軌道交通自動化信息安全面臨的挑戰(zhàn)及對策
隨著信息化和工業(yè)自動化的深度融合����,物聯(lián)網(wǎng)技術的快速發(fā)展,工業(yè)自動化和控制網(wǎng)絡正朝著分布式和智能化方向快速發(fā)展�����,越來越多的基于TCP/IP的通信協(xié)議和接口被采用�����,從而實現(xiàn)了從管理信息層到現(xiàn)場設備的一致識別����、通信和控制。然而�,在工業(yè)控制系統(tǒng)越來越開放的同時,也削弱了控制系統(tǒng)與外界的隔離和安全保護�����。因此����,行業(yè)/企業(yè)在享受網(wǎng)絡互聯(lián)帶來的各種好處的同時��,也面臨著來自各種來源的信息安全威脅��,包括病毒和木馬傳播控制網(wǎng)絡等�����。國內工業(yè)控制系統(tǒng)的安全風險日益嚴重����,應給予足夠的重視�。
軌道交通自動化系統(tǒng)一般分為與列車運行控制直接相關的系統(tǒng)(如信號系統(tǒng)、電力SCADA系統(tǒng)等)���。)���,為列車運行提供協(xié)助和支持的系統(tǒng)(如綜合監(jiān)控系統(tǒng)、設備監(jiān)控系統(tǒng)�、火災報警系統(tǒng)等。)和協(xié)助安全管理的系統(tǒng)(如門禁系統(tǒng)等�。).這些系統(tǒng)有共同的特點:一般系統(tǒng)分為三層:信息管理層、控制執(zhí)行層和現(xiàn)場操作層�����;該系統(tǒng)以采集執(zhí)行控制器(如PLC)和工業(yè)控制網(wǎng)絡為核心。工業(yè)控制網(wǎng)絡要求更好的實時性����、更高的傳輸速率和可靠性。
由于技術的限制����,工業(yè)控制網(wǎng)絡中的現(xiàn)場總線已經不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡的需要,工業(yè)以太網(wǎng)技術是目前應用最廣泛的技術��。具有以下優(yōu)點:
(1)幾乎所有編程語言都支持以太網(wǎng)���;
(2)軟硬件資源豐富���,成本低(可以降低系統(tǒng)整體成本);
(3)通信速率高(100兆設備得到廣泛應用���,千兆和10兆逐漸成為工業(yè)骨干網(wǎng)的主流)�����;
(4)由于基于TCP/IP的開放標準��,不同設備易于互聯(lián)����,具有良好的發(fā)展?jié)摿Γ?/span>
(5)易于實現(xiàn)管控一體化;
(6)工業(yè)產品設計��,提供與其他自動化部件相同的MTBF(平均故障間隔時間)值��,通常為10年以上(相比之下��,典型的商用產品在建造時平均壽命高達5年)�;
(7)安裝方便:通常采用DIN-Rail導軌進行安裝,或者用螺栓直接與機器連接�;
(8)無風扇設計,實現(xiàn)被動散熱�����;
(9)冗余電源��、冗余鏈路���、支持采用冗余設備,保證全天候正常運行時間;
(10)滿足特定的行業(yè)標準【包括軌道交通行業(yè)普遍認可的EN50121-4認證(路側應用)和EN50155認證(車輛應用)】�����,保證在濕度����、防塵、防腐蝕�����、溫度��、振動��、沖擊��、電磁干擾等極端現(xiàn)場條件下的正常運行���。但我們不能掩蓋這樣一個事實���,即工業(yè)控制網(wǎng)絡是工業(yè)控制系統(tǒng)安全隱患的主要因素。01.工控系統(tǒng)信息安全現(xiàn)狀及其對軌道交通安全的影響
現(xiàn)實調查表明���,工業(yè)控制系統(tǒng)的信息安全問題越來越嚴重����。
在過去兩年中,在工業(yè)網(wǎng)絡信息安全領域有幾個有影響的例子:
(1)2010年7月首次檢測到針對某公司ICS/SCADA的Stuxnet地震網(wǎng)病毒����;三個月后,全球已有10萬臺主機被感染���。這是世界上第一個專門為工業(yè)控制系統(tǒng)編寫的破壞性病毒����,引起了業(yè)界對信息安全的特別關注�。
(2)2012年8月BBC技術版報道稱,在西門子旗下的Roger? Kang平臺交換機中發(fā)現(xiàn)后門�。這個程序允許黑客輕松入侵網(wǎng)絡并竊取信息。該設備主要用于美國的國家電廠��,受到美國國土安全部的高度重視����。
(3)2013年底��,“棱鏡門”事件主角斯諾登曝光了一份材料,顯示美國在2008年開發(fā)了48種間諜工具�����,可以打擊與互聯(lián)網(wǎng)隔離的電腦��。這種情況對人們認為工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離�,ICS不存在信息安全問題的想法產生了顛覆性的影響。
根據(jù)統(tǒng)計數(shù)據(jù)���,在工業(yè)最發(fā)達的美國���,2010年工控系統(tǒng)信息安全事件只有39起,到2013年���,這一數(shù)字已經上升到256起�。其中����,2013年,工控系統(tǒng)安全事件涉及能源��、重點制造���、供水��、交通����、核工業(yè)等直接關系國計民生和人身安全的行業(yè)。其中���,交通行業(yè)工控系統(tǒng)安全事故占比達到5%�。
中國的工業(yè)發(fā)展暫時落后于美國��。因此����,可以預測,未來中國工控系統(tǒng)安全事件也將呈現(xiàn)出廣泛覆蓋��、快速增長的趨勢�����。交通運輸行業(yè)�����,尤其是軌道交通行業(yè)���,以及工業(yè)基礎設施中關鍵集成電路系統(tǒng)的安全事故的可能影響包括:
(1)軌道交通子系統(tǒng)的性能下降��,影響系統(tǒng)的可用性�;
(2)關鍵控制數(shù)據(jù)已被篡改或丟失���;
(3)失控(2008年��,波蘭羅茲市一少年襲擊城市軌道系統(tǒng)�,用遙控器更換軌道切換器�,導致4列列車脫軌);
(4)嚴重甚至造成人員傷亡的�����;
(5)鐵路運輸單位聲譽受損��,信任度降低���;
(6)基礎設施損壞���;
(7)嚴重的經濟損失等�。
02����、工業(yè)以太網(wǎng)信息安全威脅的主要原因
從業(yè)人員普遍認為,工控網(wǎng)絡的通信協(xié)議相對私密�,與更廣泛的網(wǎng)絡隔離。此外�,設備的優(yōu)勢使他們對工業(yè)網(wǎng)絡的安全性充滿信心。然而�,在當今瞬息萬變、互聯(lián)廣泛的網(wǎng)絡世界中��,許多工業(yè)運營商甚至沒有意識到他們的系統(tǒng)已經暴露在互聯(lián)網(wǎng)上����,他們必須應對一些特殊的安全漏洞。根據(jù)最近的一份報告����,美國國土安全部顧問InfraCritical僅通過監(jiān)控引擎就發(fā)現(xiàn)了網(wǎng)絡中暴露的50萬個SCADA設備,其中7200個設備控制著水利�����、能源等領域的關鍵基礎設施。因此��,安全研究人員將工業(yè)控制系統(tǒng)的狀態(tài)描述為“安全”聽起來很荒謬?��,F(xiàn)有工業(yè)自動化網(wǎng)絡的漏洞主要體現(xiàn)在以下三個方面:
(1)工業(yè)基本協(xié)議Modbus? TCP/IP協(xié)議數(shù)據(jù)包存在安全隱患
Modbus? TCP/IP協(xié)議在工業(yè)通信中應用廣泛,但由于缺乏內置的安全處理�����,協(xié)議的應用相對脆弱。具體來說,即使是在傳輸一個源IP地址已經被檢測到的TCP/IP包的時候����,看起來也是合法的,但是因為可能包含惡意的Modbus? TCP通信包����,所以整個通信過程都有疑點。假設系統(tǒng)檢測到Modbus的源設備ID�、功能代碼或命令類型,這個惡意數(shù)據(jù)包就無處可藏了����。同時�,由于幾乎沒有針對工業(yè)設備的應用層安全防護模式��,對于這類任務關鍵型應用的安全防護會落在網(wǎng)絡安全設備上����,比如硬件防火墻等�����。而傳統(tǒng)的防火墻解決方案很少有掃描Modbus? TCP等工業(yè)協(xié)議的機制��。
(2)自動控制中的定時要求非常嚴格��,存在傳輸延時的安全隱患
監(jiān)控和數(shù)據(jù)采集系統(tǒng)和自動化控制對受控對象的直接操作具有高度的時間敏感性���。例如,變電站運行對時間非常敏感����,觸發(fā)電路開關的延遲會導致功率波動甚至斷電�����。運營的高度及時性要求工業(yè)網(wǎng)絡不應有明顯的延遲����。然而,惡意攻擊者使用一個普通的請求者來攻擊網(wǎng)絡,即使防火墻可以阻止一個未經授權的請求�����,也會造成網(wǎng)絡延遲��。同時�����,在處理數(shù)據(jù)時�,防火墻也存在容量和帶寬不足的問題,這也導致關鍵時刻網(wǎng)絡延遲,不能滿足實時傳輸?shù)囊蟆?/span>
此外,隨著需求的增加�����,工業(yè)網(wǎng)絡將集成更多的系統(tǒng)�,如視頻、語音和數(shù)據(jù)網(wǎng)絡���;網(wǎng)絡設備需要更多的帶寬和吞吐量來支持更高級別的應用,不影響網(wǎng)絡安全���,也不延遲其他工業(yè)運營�。
(3)惡劣的現(xiàn)場環(huán)境促使網(wǎng)絡設備被動適應�����,存在適應的安全隱患。
軌道交通現(xiàn)場的機械、電氣和工業(yè)控制設備部署在惡劣的環(huán)境中。傳統(tǒng)的信息技術網(wǎng)絡安全設備很難在這些惡劣的環(huán)境中穩(wěn)定運行�����,保證工業(yè)網(wǎng)絡和系統(tǒng)的信息安全���。這些惡劣的環(huán)境條件,如極端溫度、電磁兼容性、電磁干擾等���?�?赡軐鹘y(tǒng)的IT網(wǎng)絡安全設備造成比黑客蓄意程序工具的攻擊更嚴重的破壞。因此����,要確保工業(yè)網(wǎng)絡免受黑客攻擊和信息安全�����,首要任務是確保這些設備能夠在這些惡劣的工業(yè)環(huán)境中持續(xù)穩(wěn)定地運行。
消除以上漏洞的第一步是確認漏洞����,堵塞漏洞��;第二步至關重要,必須徹底清除安全漏洞�����。3.1軌道交通行業(yè)信息安全的整體考慮
軌道交通業(yè)務可分為自動控制和管理信息兩大類。它分為三個安全域:生產域、管理域和互聯(lián)網(wǎng)域���。上海在處理信息安全時通常有以下做法:
(1)同一區(qū)域內的訪問���、不同區(qū)域之間的受控訪問或禁止訪問����。
(2)在根據(jù)現(xiàn)有施工安全系統(tǒng)對自動控制系統(tǒng)進行保護的同時,應確定與列車運行控制直接相關的系統(tǒng)(如信號系統(tǒng)����、SCADA系統(tǒng))的等級非常重要�����,對應于安全等級保護系統(tǒng)的第三級;為列車運行提供輔助和支持的系統(tǒng)級別應確定為重要�����,對應于安全級別保護系統(tǒng)的第二級;
(3)僅用于軌道交通行業(yè)的管理��、決策和辦公系統(tǒng)的級別應確定為一般級別���,對應于安全級別保護系統(tǒng)的第一級�����。
3.2工業(yè)控制網(wǎng)絡信息安全的考慮
鑒于以上分析����,建議從硬件和軟件兩方面實現(xiàn)工業(yè)以太網(wǎng)的信息安全�����。
(1)硬件實現(xiàn)多層次網(wǎng)絡信息安全保護
根據(jù)軌道交通自動化系統(tǒng)的組成特點�����,將現(xiàn)場級系統(tǒng)分解為多層結構(如圖1所示)��,根據(jù)不同情況(如連接設備數(shù)量�����、帶寬和性能要求等)在網(wǎng)絡的每一層設置合適的工業(yè)級網(wǎng)絡安全產品�����。).以艾科公司的EDR-810系列為例,隨著集成技術的發(fā)展,市場上推出了一款集成防火墻交換機�,主要面對底層需要連接多個終端設備且必須放置一臺交換機的情況����;集成設備集成了二層網(wǎng)管的交換功能和防火墻/NAT/VPN的功能�,具有千兆上行端口和多個快速以太網(wǎng)端口�。既能滿足現(xiàn)場設備的接入要求���,又能利用網(wǎng)絡管理的功能����,有效防止現(xiàn)場設備故障引起的廣播風暴影響其他關鍵設備�����。對于現(xiàn)場未使用的端口�����,系統(tǒng)可以在物理密封的同時將其關閉,以防止利用現(xiàn)場設備接入交換機進行惡意篡改和非法入侵�����。此外���,設備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡流量��,網(wǎng)絡地址轉換(NAT)保護內部LAN免受外部主機傳輸?shù)奈词跈嗷顒?����,并可進行深度Modbus? TCP包檢測,從而有效防止現(xiàn)場PLC等關鍵設備的非法控制,保證關鍵設備的可靠性�����。
在頂層對接辦公網(wǎng)絡時���,應選擇工業(yè)級千兆防火墻/VPN安全路由器設備���,并考慮外部連接的高帶寬需求和備份鏈路要求��。以艾科公司的EDR-G903系列為例,具有冗余WAN接口�����,千兆寬帶性能,吞吐量可達500Mbps�����,可建立的防火墻/NAT規(guī)則數(shù)超過512/256,從而保證了企業(yè)信息網(wǎng)與自動化網(wǎng)的安全通信;同時����,支持VPN三層隧道協(xié)議的IPSec多達100個,可以滿足遠程多通道安全通信。(2)在網(wǎng)絡管理軟件中設置信息安全選項
工業(yè)網(wǎng)絡管理套件可以實現(xiàn)簡單配置、智能可視化管理�����、簡單備份管理和快速故障排除���,并將整個網(wǎng)絡生命周期集成為一個工具包��。為了應對工業(yè)網(wǎng)絡對信息安全的重視,有必要在基于工業(yè)自動化系統(tǒng)標準IEC? 62443的安裝、運行和診斷以及由工業(yè)網(wǎng)絡分隔的控制信息系統(tǒng)三個階段確保網(wǎng)絡安全�。
在安裝階段�,為了從軟件上批量部署設備的安全功能,可以選擇不同的設備安全級別�����,規(guī)范不同的安全條款��,以滿足不同的應用需求��。
在運行階段��,軟件可以在可視化的網(wǎng)絡拓撲結構中用不同的顏色標注設備的不同安全等級�����,方便設備管理��。檢測到安全異常情況后,相應的界面會輸出警告,通知操作員并及時處理��。
04、案例與結論
案例:美國亨里科縣交通控制系統(tǒng)的安全處置
根據(jù)NEMATS2交通控制標準�����,弗吉尼亞州亨里科縣的交通部門升級了現(xiàn)有的公路交通信號控制系統(tǒng)��,使其成為一個先進的交通管理系統(tǒng)(ATMS)�。亨里科縣現(xiàn)有的交通控制系統(tǒng)由140個信號控制的路口組成���,但只有25個路口相互連接,其余115個路口的信號控制電路是隔離的����。該系統(tǒng)將采用集中式網(wǎng)絡架構�,以便中央指揮中心能夠與現(xiàn)場的每個交通信號控制器通信。現(xiàn)場交通管理員還可以每天在不同時間段調整和安排交通信號定時參數(shù)�����,以改善交通流量。從中央指揮中心�,操作員將能夠訪問實時監(jiān)控交通信號和遠程流量控制的位置����,以進行緊急響應。這種先進的流量控制網(wǎng)絡將通過公共網(wǎng)絡部署����,不僅需要高度可靠的連接�����,而且保護網(wǎng)絡安全���,禁止未經授權的訪問。
為了使交通管理員能夠向交通指揮中心傳輸數(shù)據(jù)�,系統(tǒng)集成商需要使用現(xiàn)有的ISP公共網(wǎng)絡�。然而��,公共網(wǎng)絡中可能存在安全問題����,這將直接威脅到交通控制網(wǎng)絡的通信。因此���,使用VPN以及現(xiàn)場和核心防火墻來保證數(shù)據(jù)通信的安全性是非常重要的。
2011年工業(yè)和信息化部發(fā)布451號文件【0x9A8B】���,強調從國家層面加強工控系統(tǒng)信息安全的重要性和緊迫性����,軌道交通核心生產系統(tǒng)在此通知范圍內����。因此���,希望通過以上討論���,相關人士重視對軌道交通現(xiàn)有系統(tǒng)部署現(xiàn)狀�����、網(wǎng)絡架構和主要安全問題的分析��,形成有效的信息安全架構方案���,推動軌道交通信息安全基礎設施建設,完善軌道交通信息安全技術保障體系和信息安全管理體系�����,提升軌道交通行業(yè)信息安全預警能力、信息安全保障能力�、信息安全檢測能力�、信息安全應急能力和信息安全恢復能力���。