長揚科技是北京國資委和經(jīng)信委投資、指導下的創(chuàng)新型高新技術(shù)企業(yè),匯集中國工業(yè)網(wǎng)絡(luò)安全人才最集中最精英的企業(yè),是中國工業(yè)網(wǎng)絡(luò)事業(yè)的第一批踐行者。公司聚焦工業(yè)網(wǎng)絡(luò)安全及安全大數(shù)據(jù)領(lǐng)域,為客戶持續(xù)提供覆蓋工控系統(tǒng)整個生命周期的網(wǎng)絡(luò)安全解決方案和安全服務,致力于成為工業(yè)互聯(lián)網(wǎng)安全行業(yè)應用專家。
公司產(chǎn)品及解決方案主要應用于工業(yè)控制網(wǎng)絡(luò)、物聯(lián)網(wǎng)及關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護領(lǐng)域,在石油化工、煤炭、電力、軌道交通、高鐵、公共安全、軍隊軍工、智能制造及政府教育等行業(yè)做了大量的工業(yè)網(wǎng)絡(luò)安全行業(yè)研究和實踐,對于工業(yè)網(wǎng)絡(luò)安全場景化應用認知和落地能力業(yè)界領(lǐng)先。
隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與信號系統(tǒng)深度融合,CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與PIS網(wǎng)絡(luò)、語音廣播等其他子系統(tǒng)互聯(lián),甚至與公共網(wǎng)絡(luò)連接,造成病毒、木馬等威脅向CBTC系統(tǒng)擴散。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞,將對城市軌道交通的穩(wěn)定運行和旅客的人身安全造成重大影響。
本項目以“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級防護”為原則,以GB/T 22239為標準,在技術(shù)層面實現(xiàn)地鐵基于CBTC的信號系統(tǒng)內(nèi)各子系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標準,建設(shè)滿足信息系統(tǒng)安全等級(三級)要求的防護方案。
一、 項目概況
地鐵信號系統(tǒng)是保證列車安全、準點、高密度運行的重要技術(shù)裝備。本方案是針對Y市某號線信號系統(tǒng)的符合等級保護(三級)要求的安全防護建設(shè)方案。
1. 項目背景
目前基于無線局域網(wǎng)的CBTC系統(tǒng)的可用性、可靠性等均能滿足當前城市軌道交通安全高效運營的需要,是實現(xiàn)軌道交通高安全、高速度和高密度的最佳技術(shù)之一。但CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與PIS網(wǎng)絡(luò)、語音廣播等公共網(wǎng)絡(luò)連接,造成病毒、木馬等威脅向CBTC系統(tǒng)擴散,信號系統(tǒng)安全問題日益突出。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞,將對城市軌道交通的生產(chǎn)運行和國家安全造成重大隱患。
Y市地鐵運營公司在《軌道交通信息安全技術(shù)架構(gòu)》中提出信息安全建設(shè)的總體目標為:全面防護、保護重點、專區(qū)專用、強化邊界,旨在提升信息安全的預警能力、保障能力、檢測能力、應急能力和恢復能力。要求以GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》等相關(guān)技術(shù)標準為基礎(chǔ),“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級防護”為原則,在技術(shù)層面要求各系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標準,按信息系統(tǒng)安全等級(三級)要求建設(shè)、實施。
目前Y市某號線信號系統(tǒng)是采用基于通信的列車控制系統(tǒng)(CBTC)。鑒于信號系統(tǒng)在軌道交通中的重要性,結(jié)合公安部網(wǎng)監(jiān)和Y市市軌道交通有限公司的要求,將Y市某號線信號系統(tǒng)信息安全保護等級定為三級(S3A3G3)。
2. 項目簡介
本方案針對Y市某號線信號系統(tǒng),進行了符合等級保護(三級)要求的實施方案設(shè)計,提出一個基于縱深防御的分域安全防護與運維保障體系,同時它也是基于信號系統(tǒng)內(nèi)生特性的安全防護體系。本方案在控制中心、各設(shè)備集中站、車輛段和停車場等從邊界隔離防護和訪問控制、入侵防御、監(jiān)測審計和主機安全方面,進行了合理的安全部署設(shè)計和安全服務咨詢設(shè)想,提供實際的安全防護產(chǎn)品部署建議與選型建議。
3. 項目目標
依據(jù)工信部《工業(yè)控制系統(tǒng)信息安全防護指南》指導要求,結(jié)合信息安全等級保護(三級)符合性要求,軌道交通信號系統(tǒng)安全防護建設(shè)目標如下:
(1)完善軌道交通信號系統(tǒng)安全防護技術(shù)體系:
梳理、分析軌道網(wǎng)絡(luò)整體情況,從網(wǎng)絡(luò)層次劃分、網(wǎng)絡(luò)分區(qū)分域、網(wǎng)絡(luò)邊界劃分、縱深防御等方面提供適用于軌道交通信號系統(tǒng)的網(wǎng)絡(luò)規(guī)劃思路;
(2)完善軌道交通信號系統(tǒng)安全防護管理體系:
梳理軌道交通信號系統(tǒng)安全防護方面的組織機構(gòu)、管理制度、人員管理、系統(tǒng)建設(shè)管理、資源保障、監(jiān)督檢查等方面的信息,進行需求分析并提出解決思路,為軌道交通信號系統(tǒng)管理體系建設(shè)及整改工作提供參考;
(3)完善軌道交通信號系統(tǒng)安全防護運維體系:
梳理、分析軌道交通信號系統(tǒng)的運維體系,從運維管理制度、操作流程的規(guī)范化、關(guān)鍵技術(shù)控制點等方面提供運維體系建設(shè)及完善思路,挖掘運維平臺潛在風險和盲區(qū),為完善軌道交通運維平臺提供解決思路。
本方案針對Y市某號線信號系統(tǒng)進行細致的分析,并結(jié)合等級保護(三級)基本要求以及信號系統(tǒng)的特殊安全需求提出一個基于縱深防御的分域安全防護與運維保障體系。協(xié)助客戶出具《信息系統(tǒng)安全等級保護定級報告》、《信息系統(tǒng)安全等級保護備案表》并在當?shù)毓矙C關(guān)完成信息系統(tǒng)等保備案,然后依照等級保護安全技術(shù)要求,將從網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全以及應用安全四個方面對軌道交通信號系統(tǒng)的安全防護分別展開預評估與整改。
本項目的目標是在Y市地鐵某號線信號系統(tǒng)正式開通運營之前完成一次等級保護三級測評工作。
二、 項目實施概況
本節(jié)重點詳盡描述,技術(shù)與業(yè)務結(jié)合,工業(yè)互聯(lián)網(wǎng)技術(shù)如何助力業(yè)務提升與創(chuàng)新,如何解決企業(yè)痛點和難點,其核心價值體現(xiàn)在哪些方面。此處可以有幾句統(tǒng)領(lǐng)性描述。
結(jié)合等級保護(三級)基本要求以及信號系統(tǒng)的特殊安全需求,對于Y市軌道交通某號線信號系統(tǒng)信息安全建設(shè),以適度風險為核心,以重點保護為原則,從業(yè)務的角度出發(fā),重點保護重要的業(yè)務系統(tǒng)。本方案將從網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全以及應用安全四個方面對軌道交通信號系統(tǒng)的安全防護分別展開闡述。
1. 項目總體架構(gòu)和主要內(nèi)容
為提升成熟軌道交通各子系統(tǒng)網(wǎng)絡(luò)安全防護能力,長揚科技在充分了解CBTC、ISCS、AFC、PIS等系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全現(xiàn)狀的基礎(chǔ)上,深度融合軌交業(yè)務系統(tǒng),構(gòu)建從邊界防護、流量檢測審計、主機終端安全、持續(xù)運維安全的縱深防御技術(shù)體系。在不破壞原有網(wǎng)絡(luò)結(jié)構(gòu)情況下,軌交解決方案能切實有效的保護系統(tǒng)安全,防止木馬、蠕蟲、黑客等各種威脅和攻擊,保障軌道交通安全穩(wěn)定運行
(1)網(wǎng)絡(luò)邊界安全防護
CBTC、ISCS、PIS等系系統(tǒng)之間存在互聯(lián)接口,但缺乏可靠的技術(shù)隔離手段進行區(qū)域隔離,給整個軌道交通系統(tǒng)留下安全隱患,長揚科技通過在控制中心ATS網(wǎng)絡(luò)與互聯(lián)系統(tǒng)間(PIS、ISCS、PA等)接口的網(wǎng)絡(luò)邊界位置,部署工業(yè)網(wǎng)閘(IAD智能保護平臺)。互聯(lián)網(wǎng)絡(luò)之間進行網(wǎng)絡(luò)連接時,可以基于IP地址、MAC地址等對請求連接主機的身份進行鑒別,禁止未通過身份鑒別的主機之間建立網(wǎng)絡(luò)連接,互聯(lián)接口具備訪問控制措施,基于智能學習的白名單和黑名單的訪問控制。訪問控制主、客體粒度細化到IP地址、MAC地址、應用協(xié)議及應用數(shù)據(jù),包括生產(chǎn)數(shù)據(jù)上傳和調(diào)度指令的下發(fā); 支持FTP、HTTP、Modbus/TCP、OPC、IEC-104、MMS、DNP3等并且能夠?qū)Ω黝悢?shù)據(jù)包進行快速有針對性的捕獲與深度解析常用工控協(xié)議傳輸?shù)臄?shù)據(jù)格式的鑒別與過濾。對互聯(lián)網(wǎng)絡(luò)之間的訪問行為進行實時數(shù)據(jù)包抓取和分析,對異常行為進行檢測,實時阻斷威脅事件;涵蓋了各大主流工控設(shè)備的設(shè)備及協(xié)議漏洞庫,可以基于已知設(shè)備及協(xié)議的漏洞庫黑名單機制保護工業(yè)控制網(wǎng)絡(luò)避免受到已知漏洞的危害。針對外部系統(tǒng)邊界采用專用的安全通道進行內(nèi)外網(wǎng)信息交換,業(yè)務數(shù)據(jù)通過物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使外部系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無法進入ATS網(wǎng)絡(luò)。
在控制中心ATS與各區(qū)域邊界位置部署工業(yè)防火墻。實現(xiàn)隔離與訪問控制,根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口(對應請求的服務類型)、時間、用戶名等信息執(zhí)行訪問控制規(guī)則識別工控網(wǎng)絡(luò)中已知的安全威脅。
(2)網(wǎng)絡(luò)流量安全
外部攻擊和內(nèi)部誤操作行是引發(fā)城市軌道交通安全問題的重要因素,長揚科技通過在關(guān)鍵位置控制中心、車輛段、停車場和設(shè)備集中站的維護網(wǎng)接入交換機處旁路部署網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺。對全網(wǎng)數(shù)據(jù)流量、網(wǎng)絡(luò)數(shù)據(jù)智能學習生成白名單規(guī)則,結(jié)合黑名單規(guī)則統(tǒng)一規(guī)則部署進行協(xié)議級審計,實時監(jiān)控控制網(wǎng)絡(luò)安全,發(fā)現(xiàn)異常行為及病毒木馬。
(3)主機安全防護
在系統(tǒng)中工控主機不能安裝殺毒軟件或殺毒軟件不能及時更新升級,一旦遇到新的漏洞將影響業(yè)務的安全運營,長揚科技通過在控制中心、車站、車輛段、停車場等處的工作站和服務器部署工控主機衛(wèi)士終端安全防護產(chǎn)品,開啟主機白名單安全防護,監(jiān)控工控主機的進程狀態(tài)、網(wǎng)絡(luò)接口狀態(tài)、USB端口狀態(tài),以白名單的技術(shù)方式,禁止一切非法進程的加載和啟動,從而使工控網(wǎng)絡(luò)中的上位機、服務器等抵御木馬、工控病毒等惡意程序的攻擊。切斷病毒和木馬的傳播與破壞路徑,徹底解決主機不能安裝殺毒軟件或病毒庫升級后影響程序運行的問題。
(4)統(tǒng)一安全管理
為實現(xiàn)對軌道交通系統(tǒng)防護設(shè)備的集中管理,幫助工作人員全面了解和掌握各個系統(tǒng)的安全狀態(tài)。長揚科技通過在車輛段部署統(tǒng)一安全管理平臺,統(tǒng)一管控所有工控網(wǎng)絡(luò)安全設(shè)備與安全防護手段,將系統(tǒng)的工控網(wǎng)絡(luò)安全現(xiàn)狀實時、全面地進行監(jiān)控。對于保護終端所產(chǎn)生的安全事件和平臺系統(tǒng)事件進行行為關(guān)聯(lián)性追蹤,找到引起當前結(jié)果事件的源頭事件,為分析從源頭事件到結(jié)果事件的整個過程提供依據(jù)。建立工業(yè)控制網(wǎng)絡(luò)日常行為基準,對當前網(wǎng)絡(luò)的異常行為做實時動態(tài)的行為審計,找到控制網(wǎng)內(nèi)符合協(xié)議規(guī)范,但不符合企業(yè)日常生產(chǎn)規(guī)律的隱秘異常的行為,幫助發(fā)現(xiàn)內(nèi)部誤操作,內(nèi)部攻擊等不易發(fā)現(xiàn)的安全威脅。專業(yè)的工業(yè)控制網(wǎng)絡(luò)拓撲構(gòu)建和管理工具,提供豐富的資產(chǎn)信息展示功能,同時關(guān)聯(lián)多種安全分析工具,呈現(xiàn)豐富的功能視圖,對拓撲管理進行顛覆式的功能改進,幫助用戶最大化的了解自身工業(yè)控制網(wǎng)絡(luò),以及提高全面的安全態(tài)勢感知能力。
信號系統(tǒng)網(wǎng)絡(luò)安全部署示意圖如下所示:
圖1 信號系統(tǒng)網(wǎng)絡(luò)安全部署示意圖
2.安全架構(gòu)
在本項目中,在基于信號系統(tǒng)自身的信息采集與傳輸上,在不改變原有網(wǎng)絡(luò)結(jié)構(gòu),不影響原有工控網(wǎng)絡(luò)系統(tǒng)正常生產(chǎn)運行的情況下,基于旁路的方式部署監(jiān)測審計平臺旁路監(jiān)聽。在通信安全、傳輸協(xié)議和標準方面,具備專業(yè)協(xié)議深度解析,已經(jīng)支持的工控協(xié)議深度解析是GOOSE,SV,MMS,IEC104,DNP3,OPC,S7,Modbus/TCP,Profinet,Ethernet/IP等協(xié)議,并可對協(xié)議數(shù)據(jù)包深度解析。在配置方式上,采用WEB配置IP地址,不需要串口線、CLI,方便現(xiàn)場實施部署。網(wǎng)絡(luò)拓撲管理采用專業(yè)的工業(yè)控制網(wǎng)絡(luò)拓撲構(gòu)建和管理工具,提供豐富的資產(chǎn)信息展示功能,同時關(guān)聯(lián)多種安全分析工具,呈現(xiàn)豐富的功能視圖,對拓撲管理進行顛覆式的功能改進,幫助用戶最大化的了解自身工業(yè)控制網(wǎng)絡(luò)。
3. 安全及可靠性
本項目不僅僅是Y市軌道交通信號系統(tǒng)信息安全防護試點項目,更是為軌道交通行業(yè)的網(wǎng)絡(luò)安全防護做出了技術(shù)示范作用,優(yōu)化管理流程,切實保證了信號系統(tǒng)免受病毒、惡意代碼等威脅,保持安全穩(wěn)定運行的狀態(tài)。安全框架參考《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》進行設(shè)計,在管理方面同時參考《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》以及27001安全管理指南,使建成后的等級保護體系:
1、資產(chǎn)安全以資產(chǎn)安全為核心,資產(chǎn)管理包括安全設(shè)備管理、工控設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理。對網(wǎng)絡(luò)系統(tǒng)內(nèi)未知的設(shè)備接入、異常連接、異常流量進行實時告警,迅速發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中異常情況。保障資產(chǎn)按時按規(guī)定的正常運行和及時檢測出資產(chǎn)的異常行為。
2、區(qū)域防護借鑒了縱深防御的思想,形成以邊界監(jiān)測、區(qū)域監(jiān)測、終端監(jiān)測的防護體系。
3、 項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
(1)全系列的工控安全產(chǎn)品
提供全系列工控安全產(chǎn)品,可以滿足不同工控系統(tǒng)信息安全防護項目的需要。
(2)一鍵式部署
產(chǎn)品采用EB配置,不需要串口線、CLI,方便現(xiàn)場實施部署,所有黑名單規(guī)則、白名單規(guī)則可以統(tǒng)一調(diào)入到規(guī)則庫,進行一鍵式部署,方便快捷,可自動調(diào)整安全規(guī)則及保護策略之間的沖突,簡化部署過程
(3)硬件平臺安全
硬件方面適應工控系統(tǒng)冗余、時延、可靠性、環(huán)境等各方面的要求:1) 硬件設(shè)計支持硬件加密。在現(xiàn)場能夠?qū)崿F(xiàn)多種靈活的安裝方式,包括導軌安裝、機柜安裝等。2) 可以在各種行業(yè)需要的環(huán)境下運行,擴展性強,無風扇全封閉設(shè)計,達到工業(yè)級的可靠性和穩(wěn)定性MTBF標準和工業(yè)級寬溫標準。3) 支持多電源冗余和端口故障時的自動硬件旁路轉(zhuǎn)換。端口設(shè)計上采用與數(shù)據(jù)網(wǎng)分離的管理網(wǎng)端口,并支持千兆以太網(wǎng)。
2. 實施效果
本項目實現(xiàn)了項目目標需求,解決了網(wǎng)絡(luò)系統(tǒng)風險管理與入侵防護;在網(wǎng)絡(luò)層面生產(chǎn)網(wǎng)邊界,實現(xiàn)網(wǎng)絡(luò)接口安全;通過區(qū)域隔離,結(jié)合黑白名單的訪問控制實現(xiàn)惡意代碼防范。對系統(tǒng)運用的多項先進技術(shù),系統(tǒng)整體性能和安全性進行日常維護管理。完善了Y市軌道交通信號系統(tǒng)信息安全保護體系,為等保測評的順利通過提供了安全保障。
(1)入侵檢測:
對網(wǎng)絡(luò)的當前和歷史行為與事件進行工業(yè)控制安全入侵分析、檢測與發(fā)現(xiàn),對緩沖區(qū)溢出、SQL 注入、DoS 攻擊、蠕蟲病毒、木馬后門、aveX、Sand-Worm、Stuxnet等各類黑客攻擊和惡意流量進行實時檢測及報警,發(fā)現(xiàn)APT攻擊和工業(yè)病毒的入侵痕跡,并通在安全管理平臺顯示、日志數(shù)據(jù)庫記錄,提供對應的防護修護策略
(2)工業(yè)協(xié)議深度解析:
目前已經(jīng)支持的工控協(xié)議深度解析是GOOSE,SV,MMS,IEC104,DNP3,OPC,S7,Modbus/TCP,Profinet,Ethernet/IP等協(xié)議,為工控網(wǎng)絡(luò)安全領(lǐng)域最多
(3)訪問控制:
對數(shù)據(jù)流量進行管控,通過端口、地址、協(xié)議等方式對數(shù)據(jù)流量進行篩選,保證流量合法性。
(4)實時報警:
所有部署的安全設(shè)備都能由安全管理平臺統(tǒng)一控制配置、管理安全終端,對安全終端部署安全規(guī)則,監(jiān)測終端所在網(wǎng)絡(luò)的通信流量與安全事件。對于保護終端所產(chǎn)生的安全事件和平臺系統(tǒng)事件進行行為關(guān)聯(lián)性追蹤,找到引起當前結(jié)果事件的源頭事件,為分析從源頭事件到結(jié)果事件的整個過程提供依據(jù)。
(5)流量審計:
對工控網(wǎng)絡(luò)中存在的所有活動提供協(xié)議審計、行為審計、內(nèi)容審計、流量審計,生成完整記錄便于事件追溯。基于工業(yè)協(xié)議的深度包解析白名單和黑名單的工控異常行為審計,協(xié)助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在的違規(guī)下發(fā)的控制操作。