关键信息基础设施的等保2.0之路 | 轨交信号篇
发布时间:
2020-07-22
来源:
作者:
访问量:
151
引言
2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。
一、 安全现状
城市轨道交通作为大容量公共交通工具,其安全性直接关系到广大乘客的生命安全。作为城市轨道交通运行的神经中枢,信号系统在轨道交通中发挥着越来越重要的作用。近年来,随着计算机系统在信号系统中的应用日益广泛和深入,信号系统朝着网络化、智能化的方向发展。如何保证其网络及信息安全,使其符合安全完整性等级及信息安全等级保护要求,成为城市轨道交通系统迫切需要解决的问题。
面对严峻的信息安全环境,国家高度重视关键信息基础设施信息安全相关工作的建设和发展水平,由各相关部门陆续出台相关政策和文件,强化顶层设计,对工控信息安全防护工作进行监督和指导,包括了《中华人民共和国网络安全法》、《工业控制系统信息安全防护指南》、《GBT22239-2019 信息安全技术网络安全等级保护基本要求》等多个政策文件。同时,城市轨道交通协会也下发了《智慧城规信息技术架构及信息安全规范》,对于信号系统、综合监控系统、AFC系统等关键业务系统也做出了新的技术规范要求及网络安全要求,其中重点强调了网络安全建设的重要性及具体技术要求。
信号系统通常由列车运行自动控制系统(ATC)和车辆段信号控制系统两大部分组成,用于列车进路控制、列车间隔控制、调度控制、信息管理、设备工况监测及维护管理,由此构建了一个高效的综合自动化系统。当前轨交行业信号系统普遍存在以下网络安全隐患:
1、城市轨道交通信息系统众多且系统间的数据交互频繁,特别是信号系统,由列车自动防护、列车自动驾驶、列车自动监控等诸多子系统组成,同时还有LTE等网络接入信号系统,存在大量子系统间、控制中心与车站、车地通讯等高实时性要求的数据交互行为。在日常频繁的数据交互中,一旦防护不当会导致恶意攻击从其他系统直接渗透到信号系统,从而导致入侵病毒在通信传输网络中的蔓延。
2、信号系统中的应用软件是在操作系统及支持软件之上完成信号系统及子系统特定功能的软件。这些业务应用软件在设计开发过程中,主要考虑可靠性,较多选择通用软、硬件产品,此举虽然大大降低了设计和建设上的成本,但同时也带来了潜在的风险,如近年来曝光的工控配套软件存在的漏洞、后门,默认账户不做处理,使用过程中采用弱口令导致系统权限易被获取等。
3、为了追求可用性而牺牲整体安全,缺乏完整有效的安全策略与管理流程。例如系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。大量的终端、服务器、工作站都是Windows/Linux平台,考虑到过程控制系统的相对独立性以及系统的稳定运行,通常现场工程师在系统开车后,将不再会对系统平台进行补丁安装、策略加固,从而埋下巨大的安全隐患。
4、信息安全的构建是一个系统工程,大部分的控制系统建设时间比较早,缺乏统一规划、技术种类多,安全防护设备杂,未形成统一的有机防护体系。整个城市轨道交通系统信息安全运行状态监控手段薄弱,缺乏有效的网络感知能力。目前整个系统也未形成全局性网络安全态势感知能力和安全事件处理能力,缺乏有效的全景可视化能力。
二、解决方案
面对上述轨交行业信号系统的安全现状,天地和兴做了深入的调查与研究,面对自动控制系统(ATC)、车辆段信号控制系统等不同的应用场景,提供全生命周期的安全解决方案,为轨交行业信号系统构建安全防御体系。
1、风险评估方案
风险评估是全面了解与验证信号系统网络中存在的各种风险的一种必要手段,是安全防护体系建设的前提,天地和兴将针对当前信号系统运行环境与安全管理制度,对信号系统网络做全面的安全检查与验证,并对当前网络环境进行深度的工控漏洞挖掘。
从风险管理角度,运用科学的方法和手段,系统地分析当前网络及系统面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定针对性的抵御威胁防护对策和整改措施,最大限度地保障网络和信息安全并为其提供科学依据。
图1 信息安全风险评估完整过程
2、安全防护方案
鉴于信号系统在轨道交通中的重要性,结合行业以及公安部相关的要求,将地铁信号系统信息安全保护等级定为三级,信号系统各部分将按照等级保护三级的标准要求进行安全规划建设。
参照国家网络安全等级保护基本要求的“一个中心、三重防护”安全理念,根据信号系统高实时性要求的特点,通过部署工控防火墙、工控安全审计、入侵检测等安全防护产品,重点针对信号系统安全域内的网络安全防护,提升信号系统网络整体防护能力,部署示意图如下:
图2 信号系统安全防护
安全通信网络:对信号系统进行网络结构梳理,并按照业务访问逻辑进行网安全域划分,并分析各安全域的安全权重,重点实现对控制中心的安全防护;在控制中心与外部系统之间(如综合监控等其他子专业)串联部署工控防火墙系统,建立不同区域之间的隔离与细粒度控制。
安全区域边界:在控制中心通过在核心交换机上旁路部署入侵检测系统、威胁检测系统、安全审计系统等产品,实时监测业务网络中核心数据服务安全域的异常行为并进行审计告警,异常行为包括各类入侵、网络病毒、非法访问等。在设备集中站、停车场、车辆段同样需要部署安全审计系统来实现对网络安全的监测审计。
安全计算环境:在信号系统全线对各类工作站、服务器等人机交互界面上的主机系统部署主机安全防护系统,实现对主机系统的安全防控,包括主机系统防病毒、防第三方软件非授权安装使用以及外接设备,尤其是外接存储设备的认证、操作管理与安全审计,保护主机系统运行安全与数据安全。另外,通过人工加固工作提高自身的本体安全,包括:对安全漏洞与脆弱性进行管理,对可修复的漏洞进行可行性验证与修复,关闭不需要的默认账号、服务,关闭外设;完善操作系统、数据库、应用系统口令长度及复杂度,配置用户登录失败处理机制等。
安全管理中心:设立安全管理中心,并部署工控安全监管平台、运维审计系统以及工控安全检查工具等产品,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。通过系统加固,更多是通过纵深防御技术体系边界防护设备的策略调优进行补偿式修复,提升信号系统网络安全整体的防护能力。
3、安全检查方案
应建立信号系统定期安全检查和整改工作机制,每年至少自行开展一次安全检查,发现问题需制定整改计划及措施,并将整改情况进行相关单位上报。等级保护定级为三级的系统,除每年自行开展一次安全检查外,还应按照等级保护要求,做好安全评估及整改工作。配合用户每年的抽检,并协助开展信号系统网络安全专项检查。
4、应急演练方案
协助信号系统用户制订安全应急处置预案每年至少进行一次演练,确保发生安全事件时能够有序处置、快速恢复。当信号系统网络安全受到外部入侵等干扰,导致系统发生变化时,及时组织对应急处置预案进行评估,根据实际情况适时修改并进行演练,形成快速反应、快速处置的能力。确保当信号系统出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,立即向上级相关单位、当地政府相应部门等进行报告,同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场,以便进行调查取证和分析。最后将制订安全防护事件通报制度,有关安全问题做好记录。由安全管理中心定期整理信号系统安全防护情况,并及时上报信号系统安全防护出现的异常现象。
5、安全服务方案
现阶段,轨交行业网络安全设备部署范围广域,包括但不限于控制中心、车站、车辆段、停车场等位置,针对主管、运维等部门的“专业壁垒”等问题,天地和兴综合现状为相关人员提供专业的培训、咨询、运维等服务,涉及网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安全防范意识,同时提供7*24小时的专家级安全咨询服务与运维、应急保障。
6、安全运营方案
安全运营的好坏直接影响信号系统网络安全防护体系的防护效能。安全运营涵盖的内容较多,包括安全管理中心建立、安全意识培训、安全运营管理、安全体系管理、安全运维管理等多维度内容。针对企业实际情况进行详细方案设计,规范城市轨道交通信号系统的整体安全运营工作。
三、总结
城市轨道交通的网络安全是国家信息化工程建设的主体领域,也是信息化发展和国家安全的重要支撑,而信号系统的网络安全建设是城市轨道交通网络安全一体化建设的重要组成部分。通过信号系统由点及面的网络安全建设,将有利于逐步实现城市轨道交通业务网络安全、工业信息安全和自动化安全控制等关键装备技术及系统的国产化,符合城市轨道交通的快速发展和智慧轨道交通建设的总体要求,促进产业结构调整,提高国家核心竞争力。
天地和兴,关键信息基础设施,等保2.0,轨交,工业网络安全,工控安全
相关资讯
