以幫助城市軌道交通運(yùn)維人員實(shí)現(xiàn)零散安全產(chǎn)品到信息安全保障體系的轉(zhuǎn)變,。它解決了海量數(shù)據(jù)和信息孤島的困擾,,簡化了安全管理的數(shù)據(jù)模型。安全管理中心通過分布在現(xiàn)場的各類安全探針采集來自信號系統(tǒng)網(wǎng)絡(luò)中的各類安全信息,,上傳到安全管理平臺進(jìn)行集中存儲,,再根據(jù)平臺中定制的安全策略,結(jié)合大數(shù)據(jù)分析技術(shù)對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,,最終以可視化的方式展示,。
在城市軌道交通信號系統(tǒng)安全防護(hù)體系建設(shè)過程中,安全管理中心的建設(shè)將起到至關(guān)重要的作用,。通常是在控制中心部署安全管理平臺,,通過安全管理員為安全計(jì)算環(huán)境、安全區(qū)域邊界,、安全通信網(wǎng)絡(luò)配置統(tǒng)一的安全策略,。實(shí)現(xiàn)對信號系統(tǒng)全網(wǎng)安全設(shè)備、安全事件,、安全策略,、安全運(yùn)維的統(tǒng)一集中監(jiān)控、管理及預(yù)警,。通過安全審計(jì)員對安全審計(jì)機(jī)制進(jìn)行集中管理,,進(jìn)行身份識別,根據(jù)權(quán)限進(jìn)行操作及審計(jì),。通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置,、控制和管理,進(jìn)行身份識別,,根據(jù)權(quán)限進(jìn)行操作及審計(jì),。
5 整體部署應(yīng)用
圖1為城市軌道交通信號系統(tǒng)安全防護(hù)體系中安全防護(hù)設(shè)備的部署。
圖1信號系統(tǒng)防護(hù)體系整體部署示意圖
?。?1 ) 工控防火墻
部署于控制中心信號系統(tǒng)與外部系統(tǒng)互聯(lián)邊界。
可以實(shí)現(xiàn)隔離與訪問控制,,能夠通過基于工業(yè)協(xié)議的深度識別,,對訪問行為進(jìn)行細(xì)粒度的控制。通過對訪問內(nèi)容與設(shè)定的基于寄存器的安全策略比對,,確認(rèn)報(bào)文的通過或阻斷,。當(dāng)發(fā)生異常報(bào)文(超過設(shè)定閾值)時(shí)進(jìn)行報(bào)警處理,以保障信號系統(tǒng)的安全性,。滿足等級保護(hù)建設(shè)對訪問控制,、邊界完整性檢查、入侵防范等基本安全要求,。
?。?2 ) 工控監(jiān)測與審計(jì)
旁路部署于控制中心核心交換機(jī),、各設(shè)備集中站、維修中心接入交換機(jī)以及車輛段/停車場交換機(jī)處,。
通過對ATS網(wǎng),、ATC網(wǎng)和維護(hù)網(wǎng)的鏡像流量數(shù)據(jù)進(jìn)行深度解析,閾值的設(shè)定和對數(shù)據(jù)變化速度范圍的設(shè)定,,實(shí)現(xiàn)對下屬節(jié)點(diǎn)數(shù)據(jù)變化以及操作內(nèi)容的審計(jì),,分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為,,同時(shí)基于網(wǎng)絡(luò)流量,、協(xié)議和應(yīng)用進(jìn)行全方位的審計(jì)記錄,并通過SYSLOG或SNMP將日志信息上傳至安全管理平臺,。以便發(fā)生安全事件后能夠快速響應(yīng),,對事件進(jìn)行分析溯源。
?。?3 ) 工控主機(jī)衛(wèi)士
管理端旁路部署于控制中心,,客戶端部署于控制中心、設(shè)備集中站,、非設(shè)備集中站,、車輛段、停車場等處的工作站和服務(wù)器上,。
通過對主機(jī)終端運(yùn)行進(jìn)程,、服務(wù)、外聯(lián)接口等以“白名單”方式進(jìn)行識別控制,,限制白名單外的進(jìn)程,、服務(wù)的運(yùn)行以及外聯(lián)設(shè)備的接入。從根本上遏制惡意代碼的運(yùn)行,。通過安全策略配置,,主機(jī)只能安裝運(yùn)行與列車運(yùn)行控制相關(guān)的應(yīng)用軟件、程序,,禁止其它非相關(guān)軟件的安裝,,以此來增強(qiáng)主機(jī)終端的安全防護(hù)能力,保障信號系統(tǒng)主機(jī)終端的安全,、穩(wěn)定運(yùn)行,。
( 4 ) 安全集中管理平臺
旁路部署于控制中心維護(hù)網(wǎng)交換機(jī)上,。
通過工控安全管理平臺的建設(shè),,可以實(shí)現(xiàn)系統(tǒng)內(nèi)安全設(shè)備的集中監(jiān)控管理、日志采集以及策略的下發(fā)??梢詾樾盘栂到y(tǒng)運(yùn)維管理提供決策支持,,提升安全事件響應(yīng)速度與安全運(yùn)維感知能力,增強(qiáng)整體安全防護(hù)水平,。
?。?5 ) 運(yùn)維審計(jì)
部署于控制中心。
運(yùn)維審計(jì)系統(tǒng)集賬號管理,、授權(quán)管理,、認(rèn)證管理和綜合審計(jì)于一體,為信號系統(tǒng)提供統(tǒng)一框架,,整合了中心,、設(shè)備集中站、非集中站,、車輛段/停車場信號系統(tǒng)中的應(yīng)用系統(tǒng),、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng),,確保合法用戶安全,、方便使用特定資源。有效地保障了合法用戶的權(quán)益,,支撐了信號系統(tǒng)安全可靠地運(yùn)行,。
( 6 ) 工控入侵檢測
旁路部署于控制中心核心交換機(jī)處,。
工控入侵檢測系統(tǒng)可對信號系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度檢測,、實(shí)時(shí)分析,并對網(wǎng)絡(luò)中的攻擊行為進(jìn)行監(jiān)測,。工控入侵檢測系統(tǒng)主要是對應(yīng)用層的數(shù)據(jù)流進(jìn)行深度分析,,動態(tài)地發(fā)現(xiàn)來自內(nèi)部和外部網(wǎng)絡(luò)攻擊的行為,并發(fā)出報(bào)警,,可與工控防火墻互補(bǔ)聯(lián)動,,實(shí)現(xiàn)對攻擊的檢測與防御。
?。?7 ) 數(shù)據(jù)庫審計(jì)
旁路部署于控制中心,。
數(shù)據(jù)庫審計(jì)可根據(jù)解析的SQL,對用戶數(shù)據(jù)庫服務(wù)器進(jìn)行安全判斷,、攻擊檢測。數(shù)據(jù)庫審計(jì)系統(tǒng)內(nèi)置了多種攻擊檢測場景,,能有效地對攻擊行為作出告警等處理,,并且能夠通過審計(jì)記錄發(fā)現(xiàn)數(shù)據(jù)庫一些潛在的安全威脅,比如SQL注入、密碼猜解,、執(zhí)行操作系統(tǒng)級的命令等,,同時(shí)內(nèi)置了豐富的數(shù)據(jù)庫入侵檢測規(guī)則庫,及時(shí)發(fā)現(xiàn)并阻止數(shù)據(jù)庫安全威脅,,保證數(shù)據(jù)庫安全運(yùn)行,。
