地鐵信號系統等級保護(三級)實施方案 基于CBTC系統的工控防護解決方案
長揚科技是北京國資委和經信委投資、指導下的創新型高新技術企業,匯集中國工業網絡安全人才最集中最精英的企業,是中國工業網絡事業的第一批踐行者。公司聚焦工業網絡安全及安全大數據領域,為客戶持續提供覆蓋工控系統整個生命周期的網絡安全解決方案和安全服務,致力于成為工業互聯網安全行業應用專家。
公司產品及解決方案主要應用于工業控制網絡、物聯網及關鍵基礎設施網絡安全防護領域,在石油化工、煤炭、電力、軌道交通、高鐵、公共安全、軍隊軍工、智能制造及政府教育等行業做了大量的工業網絡安全行業研究和實踐,對于工業網絡安全場景化應用認知和落地能力業界領先。
隨著計算機和網絡技術的發展,特別是信息化與信號系統深度融合,CBTC系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與PIS網絡、語音廣播等其他子系統互聯,甚至與公共網絡連接,造成病毒、木馬等威脅向CBTC系統擴散。一旦CBTC系統的信息安全出現漏洞,將對城市軌道交通的穩定運行和旅客的人身安全造成重大影響。
本項目以“安全分區、網絡專用、三網隔離、分級防護”為原則,以GB/T 22239為標準,在技術層面實現地鐵基于CBTC的信號系統內各子系統統一技術架構和標準,建設滿足信息系統安全等級(三級)要求的防護方案。
一、 項目概況
地鐵信號系統是保證列車安全、準點、高密度運行的重要技術裝備。本方案是針對Y市某號線信號系統的符合等級保護(三級)要求的安全防護建設方案。
1. 項目背景
目前基于無線局域網的CBTC系統的可用性、可靠性等均能滿足當前城市軌道交通安全高效運營的需要,是實現軌道交通高安全、高速度和高密度的最佳技術之一。但CBTC系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與PIS網絡、語音廣播等公共網絡連接,造成病毒、木馬等威脅向CBTC系統擴散,信號系統安全問題日益突出。一旦CBTC系統的信息安全出現漏洞,將對城市軌道交通的生產運行和國家安全造成重大隱患。
Y市地鐵運營公司在《軌道交通信息安全技術架構》中提出信息安全建設的總體目標為:全面防護、保護重點、專區專用、強化邊界,旨在提升信息安全的預警能力、保障能力、檢測能力、應急能力和恢復能力。要求以GB/T 22239-2008 《信息安全技術 信息系統安全等級保護基本要求》等相關技術標準為基礎,“安全分區、網絡專用、三網隔離、分級防護”為原則,在技術層面要求各系統統一技術架構和標準,按信息系統安全等級(三級)要求建設、實施。
目前Y市某號線信號系統是采用基于通信的列車控制系統(CBTC)。鑒于信號系統在軌道交通中的重要性,結合公安部網監和Y市市軌道交通有限公司的要求,將Y市某號線信號系統信息安全保護等級定為三級(S3A3G3)。
2. 項目簡介
本方案針對Y市某號線信號系統,進行了符合等級保護(三級)要求的實施方案設計,提出一個基于縱深防御的分域安全防護與運維保障體系,同時它也是基于信號系統內生特性的安全防護體系。本方案在控制中心、各設備集中站、車輛段和停車場等從邊界隔離防護和訪問控制、入侵防御、監測審計和主機安全方面,進行了合理的安全部署設計和安全服務咨詢設想,提供實際的安全防護產品部署建議與選型建議。
3. 項目目標
依據工信部《工業控制系統信息安全防護指南》指導要求,結合信息安全等級保護(三級)符合性要求,軌道交通信號系統安全防護建設目標如下:
(1)完善軌道交通信號系統安全防護技術體系:
梳理、分析軌道網絡整體情況,從網絡層次劃分、網絡分區分域、網絡邊界劃分、縱深防御等方面提供適用于軌道交通信號系統的網絡規劃思路;
(2)完善軌道交通信號系統安全防護管理體系:
梳理軌道交通信號系統安全防護方面的組織機構、管理制度、人員管理、系統建設管理、資源保障、監督檢查等方面的信息,進行需求分析并提出解決思路,為軌道交通信號系統管理體系建設及整改工作提供參考;
(3)完善軌道交通信號系統安全防護運維體系:
梳理、分析軌道交通信號系統的運維體系,從運維管理制度、操作流程的規范化、關鍵技術控制點等方面提供運維體系建設及完善思路,挖掘運維平臺潛在風險和盲區,為完善軌道交通運維平臺提供解決思路。
本方案針對Y市某號線信號系統進行細致的分析,并結合等級保護(三級)基本要求以及信號系統的特殊安全需求提出一個基于縱深防御的分域安全防護與運維保障體系。協助客戶出具《信息系統安全等級保護定級報告》、《信息系統安全等級保護備案表》并在當地公安機關完成信息系統等保備案,然后依照等級保護安全技術要求,將從網絡安全、主機安全、數據安全以及應用安全四個方面對軌道交通信號系統的安全防護分別展開預評估與整改。
本項目的目標是在Y市地鐵某號線信號系統正式開通運營之前完成一次等級保護三級測評工作。
二、 項目實施概況
本節重點詳盡描述,技術與業務結合,工業互聯網技術如何助力業務提升與創新,如何解決企業痛點和難點,其核心價值體現在哪些方面。此處可以有幾句統領性描述。
結合等級保護(三級)基本要求以及信號系統的特殊安全需求,對于Y市軌道交通某號線信號系統信息安全建設,以適度風險為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統。本方案將從網絡安全、主機安全、數據安全以及應用安全四個方面對軌道交通信號系統的安全防護分別展開闡述。
1. 項目總體架構和主要內容
為提升成熟軌道交通各子系統網絡安全防護能力,長揚科技在充分了解CBTC、ISCS、AFC、PIS等系統的網絡結構和安全現狀的基礎上,深度融合軌交業務系統,構建從邊界防護、流量檢測審計、主機終端安全、持續運維安全的縱深防御技術體系。在不破壞原有網絡結構情況下,軌交解決方案能切實有效的保護系統安全,防止木馬、蠕蟲、黑客等各種威脅和攻擊,保障軌道交通安全穩定運行
(1)網絡邊界安全防護
CBTC、ISCS、PIS等系系統之間存在互聯接口,但缺乏可靠的技術隔離手段進行區域隔離,給整個軌道交通系統留下安全隱患,長揚科技通過在控制中心ATS網絡與互聯系統間(PIS、ISCS、PA等)接口的網絡邊界位置,部署工業網閘(IAD智能保護平臺)。互聯網絡之間進行網絡連接時,可以基于IP地址、MAC地址等對請求連接主機的身份進行鑒別,禁止未通過身份鑒別的主機之間建立網絡連接,互聯接口具備訪問控制措施,基于智能學習的白名單和黑名單的訪問控制。訪問控制主、客體粒度細化到IP地址、MAC地址、應用協議及應用數據,包括生產數據上傳和調度指令的下發; 支持FTP、HTTP、Modbus/TCP、OPC、IEC-104、MMS、DNP3等并且能夠對各類數據包進行快速有針對性的捕獲與深度解析常用工控協議傳輸的數據格式的鑒別與過濾。對互聯網絡之間的訪問行為進行實時數據包抓取和分析,對異常行為進行檢測,實時阻斷威脅事件;涵蓋了各大主流工控設備的設備及協議漏洞庫,可以基于已知設備及協議的漏洞庫黑名單機制保護工業控制網絡避免受到已知漏洞的危害。針對外部系統邊界采用專用的安全通道進行內外網信息交換,業務數據通過物理隔離、協議隔離、內容隔離等措施使外部系統網絡數據及有害數據信息無法進入ATS網絡。
在控制中心ATS與各區域邊界位置部署工業防火墻。實現隔離與訪問控制,根據數據包的源地址、目的地址、傳輸層協議、應用層協議、端口(對應請求的服務類型)、時間、用戶名等信息執行訪問控制規則識別工控網絡中已知的安全威脅。
(2)網絡流量安全
外部攻擊和內部誤操作行是引發城市軌道交通安全問題的重要因素,長揚科技通過在關鍵位置控制中心、車輛段、停車場和設備集中站的維護網接入交換機處旁路部署網絡工業網絡監測審計平臺。對全網數據流量、網絡數據智能學習生成白名單規則,結合黑名單規則統一規則部署進行協議級審計,實時監控控制網絡安全,發現異常行為及病毒木馬。
(3)主機安全防護
在系統中工控主機不能安裝殺毒軟件或殺毒軟件不能及時更新升級,一旦遇到新的漏洞將影響業務的安全運營,長揚科技通過在控制中心、車站、車輛段、停車場等處的工作站和服務器部署工控主機衛士終端安全防護產品,開啟主機白名單安全防護,監控工控主機的進程狀態、網絡接口狀態、USB端口狀態,以白名單的技術方式,禁止一切非法進程的加載和啟動,從而使工控網絡中的上位機、服務器等抵御木馬、工控病毒等惡意程序的攻擊。切斷病毒和木馬的傳播與破壞路徑,徹底解決主機不能安裝殺毒軟件或病毒庫升級后影響程序運行的問題。
(4)統一安全管理
為實現對軌道交通系統防護設備的集中管理,幫助工作人員全面了解和掌握各個系統的安全狀態。長揚科技通過在車輛段部署統一安全管理平臺,統一管控所有工控網絡安全設備與安全防護手段,將系統的工控網絡安全現狀實時、全面地進行監控。對于保護終端所產生的安全事件和平臺系統事件進行行為關聯性追蹤,找到引起當前結果事件的源頭事件,為分析從源頭事件到結果事件的整個過程提供依據。建立工業控制網絡日常行為基準,對當前網絡的異常行為做實時動態的行為審計,找到控制網內符合協議規范,但不符合企業日常生產規律的隱秘異常的行為,幫助發現內部誤操作,內部攻擊等不易發現的安全威脅。專業的工業控制網絡拓撲構建和管理工具,提供豐富的資產信息展示功能,同時關聯多種安全分析工具,呈現豐富的功能視圖,對拓撲管理進行顛覆式的功能改進,幫助用戶最大化的了解自身工業控制網絡,以及提高全面的安全態勢感知能力。
信號系統網絡安全部署示意圖如下所示:
圖1 信號系統網絡安全部署示意圖
2.安全架構
在本項目中,在基于信號系統自身的信息采集與傳輸上,在不改變原有網絡結構,不影響原有工控網絡系統正常生產運行的情況下,基于旁路的方式部署監測審計平臺旁路監聽。在通信安全、傳輸協議和標準方面,具備專業協議深度解析,已經支持的工控協議深度解析是GOOSE,SV,MMS,IEC104,DNP3,OPC,S7,Modbus/TCP,Profinet,Ethernet/IP等協議,并可對協議數據包深度解析。在配置方式上,采用WEB配置IP地址,不需要串口線、CLI,方便現場實施部署。網絡拓撲管理采用專業的工業控制網絡拓撲構建和管理工具,提供豐富的資產信息展示功能,同時關聯多種安全分析工具,呈現豐富的功能視圖,對拓撲管理進行顛覆式的功能改進,幫助用戶最大化的了解自身工業控制網絡。
3. 安全及可靠性
本項目不僅僅是Y市軌道交通信號系統信息安全防護試點項目,更是為軌道交通行業的網絡安全防護做出了技術示范作用,優化管理流程,切實保證了信號系統免受病毒、惡意代碼等威脅,保持安全穩定運行的狀態。安全框架參考《信息安全技術 信息系統等級保護安全設計技術要求》進行設計,在管理方面同時參考《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》以及27001安全管理指南,使建成后的等級保護體系:
1、資產安全以資產安全為核心,資產管理包括安全設備管理、工控設備管理、網絡設備管理。對網絡系統內未知的設備接入、異常連接、異常流量進行實時告警,迅速發現網絡系統中異常情況。保障資產按時按規定的正常運行和及時檢測出資產的異常行為。
2、區域防護借鑒了縱深防御的思想,形成以邊界監測、區域監測、終端監測的防護體系。
3、 項目創新點和實施效果
1. 項目先進性及創新點
(1)全系列的工控安全產品
提供全系列工控安全產品,可以滿足不同工控系統信息安全防護項目的需要。
(2)一鍵式部署
產品采用EB配置,不需要串口線、CLI,方便現場實施部署,所有黑名單規則、白名單規則可以統一調入到規則庫,進行一鍵式部署,方便快捷,可自動調整安全規則及保護策略之間的沖突,簡化部署過程
(3)硬件平臺安全
硬件方面適應工控系統冗余、時延、可靠性、環境等各方面的要求:1) 硬件設計支持硬件加密。在現場能夠實現多種靈活的安裝方式,包括導軌安裝、機柜安裝等。2) 可以在各種行業需要的環境下運行,擴展性強,無風扇全封閉設計,達到工業級的可靠性和穩定性MTBF標準和工業級寬溫標準。3) 支持多電源冗余和端口故障時的自動硬件旁路轉換。端口設計上采用與數據網分離的管理網端口,并支持千兆以太網。
2. 實施效果
本項目實現了項目目標需求,解決了網絡系統風險管理與入侵防護;在網絡層面生產網邊界,實現網絡接口安全;通過區域隔離,結合黑白名單的訪問控制實現惡意代碼防范。對系統運用的多項先進技術,系統整體性能和安全性進行日常維護管理。完善了Y市軌道交通信號系統信息安全保護體系,為等保測評的順利通過提供了安全保障。
(1)入侵檢測:
對網絡的當前和歷史行為與事件進行工業控制安全入侵分析、檢測與發現,對緩沖區溢出、SQL 注入、DoS 攻擊、蠕蟲病毒、木馬后門、aveX、Sand-Worm、Stuxnet等各類黑客攻擊和惡意流量進行實時檢測及報警,發現APT攻擊和工業病毒的入侵痕跡,并通在安全管理平臺顯示、日志數據庫記錄,提供對應的防護修護策略
(2)工業協議深度解析:
目前已經支持的工控協議深度解析是GOOSE,SV,MMS,IEC104,DNP3,OPC,S7,Modbus/TCP,Profinet,Ethernet/IP等協議,為工控網絡安全領域最多
(3)訪問控制:
對數據流量進行管控,通過端口、地址、協議等方式對數據流量進行篩選,保證流量合法性。
(4)實時報警:
所有部署的安全設備都能由安全管理平臺統一控制配置、管理安全終端,對安全終端部署安全規則,監測終端所在網絡的通信流量與安全事件。對于保護終端所產生的安全事件和平臺系統事件進行行為關聯性追蹤,找到引起當前結果事件的源頭事件,為分析從源頭事件到結果事件的整個過程提供依據。
(5)流量審計:
對工控網絡中存在的所有活動提供協議審計、行為審計、內容審計、流量審計,生成完整記錄便于事件追溯。基于工業協議的深度包解析白名單和黑名單的工控異常行為審計,協助用戶發現網絡中存在的違規下發的控制操作。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號