軌道交通的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有哪些？附解決方案

軌道交通的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有哪些？附解決方案不久前，國(guó)家安全機(jī)關(guān)破獲了一起國(guó)內(nèi)公司為境外刺探、非法提供高鐵信號(hào)數(shù)據(jù)的重要案件。關(guān)于這起案件可能引發(fā)的后果，中國(guó)國(guó)家鐵路集團(tuán)有限公司工電部通信信號(hào)處主管姜永富說(shuō)：“不法分子如果非法利用這些數(shù)據(jù)故意干擾或惡意攻擊，嚴(yán)重時(shí)將會(huì)造成高鐵通信中斷，影響高鐵運(yùn)行秩序，對(duì)鐵路的運(yùn)營(yíng)構(gòu)成重大威脅；同時(shí)大量獲取分析相關(guān)數(shù)據(jù)，也存在高鐵內(nèi)部信息被非法泄露甚至被非法利用的可能?！睋?jù)了解，這起案件是《中華人民共和國(guó)數(shù)據(jù)安全法》實(shí)施以來(lái)，我國(guó)首例涉及高鐵運(yùn)行安全的危害國(guó)家安全類(lèi)案件。以案為鑒，以案促改。為了避免國(guó)內(nèi)外不法分子利用網(wǎng)絡(luò)漏洞對(duì)我國(guó)軌道交通系統(tǒng)進(jìn)行惡意攻擊，必須及時(shí)加強(qiáng)相關(guān)網(wǎng)絡(luò)安全建設(shè)。只有筑牢基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防線，才能盡最大努力保障人民群眾生命財(cái)產(chǎn)安全。為什么軌道交通必須重視網(wǎng)絡(luò)安全？1事關(guān)人民群眾安全根據(jù)服務(wù)范圍差異，軌道交通一般分為國(guó)家鐵路系統(tǒng)（如高鐵）、城市軌道交通（如地鐵、輕軌）和城際軌道交通三大類(lèi)。軌道交通普遍具有運(yùn)量大、速度快、班次密、準(zhǔn)點(diǎn)率高、全天候和節(jié)能環(huán)保等優(yōu)點(diǎn)，特別適合大規(guī)模出行的需求，是城市公共交通的主干線、客流運(yùn)送的大動(dòng)脈。近年來(lái)，國(guó)內(nèi)軌道交通信息化系統(tǒng)的集成化、智能化程度越來(lái)越高，業(yè)務(wù)運(yùn)行過(guò)程對(duì)信息系統(tǒng)的依賴(lài)性日益增強(qiáng)，隨之而來(lái)的網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)。信息系統(tǒng)一旦停滯，車(chē)輛調(diào)度、故障報(bào)警、安全運(yùn)維等各個(gè)環(huán)節(jié)都無(wú)法正常進(jìn)行。軌道交通系統(tǒng)一旦出現(xiàn)網(wǎng)絡(luò)安全事故將直接影響人民的正常生活，造成的損失不可估量。2國(guó)家政策與法律法規(guī)要求基于國(guó)家對(duì)人民群眾生命財(cái)產(chǎn)的重視，國(guó)家政府和各級(jí)管理單位高度重視軌道交通網(wǎng)絡(luò)安全建設(shè)，已相繼出臺(tái)一系列的網(wǎng)絡(luò)安全管理和保障政策?！秶?guó)家網(wǎng)絡(luò)安全法》第三十一條規(guī)定：“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定?！敝袊?guó)城市軌道交通協(xié)會(huì)技術(shù)裝備專(zhuān)業(yè)委員會(huì)發(fā)布的《城市軌道交通信號(hào)系統(tǒng)用戶需求書(shū)（范本）（試行版）》通用技術(shù)要求和專(zhuān)用技術(shù)要求中，均對(duì)網(wǎng)絡(luò)安全建設(shè)提出相關(guān)要求。其中通用技術(shù)要求4.1.20明確規(guī)定，應(yīng)符合國(guó)家安全部門(mén)對(duì)信號(hào)信息系統(tǒng)等級(jí)（暫定3級(jí)）保護(hù)要求，能夠防范病毒入侵、黑客攻擊、對(duì)數(shù)據(jù)有審計(jì)功能等技術(shù)要求的能力。軌道交通面臨哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)？以軌道交通信號(hào)系統(tǒng)為例。在軌道交通智能化系統(tǒng)的子系統(tǒng)中，信號(hào)系統(tǒng)是實(shí)現(xiàn)軌道交通行車(chē)指揮和監(jiān)控、保障行車(chē)安全、提高運(yùn)行效率的關(guān)鍵系統(tǒng)。信號(hào)系統(tǒng)中的通信技術(shù)多采用LTE或無(wú)線傳輸，該系統(tǒng)與多個(gè)系統(tǒng)互聯(lián)。1接口安全信號(hào)系統(tǒng)互聯(lián)的系統(tǒng)包括車(chē)輛段/停車(chē)場(chǎng)聯(lián)鎖系統(tǒng)、通信系統(tǒng)、綜合監(jiān)控系統(tǒng)、大屏幕顯示系統(tǒng)、乘客信息系統(tǒng)、站臺(tái)門(mén)系統(tǒng)、OCC系統(tǒng)、防淹門(mén)系統(tǒng)、其他線路的信號(hào)系統(tǒng)等，接口數(shù)量多種類(lèi)多，但接口測(cè)試往往注重穩(wěn)定性和可用性，缺乏在安全性方面的測(cè)試。2傳輸安全開(kāi)、關(guān)命令和表示狀態(tài)信息的傳輸通道應(yīng)采用安全通道，安全通道目前主要在應(yīng)用層，有應(yīng)用自身控制，但在網(wǎng)絡(luò)層缺少一層保護(hù)套，另外無(wú)線/LTE本身也存在一些安全隱患，如抗干擾能力就是很重要的一個(gè)方面。3邊界安全信號(hào)系統(tǒng)與外部系統(tǒng)之間，信號(hào)系統(tǒng)的ATS網(wǎng)與ATC網(wǎng)之間，信號(hào)系統(tǒng)車(chē)站/車(chē)輛段與控制室之間，若缺少防護(hù)措施，則不能有效控制系統(tǒng)之間和區(qū)域之間的數(shù)據(jù)訪問(wèn)，外部威脅容易進(jìn)入，安全風(fēng)險(xiǎn)容易在全網(wǎng)擴(kuò)散，所以需要考慮為控制系統(tǒng)的協(xié)議數(shù)據(jù)設(shè)置白名單同時(shí)要控制其他非法數(shù)據(jù)的傳輸。4終端安全信號(hào)系統(tǒng)的車(chē)輛段、設(shè)備中間站以及總控室均部署有一定的服務(wù)器和操作工作站，多使用xp/2003系統(tǒng)，往往缺少終端安全管控措施和病毒防護(hù)措施，補(bǔ)丁修復(fù)不及時(shí)，漏洞隱患嚴(yán)重；由于缺少在終端管理措施，內(nèi)外部人員的U盤(pán)可以隨意在系統(tǒng)上插入，外部的威脅可以比較容易的帶入到生產(chǎn)網(wǎng)絡(luò)或管理網(wǎng)絡(luò)中，甚至?xí)?dǎo)致病毒在生產(chǎn)網(wǎng)/管理網(wǎng)的持續(xù)大范圍擴(kuò)散。5運(yùn)營(yíng)安全軌道交通系統(tǒng)的運(yùn)維人員往往涉及多個(gè)角色的人員組成，有運(yùn)維人員、生產(chǎn)系統(tǒng)廠商、信息系統(tǒng)供應(yīng)商、安全設(shè)備供應(yīng)商等不同的角色，容易帶來(lái)運(yùn)維操作風(fēng)險(xiǎn)，需要有效控制這些人員在運(yùn)維過(guò)程中的登錄認(rèn)證、權(quán)限控制、操作審計(jì)等過(guò)程。目前軌道交通系統(tǒng)的安全運(yùn)維多呈被動(dòng)狀態(tài)，有事件查事件，但是往往在追查時(shí)，缺少追查證據(jù)，缺少關(guān)聯(lián)分析，更難以做到提前預(yù)警。管理制度的缺失，所帶來(lái)的管理風(fēng)險(xiǎn)：過(guò)去調(diào)研發(fā)現(xiàn)，軌道交通運(yùn)維人員多對(duì)主機(jī)、服務(wù)器、控制器的資產(chǎn)廠家、型號(hào)、版本的信息不掌握，缺少事件處置知識(shí)庫(kù)的積累，很難采取有針對(duì)性的防御措施。傳統(tǒng)IT安全產(chǎn)品可以直接用嗎？傳統(tǒng)IT安全產(chǎn)品并不等于軌道交通控制網(wǎng)絡(luò)安全產(chǎn)品。基于四個(gè)原因，軌道交通控制系統(tǒng)需要有針對(duì)自身特性的專(zhuān)用安全防護(hù)產(chǎn)品。1可用性和機(jī)密性的矛盾（系統(tǒng)運(yùn)行環(huán)境不同）：控制系統(tǒng)“可用性”第一，延時(shí)敏感；而IT信息系統(tǒng)以“機(jī)密性”第一，延時(shí)不敏感。這就要求控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的軟硬件重新設(shè)計(jì)，例如：系統(tǒng)fail-to-open，從軟硬件架構(gòu)上保證低時(shí)延。2升級(jí)和兼容性的矛盾（更新代價(jià)高）：控制系統(tǒng)不能接受頻繁的升級(jí)更新操作，依賴(lài)龐大特征庫(kù)的黑名單防護(hù)方式的安全產(chǎn)品（例如殺毒軟件，IDS/IPS）不適用。3工業(yè)協(xié)議的識(shí)別解析（網(wǎng)絡(luò)通訊協(xié)議不同）：控制系統(tǒng)基于工業(yè)控制協(xié)議；傳統(tǒng)安全產(chǎn)品只支持IT通信協(xié)議（例如HTTP、FTP），不支持工業(yè)控制協(xié)議。4工業(yè)級(jí)硬件要求（對(duì)系統(tǒng)穩(wěn)定性要求不同）：控制系統(tǒng)的工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣（如室外零下幾十度的低溫、潮濕），應(yīng)按照工業(yè)現(xiàn)場(chǎng)環(huán)境的要求專(zhuān)門(mén)設(shè)計(jì)硬件（做到全密閉、無(wú)風(fēng)扇，支持﹣40℃～70℃等）。永達(dá)提出成體系化的列控安全方案基于等保2.0“一個(gè)中心三重防護(hù)”的設(shè)計(jì)思想，永達(dá)提出成體系化的列控安全方案，以安全管理中心為“一個(gè)中心”，在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)層面構(gòu)成“三重防護(hù)”。圖：軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)備布局1安全計(jì)算環(huán)境本控制項(xiàng)主要關(guān)注主機(jī)和應(yīng)用安全，但更多的是側(cè)重應(yīng)用安全。等保2.0標(biāo)準(zhǔn)的“安全計(jì)算環(huán)境”涉及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)及數(shù)據(jù)等方面的安全要求。這些設(shè)備、應(yīng)用系統(tǒng)正是黑客攻擊的重點(diǎn)目標(biāo)，經(jīng)過(guò)分析大量安全事件及攻擊手段后不難發(fā)現(xiàn)，等級(jí)保護(hù)2.0標(biāo)準(zhǔn)在身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范等控制點(diǎn)提出的相關(guān)安全功能及要求，正是抵御黑客攻擊的重要手段。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)安全監(jiān)測(cè)預(yù)警系統(tǒng)、工業(yè)級(jí)主機(jī)管控器、工業(yè)終端接入管控器、工業(yè)核心管控器、工業(yè)級(jí)漏洞掃描系統(tǒng)。2安全區(qū)域邊界安全區(qū)域邊界針對(duì)網(wǎng)絡(luò)邊界提出了安全控制要求，主要對(duì)象為系統(tǒng)邊界和區(qū)域邊界等，涉及的安全控制點(diǎn)包括邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證。核心控制點(diǎn)包括邊界防護(hù)、訪問(wèn)控制、入侵防范和安全審計(jì)，其核心防護(hù)要求是：網(wǎng)絡(luò)邊界處要有有效、可控的訪問(wèn)控制措施，且控制粒度和力度在等保1.0基礎(chǔ)上有所升級(jí)；要能判斷出3個(gè)非法邊界（非法接入、非法外聯(lián)、無(wú)線使用）進(jìn)行有效控制；四級(jí)系統(tǒng)要使用協(xié)議轉(zhuǎn)換及隔離措施；網(wǎng)絡(luò)中要能對(duì)內(nèi)、外部網(wǎng)絡(luò)攻擊、惡意代碼攻擊有發(fā)現(xiàn)、分析及防御能力，并按《網(wǎng)絡(luò)安全法》的要求保留相關(guān)網(wǎng)絡(luò)安全審計(jì)日志。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)級(jí)網(wǎng)閘、安全接入網(wǎng)關(guān)、強(qiáng)力IDS（入侵檢測(cè)系統(tǒng)）、強(qiáng)力網(wǎng)絡(luò)防火墻。3安全通信網(wǎng)絡(luò)等保2.0標(biāo)準(zhǔn)的“安全通信網(wǎng)絡(luò)”中主要包括通信網(wǎng)絡(luò)結(jié)構(gòu)、通信傳輸和可信驗(yàn)證三個(gè)控制點(diǎn)。其中，通信網(wǎng)絡(luò)結(jié)構(gòu)的核心要求是：網(wǎng)絡(luò)帶寬合適，且核心設(shè)備的處理能力要和帶寬匹配；網(wǎng)絡(luò)層要?jiǎng)澐职踩珔^(qū)域，且各區(qū)域之間有相應(yīng)的防護(hù)措施；整個(gè)網(wǎng)絡(luò)設(shè)計(jì)要考慮冗余問(wèn)題。而通信傳輸?shù)暮诵囊笫牵罕Ｕ蠑?shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。網(wǎng)絡(luò)安全設(shè)備推薦：工業(yè)安全通信平臺(tái)、工業(yè)網(wǎng)絡(luò)管控器。軌道交通控制系統(tǒng)是不會(huì)給予二次改錯(cuò)機(jī)會(huì)的系統(tǒng)。面對(duì)這個(gè)嚴(yán)苛要求，永達(dá)提出的列控安全方案具有三個(gè)特征：行為安全映射網(wǎng)絡(luò)安全，保證功能安全；當(dāng)功能安全出問(wèn)題時(shí)，可以通過(guò)網(wǎng)絡(luò)安全感知；當(dāng)網(wǎng)絡(luò)安全出問(wèn)題時(shí)，不會(huì)影響功能安全。以軌道交通控制場(chǎng)景下的行車(chē)特征及控制反饋為安全基準(zhǔn)進(jìn)行主動(dòng)防御