某地铁信号系统网络安全方案
1. 行业痛点
目前地铁信号系统大多采用CBTC技术实现列车和地面设备的双向通信,利用通信技术实现“车地通信”并实时地传递“列车定位”信息。通过车载设备、轨旁通信设备实现列车与车站或控制中心之间的信息交换,完成速度控制。但随着计算机和网络技术的发展,特别是信息化与信号系统深度融合,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,采用以太网与综合监控、PIS网络、语音广播等其他业务系统互联,造成病毒、木马等威胁向CBTC系统扩散。一旦CBTC系统受到网络攻击,将对城市轨道交通的稳定运行和旅客的人身安全带来重大威胁。
根据前期对该项目的需求调研和风险评估,总结该项目网络安全建设的痛点如下:
信号系统与其他业务系统如综合监控系统、AFC系统、PIS系统等之间存在互联接口,采用标准Modbus协议进行通讯,数据采用明文传输。但未采取任何访问控制或技术隔离手段进行区域隔离,无法对进出网络的信息内容进行过滤,不能实现对应用层协议命令级的控制;
信号系统受网络结构及运营模式影响,投入使用后设备、系统补丁、漏洞库、病毒库无法采用自动模式进行自动更新,设备易出现重大缺陷受到网络攻击;
地铁信号系统网络内缺乏对非授权设备私自联到内部网络的行为进行检查、定位和阻断的能力;缺乏检测网络攻击行为及恶意代码的手段,无法对攻击源IP、攻击类型等信息进行记录、并回溯;
没有独立的信息安全部门或者信息安全岗位,安全策略和安全管理制度不完善。
2. 解决方案
1)边界防护
采用工业级防火墙实现区域边界访问控制。在信号系统和其它系统(如PIS系统和综合监控系统)互联的边界(A,B网)各部署一台防火墙,通过边界部署防火墙设置访问控制策略,实现对信号系统和其它系统间的通信进行访问控制,仅允许特定的数据传输,禁止所有非必要的网络通信。访问控制策略可基于传统五元组、协议、资产、时间等多元组;同时对信号系统与其他业务系统通讯采用的modbus协议实现指令级访问控制。
2)入侵检测
釆用入侵检测系统对网络中的流量进行监测。
在骨干环网交换机上旁路部署入侵检测系统,检测可能发生的入侵行为并报警。入侵检测通过对系统中的应用层协议进行深度解析,并与规则策略对比,实现对应用系统的入侵检测和业务操作异常分析。
3)业务审计
通过部署数据库审计系统,运维审计系统,日志审计系统(包含在安全管理平台中),对信号系统进行安全审计。
数据库审计系统,对中心数据库进行网络审计,审计内容包括数据库用户的登录和对数据库的增、删、改、查等操作。
运维审计系统对维护工作站的维护操作进行审计,审计内容包括维护工作站对网络设备,ATS服务器,ATC维护机的远程操作,可进行操作回放。
4)终端安全管理
在信号系统各工作站上安全主机安全防护软件,对工作站进行安全防护,防护内容包括安全基线管理,网络ACL控制,外设控制,U盘管控,非法外联阻断,病毒查杀等。对全线工作站进行集中统一管理,集中配置安全策略,集中展示全线工作站的安全状态。
5)集中安全管理
安全管理平台可对网络中所有的工作站主机,服务器主机,网络设备,安全设备进行状态、资源监控,自动生成资产列表、实现资产管理,动态生成网络拓扑,实现全网设备性能监控,日志管理等。
3. 方案成果与价值
保障信号系统的最低时延要求,采用旁路安全监测为主,以安全系统自响应为原则来构建防护系统;例如:IDS与FW的联动;建立信号系统各类控制设备,实现信号系统整体的安全管控。保证信号网络的高安全性。通过威胁检测、安全预警、安全加固、安全审计、应急响应等,建立安全事件事前、事中、事后的安全维护管理,确保信号系统的持续安全,满足持续性按需防御的安全需求。
地铁云平台网络安全方案
1. 行业痛点
地铁业务系统作为国家关键信息基础设施,一直以来其网络都是相对独立和封闭的,地铁内部的各个业务系统之间的网络都是独立建设。近年来为了推动地区的轨道交通的发展,提升行业的服务质量,部分地区的地铁建设方通过引进云计算技术来改变传统的地铁业务建设模式,将各大专业(业务系统),诸如:AFC系统、ISCS系统、SIG系统等等都集中在一个云数据中心,将车站级的数据要求降低甚至取消,提高全局的资源利用率,减少业务建设过程中过多的对车站的投入,同时通过集中的管理中心对全局的各系统个资产进行管理,提高管理效率。
地铁云平台面临的安全问题主要有:
云平台自身的安全问题
云平台的底层架构是通过虚拟化技术实现资源共享调用,但是共享需要保证用户资源间的隔离,目前大多数云平台存在VENOM(毒液)漏洞,通过该漏洞能让攻击者越过虚拟化技术的限制,访问并监视控制宿主机,并通过宿主机的权限来访问控制其他虚拟主机。因此需要提供面向虚拟机、存储等虚拟对象的安全保护策略。
不同专业的安全控制与管理
虽然将各专业的计算都集中到了云中心,但是部分专业的现场级的数据采集组件都是部署在车站的,在目前的技术背景下,无法实现现场级设备的虚拟化,且采用TCP/IP协议作为数据传输协议,且各业务系统如ISCS与AFC、SIG等专业都是采用的工业控制协议:TCP/MODBUS,应用层协议依靠传统的网络分析技术是无法进行分析的。
云端数据的安全传输与交换
地铁云平台将所有数据都集中到云端加工、存储,站段数据向云端传输需要云平台向各业务系统开放相应的接口,这种中心级的数据交换需要保障各业务系统的数据安全传输与交换。
2. 解决方案
1)云平台网络安全边界防护体系
建立外部服务网、内部管理网、安全生产网三个安全域间防护体系;各安全域内部业务系统安全边界;带外管理网区域边界;车站/车辆段节点安全域边界;区域边界实现以下几方面的防护措施:边界隔离及访问控制、安全审计、抗DDoS攻击、入侵检测及防御、未知威胁检测、通信链路加密、负载均衡、Web安全防护。
2)云平台网络安全防护支撑体系
云平台网络安全防护支撑体系旨在建立云平台安全管理中心,云平台安全管理中心定位于云安全体系中的上层管理平台系统,可以整合云中各类安全监控资源、采集环境中全量的安全监测信息,形成面向云计算集中安全监测、综合安全分析和统一运维支撑的安全运维管理,承担云上态势感知的功能。
3. 方案成果与价值
该方案以安全生产网、内部管理网以及外部服务网为基础,实现区域化的安全治理。集合云技术资源动态调度的优势,将安全能力以资源池的形态进行交付,各专网、系统按需提出需求,由云安全管理中心进行分配;最终实现跨专业、跨网络的统一安全管理,解决了资源利用不足,安全部署繁琐、不利于统一管理的问题。
某市地铁自动售检票系统网络安全方案
1. 行业痛点
AFC系统是轨道交通业务系统的重要组成部分之一,AFC系统在城市轨道交通中扮演自动化票务管理的角色,它的安全性、可靠性及保密性极高。AFC系统结构层次目前通常划分为5个层次,分别为票卡、车站终端设备、车站控制中心、线路控制中心(或多线路控制中心)以及清分清算中心。随着AFC互联网售票等新业务架构的兴起,传统的AFC系统面临了新的安全风险,如何保障AFC系统运行的数据安全和业务稳定性是在AFC系统建设过程中必须考虑的问题。
根据对现场的需求调研和风险评估,总结痛点如下:
未进行安全域划分,区域间未设置访问控制措施;
缺少网络监控手段,不能及时发现网络安全问题;
缺少网络审计手段,出现问题后靠人员经验排查;
系统运行后,操作站和服务器很少打补丁,存在系统漏洞,系统安全配置较薄弱,防病毒软件安装不全面;
缺少身份认证和接入控制,且权限很大;
存在使用移动存储介质不规范问题,易引入病毒以及黑客攻击程序;
第三方人员运维生产系统无审计措施;
上线前未进行网络安全测试;
缺少对网络安全的全局监控,头疼医头,脚疼医脚。
2. 解决方案
边界防护隔离
在控制中心、车站与各系统互联边界部署防火墙,实现冗余。通过防火墙实现AFC系统与地铁运营非直接相关系统的访问控制,对数据包进行过滤,同时避免系统受到病毒入侵、非法入侵及未授权人员的非法访问,严格执行基于业务的访问控制机制。
终端安全管理
在控制中心、车站、车辆段部署杀毒软件、终端管理对终端设备进行病毒防护、进程白名单、移动存储介质管理。
内部监测审计
在控制中心核心交换处旁路部署入侵检查、网络安全监测审计、运维审计,对网络操作行为进行细粒度审计的合规性管理。通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产的正常运营。
应用安全网关
在线路中心边界部署应用安全网关对数据进行2-7层的全面检查和分析,深度识别、管控和审计近千种常见应用。应用安全网关支持详细、清晰、易用的日志特性,可以全面记录审计网络行为、使用流量、访问业务、所用终端系统及设备类型平台等信息。
3. 方案价值
自动售检票等保安全解决方案,成功的解决了自动售检票系统安全问题。方案对轨道交通自动售检票系统进行实时在线的监测、预警、防护、评估和控制,构建轨道交通信息安全一体化平台,符合国家《网络安全法》条例规定,切合等保2.0的安全建设指导建议,为轨道交通工业控制系统正常运行提供全面稳固的安全保障。
某市地铁综合监控系统网络安全方案
1. 行业背景
近年来,国内地铁综合监控系统的信息化建设呈现快速稳步的发展,随着信息化与轨道交通自动化的深度融合,轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展,越来越多基于TCP/IP的通信协议和接口被采用,从而实现了自管理信息层延伸至现场设备的一致性识别、通讯和控制。实现了各子系统的互联互通,资源共享和自动化水平。随着地铁综合监控系统的集成化、智能化程度越来越高,运行线路包含的信息点越来越多,与之而来的网络管理和安全面临的挑战也变得更大。
根据对现场的需求调研和风险评估,总结痛点如下:
综合监控系统的集成化越来越高,与各系统互联接口仅在应用层面进行访问控制,系统底层没有访问控制措施,很容易绕过应用层的控制措施,直接对变电站/所的供电系统进操作,对环控系统的PLC控制器进行操作。而与互联系统间通过通信处理机FEP进行接口通信,仅考虑功能实现,未对通信处理机上的通用操作系统进行安全加固,导致通信处理机容易成为攻击靶标并沦陷为网络攻击的跳板。
综合监控系统工作站一般采用Windows系统,上线后基本不会对操作系统进行升级,系统上线前没有关闭掉多余的系统服务,以及系统的密码策略等进行安全加固等问题,系统安全配置薄弱,容易遭受攻击。
地铁建设和运营公司未设置网络安全管理部门,未明确建设运营相关部门的安全职责和技能要求。同时普遍缺乏网络安全人才。
因此如何应对地铁综合监控系统面临的安全风险,是我们在新形势下迫切需要解决的现实问题。
2. 解决方案
通过对轨道交通多年的研究,已经为北京、上海、深圳、成都、广州等城市地铁建设提供了网络安全服务,目前与80%以上已开通地铁城市建立了合作关系,通过100多个安全项目形成了独有的行业认识与经验,结合等保2.0的要求提出“边界防护隔离、内部监测审计、终端安全管理、集中管控预警” 的建设思路,建立“预测、防御、检测、响应”立体式的安全防护体系,实现安全威胁快速检测与有效防御。
边界防护隔离
在控制中心、车站、车辆段与各系统互联边界部署防火墙,实现冗余。通过防火墙实现综合监控系统与地铁运营非直接相关系统的访问控制,对数据包进行过滤,同时避免系统受到病毒入侵、非法入侵及未授权人员的非法访问,严格执行基于业务的访问控制机制。
内部监测审计
在控制中心、车站、车辆段部署核心交换处旁路部署入侵检查、网络审计,对网络操作行为进行细粒度审计的合规性管理。通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产的正常运营。
终端安全管理
在控制中心、车站、车辆段部署杀毒软件、终端管理、网络准入系统对终端设备进行病毒防护、进程白名单、移动存储介质、客户端接入进行管理。
集中管控预警
在控制中心部署态势感知系统、漏洞扫描和配置核查系统,对分布在控制中心、车辆段、停车场和各车站的防火墙、入侵检测系统、网络审计系统和主机防护软件进行集中管控。统一设置安全策略、补丁升级和病毒库更新等安全事项。对综合监控系统的网络链路、网络设备、安全设备、服务器、工作站进行集中监测。收集、存储和分析全线的安全日志,对有潜在威胁的安全事件进行识别和报警,定期生成安全报表。
在控制中心部署运维安全网关对综合监控系统的网管子系统和维护子系统的远程运维操作进行认证、授权、监控和审计,实现对网管和运维人员的双因素认证。
3. 方案价值
综合监控解决方案,是目前针对综合监控系统安全比较全面的解决方案,方案对综合监控系统进行实时在线的监测、预警、防护、评估和控制,构建轨道交通信息安全一体化平台,同时也满足法律法规要求,为轨道交通工业控制系统正常运行提供全面的网络空间信息安全保障。