摘 要:綜合監控系統是實現地鐵機電設備監控、信息互通、資源共享的大型綜合自動化平臺。文章從地鐵網絡信息安全威脅入手,全面分析了綜合監控系統網絡信息安全威脅,根據對網絡信息安全對策的研究,結合投資和管理便利性,提出三種網絡信息安全工程應用技術方案,可滿足綜合監控系統網絡信息安全等級保護的要求,提升系統可靠性。
關鍵詞:地鐵;網絡信息安全;威脅;對策
0 引 言
地鐵綜合監控系統是根據地鐵線路特點和技術發展情況量身定制的大型綜合自動化平臺,通過綜合監控系統可實現地鐵機電設備監控、信息互通、資源共享,并能夠提升自動化水平,提高地鐵運營服務的安全性、可靠性,最終達到減員增效的目的。
隨著計算機技術和網絡技術的發展,近年來,網絡信息安全問題在交通、金融、電力、能源等行業日益突顯,病毒入侵、黑客攻擊、數據丟失等網絡信息安全問題頻繁出現,系統漏洞呈逐年增長趨勢,不斷威脅著相關行業信息系統安全。2014—2020年全球工控系統漏洞數量如圖1所示(數據來源于國家工業信息安全發展研究中心《2020—2021年度工業信息安全形勢分析》)。
綜合監控系統作為地鐵機電設備監控的重要系統,一旦發生網絡信息安全事故導致系統不可用,將對整個地鐵服務能力造成重要影響,嚴重情況下可能危及行車安全。筆者在地鐵綜合監控系統設計過程中,發現各項目綜合監控系統設計和建設單位對網絡信息安全重要性的認識不一,各項目采用的設計方案差異很大,系統定級有按二級和上級兩種不統一的做法。為盡量優化和統一設計方案,為今后工程設計和應用提供參考和指導,本文基于對網絡信息安全相關國家標準、規范的深入分析和理解,系統性地研究地鐵綜合監控系統網絡信息安全威脅,并從合規、經濟、可實施角度提出具體對策。
1 網絡信息安全定義及屬性
網絡信息安全是指通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態并保障網絡數據的完整性、保密性、可用性的能力。
網絡信息安全具有機密性、完整性、可用性、抗抵賴性、可控性五個主要屬性,如表1所示。
2 綜合監控系統網絡信息安全威脅研究
根據對國內多個城市地鐵運行線路建設和運營的綜合監控系統調研,地鐵綜合監控系統網絡信息安全面臨管理和技術兩個層面的威脅。
2.1 管理層面
管理層面通過對組織機構、人員配置、管理制度和流程、應急響應等方面的研究,發現主要有如下問題:
(1)安全組織機構和人員配置不完善。部分城市地鐵運營公司未設置網絡信息安全專門管理機構,安全職責不明確,缺乏有經驗的安全技術人員。
(2)安全管理制度和流程不完善。缺少完整的制度來保障網絡信息安全,缺乏針對安全系統規劃、建設、運維、報廢的全生命周期的信息安全需求和設計管理。綜合監控系統中存在少量默認配置和默認口令,存在一定的脆弱性。
(3)安全事件應急響應能力不足。發生信息安全事件后相關工作人員通常依靠經驗判斷安全事件發生的設備和影響范圍,再逐一進行排查、修復,所需時間較長。
(4)對第三方人員管理機制不完善。地鐵運維過程中,普遍存在將運維工作外包給設備商或集成商的情況,第三方人員在設備運維時,缺少運維操作審計,安全風險高。
2.2 技術層面
技術層面通過對安全域劃分、安全措施、防病毒軟件、備用端口管理、移動介質管理及安全測試等方面的研究,發現主要有如下問題:
(1)網絡未劃分安全域,區域間未設置訪問控制措施。綜合監控系統集成、互聯范圍廣,各系統間有多種通信接口方案,系統之間往往沒有進行訪問控制,區域間安全監測和入侵防范措施也普遍缺失。
(2)缺少及時發現信息安全問題的技術措施。不能及時發現入侵行為、病毒、網絡訪問異常、網絡擁塞等問題。
(3)工作站和服務器沒裝或很少裝防病毒軟件。綜合監控系統工作站和服務器一般采用Windows或Unix操作系統,上線后極少持續對操作系統進行升級以及為系統漏洞安裝補丁。
(4)網絡設備備用端口缺少管理。交換機、前置處理器等備用端口未封閉。
(5)移動介質成為安全風險引入源。在綜合監控系統運維和使用過程中,普遍存在使用U盤、光盤、移動硬盤等移動存儲介質現象,成為病毒、木馬等威脅進入生產系統的重要途徑。
(6)系統上線前未進行網絡信息安全測試。系統上線前未進行安全性測試,系統在上線后存在大量安全風險漏洞,安全配置薄弱,有的系統甚至帶病毒運行。
3 網絡信息安全對策研究
3.1 安全域的劃分
安全域是具有相同安全要求的邏輯資產或物理資產的集合。每一個安全域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系,而且相同的網絡安全域共享同樣的安全策略。安全域的劃分可以使網絡結構更加清晰,安全現狀更加直觀,安全隱患更加明顯。
綜合監控系統安全域的劃分主要有將整個綜合監控系統劃分為一個安全域和將綜合監控系統劃分為控制區(安全區1)、非控制區(安全區2)、生產管理區三個安全域兩種方案,如表2所示。
在滿足規范要求的基礎上,推薦采用將整個綜合監控系統劃分為一個安全域的方案。
3.2 定級分析
系統定級主要根據GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》實施。綜合監控系統安全受到破壞后,主要是對地鐵運營商自身(公民、法人和其他組織的合法權益)造成損害,損害程度為:特別嚴重損害,業務信息安全等級定為第二級。
綜合監控系統服務安全受到破壞后,綜合監控系統的功能和服務能力受到嚴重影響,電力及機電設備監控業務能力嚴重下降,嚴重影響系統功能和乘客服務能力,對社會秩序和公共利益造成較大范圍的不良影響,損害程度為:嚴重損害。系統服務安全等級定為第三級。
根據GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》確定的定級方法,綜合監控系統網絡信息安全定級宜定為三級。
3.3 物理安全技術
在機房門設置門禁系統、在機房內設置溫濕度傳感器,系統的物理配置滿足信息安全的防火、防盜、防雷擊、防水、溫濕度控制、電磁防護等要求。此外,綜合監控系統按冗余的電力電纜線路為相關系統設備供電,確保了系統供電可靠性。
3.4 網絡邊界防護技術
為保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信,在綜合監控系統與集成、互聯系統的接口處(即不同安全域之間)設置工控防火墻,實現訪問控制、威脅檢測、工控協議深度解析、網絡攻擊防護等功能。
3.5 入侵檢測與安全審計技術
入侵防檢測一種可識別潛在的威脅并迅速地做出應對的網絡安全防范辦法。在綜合監控系統關鍵網絡節點處,設置入侵檢測與安全審計系統,防范從外部或內部發起的網絡攻擊,并對重要用戶行為和重要安全事件進行審計,宜采用基于白名單的入侵防范技術。通過入侵檢測與安全審計系統實現工控協議深度解析、流量監測與告警、網絡狀態監測和關鍵操作行為監測與告警、工控網絡審計及漏洞庫管理等功能。
3.6 主機防護技術
在綜合監控系統操作員工作站、服務器等工業現場主機安裝主機防護軟件,進行可執行程序管理,防止病毒木馬等惡意程序感染,采用白名單機制,系統資源占用小,不影響綜合監控系統監控軟件和組態軟件的正常使用。同時主機防護軟件可進行外設管理、訪問控制、主機審計及安全基線管理等,可有效阻止工控惡意程序或代碼在工控主機上的執行、擴散。
3.7 統一安全管理平臺
在綜合監控系統控制中心設置統一安全管理平臺對生產控制網絡中的網絡邊界防護、入侵檢測與安全審計、主機防護等安全產品進行集中管理,實現安全策略的統一配置、運行狀況的全面監控、安全事件的實時告警,同時可對工控主機上報的非可信文件進行特征匹配,實現病毒及惡意代碼程序的識別,幫助用戶掌握綜合監控系統網絡的安全現狀,降低運維成本、提高安全事件響應效率。某地鐵工程統一安全管理平臺界面如圖2所示。
3.8 堡壘機
在綜合監控系統控制中心設置堡壘機,提供統一的集中管理平臺,集中管理用戶賬號、集中登錄認證、集中用戶授權和集中操作審計。通過賬號管理實現唯一身份,通過認證管理明確“你是誰”,通過授權管理明確“你能干什么”,通過操作審計明確“你干了什么”。
3.9 數據庫審計系統
數據庫是綜合監控系統核心數據的存儲載體,數據的安全與穩定直接關系著業務系統的安全與穩定。數據庫審計系統通過監控數據庫的多重狀態和通信內容,不僅能準確評估數據庫所面臨的風險,而且可以通過日志記錄提供事后追查機制。
