有軌電車系統(tǒng)控制和信息網(wǎng)絡(luò)安全研究

黃新生

（中土集團(tuán)福州勘察設(shè)計(jì)研究院有限公司，福州350000）

1 引言

波哥大有軌電車系統(tǒng)主要由信號(hào)系統(tǒng)（SIG）、通信系統(tǒng)（COMMS）、自動(dòng)售檢票系統(tǒng)（AFC）、綜合采集和監(jiān)控系統(tǒng)（IACS）等子系統(tǒng)組成，列車運(yùn)營、子系統(tǒng)間數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和安全性將直接影響系統(tǒng)的安全性。因此，網(wǎng)絡(luò)安全在該項(xiàng)目中尤為重要，通過分析有軌電車控制和信息網(wǎng)絡(luò)安全需求、潛在風(fēng)險(xiǎn)，制定了網(wǎng)絡(luò)安全管理策略和程序、防范措施，確保了波哥大西部有軌電車系統(tǒng)控制和信息網(wǎng)絡(luò)安全。

2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷[1]。

網(wǎng)絡(luò)安全的目標(biāo)是促進(jìn)能夠提高組織業(yè)務(wù)流程的信息流，阻止降低組織業(yè)務(wù)流程的信息流[2]。

波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡(luò)安全主要根據(jù)當(dāng)?shù)匦畔踩珣?zhàn)略《網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防御政策指南》、美國國家標(biāo)準(zhǔn)技術(shù)研究所網(wǎng)絡(luò)安全框架、國際電工委員會(huì)規(guī)范IEC-62243Artificial Intelligence Exchange and Service Tie to All Test Environments(AI-ESTATE)、國際標(biāo)準(zhǔn)化組織信息安全管理體系ISO-27001等標(biāo)準(zhǔn)開展網(wǎng)絡(luò)安全活動(dòng)，主要包括網(wǎng)絡(luò)安全管理、管理范圍和網(wǎng)絡(luò)安全需求。

2.1 網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理主要包括識(shí)別網(wǎng)絡(luò)安全的薄弱區(qū)域、定義管理策略和流程、風(fēng)險(xiǎn)分析和評(píng)估、風(fēng)險(xiǎn)防范措施等。管理項(xiàng)目運(yùn)行的數(shù)據(jù)、訪問人員、設(shè)備、系統(tǒng)等，確保在運(yùn)營過程中數(shù)據(jù)傳輸安全。

2.2 網(wǎng)絡(luò)安全管理范圍

網(wǎng)絡(luò)安全管理范圍主要包括涉及安全相關(guān)的子系統(tǒng)，包括SIG、COMMS及其子系統(tǒng)，AFC、IACS，主要的工作內(nèi)容包括身份驗(yàn)證和識(shí)別、數(shù)據(jù)和信息安全、控制和信息數(shù)據(jù)的維護(hù)。

2.3 網(wǎng)絡(luò)安全需求

有軌電車系統(tǒng)為列車的運(yùn)營調(diào)度、系統(tǒng)控制、生產(chǎn)管理、運(yùn)營維護(hù)等提供服務(wù)，控制和信息的數(shù)據(jù)傳輸、車-地通信主要通過通信傳輸網(wǎng)、TETRA、WiFi等傳輸，并應(yīng)能滿足國際標(biāo)準(zhǔn)網(wǎng)絡(luò)安全要求，保護(hù)系統(tǒng)處理、存儲(chǔ)和傳輸?shù)男畔ⅰ?/p>

無線通信網(wǎng)絡(luò)安全需要防止無線通信中可能受到的入侵或干擾，并確保數(shù)據(jù)保密及數(shù)據(jù)完整性。提供維護(hù)數(shù)據(jù)完整性功能，包括錯(cuò)誤檢查，驗(yàn)證未經(jīng)授權(quán)的修改或數(shù)據(jù)破壞，提供自動(dòng)檢測(cè)、修改等功能，防止未經(jīng)授權(quán)的用戶查閱個(gè)人資料，記錄和審查用戶活動(dòng)，單獨(dú)管理用戶信息等功能。

為了確保控制和信息系統(tǒng)的網(wǎng)絡(luò)安全，在物理層、無線通信網(wǎng)絡(luò)和傳輸網(wǎng)絡(luò)、授權(quán)認(rèn)證程序、管理層等設(shè)置網(wǎng)絡(luò)安全防范措施。

3 網(wǎng)絡(luò)安全管理策略和流程

3.1 網(wǎng)絡(luò)安全管理策略

控制和信息系統(tǒng)主要從身份驗(yàn)證和識(shí)別、授權(quán)訪問控制、通道安全、數(shù)據(jù)安全、應(yīng)用程序和數(shù)據(jù)庫安全、物理安全等考慮安全管理策略，并遵循如下原則：

1）系統(tǒng)組件將被鎖定和保護(hù)，防止未經(jīng)授權(quán)方訪問、并不允許接入和數(shù)據(jù)訪問；

2）設(shè)備和軟件模塊應(yīng)確保數(shù)據(jù)的完整性、準(zhǔn)確性并防止內(nèi)部、外部的欺詐；

3）支持SAM技術(shù)，確保設(shè)備的身份驗(yàn)證。

控制和信息系統(tǒng)需確保安裝設(shè)備和設(shè)施、軟件源代碼和編譯的代碼、數(shù)據(jù)庫訪問和信息、數(shù)據(jù)通信和接口、系統(tǒng)數(shù)據(jù)的安全并提供系統(tǒng)和設(shè)備授權(quán)訪問、用戶唯一的身份和密碼、系統(tǒng)訪問記錄等服務(wù)。

3.2 網(wǎng)絡(luò)安全管理流程

通過分析系統(tǒng)網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全管理的范圍涉及全線安全運(yùn)營的控制和信息系統(tǒng)，制定了網(wǎng)絡(luò)安全管理流程，如圖1所示。

4 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)安全評(píng)估是一種混合進(jìn)行的過程，采用有效的自動(dòng)化工具，也包括訓(xùn)練有素的安全分析員對(duì)漏洞、威脅進(jìn)行人工測(cè)試和量定[3]。風(fēng)險(xiǎn)評(píng)估定義為識(shí)別業(yè)務(wù)/運(yùn)營風(fēng)險(xiǎn)并對(duì)其進(jìn)行優(yōu)先排序的過程，主要指風(fēng)險(xiǎn)評(píng)估階段。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估考慮網(wǎng)絡(luò)威脅（如黑客、病毒等）對(duì)所分析的系統(tǒng)所構(gòu)成的風(fēng)險(xiǎn)。圖2為進(jìn)行風(fēng)險(xiǎn)評(píng)估的技術(shù)方法。

5 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范措施

5.1 物理防范措施

在車站、控制中心等設(shè)備用房設(shè)置物理訪問，除現(xiàn)場設(shè)備外的設(shè)備將安裝在室內(nèi)的機(jī)柜中，并設(shè)置門禁和入侵檢測(cè)系統(tǒng)防止非授權(quán)用戶進(jìn)入設(shè)備房。

圖1 網(wǎng)絡(luò)安全管理流程

圖2 風(fēng)險(xiǎn)評(píng)估框架

安裝在列車上的車載設(shè)備需安裝在乘客無法到達(dá)的區(qū)域，避免重啟、修改或關(guān)閉設(shè)備。

5.2 無線網(wǎng)絡(luò)安全防范措施

無線網(wǎng)絡(luò)安全防范措施主要有干擾攻擊防護(hù)、加密和鑒權(quán)機(jī)制。

5.2.1 干擾攻擊防護(hù)措施

采用指令天線、CAMA/CA訪問方法、ARQ錯(cuò)誤控制方法、OFDM多載波傳輸方案、多種頻率規(guī)劃策略、無線網(wǎng)絡(luò)物理冗余等措施防護(hù)干擾攻擊。

5.2.2 加密和鑒權(quán)機(jī)制

1）基于WPA2-PSK解決方案，采用AES算法在無線網(wǎng)絡(luò)WiFi中實(shí)現(xiàn)加密和認(rèn)證。

2）所有的無線網(wǎng)絡(luò)設(shè)備配置特定的賬戶，定義對(duì)設(shè)備的不同訪問權(quán)限，禁用工廠默認(rèn)用戶。

3）在無線網(wǎng)絡(luò)范圍內(nèi)，無線網(wǎng)絡(luò)的鏈接遵循如下網(wǎng)絡(luò)安全規(guī)定：（1）限制每個(gè)接入點(diǎn)的最大用戶數(shù)量；（2）隱藏服務(wù)標(biāo)識(shí)（SSID）；（3）啟用身份驗(yàn)證/安全模式使用WPA2-PSK驗(yàn)證。

5.2.3 TETRA安全防范措施

1）通過實(shí)施用戶身份驗(yàn)證機(jī)制保護(hù)基站運(yùn)行設(shè)備的用戶身份和驗(yàn)證密鑰，無線電網(wǎng)絡(luò)將防止通過克隆用戶進(jìn)行惡意訪問；

2）TETRA提供空中接口和端到端加密方案；

3）所有身份驗(yàn)證和加密算法都提供高級(jí)別的安全性及涉及身份驗(yàn)證和加密密鑰的管理程序；

4）TETRA提供無線電終端禁用工具，允許暫時(shí)或永久停用被盜或丟失的無線電終端設(shè)備。

5.3 傳輸系統(tǒng)及服務(wù)網(wǎng)絡(luò)的防范措施

5.3.1 訪問授權(quán)

傳輸系統(tǒng)和服務(wù)網(wǎng)絡(luò)將建立在專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，按照IEC 62280-1的要求采用封閉式通信系統(tǒng)，構(gòu)建用于授權(quán)MAC地址訪問機(jī)制，其參數(shù)允許靈活地限制訪問交換機(jī)接入層。

5.3.2 禁用未使用的以太網(wǎng)端口

為加強(qiáng)安全性，所有未使用的以太網(wǎng)端口都配置為“禁用”模式，在授權(quán)操作員或管理員啟用之前，無法連接到網(wǎng)絡(luò)。

拒絕訪問任何通信網(wǎng)絡(luò)設(shè)備接入骨干網(wǎng)，防止意外或惡意入侵。

通過管理登錄名和密碼的請(qǐng)求防止重新配置連接端口的入侵。

5.3.3 限制性IP尋址規(guī)則

通信網(wǎng)絡(luò)在IP層使用不同類型的網(wǎng)絡(luò)保護(hù)。系統(tǒng)使用固定的IP地址，通過固定IP地址識(shí)別設(shè)備和用戶；子系統(tǒng)都使用特定的IP子網(wǎng)來確保子系統(tǒng)的IP隔離。

5.3.4 訪問控制策略

通信網(wǎng)絡(luò)架構(gòu)部署了基于ACL（訪問控制列表）的安全模型。

不同域之間不在IP路由上通信，網(wǎng)關(guān)程序?qū)⒅袛啵垣@得最大的安全性。

5.3.5 防火墻

當(dāng)不同邊界之間需要提供比ACL控制和隔離更強(qiáng)大的控制和隔離時(shí)，安裝防火墻設(shè)備連接邊界，并提供明確的限制。

不同邊界之間的單一交換采用最新的安全架構(gòu)和冗余IP防火墻，所有接受或丟棄的會(huì)話都將記錄在維護(hù)工作站上，并保留6個(gè)月。

防火墻提供攻擊檢測(cè)或端口掃描檢測(cè)，允許攻擊檢測(cè)并提供系統(tǒng)未經(jīng)授權(quán)使用驗(yàn)證，檢測(cè)和監(jiān)控層將記錄報(bào)警和報(bào)告。

5.3.6 系統(tǒng)加固

系統(tǒng)加固是指根據(jù)安全評(píng)估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，對(duì)操作系統(tǒng)、軟件應(yīng)用程序和所需的第三方軟件的默認(rèn)配置進(jìn)行更改，以限制安全漏洞。采用經(jīng)認(rèn)證的IT配置管理工具、禁用未使用的服務(wù)和協(xié)議、設(shè)置操作系統(tǒng)權(quán)限等加固措施確保操作系統(tǒng)安全。

5.3.7 安裝配置工具操作系統(tǒng)的默認(rèn)安裝和手動(dòng)配置安全性較差。為了提高安全級(jí)別，采用經(jīng)過認(rèn)證的IT配置管理工具。

5.3.8 禁用未使用的服務(wù)和協(xié)議

啟用的主機(jī)操作系統(tǒng)中未使用的服務(wù)或協(xié)議將成為網(wǎng)絡(luò)攻擊的潛在入口，只啟用用于服務(wù)、提供維護(hù)的服務(wù)和協(xié)議，以限制潛在的網(wǎng)絡(luò)攻擊。

使用SSH和HTTPS協(xié)議遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備，使用SFTP協(xié)議傳輸文件。

5.3.9 惡意代碼檢測(cè)與保護(hù)

惡意代碼主要包括特洛伊木馬、蠕蟲、病毒、后門程序等。

為了限制惡意代碼的潛在影響，建立防病毒架構(gòu)如下：

1）每晚進(jìn)行硬盤分析，為避免影響應(yīng)用程序，任務(wù)將被配置為控制CPU使用率和管理任務(wù)啟動(dòng)/停止時(shí)間；

2）“訪問分析”將設(shè)置在可移動(dòng)媒體驅(qū)動(dòng)器和日志文件驅(qū)動(dòng)器上；

3）主機(jī)上的防病毒配置將受密碼保護(hù)，每天下載更新防病毒庫；

4）報(bào)警和報(bào)告記錄在維護(hù)工作站上，存儲(chǔ)時(shí)間不少于6個(gè)月；

5）更新防病毒庫（病毒簽名和引擎分析更新）前須在驗(yàn)證平臺(tái)上進(jìn)行測(cè)試和驗(yàn)證；

6）在更新SIG、COMM、AFC、IACS等控制和信息系統(tǒng)軟件版本前更新防病毒版本。

5.4 網(wǎng)絡(luò)安全管理

在運(yùn)營過程中持續(xù)開展安全管理活動(dòng)，保證安全級(jí)別。為此，運(yùn)營人員將遵循如下原則：

1）所有網(wǎng)絡(luò)IP設(shè)備、服務(wù)器和工作站都將在限制訪問的設(shè)備中進(jìn)行物理保護(hù)（只有授權(quán)用戶才能訪問設(shè)備室）；

2）所有網(wǎng)絡(luò)設(shè)備（接入點(diǎn)、無線網(wǎng)絡(luò)、交換機(jī)和路由器）的密碼和密匙將保密；

3）設(shè)置合適的密匙和密碼（不設(shè)置通用密碼或訪客賬戶，密碼長度至少8位且至少具有2個(gè)特殊字符、數(shù)字、字母，密碼歷史設(shè)置等）；

4）無線電鏈路的加密密碼將保密；

5）定期修改密碼；

6）無線電鏈路加密的加密密碼應(yīng)遵守最小/最大大小要求（8～63個(gè)ASCII字符）。

6 結(jié)語

通過分析波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡(luò)安全需求，研究了控制和信息系統(tǒng)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和需求，確定了有軌電車系統(tǒng)網(wǎng)絡(luò)安全管理策略和流程、風(fēng)險(xiǎn)評(píng)估程序，制定了物理、無線網(wǎng)絡(luò)、TETRA、傳輸系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范措施和網(wǎng)絡(luò)安全管理的原則，確保了有軌電車系統(tǒng)控制和信息的網(wǎng)絡(luò)安全。