城市轨道交通领域中综合监控系统的信息安全的建立论文
摘要:本文主要研究城市轨道交通领域中综合监控系统的信息安全, 旨在为综合监控系统建立符合信息安全等级保护规定的信息安全防护机制, 保障综合监控系统的网络安全和信息安全, 保护城市轨道交通信息化系统不受外部或内部的入侵和攻击, 确保城市轨道交通的安全运行。
关键词:城市轨道交通; 综合监控; 信息安全;
0 引言
信息安全是基于网络构建的信息系统中的软、硬件及系统中的数据受到保护, 不因偶然的或者恶意的因素而遭到破坏、更改、泄露, 信息系统安全可靠地长期运行, 提供不间断信息服务。随着城市轨道交通在近几年的高速发展, 信息技术在城市轨道交通的大规模应用, 信息系统在城市轨道交通系统中发挥了重要的作用。随着互联网技术、云计算技术、传感器技术和人工智能技术在城市轨道交通系统中的不断深入应用, 城市轨道交通信息系统朝着智能化的方向发展。确保信息系统网络及信息安全是保证城市轨道交通能够安全、可靠运行的基础。
城市轨道交通综合监控系统是建立在计算机网络、通信网络和信息网络的基础之上, 实现多系统集成和互联, 进行信息共享交互的信息化指挥系统。综合监控系统处于城市轨道交通系统网络最内部的生产网, 网络规模庞大, 需要高度的安全性和机密性。然而, 目前综合监控系统的网络是基于网络间互连协议技术建设, 其使用的TCP/IP协议不具备保障网络通信安全的机制, 给综合监控系统的信息安全造成隐患, 网络管理和安全面临着更大的挑战, 这也引起了各部级门的重视。如何保证系统网络及信息安全可靠, 成为城市轨道交通综合监控系统迫切需要解决的问题。
1 综合监控系统信息网络存在的问题
计算机网络应用和互联网的普及, 给综合监控系统信息网络增加了安全隐患, 再加上综合监控系统网络需要与城市轨道交通系统中为数众多的机电信息系统进行连接, 这使得综合监控系统信息安全问题更加突出。主要集中在以下几个方面:
1.1 外部攻击的发展
综合监控系统采用大量的IT技术, 其使用工业控制信息技术的安全日益进入HACK的研究范围, 国内外大型的信息安全交流会议已经把工业控制信息安全作为一个重要的讨论议题。随着HACK的攻击技术不断进步, 攻击的手段日趋多样, 对于他们来说, 入侵到某个系统, 成功破坏其完整性是很有可能的。例如近几年的震网、duqu、火焰、havex等病毒证明HACK开始对自动化系统感兴趣。
1.2 内部威胁的加剧
据中国国家信息安全测评中心的调查结果显示, 信息安全的主要威胁为内部人员破坏和内部信息泄露, 而不是来自外部HACK攻击或病毒入侵。
综合监控系统集成和互联的各自动化系统普遍缺乏网络准入和控制机制, 上位机与下位机通讯缺乏身份鉴别和认证机制, 只要能够从协议层面跟下位机建立连接, 就可以对下位机进行修改, 普遍缺乏对系统最高权限的限制, 高权限账号往往具有掌控系统和数据的能力, 因此, 任意一种非法操作都会导致系统或数据的修改和泄露。由于综合监控系统缺乏有效的审计和事后追溯的工具, 也让责任划分和威胁追踪变得更加困难。
1.3 应用软件威胁
由外部提供的授权应用软件无法保证提供完整的信息保护功能, 因此后门、漏洞等问题都有可能出现。
1.4 第三方维护人员的威胁
信息系统的发展愈发成熟之后, 因为发展战略、经营规划、资源投入等原因, 会将非核心维护业务外包。如何有效地对运维人员的操作进行控制, 执行规范化的.严格审计是信息系统运营面临的一个关键问题。
1.5 多种病毒的泛滥
病毒可通过移动存储设备、外来运维的电脑, 无线系统等进入系统, 当病毒进入系统后, 通过自动收集系统相关信息, 如关于控制指令或操作命令、系统中明文传输的用户信息等, 或是嗅探网络内如服务器、交换机、工业控制器等IT设备的漏洞, 从而进行复制、传播。这种大规模的传播与复制, 会极大地消耗网络资源, 造成网络拥塞、网络风暴甚至网络瘫痪, 成为影响信息系统安全的主要因素之一。
2 综合监控系统信息安全防护体系
2.1 参考标准
综合监控系统按照IEC62443《工业过程测量、控制和自动化网络与系统信息安全》、《信息保障技术框架》 (IATF) 的要求划分区域, 确定系统边界, 进而对系统可能面临的威胁进行分析判断。
IATF中将信息系统划分为以下根节点域:边界接入域、计算环境域、网络基础设施域和支撑性设施域。
按照要求, 综合监控系统需要依据《信息系统安全等级保护基本要求》 (GB/T 22239-2008) 中技术部分的相关要求, 建设信息安全等级保护体系的技术部分。依据该要求中管理的相关要求进行建设信息安全等级保护体系的管理部分, 重点加强纵深防御。
本次主要从物理安全、网络安全、主机安全、应用安全、数据安全五个方面研究综合监控系统信息安全等级保护技术部分的相应措施。
2.2 综合监控系统信息安全建设思路
采用“内部加固, 边界逻辑隔离, 集中管理, 统一展示”的实施策略。
按照信息安全等级保护技术部分要求, 综合监控系统与其集成或互联的各子系统应该从网络接口分界处进行隔离, 使各子系统处于各自独立的安全防护区。
系统边界如服务器、接口装置、各系统连接处等要进行边界防护、访问控制等。同时在内部对网络进行实时监测, 对监测到的异常进行报警。
通过信息安全管理系统对综合监控系统内各个子系统和安全设备进行集中管理。
2.3 综合监控系统信息安全防护
城市轨道交通综合监控系统是构建在城市轨道交通生产网络上的数据采集与监视控制系统系统, 使用了分层分布式的系统架构。中央级综合监控系统, 车站级 (含停车场和车辆段) 综合监控系统这两级系统通过城市轨道交通生产网连接在一起。
按照信息安全建设思路, 地铁综合监控系统可以划分为以下结构:
垂直方面划分三个层级, 最顶层为中央控制中心, 中间为车站控制层, 下层为设备层。控制层的工作站可以对设备层的设备下发指令进行控制, 但是控制层的工作站数量庞大, 从理论上讲, 任何一台工作站都可以控制全线的设备, 因此有必要将所有的工作站分别对待, 如:只有中央控制中心的总调工作站才可以对全线的设备进行控制, 车站的工作站只能控制本站的设备, 车站的设备只能被本站和中央控制中心的工作站控制。
水平方面也需要划分多个区域, 由于综合监控系统需要对环境, 消防, 供电, 等多个内部系统进行监控, 还需要监控信号, AFC, CCTV, PIS等其它专业的数据, 在水平方向与这些系统都有连接。因此也有必要对这些内部和外部系统进行分区管理, 设置隔离措施, 防止一损俱损。
按照“边界控制, 内部监测”的原则, 与外部系统 (其它专业如信号, AFC, CCTV, PIS等) 的连接处属于边界, 应进行访问控制。内部系统如环境, 消防, 安全门等进行监测, 而电力p SCADA系统由于其在整个地铁系统中的重要性, 已被定级为等保三级, 因此电力系统应独立分区, 并进行访问控制。培训系统与生产运行无直接关联, 应独立组网进行隔离, 如果确实需要与生产网相连, 也应进行访问控制。
因为安全系统也分布部署到车站、停车场和车辆段, 安全管理中心也需要对全网的安全设备进行集中统一管理, 建议在通信系统中给安全系统也划分独立的管理通道, 以减少对生产系统的影响。
2.3.1 中央级综合监控系统
在中央控制中心设置安全管理区域, 划分独立VLAN, 设置安全管理平台, 集中部署/管理安全产品和安全设备。
中央级综合监控系统在设备室部署工业防火墙、工业异常检测引擎, 在系统内部署防病毒系统、工作站安全系统等。
在用户安全管理工作区部署信息安全管理平台、审计系统、漏洞扫描、配置核查等设备和系统。在与其它专业系统的外部边界部署工业防火墙。在Web服务器前端部署Web应用防火墙。
(1) 信息安全管理平台。信息安全管理系统用于集中管理系统中的各类安全信息。基于网络内信息流识别各类数据访问和发现信息异常, 通过日志分析发现潜在威胁, 通过比对各业务系统特定控制指令数据包快速发现异常业务数据。
(2) 工业防火墙。工业防火墙用于控制外部系统 (如信号, AFC等) 对综合监控系统, 以及综合监控系统内部不同区域之间 (如中央到车站) 的访问控制, 对数据包进行过滤, 通过白名单机制隔离非法业务数据, 实现信息保护。工业防火墙还可以对工业控制协议进行深度解析, 通过预设、自学习等方法识别非法或违规的工业控制指令及控制参数, 并进行阻断, 避免工业控制设备受到网络攻击。
(3) 工控异常检测。工控异常检测通过对系统中的应用层协议进行深度解析检验协议格式, 并与规则策略对比验证内容合规性, 可实现对应用系统的入侵检测和分析业务操作异常。能自动发现工业网络中的活动设备, 设备开放的端口以及设备的网络连接, 并通过预设、自学习等方法制定白名单策略, 自动监视异常的违规业务。可对网络中传播的病毒、木马以及对系统已知漏洞的攻击行为进行检测。
(4) 网络防病毒系统。病毒、木马会导致终端运行效率降低, 对文件进行破坏从而造成系统瘫痪。而且由于工作站通过网络互联, 会引起交叉感染现象, 很难彻底清除某些感染性较强的病毒, 因此要安装网络防病毒软件对工作站主机进行病毒查杀。
(5) 工作站安全系统。工作站主机通过安装工作站安全系统可对访问进行控制, 根据安全策略控制对操作员工作站资源的访问, 对工作站主机的进程、应用软件进行权限管理, 控制移动存储介质的使用。对工作站联接到互联网的行为进行检查, 准确定位并进行阻断。
(6) 数据库审计。数据库审计系统是通过网络对数据库的操作合规性进行颗粒度审计的管理系统。它通过对被授权人员访问数据库的操作进行记录、分析, 帮助用户事前预防、实时监视、违规拦截、事后报告、事故追踪溯源, 加强行为监管, 保障数据库的正常运行。
(7) 现场运维审计堡垒机。运维审计系统是通过网络对系统的操作合规性进行颗粒度审计的管理系统。它通过对被授权人员对系统的维护行为进行记录、分析, 帮助用户事前预防、实时监控、违规拦截、事后报告、事故追踪溯源, 加强行为监管、避免核心资产 (数据库、服务器、网络设备等) 损失、保障业务系统的正常运行。
(8) 漏洞扫描系统。漏洞扫描系统能够快速发现网络资产, 准确识别资产属性, 全面扫描安全漏洞, 准确识别安全风险, 提供相应的修复建议和预防措施, 并审核系统中配置的风险控制策略, 使安全管理人员在系统全面评估的基础上实现安全自主掌控。
(9) 配置核查。安全基线配置核查系统是检查安全配置的自动化工具, 可对主机设备、网络设备、安全设备、数据库、中间件等系统配置进行安全检查。检查内容应包括操作系统和网络设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等和安全相关配置, 帮助安全人员对工作站主机进行定期检查和安全加固。
(10) Web应用防火墙。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供第七层保护的一款产品。WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的Web安全防护设备。
2.3.2 车站/车辆段综合监控系统
车站级综合监控系统在设备室中部署工业防火墙、工控异常监测引擎, 在系统内部署防病毒系统、工作站安全系统等。
在车站级综合监控系统与其它专业系统的边界部署工业防火墙, 进行访问控制, 在重要系统——电力p SCADA的区域边界设置工业防火墙进行访问控制。
在车站核心交换机旁路部署工业异常检测引擎, 对内部网络进行实时异常监测。
在车站的操作员工作站上安装网络防病毒和终端安全系统, 对病毒进行防治, 对主机进行保护。
2.4 综合监控系统安全子系统
2.4.1 安全管理平台
系统重点实现对综合监控系统全系统设备安全、安全风险、安全事件、行为的全方位监控, 形成综合监控系统的信息安全管理系统。系统由展示层、功能层、数据采集层、应用接口层、数据库层组成, 实现信息安全数据的采集、分析和展示。
(1) 展示层。展示层实现整个系统的灵活展示和配置管理。通过图形化人机界面进行全系统设备安全监控、安全设备调度、系统运维、知识库管理等, 提供有效报警、进行风险识别, 降低安全事件的发生概率, 降低连带损失;同时可为用户提供各类报表, 网络拓扑, 地理信息等辅助信息。
(2) 功能层。功能层是整个系统的业务核心, 用于实现各功能模块的主要功能。包括设备安全管理、工控安全综合分析、辅助安全管理、系统运维管理四个方面。
设备安全管理实现全网设备的安全监控, 支持设备自动拓扑发现, 能够将被管理设备进行分组、分域的统一维护。
工控安全综合分析包括工控网络业务流量分析、安全事件管理、安全风险管理。
辅助安全管理包括告警和报表的管理。
系统运维管理包括采集器管理、级联管理、系统自管理、权限管理。
(3) 采集层。管理中心即可通过SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、Net BIOS、OPSEC等多种方式完成日志收集功能。
采集的数据包括工控环境所有的交换机、服务器、网络安全设备、OPC服务器、操作员站、DCS系统、PLC系统等。采集信息类型主要分为事件、流量、性能数据。
(4) 数据库层。数据库层集中存储了系统所有的关键数据, 包括设备库、拓扑库、性能数据库、事件库、关联分析规则库、行为合规规则库、威胁库、漏洞库、配置基线库、知识库、系统自身的配置维护数据库等等。
(5) 应用接口层。应用接口层是指本系统与外部系统的接口模块。接口模块内置信息加密、安全认证等安全防护手段。实现安全系统与工业控制系统、运维系统、网管系统及其他系统的接口, 以便在识别出安全事件后, 系统能够及时响应处理。
2.4.2 网络防病毒系统
系统主要为了达到如下目的:提高安全管理员工作效率, 减轻日常工作强度;对终端进行统一的优化清理, 提高终端运行效率;加强企业内部终端安全的统一管理, 防止病毒木马入侵;网络防病毒系统由控制中心和终端两部分组成。
(1) 控制中心。控制中心是网络防病毒的管理平台, 部署在服务器端, 采用B/S架构, 可以通过浏览器访问。主要负责终端分组管理、体检任务下发 (统一 (杀毒、统一漏洞修复) 、全网健康状况监测、生成报表、查询日志和升级终端软件等。
(2) 终端。企业终端部署在需要被保护的企业内部服务器或者PC终端, 接受控制中心下发的各种任务, 执行最终的杀毒扫描、漏洞修复等安全操作, 并向安全控制中心发送相应的安全报告。
3 结论
综合监控系统作为城市轨道交通设备运行监控的核心系统, 需要连续可靠正常地提供信息服务, 保证整个城市轨道交通系统的安全稳定运行。因此, 如何避免综合监控系统遭受偶然或者恶意的攻击、破坏, 对维护城市轨道交通正常的安全生产运营有着至关重要的意义。综合监控系统配置信息安全防护体系是确保系统整体安全, 降低安全运营风险的重要手段之一, 应得到充分的重视。
参考文献
[1]GB50636-2010, 城市轨道交通综合监控系统工程设计规范[S].北京:中国计划出版社, 2011.
[2]IEC62443, 工业过程测量、控制和自动化网络与系统信息安全[S].北京:中国标准出版社, 2015.
[3]《工业控制系统安全指南》 (NIST SP800-82) [OL].[2014-01-24].http://www.docin.com/p-758655637.html.
[4]GB/T.22239-2008, 信息系统安全等级保护基本要求[S].北京:中国标准出版社, 2008.
【城市轨道交通领域中综合监控系统的信息安全的建立论文】相关文章: