軌道交通自動(dòng)化信息安全面臨的挑戰(zhàn)及對(duì)策
隨著信息化和工業(yè)自動(dòng)化的深度融合�,物聯(lián)網(wǎng)技術(shù)的快速發(fā)展�����,工業(yè)自動(dòng)化和控制網(wǎng)絡(luò)正朝著分布式和智能化方向快速發(fā)展�����,越來(lái)越多的基于TCP/IP的通信協(xié)議和接口被采用�����,從而實(shí)現(xiàn)了從管理信息層到現(xiàn)場(chǎng)設(shè)備的一致識(shí)別���、通信和控制。然而���,在工業(yè)控制系統(tǒng)越來(lái)越開(kāi)放的同時(shí)��,也削弱了控制系統(tǒng)與外界的隔離和安全保護(hù)�。因此,行業(yè)/企業(yè)在享受網(wǎng)絡(luò)互聯(lián)帶來(lái)的各種好處的同時(shí)�����,也面臨著來(lái)自各種來(lái)源的信息安全威脅�,包括病毒和木馬傳播控制網(wǎng)絡(luò)等。國(guó)內(nèi)工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)日益嚴(yán)重�,應(yīng)給予足夠的重視。
軌道交通自動(dòng)化系統(tǒng)一般分為與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)��、電力SCADA系統(tǒng)等)����。),為列車運(yùn)行提供協(xié)助和支持的系統(tǒng)(如綜合監(jiān)控系統(tǒng)�、設(shè)備監(jiān)控系統(tǒng)、火災(zāi)報(bào)警系統(tǒng)等�。)和協(xié)助安全管理的系統(tǒng)(如門禁系統(tǒng)等。).這些系統(tǒng)有共同的特點(diǎn):一般系統(tǒng)分為三層:信息管理層����、控制執(zhí)行層和現(xiàn)場(chǎng)操作層;該系統(tǒng)以采集執(zhí)行控制器(如PLC)和工業(yè)控制網(wǎng)絡(luò)為核心����。工業(yè)控制網(wǎng)絡(luò)要求更好的實(shí)時(shí)性���、更高的傳輸速率和可靠性。
由于技術(shù)的限制�����,工業(yè)控制網(wǎng)絡(luò)中的現(xiàn)場(chǎng)總線已經(jīng)不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡(luò)的需要���,工業(yè)以太網(wǎng)技術(shù)是目前應(yīng)用最廣泛的技術(shù)���。具有以下優(yōu)點(diǎn):
(1)幾乎所有編程語(yǔ)言都支持以太網(wǎng);
(2)軟硬件資源豐富�,成本低(可以降低系統(tǒng)整體成本);
(3)通信速率高(100兆設(shè)備得到廣泛應(yīng)用����,千兆和10兆逐漸成為工業(yè)骨干網(wǎng)的主流)�;
(4)由于基于TCP/IP的開(kāi)放標(biāo)準(zhǔn),不同設(shè)備易于互聯(lián)�����,具有良好的發(fā)展?jié)摿Γ?/span>
(5)易于實(shí)現(xiàn)管控一體化;
(6)工業(yè)產(chǎn)品設(shè)計(jì)�,提供與其他自動(dòng)化部件相同的MTBF(平均故障間隔時(shí)間)值,通常為10年以上(相比之下�,典型的商用產(chǎn)品在建造時(shí)平均壽命高達(dá)5年);
(7)安裝方便:通常采用DIN-Rail導(dǎo)軌進(jìn)行安裝���,或者用螺栓直接與機(jī)器連接����;
(8)無(wú)風(fēng)扇設(shè)計(jì)�����,實(shí)現(xiàn)被動(dòng)散熱�;
(9)冗余電源、冗余鏈路�����、支持采用冗余設(shè)備����,保證全天候正常運(yùn)行時(shí)間;
(10)滿足特定的行業(yè)標(biāo)準(zhǔn)【包括軌道交通行業(yè)普遍認(rèn)可的EN50121-4認(rèn)證(路側(cè)應(yīng)用)和EN50155認(rèn)證(車輛應(yīng)用)】�,保證在濕度����、防塵�、防腐蝕、溫度��、振動(dòng)����、沖擊、電磁干擾等極端現(xiàn)場(chǎng)條件下的正常運(yùn)行�。但我們不能掩蓋這樣一個(gè)事實(shí),即工業(yè)控制網(wǎng)絡(luò)是工業(yè)控制系統(tǒng)安全隱患的主要因素�。01.工控系統(tǒng)信息安全現(xiàn)狀及其對(duì)軌道交通安全的影響
現(xiàn)實(shí)調(diào)查表明,工業(yè)控制系統(tǒng)的信息安全問(wèn)題越來(lái)越嚴(yán)重���。
在過(guò)去兩年中�����,在工業(yè)網(wǎng)絡(luò)信息安全領(lǐng)域有幾個(gè)有影響的例子:
(1)2010年7月首次檢測(cè)到針對(duì)某公司ICS/SCADA的Stuxnet地震網(wǎng)病毒;三個(gè)月后��,全球已有10萬(wàn)臺(tái)主機(jī)被感染�����。這是世界上第一個(gè)專門為工業(yè)控制系統(tǒng)編寫的破壞性病毒,引起了業(yè)界對(duì)信息安全的特別關(guān)注��。
(2)2012年8月BBC技術(shù)版報(bào)道稱����,在西門子旗下的Roger? Kang平臺(tái)交換機(jī)中發(fā)現(xiàn)后門����。這個(gè)程序允許黑客輕松入侵網(wǎng)絡(luò)并竊取信息����。該設(shè)備主要用于美國(guó)的國(guó)家電廠�����,受到美國(guó)國(guó)土安全部的高度重視���。
(3)2013年底�,“棱鏡門”事件主角斯諾登曝光了一份材料��,顯示美國(guó)在2008年開(kāi)發(fā)了48種間諜工具����,可以打擊與互聯(lián)網(wǎng)隔離的電腦�����。這種情況對(duì)人們認(rèn)為工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離�,ICS不存在信息安全問(wèn)題的想法產(chǎn)生了顛覆性的影響��。
根據(jù)統(tǒng)計(jì)數(shù)據(jù)�����,在工業(yè)最發(fā)達(dá)的美國(guó)�����,2010年工控系統(tǒng)信息安全事件只有39起����,到2013年,這一數(shù)字已經(jīng)上升到256起�。其中,2013年���,工控系統(tǒng)安全事件涉及能源����、重點(diǎn)制造���、供水��、交通��、核工業(yè)等直接關(guān)系國(guó)計(jì)民生和人身安全的行業(yè)����。其中��,交通行業(yè)工控系統(tǒng)安全事故占比達(dá)到5%�����。
中國(guó)的工業(yè)發(fā)展暫時(shí)落后于美國(guó)���。因此���,可以預(yù)測(cè),未來(lái)中國(guó)工控系統(tǒng)安全事件也將呈現(xiàn)出廣泛覆蓋����、快速增長(zhǎng)的趨勢(shì)��。交通運(yùn)輸行業(yè)���,尤其是軌道交通行業(yè),以及工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵集成電路系統(tǒng)的安全事故的可能影響包括:
(1)軌道交通子系統(tǒng)的性能下降����,影響系統(tǒng)的可用性;
(2)關(guān)鍵控制數(shù)據(jù)已被篡改或丟失����;
(3)失控(2008年,波蘭羅茲市一少年襲擊城市軌道系統(tǒng)�,用遙控器更換軌道切換器,導(dǎo)致4列列車脫軌)��;
(4)嚴(yán)重甚至造成人員傷亡的��;
(5)鐵路運(yùn)輸單位聲譽(yù)受損����,信任度降低;
(6)基礎(chǔ)設(shè)施損壞;
(7)嚴(yán)重的經(jīng)濟(jì)損失等��。
02�、工業(yè)以太網(wǎng)信息安全威脅的主要原因
從業(yè)人員普遍認(rèn)為,工控網(wǎng)絡(luò)的通信協(xié)議相對(duì)私密���,與更廣泛的網(wǎng)絡(luò)隔離。此外����,設(shè)備的優(yōu)勢(shì)使他們對(duì)工業(yè)網(wǎng)絡(luò)的安全性充滿信心。然而����,在當(dāng)今瞬息萬(wàn)變、互聯(lián)廣泛的網(wǎng)絡(luò)世界中��,許多工業(yè)運(yùn)營(yíng)商甚至沒(méi)有意識(shí)到他們的系統(tǒng)已經(jīng)暴露在互聯(lián)網(wǎng)上���,他們必須應(yīng)對(duì)一些特殊的安全漏洞��。根據(jù)最近的一份報(bào)告�����,美國(guó)國(guó)土安全部顧問(wèn)InfraCritical僅通過(guò)監(jiān)控引擎就發(fā)現(xiàn)了網(wǎng)絡(luò)中暴露的50萬(wàn)個(gè)SCADA設(shè)備����,其中7200個(gè)設(shè)備控制著水利、能源等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施�����。因此�����,安全研究人員將工業(yè)控制系統(tǒng)的狀態(tài)描述為“安全”聽(tīng)起來(lái)很荒謬?�,F(xiàn)有工業(yè)自動(dòng)化網(wǎng)絡(luò)的漏洞主要體現(xiàn)在以下三個(gè)方面:
(1)工業(yè)基本協(xié)議Modbus? TCP/IP協(xié)議數(shù)據(jù)包存在安全隱患
Modbus? TCP/IP協(xié)議在工業(yè)通信中應(yīng)用廣泛����,但由于缺乏內(nèi)置的安全處理,協(xié)議的應(yīng)用相對(duì)脆弱����。具體來(lái)說(shuō),即使是在傳輸一個(gè)源IP地址已經(jīng)被檢測(cè)到的TCP/IP包的時(shí)候��,看起來(lái)也是合法的��,但是因?yàn)榭赡馨瑦阂獾腗odbus? TCP通信包,所以整個(gè)通信過(guò)程都有疑點(diǎn)�。假設(shè)系統(tǒng)檢測(cè)到Modbus的源設(shè)備ID、功能代碼或命令類型��,這個(gè)惡意數(shù)據(jù)包就無(wú)處可藏了�。同時(shí),由于幾乎沒(méi)有針對(duì)工業(yè)設(shè)備的應(yīng)用層安全防護(hù)模式�,對(duì)于這類任務(wù)關(guān)鍵型應(yīng)用的安全防護(hù)會(huì)落在網(wǎng)絡(luò)安全設(shè)備上,比如硬件防火墻等���。而傳統(tǒng)的防火墻解決方案很少有掃描Modbus? TCP等工業(yè)協(xié)議的機(jī)制。
(2)自動(dòng)控制中的定時(shí)要求非常嚴(yán)格�����,存在傳輸延時(shí)的安全隱患
監(jiān)控和數(shù)據(jù)采集系統(tǒng)和自動(dòng)化控制對(duì)受控對(duì)象的直接操作具有高度的時(shí)間敏感性�。例如,變電站運(yùn)行對(duì)時(shí)間非常敏感����,觸發(fā)電路開(kāi)關(guān)的延遲會(huì)導(dǎo)致功率波動(dòng)甚至斷電。運(yùn)營(yíng)的高度及時(shí)性要求工業(yè)網(wǎng)絡(luò)不應(yīng)有明顯的延遲�。然而,惡意攻擊者使用一個(gè)普通的請(qǐng)求者來(lái)攻擊網(wǎng)絡(luò)��,即使防火墻可以阻止一個(gè)未經(jīng)授權(quán)的請(qǐng)求,也會(huì)造成網(wǎng)絡(luò)延遲����。同時(shí),在處理數(shù)據(jù)時(shí)���,防火墻也存在容量和帶寬不足的問(wèn)題�,這也導(dǎo)致關(guān)鍵時(shí)刻網(wǎng)絡(luò)延遲���,不能滿足實(shí)時(shí)傳輸?shù)囊蟆?/span>
此外����,隨著需求的增加����,工業(yè)網(wǎng)絡(luò)將集成更多的系統(tǒng),如視頻��、語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)���;網(wǎng)絡(luò)設(shè)備需要更多的帶寬和吞吐量來(lái)支持更高級(jí)別的應(yīng)用���,不影響網(wǎng)絡(luò)安全�����,也不延遲其他工業(yè)運(yùn)營(yíng)��。
(3)惡劣的現(xiàn)場(chǎng)環(huán)境促使網(wǎng)絡(luò)設(shè)備被動(dòng)適應(yīng)����,存在適應(yīng)的安全隱患����。
軌道交通現(xiàn)場(chǎng)的機(jī)械、電氣和工業(yè)控制設(shè)備部署在惡劣的環(huán)境中�����。傳統(tǒng)的信息技術(shù)網(wǎng)絡(luò)安全設(shè)備很難在這些惡劣的環(huán)境中穩(wěn)定運(yùn)行�����,保證工業(yè)網(wǎng)絡(luò)和系統(tǒng)的信息安全�����。這些惡劣的環(huán)境條件����,如極端溫度、電磁兼容性����、電磁干擾等?�?赡軐?duì)傳統(tǒng)的IT網(wǎng)絡(luò)安全設(shè)備造成比黑客蓄意程序工具的攻擊更嚴(yán)重的破壞�。因此,要確保工業(yè)網(wǎng)絡(luò)免受黑客攻擊和信息安全�����,首要任務(wù)是確保這些設(shè)備能夠在這些惡劣的工業(yè)環(huán)境中持續(xù)穩(wěn)定地運(yùn)行�����。
消除以上漏洞的第一步是確認(rèn)漏洞���,堵塞漏洞���;第二步至關(guān)重要,必須徹底清除安全漏洞���。3.1軌道交通行業(yè)信息安全的整體考慮
軌道交通業(yè)務(wù)可分為自動(dòng)控制和管理信息兩大類����。它分為三個(gè)安全域:生產(chǎn)域、管理域和互聯(lián)網(wǎng)域�。上海在處理信息安全時(shí)通常有以下做法:
(1)同一區(qū)域內(nèi)的訪問(wèn)、不同區(qū)域之間的受控訪問(wèn)或禁止訪問(wèn)��。
(2)在根據(jù)現(xiàn)有施工安全系統(tǒng)對(duì)自動(dòng)控制系統(tǒng)進(jìn)行保護(hù)的同時(shí)�����,應(yīng)確定與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)��、SCADA系統(tǒng))的等級(jí)非常重要�,對(duì)應(yīng)于安全等級(jí)保護(hù)系統(tǒng)的第三級(jí);為列車運(yùn)行提供輔助和支持的系統(tǒng)級(jí)別應(yīng)確定為重要����,對(duì)應(yīng)于安全級(jí)別保護(hù)系統(tǒng)的第二級(jí)��;
(3)僅用于軌道交通行業(yè)的管理����、決策和辦公系統(tǒng)的級(jí)別應(yīng)確定為一般級(jí)別�����,對(duì)應(yīng)于安全級(jí)別保護(hù)系統(tǒng)的第一級(jí)�����。
3.2工業(yè)控制網(wǎng)絡(luò)信息安全的考慮
鑒于以上分析�����,建議從硬件和軟件兩方面實(shí)現(xiàn)工業(yè)以太網(wǎng)的信息安全����。
(1)硬件實(shí)現(xiàn)多層次網(wǎng)絡(luò)信息安全保護(hù)
根據(jù)軌道交通自動(dòng)化系統(tǒng)的組成特點(diǎn)���,將現(xiàn)場(chǎng)級(jí)系統(tǒng)分解為多層結(jié)構(gòu)(如圖1所示)���,根據(jù)不同情況(如連接設(shè)備數(shù)量、帶寬和性能要求等)在網(wǎng)絡(luò)的每一層設(shè)置合適的工業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品��。).以艾科公司的EDR-810系列為例���,隨著集成技術(shù)的發(fā)展�,市場(chǎng)上推出了一款集成防火墻交換機(jī),主要面對(duì)底層需要連接多個(gè)終端設(shè)備且必須放置一臺(tái)交換機(jī)的情況�;集成設(shè)備集成了二層網(wǎng)管的交換功能和防火墻/NAT/VPN的功能,具有千兆上行端口和多個(gè)快速以太網(wǎng)端口����。既能滿足現(xiàn)場(chǎng)設(shè)備的接入要求,又能利用網(wǎng)絡(luò)管理的功能���,有效防止現(xiàn)場(chǎng)設(shè)備故障引起的廣播風(fēng)暴影響其他關(guān)鍵設(shè)備���。對(duì)于現(xiàn)場(chǎng)未使用的端口,系統(tǒng)可以在物理密封的同時(shí)將其關(guān)閉���,以防止利用現(xiàn)場(chǎng)設(shè)備接入交換機(jī)進(jìn)行惡意篡改和非法入侵�。此外��,設(shè)備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡(luò)流量����,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)保護(hù)內(nèi)部LAN免受外部主機(jī)傳輸?shù)奈词跈?quán)活動(dòng)���,并可進(jìn)行深度Modbus? TCP包檢測(cè)����,從而有效防止現(xiàn)場(chǎng)PLC等關(guān)鍵設(shè)備的非法控制,保證關(guān)鍵設(shè)備的可靠性�����。
在頂層對(duì)接辦公網(wǎng)絡(luò)時(shí)���,應(yīng)選擇工業(yè)級(jí)千兆防火墻/VPN安全路由器設(shè)備�����,并考慮外部連接的高帶寬需求和備份鏈路要求�����。以艾科公司的EDR-G903系列為例�����,具有冗余WAN接口���,千兆寬帶性能,吞吐量可達(dá)500Mbps,可建立的防火墻/NAT規(guī)則數(shù)超過(guò)512/256�,從而保證了企業(yè)信息網(wǎng)與自動(dòng)化網(wǎng)的安全通信;同時(shí)�����,支持VPN三層隧道協(xié)議的IPSec多達(dá)100個(gè)����,可以滿足遠(yuǎn)程多通道安全通信。(2)在網(wǎng)絡(luò)管理軟件中設(shè)置信息安全選項(xiàng)
工業(yè)網(wǎng)絡(luò)管理套件可以實(shí)現(xiàn)簡(jiǎn)單配置�、智能可視化管理、簡(jiǎn)單備份管理和快速故障排除���,并將整個(gè)網(wǎng)絡(luò)生命周期集成為一個(gè)工具包�。為了應(yīng)對(duì)工業(yè)網(wǎng)絡(luò)對(duì)信息安全的重視����,有必要在基于工業(yè)自動(dòng)化系統(tǒng)標(biāo)準(zhǔn)IEC? 62443的安裝、運(yùn)行和診斷以及由工業(yè)網(wǎng)絡(luò)分隔的控制信息系統(tǒng)三個(gè)階段確保網(wǎng)絡(luò)安全�����。
在安裝階段��,為了從軟件上批量部署設(shè)備的安全功能,可以選擇不同的設(shè)備安全級(jí)別����,規(guī)范不同的安全條款��,以滿足不同的應(yīng)用需求�����。
在運(yùn)行階段���,軟件可以在可視化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中用不同的顏色標(biāo)注設(shè)備的不同安全等級(jí)�,方便設(shè)備管理�。檢測(cè)到安全異常情況后�����,相應(yīng)的界面會(huì)輸出警告,通知操作員并及時(shí)處理�����。
04�、案例與結(jié)論
案例:美國(guó)亨里科縣交通控制系統(tǒng)的安全處置
根據(jù)NEMATS2交通控制標(biāo)準(zhǔn)���,弗吉尼亞州亨里科縣的交通部門升級(jí)了現(xiàn)有的公路交通信號(hào)控制系統(tǒng),使其成為一個(gè)先進(jìn)的交通管理系統(tǒng)(ATMS)�。亨里科縣現(xiàn)有的交通控制系統(tǒng)由140個(gè)信號(hào)控制的路口組成���,但只有25個(gè)路口相互連接����,其余115個(gè)路口的信號(hào)控制電路是隔離的�。該系統(tǒng)將采用集中式網(wǎng)絡(luò)架構(gòu),以便中央指揮中心能夠與現(xiàn)場(chǎng)的每個(gè)交通信號(hào)控制器通信?,F(xiàn)場(chǎng)交通管理員還可以每天在不同時(shí)間段調(diào)整和安排交通信號(hào)定時(shí)參數(shù)�����,以改善交通流量����。從中央指揮中心���,操作員將能夠訪問(wèn)實(shí)時(shí)監(jiān)控交通信號(hào)和遠(yuǎn)程流量控制的位置,以進(jìn)行緊急響應(yīng)���。這種先進(jìn)的流量控制網(wǎng)絡(luò)將通過(guò)公共網(wǎng)絡(luò)部署���,不僅需要高度可靠的連接,而且保護(hù)網(wǎng)絡(luò)安全�����,禁止未經(jīng)授權(quán)的訪問(wèn)�。
為了使交通管理員能夠向交通指揮中心傳輸數(shù)據(jù)���,系統(tǒng)集成商需要使用現(xiàn)有的ISP公共網(wǎng)絡(luò)����。然而��,公共網(wǎng)絡(luò)中可能存在安全問(wèn)題���,這將直接威脅到交通控制網(wǎng)絡(luò)的通信��。因此��,使用VPN以及現(xiàn)場(chǎng)和核心防火墻來(lái)保證數(shù)據(jù)通信的安全性是非常重要的��。
2011年工業(yè)和信息化部發(fā)布451號(hào)文件【0x9A8B】,強(qiáng)調(diào)從國(guó)家層面加強(qiáng)工控系統(tǒng)信息安全的重要性和緊迫性��,軌道交通核心生產(chǎn)系統(tǒng)在此通知范圍內(nèi)。因此�����,希望通過(guò)以上討論�����,相關(guān)人士重視對(duì)軌道交通現(xiàn)有系統(tǒng)部署現(xiàn)狀�、網(wǎng)絡(luò)架構(gòu)和主要安全問(wèn)題的分析��,形成有效的信息安全架構(gòu)方案,推動(dòng)軌道交通信息安全基礎(chǔ)設(shè)施建設(shè)��,完善軌道交通信息安全技術(shù)保障體系和信息安全管理體系,提升軌道交通行業(yè)信息安全預(yù)警能力����、信息安全保障能力�����、信息安全檢測(cè)能力、信息安全應(yīng)急能力和信息安全恢復(fù)能力����。