今日頭條
官方微信
官方抖音
案例頻道1 系統概述
城市軌道交通作為城市公共交通的重要組成部分,近年來在國內取得了巨大的發展,運營里程不斷增長。其中的綜合監控系統、信號系統、電力系統更是關鍵的信息基礎設施,是支撐城市軌道交通安全、穩定運行的基礎。然而,隨著技術的進步及數字化、智能化浪潮的推動,城市軌道交通實現全自動駕駛已成為一種趨勢,更是推動了綜合監控與信號等系統的高度融合,形成了以行車指揮為核心的行車綜合自動化系統(TIAS)。真正實現了在統一的信息平臺上對機、電、車的統一管控。
城市軌道交通TIAS的主要目的是要將分散的自動化系統聯結為一個有機的整體,實現各專業系統之間的信息互通、資源共享,提高各系統間的協調配合能力及設備聯動能力,提升線路的整體自動化水平。最終實現以行車指揮為核心的綜合調度,應對各種突發事件,保障廣大乘客的安全出行。
然而,隨著系統集成度的越來越深,以及“兩化融合”的進一步推進,TIAS系統面臨的安全威脅也越來越廣,城市軌道交通信息安全防護體系的建設已迫在眉睫。
2 需求分析
2.1 網絡安全需求
TIAS系統與外部接入系統互聯鏈路上無安全防護措施,易受到來自軌道交通其它系統(如自動售票檢票系統AFC、乘客信息系統PIS、閉路電視監控系統CCTV等)未經授權訪問、未知流量攻擊、病毒木馬等安全風險的入侵,從而影響TIAS的正常運行,引發行車安全事故。因此,需要配備必要的邊界防護類設備,實現TIAS與互聯接入系統之間的邊界隔離防護。同時,還需對TIAS中的用戶操作行為、網絡流量進行合規性監測與審計,及時發現安全問題,保障TIAS的安全運行。
2.2 主機安全需求
TIAS中部署著若干的服務器、操作員站等主機終端,運行著TIAS相關服務數據與應用程序,其重要性不言而喻。然而主機終端存在的系統漏洞、應用軟件漏洞、弱口令、未經授權訪問及移動存儲介質濫用等安全隱患,直接影響著主機終端的正常運行及TIAS系統的安全穩定。因此,需要加強對主機終端的安全防護。包括主機的脆弱性檢測、病毒防護、安全加固、外聯接口管控等,以此來提升主機終端的安全防護能力,保障主機終端的安全穩定運行。
2.3 應用安全需求
TIAS系統中的應用軟件存在如賬號密碼共享、配置管理不規范、無安全審計措施等諸多安全隱患。這些隱患一旦被不法分子利用,容易引發TIAS系統的安全問題。因此,需要規范化管理,采用技術措施對系統的安全運維行為進行必要的安全管控和審計,以此來規避安全風險,提升應用軟件的安全防護能力。
2.4 數據安全需求
數據安全對于系統的正常運行起到至關重要的作用。然而,TIAS系統中的實時數據庫、歷史數據庫均存在諸多安全隱患,如數據庫非授權訪問、SQL注入、數據泄露等。一旦數據被非法訪問或遭受攻擊,造成數據丟失、數據篡改,將直接影響上層應用及整個系統的正常運行。因此,在數據安全方面,一方面需要在規劃建設時進行數據的冗余備份設計,保護數據的安全性;另一方面需要采用數據合規性檢查、審計等技術手段,來保障數據訪問層面的安全性。同時,加強安全管理措施的執行,全面提升數據安全防護能力。
3 方案設計
3.1 設計理念
根據《信息安全技術 網絡安全等級保護基本要求》中的相關技術要求,對TIAS系統進行安全防護體系設計。一方面,滿足國家信息安全等級保護三級建設的要求;另一方面,為TIAS系統安全運行提供必要的安全保障。
本方案安全防護體系的設計主要包括以下幾個方面:
第一,結合TIAS系統的業務特點及安全需求,在不改變系統網絡架構的情況下,視整個TIAS系統為一個整體來進行安全防護。
第二,加強TIAS系統網絡邊界的安全策略配置,構建細粒度的邊界安全防護能力,保障系統不受外來風險的入侵。
第三,強化TIAS系統中用戶操作行為的合規性審計,重點對異常流量、異常入侵行為、異常操作行為等進行安全審計,提高系統網絡的行為監測與審計能力,為事后的追蹤溯源提供依據。
第四,加強工作站、服務器等主機終端的安全防護能力,包括主機的加固、外聯接口管控、服務進程管控、主機防病毒等。提升主機終端的安全防護能力,增強主機終端的抗入侵能力。
第五,加強TIAS系統安全設備的集中管控能力。
3.2 安全防護體系設計
本方案安全防護體系的設計是從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心四個方面進行的設計,構建了“一個中心,三重防護”的動態縱深安全防護體系。
下文將按照等級保護三級的相關要求進行安全防護體系的設計。
3.2.1 安全域劃分
在不改變原有系統網絡架構的情況下,將城市軌道交通TIAS系統劃分為控制中心、車站、車輛段三個大區。其中,控制中心區域又劃分為控制中心TIAS區、控制中心TIAS外聯系統區、軟件測試區以及DMS區(設備維修支持系統區);車站區域又劃分為車站TIAS區、車站TIAS外聯系統區;車輛段區域又劃分為車輛段TIAS區、車輛段TIAS外聯系統區以及TMS區(培訓管理系統區)。
詳細的安全域劃分示意圖如圖1所示。
圖1 TIAS系統安全域劃分示意圖
3.2.2 安全通信網絡
城市軌道交通TIAS系統與外部互聯系統的安全防護,則是通過采用邊界安全防護設備來實現安全技術的隔離,并通過安全策略的配置以及協議的深度解析來實現系統間數據的安全傳輸及非授權訪問行為的阻斷。
在城市軌道交通TIAS系統網絡架構中,將TIAS系統大致分為控制中心TIAS系統、車站TIAS系統以及車輛段TIAS系統三大類。其中,控制中心TIAS系統是實現對各個車站、車輛段TIAS系統中數據的集中監控以及相應的備份存儲。并通過TIAS系統的功能要求實現對各車站TIAS系統的權限的控制。然而這種權限的控制只是簡單的權限的下放以及權限的回收等,并不能有效阻止其它系統的非授權訪問以及數據的傳輸。因此,需要在TIAS系統與其它互聯系統之間部署工控防火墻,通過配置相應的訪問控制策略,建立白名單機制,對流經防火墻的數據流量基于工業協議進行深度的協議解析及指令級的內容檢查和過濾,從而有效地實現對TIAS系統網絡的非法訪問、非法操作以及異常操作指令等的實時監測和防護。
3.2.3 安全區域邊界
(1)邊界隔離防護
邊界隔離防護技術主要是根據已合理劃分的安全域進行安全防護,原則上在每個安全域邊界采取邊界隔離措施,配置不同安全域間的安全策略,明確不同安全域的網絡邊界,對非授權或越權跨越邊界的行為進行阻斷并報警。
本方案TIAS系統邊界隔離防護采用的是工控防火墻來實現相應的功能。
(2)訪問控制防護
在TIAS系統與其它系統邊界以及控制中心TIAS系統與軟件測試平臺邊界,通過部署工控防火墻設備,利用工控防火墻的深度包解析引擎和內容檢測技術,再結合訪問控制白名單技術,實現對TIAS系統與外部互聯系統的細粒度訪問控制防護,保障TIAS系統正常業務數據的通行,阻止異常業務流量的惡意訪問。
(3)入侵防護
對于TIAS系統的入侵防護,則是通過旁路部署工控入侵檢測類設備,依據設備內置的工控入侵規則庫,再結合業務系統的功能需求,制定符合應用場景的安全策略,實現對系統網絡中通信內容的行為匹配,可有效發現基于病毒、蠕蟲、木馬、DDoS、異常行為、異常流量、惡意程序等內外部攻擊威脅,并進行實時告警,幫助TIAS安全運維人員及時發現安全威脅,保障TIAS系統網絡的安全運行。
(4)安全審計防護
對于TIAS系統網絡安全的審計,是通過在TIAS系統核心交換機處旁路部署安全審計類設備,以鏡像流量方式,對網絡區域內的操作行為、訪問記錄進行監測與審計,同時詳細記錄一切網絡通信行為,并基于工業協議對通信報文進行深度解析,實時檢測針對工業協議的網絡攻擊、用戶誤操作、違規操作、非法設備接入以及蠕蟲、病毒等惡意代碼的傳播并實時報警、審計記錄,為TIAS系統的事后的追蹤溯源提供依據。
3.2.4 安全計算環境
考慮到城市軌道交通TIAS系統的業務特點及主機終端的特殊性。對于TIAS系統主機終端的安全防護,白名單機制的工業主機衛士更加適合。畢竟TIAS系統運行的軟件、進程、服務等都比較固定,而且也不存在與互聯網的連接。傳統的防病毒無法應對這種特殊應用場景,并且存在工業應用軟件中的進程、服務等被防病毒軟件誤殺的可能性。因此,通過在TIAS系統主機終端上安裝基于“白名單”的主機安全防護軟件,以最小化原則配置相應的安全策略,以此來實現對TIAS系統主機終端的安全加固、服務進程的安全管控、外聯接口的實時監控,保障TIAS系統主機終端的安全穩定運行,阻止其它一切惡意程序、病毒木馬,以及與系統運行無關應用程序的運行。
對于軟件測試平臺區域的主機終端的安全防護,則可以通過部署防病毒軟件來實現對相關主機、服務器等設備的安全防護。畢竟該區域需要與外部系統進行連接,實現相關軟件的測試工作。因此,需要頻繁地進行端口、進程及服務的變更,不適合用基于白名單機制的工業主機衛士來實現。更適合用具有防病毒功能的終端威脅防御系統,基于終端殺毒及靜態特征匹配和動態沙箱技術,實現主機終端的安全防護。同時系統還能實時監控每個服務器/工作站的運行狀態、攻擊日志、病毒狀態信息等,并可通過策略與標簽的配合來實現對移動存儲介質的管理以及外聯設備的監控,保障整個主機終端服務、進程等的安全運行。
3.2.5 安全管理中心
本方案TIAS系統安全管理中心的建設,是通過在控制中心部署安全集中管理平臺、日志審計類及運維安全審計類設備來實現安全管理中心的建設。其中,安全集中管理平臺實現安全設備、安全事件、安全策略等的集中監控管理及策略的統一下發,可以為TIAS系統運維管理提供決策支持,提升安全事件響應速度與安全運維感知能力,增強整體安全防護水平。
日志審計類設備采用主動、被動技術,實時采集安全設備、網絡設備、主機、操作系統、數據庫以及各類業務系統等的海量日志信息數據,并對海量原始數據進行高效存儲、整理與分析,實現對海量日志的集中管理。為管理員提供一個方便、高效、直觀的審計平臺,提高安全管理員的工作效率和質量,更加有效地保障TIAS系統的安全運行。
運維安全審計類設備實現對用戶、用戶角色、資源和用戶行為的集中授權、賬號的集中管理、身份的集中認證等,以達到對權限的細粒度控制,最大限度保護用戶資源的安全。并且能夠有效攔截非法訪問和惡意攻擊,對不合法命令進行阻斷,過濾掉所有對目標設備的非法訪問行為,保障合法用戶的權益,支撐系統安全可靠地運行。
4 部署應用
城市軌道交通TIAS系統安全防護的部署應用如圖2所示。
圖2 TIAS系統安全防護部署示意圖
(1)邊界安全防護
通過在控制中心/車站/車輛段TIAS系統與其它系統邊界、控制中心TIAS系統與軟件測試平臺邊界以及TIAS系統與DMS系統邊界等處部署工控防火墻備,實現區域邊界的安全技術隔離,并基于工業協議深度解析技術結合白名單機制對訪問內容進行細粒度的控制,防止異常流量、異常操作及非授權訪問行為的通過。
(2)網絡安全防護
通過在TIAS系統核心交換機處旁路部署工控審計類設備或工控入侵檢測類設備,基于工業協議的深度報文解析技術,對網絡中的數據流量進行深度檢測、實時分析匹配,對數據變化及寫操作行為進行監測審計,及時發現來自內外部網絡攻擊的行為,并發出報警。可基于集中管理平臺聯動工控防火墻實現對攻擊的檢測與防御。
(3)主機安全防護
通過在TIAS系統工作站、服務器等主機終端上安裝工業主機衛士軟件或防病毒軟件來實現主機終端的安全防護,增強主機終端防病毒、木馬、惡意代碼等入侵的能力,保障TIAS系統主機終端的安全穩定運行。
(4)應用安全防護
通過在控制中心設備維修支持系統(DMS)區部署安全集中管理平臺類、日志審計類、運維安全審計類等安全設備,來實現系統內安全設備的集中監控管理、策略的配置下發;安全設備、網絡設備、主機、操作系統、數據庫等各類設備日志信息數據的采集、存儲、管理與分析;網絡設備、服務器等核心資產的常用訪問方式的控制和審計;提升TIAS系統安全事件的響應速度、安全運維的感知能力,確保合法用戶安全、方便使用特定資源;有效保障合法用戶的權益,支撐系統安全可靠地運行;實現對用戶行為的控制、追蹤、判定;增強TIAS系統運維應用安全防護水平。
(5)數據安全防護
通過在控制中心旁路部署具有數據庫審計類的安全設備來實現對用戶數據庫服務器的安全判斷、攻擊檢測等。能夠有效地對攻擊行為做出告警等處理,并且能夠通過審計記錄發現數據庫一些潛在的安全威脅,比如SQL注入、密碼猜解、執行操作系統級的命令等。同時通過內置的數據庫入侵檢測規則庫,能及時發現并阻止數據庫安全威脅,保證數據庫安全運行。
5 總結
TIAS系統進一步將列車自動監控系統(ATS)、綜合監控系統(ISCS)進行了深度集成,實現了機、車、電的統一整合,為全自動駕駛的發展提供了條件。然而,TIAS系統的信息安全問題隨著集成度的越來越深也將面臨嚴重的威脅。本方案的設計則從根本上保障了城市軌道交通TIAS系統的正常運行,有效支撐了整個城市軌道交通的安全、穩定運營。
作者簡介
陳鑫鑫(1990-),男,甘肅天水人,中級工程師,學士,現就職于北京天融信網絡安全技術有限公司,主要研究方向是城市軌道交通網絡安全、工業控制系統安全、工業互聯網安全、物聯網安全。
參考文獻:
[1] DB43/T 1310-2017. 城市軌道交通控制系統信息安全通用要求[S].
[2] GB/T 22239-2019. 信息安全技術 網絡安全等級保護基本要求[S].
[3] GB/T 25070-2019. 信息安全技術 網絡安全等級保護安全設計技術要求[S].
[4] 工信部信息技術發展司. 工業控制系統信息安全防護指南〔2016〕338號[Z].
[5] 張輝, 錢江. 基于全自動駕駛的TIAS系統建設方案[J]. 鐵道通信信號, 2019, (03) : 79 - 81.
摘自《自動化博覽》2022年1月刊暨《工業控制系統信息安全專刊(第八輯)》
北京市公安局海淀分局備案號:11010802023656號