軌道交通的網(wǎng)絡(luò)安全風(fēng)險有哪些？附解決方案

軌道交通的網(wǎng)絡(luò)安全風(fēng)險有哪些？附解決方案不久前，國家安全機關(guān)破獲了一起國內(nèi)公司為境外刺探、非法提供高鐵信號數(shù)據(jù)的重要案件。關(guān)于這起案件可能引發(fā)的后果，中國國家鐵路集團有限公司工電部通信信號處主管姜永富說：“不法分子如果非法利用這些數(shù)據(jù)故意干擾或惡意攻擊，嚴重時將會造成高鐵通信中斷，影響高鐵運行秩序，對鐵路的運營構(gòu)成重大威脅；同時大量獲取分析相關(guān)數(shù)據(jù)，也存在高鐵內(nèi)部信息被非法泄露甚至被非法利用的可能。”據(jù)了解，這起案件是《中華人民共和國數(shù)據(jù)安全法》實施以來，我國首例涉及高鐵運行安全的危害國家安全類案件。以案為鑒，以案促改。為了避免國內(nèi)外不法分子利用網(wǎng)絡(luò)漏洞對我國軌道交通系統(tǒng)進行惡意攻擊，必須及時加強相關(guān)網(wǎng)絡(luò)安全建設(shè)。只有筑牢基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防線，才能盡最大努力保障人民群眾生命財產(chǎn)安全。為什么軌道交通必須重視網(wǎng)絡(luò)安全？1事關(guān)人民群眾安全根據(jù)服務(wù)范圍差異，軌道交通一般分為國家鐵路系統(tǒng)（如高鐵）、城市軌道交通（如地鐵、輕軌）和城際軌道交通三大類。軌道交通普遍具有運量大、速度快、班次密、準點率高、全天候和節(jié)能環(huán)保等優(yōu)點，特別適合大規(guī)模出行的需求，是城市公共交通的主干線、客流運送的大動脈。近年來，國內(nèi)軌道交通信息化系統(tǒng)的集成化、智能化程度越來越高，業(yè)務(wù)運行過程對信息系統(tǒng)的依賴性日益增強，隨之而來的網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)。信息系統(tǒng)一旦停滯，車輛調(diào)度、故障報警、安全運維等各個環(huán)節(jié)都無法正常進行。軌道交通系統(tǒng)一旦出現(xiàn)網(wǎng)絡(luò)安全事故將直接影響人民的正常生活，造成的損失不可估量。2國家政策與法律法規(guī)要求基于國家對人民群眾生命財產(chǎn)的重視，國家政府和各級管理單位高度重視軌道交通網(wǎng)絡(luò)安全建設(shè)，已相繼出臺一系列的網(wǎng)絡(luò)安全管理和保障政策?！秶揖W(wǎng)絡(luò)安全法》第三十一條規(guī)定：“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。”中國城市軌道交通協(xié)會技術(shù)裝備專業(yè)委員會發(fā)布的《城市軌道交通信號系統(tǒng)用戶需求書（范本）（試行版）》通用技術(shù)要求和專用技術(shù)要求中，均對網(wǎng)絡(luò)安全建設(shè)提出相關(guān)要求。其中通用技術(shù)要求4.1.20明確規(guī)定，應(yīng)符合國家安全部門對信號信息系統(tǒng)等級（暫定3級）保護要求，能夠防范病毒入侵、黑客攻擊、對數(shù)據(jù)有審計功能等技術(shù)要求的能力。軌道交通面臨哪些網(wǎng)絡(luò)安全風(fēng)險？以軌道交通信號系統(tǒng)為例。在軌道交通智能化系統(tǒng)的子系統(tǒng)中，信號系統(tǒng)是實現(xiàn)軌道交通行車指揮和監(jiān)控、保障行車安全、提高運行效率的關(guān)鍵系統(tǒng)。信號系統(tǒng)中的通信技術(shù)多采用LTE或無線傳輸，該系統(tǒng)與多個系統(tǒng)互聯(lián)。1接口安全信號系統(tǒng)互聯(lián)的系統(tǒng)包括車輛段/停車場聯(lián)鎖系統(tǒng)、通信系統(tǒng)、綜合監(jiān)控系統(tǒng)、大屏幕顯示系統(tǒng)、乘客信息系統(tǒng)、站臺門系統(tǒng)、OCC系統(tǒng)、防淹門系統(tǒng)、其他線路的信號系統(tǒng)等，接口數(shù)量多種類多，但接口測試往往注重穩(wěn)定性和可用性，缺乏在安全性方面的測試。2傳輸安全開、關(guān)命令和表示狀態(tài)信息的傳輸通道應(yīng)采用安全通道，安全通道目前主要在應(yīng)用層，有應(yīng)用自身控制，但在網(wǎng)絡(luò)層缺少一層保護套，另外無線/LTE本身也存在一些安全隱患，如抗干擾能力就是很重要的一個方面。3邊界安全信號系統(tǒng)與外部系統(tǒng)之間，信號系統(tǒng)的ATS網(wǎng)與ATC網(wǎng)之間，信號系統(tǒng)車站/車輛段與控制室之間，若缺少防護措施，則不能有效控制系統(tǒng)之間和區(qū)域之間的數(shù)據(jù)訪問，外部威脅容易進入，安全風(fēng)險容易在全網(wǎng)擴散，所以需要考慮為控制系統(tǒng)的協(xié)議數(shù)據(jù)設(shè)置白名單同時要控制其他非法數(shù)據(jù)的傳輸。4終端安全信號系統(tǒng)的車輛段、設(shè)備中間站以及總控室均部署有一定的服務(wù)器和操作工作站，多使用xp/2003系統(tǒng)，往往缺少終端安全管控措施和病毒防護措施，補丁修復(fù)不及時，漏洞隱患嚴重；由于缺少在終端管理措施，內(nèi)外部人員的U盤可以隨意在系統(tǒng)上插入，外部的威脅可以比較容易的帶入到生產(chǎn)網(wǎng)絡(luò)或管理網(wǎng)絡(luò)中，甚至?xí)?dǎo)致病毒在生產(chǎn)網(wǎng)/管理網(wǎng)的持續(xù)大范圍擴散。5運營安全軌道交通系統(tǒng)的運維人員往往涉及多個角色的人員組成，有運維人員、生產(chǎn)系統(tǒng)廠商、信息系統(tǒng)供應(yīng)商、安全設(shè)備供應(yīng)商等不同的角色，容易帶來運維操作風(fēng)險，需要有效控制這些人員在運維過程中的登錄認證、權(quán)限控制、操作審計等過程。目前軌道交通系統(tǒng)的安全運維多呈被動狀態(tài)，有事件查事件，但是往往在追查時，缺少追查證據(jù)，缺少關(guān)聯(lián)分析，更難以做到提前預(yù)警。管理制度的缺失，所帶來的管理風(fēng)險：過去調(diào)研發(fā)現(xiàn)，軌道交通運維人員多對主機、服務(wù)器、控制器的資產(chǎn)廠家、型號、版本的信息不掌握，缺少事件處置知識庫的積累，很難采取有針對性的防御措施。傳統(tǒng)IT安全產(chǎn)品可以直接用嗎？傳統(tǒng)IT安全產(chǎn)品并不等于軌道交通控制網(wǎng)絡(luò)安全產(chǎn)品?；谒膫€原因，軌道交通控制系統(tǒng)需要有針對自身特性的專用安全防護產(chǎn)品。1可用性和機密性的矛盾（系統(tǒng)運行環(huán)境不同）：控制系統(tǒng)“可用性”第一，延時敏感；而IT信息系統(tǒng)以“機密性”第一，延時不敏感。這就要求控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的軟硬件重新設(shè)計，例如：系統(tǒng)fail-to-open，從軟硬件架構(gòu)上保證低時延。2升級和兼容性的矛盾（更新代價高）：控制系統(tǒng)不能接受頻繁的升級更新操作，依賴龐大特征庫的黑名單防護方式的安全產(chǎn)品（例如殺毒軟件，IDS/IPS）不適用。3工業(yè)協(xié)議的識別解析（網(wǎng)絡(luò)通訊協(xié)議不同）：控制系統(tǒng)基于工業(yè)控制協(xié)議；傳統(tǒng)安全產(chǎn)品只支持IT通信協(xié)議（例如HTTP、FTP），不支持工業(yè)控制協(xié)議。4工業(yè)級硬件要求（對系統(tǒng)穩(wěn)定性要求不同）：控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣（如室外零下幾十度的低溫、潮濕），應(yīng)按照工業(yè)現(xiàn)場環(huán)境的要求專門設(shè)計硬件（做到全密閉、無風(fēng)扇，支持﹣40℃～70℃等）。永達提出成體系化的列控安全方案基于等保2.0“一個中心三重防護”的設(shè)計思想，永達提出成體系化的列控安全方案，以安全管理中心為“一個中心”，在安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)層面構(gòu)成“三重防護”。圖：軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)備布局1安全計算環(huán)境本控制項主要關(guān)注主機和應(yīng)用安全，但更多的是側(cè)重應(yīng)用安全。等保2.0標準的“安全計算環(huán)境”涉及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及數(shù)據(jù)等方面的安全要求。這些設(shè)備、應(yīng)用系統(tǒng)正是黑客攻擊的重點目標，經(jīng)過分析大量安全事件及攻擊手段后不難發(fā)現(xiàn)，等級保護2.0標準在身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等控制點提出的相關(guān)安全功能及要求，正是抵御黑客攻擊的重要手段。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)安全監(jiān)測預(yù)警系統(tǒng)、工業(yè)級主機管控器、工業(yè)終端接入管控器、工業(yè)核心管控器、工業(yè)級漏洞掃描系統(tǒng)。2安全區(qū)域邊界安全區(qū)域邊界針對網(wǎng)絡(luò)邊界提出了安全控制要求，主要對象為系統(tǒng)邊界和區(qū)域邊界等，涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證。核心控制點包括邊界防護、訪問控制、入侵防范和安全審計，其核心防護要求是：網(wǎng)絡(luò)邊界處要有有效、可控的訪問控制措施，且控制粒度和力度在等保1.0基礎(chǔ)上有所升級；要能判斷出3個非法邊界（非法接入、非法外聯(lián)、無線使用）進行有效控制；四級系統(tǒng)要使用協(xié)議轉(zhuǎn)換及隔離措施；網(wǎng)絡(luò)中要能對內(nèi)、外部網(wǎng)絡(luò)攻擊、惡意代碼攻擊有發(fā)現(xiàn)、分析及防御能力，并按《網(wǎng)絡(luò)安全法》的要求保留相關(guān)網(wǎng)絡(luò)安全審計日志。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)級網(wǎng)閘、安全接入網(wǎng)關(guān)、強力IDS（入侵檢測系統(tǒng)）、強力網(wǎng)絡(luò)防火墻。3安全通信網(wǎng)絡(luò)等保2.0標準的“安全通信網(wǎng)絡(luò)”中主要包括通信網(wǎng)絡(luò)結(jié)構(gòu)、通信傳輸和可信驗證三個控制點。其中，通信網(wǎng)絡(luò)結(jié)構(gòu)的核心要求是：網(wǎng)絡(luò)帶寬合適，且核心設(shè)備的處理能力要和帶寬匹配；網(wǎng)絡(luò)層要劃分安全區(qū)域，且各區(qū)域之間有相應(yīng)的防護措施；整個網(wǎng)絡(luò)設(shè)計要考慮冗余問題。而通信傳輸?shù)暮诵囊笫牵罕Ｕ蠑?shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)安全通信平臺、工業(yè)網(wǎng)絡(luò)管控器。軌道交通控制系統(tǒng)是不會給予二次改錯機會的系統(tǒng)。面對這個嚴苛要求，永達提出的列控安全方案具有三個特征：行為安全映射網(wǎng)絡(luò)安全，保證功能安全；當(dāng)功能安全出問題時，可以通過網(wǎng)絡(luò)安全感知；當(dāng)網(wǎng)絡(luò)安全出問題時，不會影響功能安全。以軌道交通控制場景下的行車特征及控制反饋為安全基準進行主動防御