1 背景概述
城市軌道交通中的信號系統是軌道交通的核心,直接關系到行車安全。隨著計算機和網絡技術的發展,特別是通信技術與信號系統的深度融合,信號系統以各種方式與綜合監控系統功能網絡、旅客信息、語音廣播等公共網絡互連,容易造成病毒、木馬等威脅向信號系統擴散,再加上信號系統自身存在的安全漏洞,一旦被不法分子利用,可能造成重大行車事故與社會影響,因此信號系統的安全防護體系建設已經刻不容緩。
2 安全現狀
CNCERT針對城市軌道交通行業的聯網管理系統進行了全國專項掃描和探測,共發現聯網的城市軌道交通相關系統100個,分布在全國15個省、20個城市,涉及到遠程監控、資產管理、工程安全等系統。由此可見,城市軌道交通行業網絡安全建設已勢在必行。
目前國內城市軌道交通網絡安全建設還處于起步階段,各方面內容都在摸索和完善過程中,存在的主要問題有:
( 1 ) 設備安全問題
城市軌道交通控制系統和信息系統中的主機終端、控制設備、網絡設備的安全防護不到位,存在內部人員越權訪問、誤操作、違規操作的威脅,以及外部黑客攻擊、病毒感染的風險。
( 2 ) 軟件安全問題
城市軌道交通控制系統和信息系統存在遠程命令執行、目錄遍歷等系統漏洞、應用軟件漏洞,導致系統中的敏感信息泄露、服務器權限被惡意操控等風險。
( 3 ) 管理制度問題
針對城市軌道交通控制系統和信息系統網絡安全的各項制度以及應急預案尚不完善。
3 風險分析
信號系統作為指揮列車運行與調度的核心系統,所有的操作控制及指令控制行為都與列車間的發車、停靠等息息相關,外部的惡意攻擊或內部的誤操作都是引發安全問題的因素,通常這些操作及控制指令通過網絡進行傳遞,往往惡意的指令都隱匿于看似正常的網絡流量之中,從網絡運行過程中無法判斷其流量所攜帶內容的合法性和完整性,誤操作或接受惡意控制指令將會導致信號系統網絡中斷,造成列車調度及運行癱瘓。
通過分析其可能造成信號系統安全風險的主要原因歸納為以下幾種:
( 1 ) 區域間未設置訪問控制措施
信號系統在內、外系統邊界處缺少相應的隔離防護措施,例如信號系統與綜合監控、旅客信息、廣播等多個外部系統互聯時,存在無法識別的外部惡意訪問行為,同時在其系統間的內部網絡存在相互隨意訪問的行為,出現網絡區域的邏輯混亂現象,一旦某個系統網絡遭受到病毒感染后,攜帶的惡意掃描探測程序直接貫穿到整個信號系統網絡,形成風暴式的攻擊危害。
( 2 ) 網絡操作行為無檢測,事后無有效追查手段
在信號系統網絡中,大量的列車信號數據不停地重復進行交替,這一過程缺乏對業務流程的異常操作行為審計。同時信號系統網絡對產生的攻擊威脅缺乏有效的監測與審計,一旦安全威脅發生,只能盲目尋找問題產生的原因,無法及時有效地應對攻擊。
( 3 ) 信息安全管理制度欠缺
現在大部分行業還未形成完整的制度來保障信息安全,在信號系統規劃、建設、運維、廢止全生命周期的信息安全需求和風險管理亟待完善。
( 4 ) 事件檢測與響應流程不完善
雖然信號系統具備對業務培訓的能力,但是面向全員的工控安全意識宣傳,工控安全技術和管理培訓均比較缺乏,需加強對工控安全體系化的宣傳和培訓。
4 設計方案
4.1 設計思路
城市軌道交通信號系統安全防護體系的設計是依據白名單機制對信號系統的區域邊界、通信網絡、計算環境等進行安全策略的配置,建立信號系統“白環境”。然后基于信號系統的行為基線以及業務基線,結合大數據分析技術進行綜合的建模分析,全面感知信號系統的態勢信息,并通過可視化的界面進行綜合展示。
4.2 安全防護體系設計
4.2.1?安全通信網絡
由于城市軌道交通信號系統本身就是實時控制的數據傳輸系統,并且其網絡也是獨立的專網,因此在信號系統安全防護體系的設計中需要采用工控防火墻實現與其它互聯系統的安全隔離,并通過安全策略的配置實現系統間數據傳輸的限制,以及非授權通信行為的禁止。
信號系統與其它互聯系統間的隔離,通過部署工控防火墻來實現。以此來保證信號系統的獨立性、完整性,避免其它系統的波及,并且能夠對進出信號系統的流量進行有效管控,防止非法、異常流量流入信號系統網絡。
在信號系統網絡中,部署在網絡邊界的工控防火墻是以最小通過性原則進行策略配置,根據業務需求采用白名單機制,逐條梳理業務流程,增加開放IP和開放端口,實現嚴格的流量管控。
4.2.2?安全區域邊界
( 1 ) 訪問控制防護
由于信號系統的業務特點,信號系統需同時連接多個內部子系統,形成系統的聯動。從信號系統的網絡結構可知,信號系統與其內部子系統需形成一個整體的安全域進行保護。與此同時,在信號系統中仍存在與其它外部系統,例如綜合監控、廣播、時鐘等系統的外部互聯。這樣使得原本相對獨立的信號系統網絡出現了對外互聯的邊界,外部系統遭受惡意攻擊后,會通過互聯邊界造成信號系統的直接感染。針對邊界互聯所產生的安全威脅問題,可利用訪問控制技術實現與外部互聯系統間的細粒度管控。
在信號系統與外部系統互聯邊界處部署工控防火墻,利用工控防火墻深度包解析引擎和內容檢測技術,結合訪問控制白名單技術,對信號系統內部與外部連接系統執行訪問控制規則,對通信內容實現細粒度的訪問控制,僅允許信號系統的正常業務和數據通過邊界進行訪問,防止非業務系統的惡意訪問通過。
( 2 ) 入侵防范
基于網絡的入侵防范,主要是通過分析網絡流量中的異常攻擊行為對其進行攔截和響應。當前比較流行的網絡入侵防范技術包括:基于特征簽名的入侵防范技術、基于沙箱的入侵防范技術、基于網絡行為白名單的入侵防范技術和基于威脅情報的入侵防范技術。信號系統網絡中的網絡流量和主機行為較為簡單,基于白名單的入侵防范技術更適合于信號系統的業務流程。
在控制中心通過部署工控入侵檢測或網絡審計類設備,并配置相應的安全策略和功能,來提高信號系統應用行為的安全監測與審計能力。
( 3 ) 惡意代碼防范
由于城市軌道交通的特殊性,信號系統中采用的通信協議及應用軟件都為專有的協議和專用的軟件,帶有強烈的行業屬性。因此可以通過在信號系統區域邊界、信號系統與其它系統之間部署訪問控制設備,在保證業務正常通信的情況下,以最小化原則,只允許信號系統中使用的專有協議通過,拒絕其它通用應用和協議進入信號系統網絡,以此來將惡意代碼安全風險降低到可控范圍內,減少安全事件的發生,保障信號系統高效、穩定運行。
( 4 ) 安全審計防護
安全審計是指按照一定的安全策略,記錄系統配置、系統活動、用戶活動等信息,檢測、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為等,并以此為基礎改善系統性能的過程,也是審查評估系統安全風險并提出相應整改措施的過程,它可以提高系統的安全性。安全審計不僅能夠監視和控制來自外部的入侵,還能夠監視來自內部人員的違規和惡意破壞行為,為網絡違法與犯罪的調查取證提供有力支持。
結合當前信號系統的業務特點,分別在控制中心、維修中心、設備集中站、車輛段/停車場的交換機處,采用鏡像流量方式,旁路部署工控監測與審計系統,實時監測系統內發生的訪問流量內容,基于工控協議深度解析技術,實現對數據流量的細粒度解析,以保證信號系統間的內容訪問安全,及時發現信號系統網絡中的異常流量和異常操作的訪問行為,并進行記錄和實時告警。
4.2.3?安全計算環境
根據信號系統網絡安全現狀并結合信號系統運行環境的特點,對于信號系統主機終端的安全防護,采用“白名單”機制的工控主機衛士來實現主機終端服務、進程、外聯接口的管控。“白名單”機制相對“黑名單”而言更適合于信號系統的安全防護,由于信號系統相對比較封閉,無法聯網進行病毒庫更新。系統一旦建設完成,很長一段時間都不會再進行升級或改造,而且信號系統中的通信端口、協議、應用軟件等都比較固定,采用“白名單”機制進行安全防護,能夠有效保障信號系統主機終端的安全。
在信號系統網絡中的工作站、服務器等設備,大多數以Windows系統作為操作平臺,一些設備處于老舊狀態,無法及時升級或更新補丁。隨著Windows系統的廣泛應用,一些安全漏洞隱患不斷爆出,采用傳統防病毒軟件或主機入侵防護產品進行安全防護的方式已不再適用于信號系統的主機終端。由于工業主機的特殊性,傳統安全防護產品無法有效地對工業主機進行安全防護,如果病毒庫更新不及時,依賴大量病毒特征庫的傳統安全防護產品將無法獲取最新的病毒庫特征,其安全防護能力將大打折扣,將面臨無法識別工業主機的關鍵程序、關鍵進程及服務的情況,造成誤刪誤報等影響業務正常運行的后果。
在信號系統中,分別在控制中心、設備集中站、維修中心、車輛段/停車場等處的工作站和服務器中安裝部署工控主機衛士系統軟件,基于進程白名單技術,將主機中的應用、進程、服務等進行安全管控,阻止白名單外其它與控制運行無關的應用軟件安裝使用,及運行進程、服務等。此外,基于“白名單”技術,可實現對外聯接口以及外來存儲介質的管控,禁用未經授權移動存儲介質接入主機終端設備,保障信號系統不受外來設備威脅,并提供安全可靠的運行環境。
4.2.4?安全管理中心
建設安全管理中心可以幫助城市軌道交通運維人員實現零散安全產品到信息安全保障體系的轉變。它解決了海量數據和信息孤島的困擾,簡化了安全管理的數據模型。安全管理中心通過分布在現場的各類安全探針采集來自信號系統網絡中的各類安全信息,上傳到安全管理平臺進行集中存儲,再根據平臺中定制的安全策略,結合大數據分析技術對這些數據進行關聯分析,最終以可視化的方式展示。
在城市軌道交通信號系統安全防護體系建設過程中,安全管理中心的建設將起到至關重要的作用。通常是在控制中心部署安全管理平臺,通過安全管理員為安全計算環境、安全區域邊界、安全通信網絡配置統一的安全策略。實現對信號系統全網安全設備、安全事件、安全策略、安全運維的統一集中監控、管理及預警。通過安全審計員對安全審計機制進行集中管理,進行身份識別,根據權限進行操作及審計。通過系統管理員對系統的資源和運行進行配置、控制和管理,進行身份識別,根據權限進行操作及審計。
5 整體部署應用
圖1為城市軌道交通信號系統安全防護體系中安全防護設備的部署。
圖1信號系統防護體系整體部署示意圖
( 1 ) 工控防火墻
部署于控制中心信號系統與外部系統互聯邊界。
可以實現隔離與訪問控制,能夠通過基于工業協議的深度識別,對訪問行為進行細粒度的控制。通過對訪問內容與設定的基于寄存器的安全策略比對,確認報文的通過或阻斷。當發生異常報文(超過設定閾值)時進行報警處理,以保障信號系統的安全性。滿足等級保護建設對訪問控制、邊界完整性檢查、入侵防范等基本安全要求。
( 2 ) 工控監測與審計
旁路部署于控制中心核心交換機、各設備集中站、維修中心接入交換機以及車輛段/停車場交換機處。
通過對ATS網、ATC網和維護網的鏡像流量數據進行深度解析,閾值的設定和對數據變化速度范圍的設定,實現對下屬節點數據變化以及操作內容的審計,分析網絡內是否存在異常流量、操作等行為,同時基于網絡流量、協議和應用進行全方位的審計記錄,并通過SYSLOG或SNMP將日志信息上傳至安全管理平臺。以便發生安全事件后能夠快速響應,對事件進行分析溯源。
( 3 ) 工控主機衛士
管理端旁路部署于控制中心,客戶端部署于控制中心、設備集中站、非設備集中站、車輛段、停車場等處的工作站和服務器上。
通過對主機終端運行進程、服務、外聯接口等以“白名單”方式進行識別控制,限制白名單外的進程、服務的運行以及外聯設備的接入。從根本上遏制惡意代碼的運行。通過安全策略配置,主機只能安裝運行與列車運行控制相關的應用軟件、程序,禁止其它非相關軟件的安裝,以此來增強主機終端的安全防護能力,保障信號系統主機終端的安全、穩定運行。
( 4 ) 安全集中管理平臺
旁路部署于控制中心維護網交換機上。
通過工控安全管理平臺的建設,可以實現系統內安全設備的集中監控管理、日志采集以及策略的下發。可以為信號系統運維管理提供決策支持,提升安全事件響應速度與安全運維感知能力,增強整體安全防護水平。
( 5 ) 運維審計
部署于控制中心。
運維審計系統集賬號管理、授權管理、認證管理和綜合審計于一體,為信號系統提供統一框架,整合了中心、設備集中站、非集中站、車輛段/停車場信號系統中的應用系統、網絡設備、主機系統,確保合法用戶安全、方便使用特定資源。有效地保障了合法用戶的權益,支撐了信號系統安全可靠地運行。
( 6 ) 工控入侵檢測
旁路部署于控制中心核心交換機處。
工控入侵檢測系統可對信號系統網絡中的數據流量進行深度檢測、實時分析,并對網絡中的攻擊行為進行監測。工控入侵檢測系統主要是對應用層的數據流進行深度分析,動態地發現來自內部和外部網絡攻擊的行為,并發出報警,可與工控防火墻互補聯動,實現對攻擊的檢測與防御。
( 7 ) 數據庫審計
旁路部署于控制中心。
數據庫審計可根據解析的SQL,對用戶數據庫服務器進行安全判斷、攻擊檢測。數據庫審計系統內置了多種攻擊檢測場景,能有效地對攻擊行為作出告警等處理,并且能夠通過審計記錄發現數據庫一些潛在的安全威脅,比如SQL注入、密碼猜解、執行操作系統級的命令等,同時內置了豐富的數據庫入侵檢測規則庫,及時發現并阻止數據庫安全威脅,保證數據庫安全運行。