摘 要:综合监控系统是实现地铁机电设备监控、信息互通、资源共享的大型综合自动化平台。文章从地铁网络信息安全威胁入手,全面分析了综合监控系统网络信息安全威胁,根据对网络信息安全对策的研究,结合投资和管理便利性,提出三种网络信息安全工程应用技术方案,可满足综合监控系统网络信息安全等级保护的要求,提升系统可靠性。
关键词:地铁;网络信息安全;威胁;对策
中图分类号:TP273;TP309 文献标识码:A 文章编号:2096-4706(2020)23-0160-04
Research on Information Security Threats and Countermeasures of Metro Integrated Monitoring Network
JIANG Yongbing
(Tianjin Electrification Design and Research Institute of China Railway Co.,Ltd.,Tianjin 300250,China)
Abstract:The integrated monitoring system is a large-scale integrated automation platform that realizes the monitoring of metro electromechanical equipment,information exchange,and resource sharing. This article starts from the metro network information security threats,comprehensively analyzes the network information security threats of the integrated monitoring system,based on the research on the network information security countermeasures,combined with the investment and management convenience,proposes three network information security engineering application technical solutions,which can meet the comprehensive monitoring system network information security level protection requirements to improve system reliability.
Keywords:metro;network information security;threat;countermeasure
0 引 言
地铁综合监控系统是根据地铁线路特点和技术发展情况量身定制的大型综合自动化平台,通过综合监控系统可实现地铁机电设备监控、信息互通、资源共享,并能够提升自动化水平,提高地铁运营服务的安全性、可靠性,最终达到减员增效的目的。
随着计算机技术和网络技术的发展,近年来,网络信息安全问题在交通、金融、电力、能源等行业日益突显,病毒入侵、黑客攻击、数据丢失等网络信息安全问题频繁出现,系统漏洞呈逐年增长趋势,不断威胁着相关行业信息系统安全。2014—2020年全球工控系统漏洞数量如图1所示(数据来源于国家工业信息安全发展研究中心《2020—2021年度工业信息安全形势分析》)。
综合监控系统作为地铁机电设备监控的重要系统,一旦发生网络信息安全事故导致系统不可用,将对整个地铁服务能力造成重要影响,严重情况下可能危及行车安全。笔者在地铁综合监控系统设计过程中,发现各项目综合监控系统设计和建设单位对网络信息安全重要性的认识不一,各项目采用的设计方案差异很大,系统定级有按二级和上级两种不统一的做法。为尽量优化和统一设计方案,为今后工程设计和应用提供参考和指导,本文基于对网络信息安全相关国家标准、规范的深入分析和理解,系统性地研究地铁综合监控系统网络信息安全威胁,并从合规、经济、可实施角度提出具体对策。
1 网络信息安全定义及属性
网络信息安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态并保障网络数据的完整性、保密性、可用性的能力。
网络信息安全具有机密性、完整性、可用性、抗抵赖性、可控性五个主要属性,如表1所示。
2 综合监控系统网络信息安全威胁研究
根据对国内多个城市地铁运行线路建设和运营的综合监控系统调研,地铁综合监控系统网络信息安全面临管理和技术两个层面的威胁。
2.1 管理层面
管理层面通过对组织机构、人员配置、管理制度和流程、应急响应等方面的研究,发现主要有如下问题:
(1)安全组织机构和人员配置不完善。部分城市地铁运营公司未设置网络信息安全专门管理机构,安全职责不明确,缺乏有经验的安全技术人员。
(2)安全管理制度和流程不完善。缺少完整的制度来保障网络信息安全,缺乏针对安全系统规划、建设、运维、报废的全生命周期的信息安全需求和设计管理。综合监控系统中存在少量默认配置和默认口令,存在一定的脆弱性。
(3)安全事件应急响应能力不足。发生信息安全事件后相关工作人员通常依靠经验判断安全事件发生的设备和影响范围,再逐一进行排查、修复,所需时间较长。
(4)对第三方人员管理机制不完善。地铁运维过程中,普遍存在将运维工作外包给设备商或集成商的情况,第三方人员在设备运维时,缺少运维操作审计,安全风险高。
2.2 技术层面
技术层面通过对安全域划分、安全措施、防病毒软件、备用端口管理、移动介质管理及安全测试等方面的研究,发现主要有如下问题:
(1)网络未划分安全域,区域间未设置访问控制措施。综合监控系统集成、互联范围广,各系统间有多种通信接口方案,系统之间往往没有进行访问控制,区域间安全监测和入侵防范措施也普遍缺失。
(2)缺少及时发现信息安全问题的技术措施。不能及时发现入侵行为、病毒、网络访问异常、网络拥塞等问题。
(3)工作站和服务器没装或很少装防病毒软件。综合监控系统工作站和服务器一般采用Windows或Unix操作系统,上线后极少持续对操作系统进行升级以及为系统漏洞安装补丁。
(4)网络设备备用端口缺少管理。交换机、前置处理器等备用端口未封闭。
(5)移动介质成为安全风险引入源。在综合监控系统运维和使用过程中,普遍存在使用U盘、光盘、移动硬盘等移动存储介质现象,成为病毒、木马等威胁进入生产系统的重要途径。
(6)系统上线前未进行网络信息安全测试。系统上线前未进行安全性测试,系统在上线后存在大量安全风险漏洞,安全配置薄弱,有的系统甚至带病毒运行。
3 网络信息安全对策研究
3.1 安全域的划分
安全域是具有相同安全要求的逻辑资产或物理资产的集合。每一个安全域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。安全域的划分可以使网络结构更加清晰,安全现状更加直观,安全隐患更加明显。
综合监控系统安全域的划分主要有将整个综合监控系统划分为一个安全域和将综合监控系统划分为控制区(安全区1)、非控制区(安全区2)、生产管理区三个安全域两种方案,如表2所示。
在满足规范要求的基础上,推荐采用将整个综合监控系统划分为一个安全域的方案。
3.2 定级分析
系统定级主要根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》实施。综合监控系统安全受到破坏后,主要是对地铁运营商自身(公民、法人和其他组织的合法权益)造成损害,损害程度为:特别严重损害,业务信息安全等级定为第二级。
综合监控系统服务安全受到破坏后,综合监控系统的功能和服务能力受到严重影响,电力及机电设备监控业务能力严重下降,严重影响系统功能和乘客服务能力,对社会秩序和公共利益造成较大范围的不良影响,损害程度为:严重损害。系统服务安全等级定为第三级。
根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》确定的定级方法,综合监控系统网络信息安全定级宜定为三级。
3.3 物理安全技术
在机房门设置门禁系统、在机房内设置温湿度传感器,系统的物理配置满足信息安全的防火、防盗、防雷击、防水、温湿度控制、电磁防护等要求。此外,综合监控系统按冗余的电力电缆线路为相关系统设备供电,确保了系统供电可靠性。
3.4 网络边界防护技术
为保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信,在综合监控系统与集成、互联系统的接口处(即不同安全域之间)设置工控防火墙,实现访问控制、威胁检测、工控协议深度解析、网络攻击防护等功能。
3.5 入侵检测与安全审计技术
入侵防检测一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。在综合监控系统关键网络节点处,设置入侵检测与安全审计系统,防范从外部或内部发起的网络攻击,并对重要用户行为和重要安全事件进行审计,宜采用基于白名单的入侵防范技术。通过入侵检测与安全审计系统实现工控协议深度解析、流量监测与告警、网络状态监测和关键操作行为监测与告警、工控网络审计及漏洞库管理等功能。
3.6 主机防护技术
在综合监控系统操作员工作站、服务器等工业现场主机安装主机防护软件,进行可执行程序管理,防止病毒木马等恶意程序感染,采用白名单机制,系统资源占用小,不影响综合监控系统监控软件和组态软件的正常使用。同时主机防护软件可进行外设管理、访问控制、主机审计及安全基线管理等,可有效阻止工控恶意程序或代码在工控主机上的执行、扩散。
3.7 统一安全管理平台
在综合监控系统控制中心设置统一安全管理平台对生产控制网络中的网络边界防护、入侵检测与安全审计、主机防护等安全产品进行集中管理,实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警,同时可对工控主机上报的非可信文件进行特征匹配,实现病毒及恶意代码程序的识别,帮助用户掌握综合监控系统网络的安全现状,降低运维成本、提高安全事件响应效率。某地铁工程统一安全管理平台界面如图2所示。
3.8 堡垒机
在综合监控系统控制中心设置堡垒机,提供统一的集中管理平台,集中管理用户账号、集中登录认证、集中用户授权和集中操作审计。通过账号管理实现唯一身份,通过认证管理明确“你是谁”,通过授权管理明确“你能干什么”,通过操作审计明确“你干了什么”。
3.9 数据库审计系统
数据库是综合监控系统核心数据的存储载体,数据的安全与稳定直接关系着业务系统的安全与稳定。数据库审计系统通过监控数据库的多重状态和通信内容,不仅能准确评估数据库所面临的风险,而且可以通过日志记录提供事后追查机制。
3.10 漏洞扫描系统
工控漏洞扫描系统是用于综合监控系统网络脆弱性分析和安全评估的漏洞综合管理系统。工控漏洞扫描系统内置了丰富的工控系统漏洞库,能针对工业现场的控制设备、软件以及控制系统的已知漏洞进行扫描、识别和检测,生成脆弱性扫描评估报告,清晰定位综合监控系统脆弱性风险,给出漏洞修复建议和预防措施,帮助地铁用户掌握综合监控系统安全现状,提升综合监控系统安全性,某地铁工程漏洞扫描系统界面如图3所示。
3.11 网络接入控制系统
通过网络接入控制系统只允许合法的、值得信任的端点设备(例如工作站、服务器、网络设备)接入网络,而不允许其他设备接入。
3.12 安全配置核查系统
安全配置核查系统是针对资产配置进行核查的检查工具,自动访问工业控制网络中软硬件资产,采用机器语言模拟人工访问工业控制网络资产的全过程,自动采集工业控制网络资产的安全配置并进行解析,与安全知识库中的配置要求和基线进行比对,检查安全配置符合情况,出具详细的核查报告。用于地铁综合监控系统运维人员常态化的安全配置脆弱性核查,某地铁工程安全配置核查系统界面如图4所示。
4 工程应用技术方案研究
4.1 总体原则
综合监控系统网络信息安全建设基于自主保护原则,由等级保护对象使用单位组织实施安全保护;基于重点保护原则,根据保护对象重要程度、集中资源优先保护核心和关键业务;基于同步建设原则,网络信息安全建设与业务系统同步规划、建设、开通运营;基于动态调整、分区分域保护原则,安全配置根据业务系统变化而灵活调整,根据确定的安全域配置安全设备;基于技术与管理并重原则,将技术措施和管理措施结合。
4.2 工程应用方案
为使研究成果满足不同地区地铁综合监控系统要求并与投资相匹配,在满足系统基本防护性能的基础上,结合投资、管理便利性,提出简化配置方案、标准配置方案、优化配置方案三种不同网络信息安全配置方案,为不同地铁综合监控系统网络信息安全建设提供参考。如表3所示。
5 结 论
地铁综合监控系统广泛应用各类信息技术,系统面临的网络安全威胁不断衍生发展。只有不断加强系统安全防护能力建设,从硬件、软件、管理手段、态势感知、应急响应等各方面做好安全建设,综合施策,才能不断提高系统安全性,确保综合监控系统安全、稳定、可靠运行。
参考文献:
[1] 蒋建春,文伟平,焦健.信息安全工程师教程:第2版 [M].北京:清华大学出版社,2020.
[2] 党晓勇.城市轨道交通综合监控系统信息安全防护方案研究 [J].电气化铁道,2020,31(S1):133-136.
[3] 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护基本要求:GB/T 22239-2019 [S].北京:中国标准出版社,2019.
[4] 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护安全设计技术要求:GB/T 25070-2019 [S].北京:中国质检出版社,2019.
[5] 中华人民共和国公安部.信息安全技术 信息系统安全等级保护体系框架:GA/T 708-2007 [S].北京:中国标准出版社,2007.
[6] 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护定级指南:GB/T 22240-2020 [S].北京:中国标准出版社,2020.
作者简介:蒋永兵(1982—),男,汉族,重庆人,高级工程师,本科,研究方向:轨道交通信息化系统、综合监控和设备监控系统。
