城軌交通網絡安全系列(二) | 工業控制系統安全風險及保障
一、背景
工業控制系統主要在軌道交通各主要子系統以及業務流程中參與過程控制、監控、自動化運行并提供相關信息服務。
從工控角度出發,軌道交通工業控制系統總體可以分為運行控制系統、牽引供電系統、車站系統、車載系統以及工務線路系統五大部分,并與信號、PSCADA、BAS、通信、列控、自動售檢票等業務系統一起匯集到綜合監控系統進行綜合處理。
運行控制系統:運行控制系統包括中央控制系統、地面控制系統、車載控制系統及通信網絡。負責對列車的運行速度進行控制、調度列車以及對列車進行動態定位和收集道路的占用信息等,確保列車運行安全,提高運輸效率。
牽引供電系統:根據電力系統的服務方式,牽引供電系統可以被分為基礎供電和安全檢測兩大類工業控制系統。基礎供電工業控制系統包括接觸網系統、受電弓系統、牽引變電所系統以及綜合自動化系統,負責連接變電所內的強流設備和高壓設備,并通過受電弓系統與接觸網系統使高速列車獲得持續穩定的動力供給。
車站系統:包含旅客服務系統和運營保障系統。旅客服務系統的主要目的是保障旅客和工作人員的人身安全,方便旅客購票、休息、乘車。運營保障系統主要是為了保障車站的正常運營以及對列車進行服務。
車載系統:分為兩類,一類是列車運行基礎控制系統,另一類是車載配套控制系統。列車運行控制系統包括車門系統、轉向架系統、牽引系統、供電系統、制動系統、列車網絡控制系統等,負責列車的安全運行控制、列車內部系統的控制和診斷,保障列車正常行駛。車載配套控制系統包括輔助供電系統、車內環境控制系統、煙霧報警監測系統等,主要負責列車內部的供電、照明、環境控制等。
工務線路系統:主要包括線路檢測維修系統、防災安全監測系統、軌旁監測系統3個部分。線路檢測維修系統包括軌檢、動檢、探傷、道岔缺口監測、軌溫監測等功能;防災安全監控系統包括大風預警系統、雨量監測系統、異物侵界系統、水位監測系統等;軌旁監測系統包含地面安全監測系統、通信信號設備監測系統、線路狀態監測系統等。
二、軌道交通工業控制系統安全風險
過去軌道交通工業控制系統的安全問題一直聚焦在功能安全的范疇,認為軌道交通工業控制系統依賴專有的、隔離的網絡,使用特定的協議管理和通信,不存在較大的信息安全威脅。
然而隨著信息技術推動軌道交通工業控制系統的不斷進步,信息化和工業自動化深度融合,物聯網技術的快速發展,工業自動化和控制網絡正朝著分布式和智能化方向快速發展,國內工業控制系統的安全風險日益嚴重。
工控協議導致的信息安全威脅
軌道交通工控系統,Modbus、OPC、工控協議設計之初主要為實現工控環境中實時、高效地傳輸工控數據,其本身缺乏內置的安全處理機制,協議的應用相對脆弱,且工控協議通常直接影響業務生產和功能,一旦工控系統系統被入侵,極易造成嚴重后果。再者,目前主流網絡安全監測都基于TCP/IP,對IP負載的工控協議ID、功能碼、數值、命令類型等缺乏細粒度的有效審計。
網絡結構導致的信息安全威脅
該類信息安全威脅包括網絡接口導致的漏洞、網絡協議導致的漏洞、網絡權限管理導致的漏洞、網絡風險傳播導致的安全威脅等。當前軌交乘客服務、車站、運營、維護等各類業務系統之間存在各類接口。系統的互聯互通是一把雙刃劍,允許所有相關系統傳輸信息,提高了系統之間的協作效率,但它們也帶來了新的入侵路徑,增大了系統安全風險。
平臺系統導致的信息安全威脅
該類信息安全威脅包括工業主機漏洞、數據庫及云平臺漏洞,主機、傳感器、控制器故障導致的信息錯誤或缺失等。實際上,軌道交通業務系統設備,自上線之后運行在斷網環境中,針對后續發布的各類系統漏洞,基本不會升級。
通信導致的信息安全威脅
該類信息安全威脅包括電磁干擾、拒絕服務、消息篡改、錯誤信息注入、未經授權訪問、被動竊聽、控制權攻擊等。例如軌道交通信號系統,信號軌旁設備受電磁干擾可用性降低;車載無線入侵和非法訪問等。
應用軟件導致的信息安全威脅
軌道交通調度軟件、控制軟件等專業應用程序在開發之初就考慮到了安全問題,相對比較可靠。但是其他服務器軟件、辦公軟件、打印機軟件等常見商業軟件存在較大漏洞,對信息安全造成了潛在的風險。
操作導致的信息安全威脅
如果工作人員疏忽或違規操作,就有可能使系統遭受非法攻擊。例如:安全功能未開啟、弱口令配置等。此外工作人員的非法網絡訪問、非法硬件接入、非法權限管理等操作都會對信息安全造成巨大威脅。
物理環境的信息安全威脅
雷擊、溫度、濕度等物理環境導致的設備損壞,電流電壓異常引起的交直流電源設備故障,進而影響設備正常運行。
三、軌道交通工業控制系統安全保障
網絡安全的本質,是攻防兩端的力量的對抗。應對軌道交通工業控制系統中的安全風險,需要針對性地部署安全能力,對抗入侵,抵御安全威脅,保障軌道交通業務系統的正常運行。
傳統的IT信息安全設備已經不能滿足工控場景下的安全防護需求,需要信息安全設備具備工控場景下的應用能力,同時支持對工控協議的深度分析。
為解決軌道交通工控場景下的網絡安全能力建設,保障乘客安全出行,推動軌道交通業務系統安全水平到達新臺階,研發出整套的適用于軌道交通的工控安全解決方案及產品。能力上支持軌道交通工業協議的廣泛支持和解析審計,硬件上支持寬溫、抗震、防塵、防水等工業特性。
綜合上述軌道交通工控安全風險,從以下幾個方面入手進行安全保障。
1) 工控網絡邊界防護
應用綠盟工業防火墻或工業網閘進行工控網絡邊界隔離,并針對車上業務場景,照國際標準EN50155設計開發綠盟車載工業防火墻,冗余電源設計,所有接口均使用標準M12接口,低功耗,無風扇,通訊接口全部滿足bypass設計,完全符合“上車”的要求。
2) 工業網絡審計與入侵檢測
在工控網匯聚或核心交換機旁路部署,工控網絡流量進行審計。對違規操作、誤操作、入侵行為進行監測,實時了解工控網絡的安全狀態,為事后追溯、定位提供證據,并將審計結果傳送給平臺。探針也可以采集第三方設備日志并進行轉發。對工控網絡中存在的異常威脅、漏洞利用行為、惡意攻擊進行實時檢測。
在小型成套的工控系統網絡交換機上部署現場級工業網絡預警探針,負責監測工控系統流量。
3) 工業主機防護
在工控系統PC端部署工業主機衛士系統服務,啟用進程防護、病毒檢測(非殺毒)、主機加固、USB等外設接口的防護功能,加強對工業主機的安全防護,增強未知威脅防范能力。
在安全管理區部署主機衛士服務端,實現對主機衛士的統一管理。
4) 遠程運維安全
部署運維堡壘機,設置ACL訪問策略,保障運維數據流經過堡壘機到達運維資源。對運維過程進行錄屏、鍵盤記錄,并進行審計,保障遠程運維安全。
5) 工業脆弱性管理
部署工控漏掃系統,對工控資產掃描和發現并對對PLC、PSCADA等工控系統的漏洞掃描、配置核查,支持Schneider、Siemens、AB等各大主流廠商DCS、PLC、RTU等控制器的漏洞掃描,為了避免漏掃活動對工控系統產生干擾,可使用無損漏描的方式對資產的漏洞進行發現及管理。
6) 工業態勢感知
部署工業預警平臺(INSP),工控網絡安全情況進行分析、預警與響應。通過關聯分析、深度學習等大數據分析方法,為用戶提供風險評估量化與排名、事件關聯分析、深度威脅挖掘、設備狀態管理等態勢感知功能。同時平臺還能夠通過全網主動探測的方法,對工業互聯網設施的存活、狀態、脆弱性、安全性進行檢測,實時向運維人員動態反饋各工業設施安全狀況,依據安全態勢發展趨勢為用戶提供安全策略和建議。對包括工業勒索在內的工業網絡攻擊行為的事前、事中、事后形成閉環的處理方案。通過該項目建設,提高客戶對工業網絡安全管理水平,提高工業安全風險事件的處置及時率。
7) 安全管理
首先,進行組織治理。明確網絡安全負責人和管理組織,企業主要負責人是網絡安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網絡安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級文件的網絡安全方針、戰略;二級文件的管理規定、辦法;三級文件的操作流程、規范、作業指導書、模板等;四級文件的各類表單、記錄日志、報告等。最后,將制度文件進行評審、修訂、發布、執行等管理。
往期回顧:
