轨道交通的网络安全风险有哪些？附解决方案

轨道交通的网络安全风险有哪些？附解决方案不久前，国家安全机关破获了一起国内公司为境外刺探、非法提供高铁信号数据的重要案件。关于这起案件可能引发的后果，中国国家铁路集团有限公司工电部通信信号处主管姜永富说：“不法分子如果非法利用这些数据故意干扰或恶意攻击，严重时将会造成高铁通信中断，影响高铁运行秩序，对铁路的运营构成重大威胁；同时大量获取分析相关数据，也存在高铁内部信息被非法泄露甚至被非法利用的可能。”据了解，这起案件是《中华人民共和国数据安全法》实施以来，我国首例涉及高铁运行安全的危害国家安全类案件。以案为鉴，以案促改。为了避免国内外不法分子利用网络漏洞对我国轨道交通系统进行恶意攻击，必须及时加强相关网络安全建设。只有筑牢基础设施网络安全防线，才能尽最大努力保障人民群众生命财产安全。为什么轨道交通必须重视网络安全？1事关人民群众安全根据服务范围差异，轨道交通一般分为国家铁路系统（如高铁）、城市轨道交通（如地铁、轻轨）和城际轨道交通三大类。轨道交通普遍具有运量大、速度快、班次密、准点率高、全天候和节能环保等优点，特别适合大规模出行的需求，是城市公共交通的主干线、客流运送的大动脉。近年来，国内轨道交通信息化系统的集成化、智能化程度越来越高，业务运行过程对信息系统的依赖性日益增强，随之而来的网络安全面临更大的挑战。信息系统一旦停滞，车辆调度、故障报警、安全运维等各个环节都无法正常进行。轨道交通系统一旦出现网络安全事故将直接影响人民的正常生活，造成的损失不可估量。2国家政策与法律法规要求基于国家对人民群众生命财产的重视，国家政府和各级管理单位高度重视轨道交通网络安全建设，已相继出台一系列的网络安全管理和保障政策。《国家网络安全法》第三十一条规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”中国城市轨道交通协会技术装备专业委员会发布的《城市轨道交通信号系统用户需求书（范本）（试行版）》通用技术要求和专用技术要求中，均对网络安全建设提出相关要求。其中通用技术要求4.1.20明确规定，应符合国家安全部门对信号信息系统等级（暂定3级）保护要求，能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。轨道交通面临哪些网络安全风险？以轨道交通信号系统为例。在轨道交通智能化系统的子系统中，信号系统是实现轨道交通行车指挥和监控、保障行车安全、提高运行效率的关键系统。信号系统中的通信技术多采用LTE或无线传输，该系统与多个系统互联。1接口安全信号系统互联的系统包括车辆段/停车场联锁系统、通信系统、综合监控系统、大屏幕显示系统、乘客信息系统、站台门系统、OCC系统、防淹门系统、其他线路的信号系统等，接口数量多种类多，但接口测试往往注重稳定性和可用性，缺乏在安全性方面的测试。2传输安全开、关命令和表示状态信息的传输通道应采用安全通道，安全通道目前主要在应用层，有应用自身控制，但在网络层缺少一层保护套，另外无线/LTE本身也存在一些安全隐患，如抗干扰能力就是很重要的一个方面。3边界安全信号系统与外部系统之间，信号系统的ATS网与ATC网之间，信号系统车站/车辆段与控制室之间，若缺少防护措施，则不能有效控制系统之间和区域之间的数据访问，外部威胁容易进入，安全风险容易在全网扩散，所以需要考虑为控制系统的协议数据设置白名单同时要控制其他非法数据的传输。4终端安全信号系统的车辆段、设备中间站以及总控室均部署有一定的服务器和操作工作站，多使用xp/2003系统，往往缺少终端安全管控措施和病毒防护措施，补丁修复不及时，漏洞隐患严重；由于缺少在终端管理措施，内外部人员的U盘可以随意在系统上插入，外部的威胁可以比较容易的带入到生产网络或管理网络中，甚至会导致病毒在生产网/管理网的持续大范围扩散。5运营安全轨道交通系统的运维人员往往涉及多个角色的人员组成，有运维人员、生产系统厂商、信息系统供应商、安全设备供应商等不同的角色，容易带来运维操作风险，需要有效控制这些人员在运维过程中的登录认证、权限控制、操作审计等过程。目前轨道交通系统的安全运维多呈被动状态，有事件查事件，但是往往在追查时，缺少追查证据，缺少关联分析，更难以做到提前预警。管理制度的缺失，所带来的管理风险：过去调研发现，轨道交通运维人员多对主机、服务器、控制器的资产厂家、型号、版本的信息不掌握，缺少事件处置知识库的积累，很难采取有针对性的防御措施。传统IT安全产品可以直接用吗？传统IT安全产品并不等于轨道交通控制网络安全产品。基于四个原因，轨道交通控制系统需要有针对自身特性的专用安全防护产品。1可用性和机密性的矛盾（系统运行环境不同）：控制系统“可用性”第一，延时敏感；而IT信息系统以“机密性”第一，延时不敏感。这就要求控制系统网络安全产品的软硬件重新设计，例如：系统fail-to-open，从软硬件架构上保证低时延。2升级和兼容性的矛盾（更新代价高）：控制系统不能接受频繁的升级更新操作，依赖庞大特征库的黑名单防护方式的安全产品（例如杀毒软件，IDS/IPS）不适用。3工业协议的识别解析（网络通讯协议不同）：控制系统基于工业控制协议；传统安全产品只支持IT通信协议（例如HTTP、FTP），不支持工业控制协议。4工业级硬件要求（对系统稳定性要求不同）：控制系统的工业现场环境恶劣（如室外零下几十度的低温、潮湿），应按照工业现场环境的要求专门设计硬件（做到全密闭、无风扇，支持﹣40℃～70℃等）。永达提出成体系化的列控安全方案基于等保2.0“一个中心三重防护”的设计思想，永达提出成体系化的列控安全方案，以安全管理中心为“一个中心”，在安全计算环境、安全区域边界、安全通信网络层面构成“三重防护”。图：轨道交通控制系统网络安全设备布局1安全计算环境本控制项主要关注主机和应用安全，但更多的是侧重应用安全。等保2.0标准的“安全计算环境”涉及网络设备、安全设备、主机设备、数据库、应用系统及数据等方面的安全要求。这些设备、应用系统正是黑客攻击的重点目标，经过分析大量安全事件及攻击手段后不难发现，等级保护2.0标准在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等控制点提出的相关安全功能及要求，正是抵御黑客攻击的重要手段。网络安全设备推荐：工业安全监测预警系统、工业级主机管控器、工业终端接入管控器、工业核心管控器、工业级漏洞扫描系统。2安全区域边界安全区域边界针对网络边界提出了安全控制要求，主要对象为系统边界和区域边界等，涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。核心控制点包括边界防护、访问控制、入侵防范和安全审计，其核心防护要求是：网络边界处要有有效、可控的访问控制措施，且控制粒度和力度在等保1.0基础上有所升级；要能判断出3个非法边界（非法接入、非法外联、无线使用）进行有效控制；四级系统要使用协议转换及隔离措施；网络中要能对内、外部网络攻击、恶意代码攻击有发现、分析及防御能力，并按《网络安全法》的要求保留相关网络安全审计日志。网络安全设备推荐：工业级网闸、安全接入网关、强力IDS（入侵检测系统）、强力网络防火墙。3安全通信网络等保2.0标准的“安全通信网络”中主要包括通信网络结构、通信传输和可信验证三个控制点。其中，通信网络结构的核心要求是：网络带宽合适，且核心设备的处理能力要和带宽匹配；网络层要划分安全区域，且各区域之间有相应的防护措施；整个网络设计要考虑冗余问题。而通信传输的核心要求是：保障数据传输的完整性和保密性。网络安全设备推荐：工业安全通信平台、工业网络管控器。轨道交通控制系统是不会给予二次改错机会的系统。面对这个严苛要求，永达提出的列控安全方案具有三个特征：行为安全映射网络安全，保证功能安全；当功能安全出问题时，可以通过网络安全感知；当网络安全出问题时，不会影响功能安全。以轨道交通控制场景下的行车特征及控制反馈为安全基准进行主动防御