摘要:本文主要研究城市軌道交通領域中綜合監控系統的資訊安全, 旨在爲綜合監控系統建立符合資訊安全等級保護規定的資訊安全防護機制, 保障綜合監控系統的網絡安全和資訊安全, 保護城市軌道交通資訊化系統不受外部或內部的入侵和攻擊, 確保城市軌道交通的安全執行。
關鍵詞:城市軌道交通; 綜合監控; 資訊安全;
0 引言
資訊安全是基於網絡構建的資訊系統中的軟、硬件及系統中的數據受到保護, 不因偶然的或者惡意的因素而遭到破壞、更改、泄露, 資訊系統安全可靠地長期執行, 提供不間斷資訊服務。隨着城市軌道交通在近幾年的高速發展, 資訊技術在城市軌道交通的大規模應用, 資訊系統在城市軌道交通系統中發揮了重要的作用。隨着互聯網技術、雲計算技術、傳感器技術和人工智能技術在城市軌道交通系統中的不斷深入應用, 城市軌道交通資訊系統朝着智能化的方向發展。確保資訊系統網絡及資訊安全是保證城市軌道交通能夠安全、可靠執行的基礎。
城市軌道交通綜合監控系統是建立在計算機網絡、通信網絡和資訊網絡的基礎之上, 實現多系統集成和互聯, 進行資訊共享交互的資訊化指揮系統。綜合監控系統處於城市軌道交通系統網絡最內部的生產網, 網絡規模龐大, 需要高度的安全性和機密性。然而, 目前綜合監控系統的網絡是基於網絡間互連協議技術建設, 其使用的TCP/IP協議不具備保障網絡通信安全的機制, 給綜合監控系統的資訊安全造成隱患, 網絡管理和安全面臨着更大的挑戰, 這也引起了各部級門的重視。如何保證系統網絡及資訊安全可靠, 成爲城市軌道交通綜合監控系統迫切需要解決的問題。
1 綜合監控系統資訊網絡存在的問題
計算機網絡應用和互聯網的普及, 給綜合監控系統資訊網絡增加了安全隱患, 再加上綜合監控系統網絡需要與城市軌道交通系統中爲數衆多的機電資訊系統進行連接, 這使得綜合監控系統資訊安全問題更加突出。主要集中在以下幾個方面:
1.1 外部攻擊的發展
綜合監控系統採用大量的IT技術, 其使用工業控制資訊技術的安全日益進入HACK的研究範圍, 國內外大型的資訊安全交流會議已經把工業控制資訊安全作爲一個重要的討論議題。隨着HACK的攻擊技術不斷進步, 攻擊的手段日趨多樣, 對於他們來說, 入侵到某個系統, 成功破壞其完整性是很有可能的。例如近幾年的震網、duqu、火焰、havex等病毒證明HACK開始對自動化系統感興趣。
1.2 內部威脅的加劇
據中國國家資訊安全測評中心的調查結果顯示, 資訊安全的主要威脅爲內部人員破壞和內部資訊泄露, 而不是來自外部HACK攻擊或病毒入侵。
綜合監控系統集成和互聯的各自動化系統普遍缺乏網絡准入和控制機制, 上位機與下位機通訊缺乏身份鑑別和認證機制, 只要能夠從協議層面跟下位機建立連接, 就可以對下位機進行修改, 普遍缺乏對系統最高權限的限制, 高權限賬號往往具有掌控系統和數據的能力, 因此, 任意一種非法操作都會導致系統或數據的修改和泄露。由於綜合監控系統缺乏有效的審計和事後追溯的工具, 也讓責任劃分和威脅追蹤變得更加困難。
1.3 應用軟件威脅
由外部提供的授權應用軟件無法保證提供完整的資訊保護功能, 因此後門、漏洞等問題都有可能出現。
1.4 第三方維護人員的威脅
資訊系統的發展愈發成熟之後, 因爲發展戰略、經營規劃、資源投入等原因, 會將非核心維護業務外包。如何有效地對運維人員的操作進行控制, 執行規範化的.嚴格審計是資訊系統運營面臨的一個關鍵問題。
1.5 多種病毒的泛濫
病毒可透過移動存儲設備、外來運維的電腦, 無線系統等進入系統, 當病毒進入系統後, 透過自動收集系統相關資訊, 如關於控制指令或操作命令、系統中明文傳輸的用戶資訊等, 或是嗅探網絡內如服務器、交換機、工業控制器等IT設備的漏洞, 從而進行復制、傳播。這種大規模的傳播與複製, 會極大地消耗網絡資源, 造成網絡擁塞、網絡風暴甚至網絡癱瘓, 成爲影響資訊系統安全的主要因素之一。
2 綜合監控系統資訊安全防護體系
2.1 參考標準
綜合監控系統按照IEC62443《工業過程測量、控制和自動化網絡與系統資訊安全》、《資訊保障技術框架》 (IATF) 的要求劃分區域, 確定系統邊界, 進而對系統可能面臨的威脅進行分析判斷。
IATF中將資訊系統劃分爲以下根節點域:邊界接入域、計算環境域、網絡基礎設施域和支撐性設施域。
按照要求, 綜合監控系統需要依據《資訊系統安全等級保護基本要求》 (GB/T 22239-2008) 中技術部分的相關要求, 建設資訊安全等級保護體系的技術部分。依據該要求中管理的相關要求進行建設資訊安全等級保護體系的管理部分, 重點加強縱深防禦。
本次主要從物理安全、網絡安全、主機安全、應用安全、數據安全五個方面研究綜合監控系統資訊安全等級保護技術部分的相應措施。
2.2 綜合監控系統資訊安全建設思路
採用“內部加固, 邊界邏輯隔離, 集中管理, 統一展示”的實施策略。
按照資訊安全等級保護技術部分要求, 綜合監控系統與其集成或互聯的各子系統應該從網絡接口分界處進行隔離, 使各子系統處於各自獨立的安全防護區。
系統邊界如服務器、接口裝置、各系統連接處等要進行邊界防護、訪問控制等。同時在內部對網絡進行實時監測, 對監測到的異常進行報警。
透過資訊安全管理系統對綜合監控系統內各個子系統和安全設備進行集中管理。
2.3 綜合監控系統資訊安全防護
城市軌道交通綜合監控系統是構建在城市軌道交通生產網絡上的數據採集與監視控制系統系統, 使用了分層分佈式的系統架構。中央級綜合監控系統, 車站級 (含停車場和車輛段) 綜合監控系統這兩級系統透過城市軌道交通生產網連接在一起。
按照資訊安全建設思路, 地鐵綜合監控系統可以劃分爲以下結構:
垂直方面劃分三個層級, 最頂層爲中央控制中心, 中間爲車站控制層, 下層爲設備層。控制層的工作站可以對設備層的設備下發指令進行控制, 但是控制層的工作站數量龐大, 從理論上講, 任何一臺工作站都可以控制全線的設備, 因此有必要將所有的工作站分別對待, 如:只有中央控制中心的總調工作站纔可以對全線的設備進行控制, 車站的工作站只能控制本站的設備, 車站的設備只能被本站和中央控制中心的工作站控制。
水平方面也需要劃分多個區域, 由於綜合監控系統需要對環境, 消防, 供電, 等多個內部系統進行監控, 還需要監控信號, AFC, CCTV, PIS等其它專業的數據, 在水平方向與這些系統都有連接。因此也有必要對這些內部和外部系統進行分區管理, 設定隔離措施, 防止一損俱損。
按照“邊界控制, 內部監測”的原則, 與外部系統 (其它專業如信號, AFC, CCTV, PIS等) 的連接處屬於邊界, 應進行訪問控制。內部系統如環境, 消防, 安全門等進行監測, 而電力p SCADA系統由於其在整個地鐵系統中的重要性, 已被定級爲等保三級, 因此電力系統應獨立分區, 並進行訪問控制。培訓系統與生產執行無直接關聯, 應獨立組網進行隔離, 如果確實需要與生產網相連, 也應進行訪問控制。
因爲安全系統也分佈部署到車站、停車場和車輛段, 安全管理中心也需要對全網的安全設備進行集中統一管理, 建議在通信系統中給安全系統也劃分獨立的管理通道, 以減少對生產系統的影響。
2.3.1 中央級綜合監控系統
在中央控制中心設定安全管理區域, 劃分獨立VLAN, 設定安全管理平臺, 集中部署/管理安全產品和安全設備。
中央級綜合監控系統在設備室部署工業防火牆、工業異常檢測引擎, 在系統內部署防病毒系統、工作站安全系統等。
在用戶安全管理工作區部署資訊安全管理平臺、審計系統、漏洞掃描、配置覈查等設備和系統。在與其它專業系統的外部邊界部署工業防火牆。在Web服務器前端部署Web應用防火牆。
(1) 資訊安全管理平臺。資訊安全管理系統用於集中管理系統中的各類安全資訊。基於網絡內資訊流識別各類數據訪問和發現資訊異常, 透過日誌分析發現潛在威脅, 透過比對各業務系統特定控制指令數據包快速發現異常業務數據。
(2) 工業防火牆。工業防火牆用於控制外部系統 (如信號, AFC等) 對綜合監控系統, 以及綜合監控系統內部不同區域之間 (如中央到車站) 的訪問控制, 對數據包進行過濾, 透過白名單機制隔離非法業務數據, 實現資訊保護。工業防火牆還可以對工業控制協議進行深度解析, 透過預設、自學習等方法識別非法或違規的工業控制指令及控制參數, 並進行阻斷, 避免工業控制設備受到網絡攻擊。
(3) 工控異常檢測。工控異常檢測透過對系統中的應用層協議進行深度解析檢驗協議格式, 並與規則策略對比驗證內容合規性, 可實現對應用系統的入侵檢測和分析業務操作異常。能自動發現工業網絡中的活動設備, 設備開放的端口以及設備的網絡連接, 並透過預設、自學習等方法制定白名單策略, 自動監視異常的違規業務。可對網絡中傳播的病毒、木馬以及對系統已知漏洞的攻擊行爲進行檢測。
(4) 網絡防病毒系統。病毒、木馬會導致終端執行效率降低, 對檔案進行破壞從而造成系統癱瘓。而且由於工作站透過網絡互聯, 會引起交叉感染現象, 很難徹底清除某些感染性較強的病毒, 因此要安裝網絡防病毒軟件對工作站主機進行病毒查殺。
(5) 工作站安全系統。工作站主機透過安裝工作站安全系統可對訪問進行控制, 根據安全策略控制對操作員工作站資源的訪問, 對工作站主機的進程、應用軟件進行權限管理, 控制移動存儲介質的使用。對工作站聯接到互聯網的行爲進行檢查, 準確定位並進行阻斷。
(6) 數據庫審計。數據庫審計系統是透過網絡對數據庫的操作合規性進行顆粒度審計的管理系統。它透過對被授權人員訪問數據庫的操作進行記錄、分析, 幫助用戶事前預防、實時監視、違規攔截、事後報告、事故追蹤溯源, 加強行爲監管, 保障數據庫的正常執行。
(7) 現場運維審計堡壘機。運維審計系統是透過網絡對系統的操作合規性進行顆粒度審計的管理系統。它透過對被授權人員對系統的維護行爲進行記錄、分析, 幫助用戶事前預防、實時監控、違規攔截、事後報告、事故追蹤溯源, 加強行爲監管、避免核心資產 (數據庫、服務器、網絡設備等) 損失、保障業務系統的正常執行。
(8) 漏洞掃描系統。漏洞掃描系統能夠快速發現網絡資產, 準確識別資產屬性, 全面掃描安全漏洞, 準確識別安全風險, 提供相應的修復建議和預防措施, 並審覈系統中配置的風險控制策略, 使安全管理人員在系統全面評估的基礎上實現安全自主掌控。
(9) 配置覈查。安全基線配置覈查系統是檢查安全配置的自動化工具, 可對主機設備、網絡設備、安全設備、數據庫、中間件等系統配置進行安全檢查。檢查內容應包括操作系統和網絡設備、數據庫和中間件等的賬號、口令、授權、日誌安全要求、不必要的服務、啓動項、註冊表、會話設定等和安全相關配置, 幫助安全人員對工作站主機進行定期檢查和安全加固。
(10) Web應用防火牆。Web應用防火牆是透過執行一系列針對HTTP/HTTPS的安全策略來專門爲Web應用提供第七層保護的一款產品。WEB應用防火牆是集WEB防護、網頁保護、負載均衡、應用交付於一體的Web安全防護設備。
2.3.2 車站/車輛段綜合監控系統
車站級綜合監控系統在設備室中部署工業防火牆、工控異常監測引擎, 在系統內部署防病毒系統、工作站安全系統等。
在車站級綜合監控系統與其它專業系統的邊界部署工業防火牆, 進行訪問控制, 在重要系統——電力p SCADA的區域邊界設定工業防火牆進行訪問控制。
在車站核心交換機旁路部署工業異常檢測引擎, 對內部網絡進行實時異常監測。
在車站的操作員工作站上安裝網絡防病毒和終端安全系統, 對病毒進行防治, 對主機進行保護。
2.4 綜合監控系統安全子系統
2.4.1 安全管理平臺
系統重點實現對綜合監控系統全系統設備安全、安全風險、安全事件、行爲的全方位監控, 形成綜合監控系統的資訊安全管理系統。系統由展示層、功能層、數據採集層、應用接口層、數據庫層組成, 實現資訊安全數據的採集、分析和展示。
(1) 展示層。展示層實現整個系統的靈活展示和配置管理。透過圖形化人機介面進行全系統設備安全監控、安全設備調度、系統運維、知識庫管理等, 提供有效報警、進行風險識別, 降低安全事件的發生概率, 降低連帶損失;同時可爲用戶提供各類報表, 網絡拓撲, 地理資訊等輔助資訊。
(2) 功能層。功能層是整個系統的業務核心, 用於實現各功能模組的主要功能。包括設備安全管理、工控安全綜合分析、輔助安全管理、系統運維管理四個方面。
設備安全管理實現全網設備的安全監控, 支援設備自動拓撲發現, 能夠將被管理設備進行分組、分域的統一維護。
工控安全綜合分析包括工控網絡業務流量分析、安全事件管理、安全風險管理。
輔助安全管理包括告警和報表的管理。
系統運維管理包括採集器管理、級聯管理、系統自管理、權限管理。
(3) 採集層。管理中心即可透過SNMP Trap、Syslog、ODBCJDBC、檔案檔案夾、WMI、FTP、Net BIOS、OPSEC等多種方式完成日誌收集功能。
採集的數據包括工控環境所有的交換機、服務器、網絡安全設備、OPC服務器、操作員站、DCS系統、PLC系統等。採集資訊類型主要分爲事件、流量、性能數據。
(4) 數據庫層。數據庫層集中存儲了系統所有的關鍵數據, 包括設備庫、拓撲庫、性能數據庫、事件庫、關聯分析規則庫、行爲合規規則庫、威脅庫、漏洞庫、配置基線庫、知識庫、系統自身的配置維護數據庫等等。
(5) 應用接口層。應用接口層是指本系統與外部系統的接口模組。接口模組內置資訊加密、安全認證等安全防護手段。實現安全系統與工業控制系統、運維繫統、網管系統及其他系統的接口, 以便在識別出安全事件後, 系統能夠及時響應處理。
2.4.2 網絡防病毒系統
系統主要爲了達到如下目的:提高安全管理員工作效率, 減輕日常工作強度;對終端進行統一的優化清理, 提高終端執行效率;加強企業內部終端安全的統一管理, 防止病毒木馬入侵;網絡防病毒系統由控制中心和終端兩部分組成。
(1) 控制中心。控制中心是網絡防病毒的管理平臺, 部署在服務器端, 採用B/S架構, 可以透過瀏覽器訪問。主要負責終端分組管理、體檢任務下發 (統一 (殺毒、統一漏洞修復) 、全網健康狀況監測、生成報表、查詢日誌和升級終端軟件等。
(2) 終端。企業終端部署在需要被保護的企業內部服務器或者PC終端, 接受控制中心下發的各種任務, 執行最終的殺毒掃描、漏洞修復等安全操作, 並向安全控制中心發送相應的安全報告。
3 結論
綜合監控系統作爲城市軌道交通設備執行監控的核心繫統, 需要連續可靠正常地提供資訊服務, 保證整個城市軌道交通系統的安全穩定執行。因此, 如何避免綜合監控系統遭受偶然或者惡意的攻擊、破壞, 對維護城市軌道交通正常的安全生產運營有着至關重要的意義。綜合監控系統配置資訊安全防護體系是確保系統整體安全, 降低安全運營風險的重要手段之一, 應得到充分的重視。
參考文獻
[1]GB50636-2010, 城市軌道交通綜合監控系統工程設計規範[S].北京:中國計劃出版社, 2011.
[2]IEC62443, 工業過程測量、控制和自動化網絡與系統資訊安全[S].北京:中國標準出版社, 2015.
[3]《工業控制系統安全指南》 (NIST SP800-82) [OL].[2014-01-24]://
[4]GB/T.22239-2008, 資訊系統安全等級保護基本要求[S].北京:中國標準出版社, 2008.