有軌電車系統(tǒng)控制和信息網(wǎng)絡(luò)安全研究

黃新生

（中土集團福州勘察設(shè)計研究院有限公司，福州350000）

1 引言

波哥大有軌電車系統(tǒng)主要由信號系統(tǒng)（SIG）、通信系統(tǒng)（COMMS）、自動售檢票系統(tǒng)（AFC）、綜合采集和監(jiān)控系統(tǒng)（IACS）等子系統(tǒng)組成，列車運營、子系統(tǒng)間數(shù)據(jù)傳輸?shù)臏蚀_性和安全性將直接影響系統(tǒng)的安全性。因此，網(wǎng)絡(luò)安全在該項目中尤為重要，通過分析有軌電車控制和信息網(wǎng)絡(luò)安全需求、潛在風險，制定了網(wǎng)絡(luò)安全管理策略和程序、防范措施，確保了波哥大西部有軌電車系統(tǒng)控制和信息網(wǎng)絡(luò)安全。

2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠地正常運行，網(wǎng)絡(luò)服務(wù)不中斷[1]。

網(wǎng)絡(luò)安全的目標是促進能夠提高組織業(yè)務(wù)流程的信息流，阻止降低組織業(yè)務(wù)流程的信息流[2]。

波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡(luò)安全主要根據(jù)當?shù)匦畔踩珣?zhàn)略《網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防御政策指南》、美國國家標準技術(shù)研究所網(wǎng)絡(luò)安全框架、國際電工委員會規(guī)范IEC-62243Artificial Intelligence Exchange and Service Tie to All Test Environments(AI-ESTATE)、國際標準化組織信息安全管理體系ISO-27001等標準開展網(wǎng)絡(luò)安全活動，主要包括網(wǎng)絡(luò)安全管理、管理范圍和網(wǎng)絡(luò)安全需求。

2.1 網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理主要包括識別網(wǎng)絡(luò)安全的薄弱區(qū)域、定義管理策略和流程、風險分析和評估、風險防范措施等。管理項目運行的數(shù)據(jù)、訪問人員、設(shè)備、系統(tǒng)等，確保在運營過程中數(shù)據(jù)傳輸安全。

2.2 網(wǎng)絡(luò)安全管理范圍

網(wǎng)絡(luò)安全管理范圍主要包括涉及安全相關(guān)的子系統(tǒng)，包括SIG、COMMS及其子系統(tǒng)，AFC、IACS，主要的工作內(nèi)容包括身份驗證和識別、數(shù)據(jù)和信息安全、控制和信息數(shù)據(jù)的維護。

2.3 網(wǎng)絡(luò)安全需求

有軌電車系統(tǒng)為列車的運營調(diào)度、系統(tǒng)控制、生產(chǎn)管理、運營維護等提供服務(wù)，控制和信息的數(shù)據(jù)傳輸、車-地通信主要通過通信傳輸網(wǎng)、TETRA、WiFi等傳輸，并應(yīng)能滿足國際標準網(wǎng)絡(luò)安全要求，保護系統(tǒng)處理、存儲和傳輸?shù)男畔ⅰ?/p>

無線通信網(wǎng)絡(luò)安全需要防止無線通信中可能受到的入侵或干擾，并確保數(shù)據(jù)保密及數(shù)據(jù)完整性。提供維護數(shù)據(jù)完整性功能，包括錯誤檢查，驗證未經(jīng)授權(quán)的修改或數(shù)據(jù)破壞，提供自動檢測、修改等功能，防止未經(jīng)授權(quán)的用戶查閱個人資料，記錄和審查用戶活動，單獨管理用戶信息等功能。

為了確?？刂坪托畔⑾到y(tǒng)的網(wǎng)絡(luò)安全，在物理層、無線通信網(wǎng)絡(luò)和傳輸網(wǎng)絡(luò)、授權(quán)認證程序、管理層等設(shè)置網(wǎng)絡(luò)安全防范措施。

3 網(wǎng)絡(luò)安全管理策略和流程

3.1 網(wǎng)絡(luò)安全管理策略

控制和信息系統(tǒng)主要從身份驗證和識別、授權(quán)訪問控制、通道安全、數(shù)據(jù)安全、應(yīng)用程序和數(shù)據(jù)庫安全、物理安全等考慮安全管理策略，并遵循如下原則：

1）系統(tǒng)組件將被鎖定和保護，防止未經(jīng)授權(quán)方訪問、并不允許接入和數(shù)據(jù)訪問；

2）設(shè)備和軟件模塊應(yīng)確保數(shù)據(jù)的完整性、準確性并防止內(nèi)部、外部的欺詐；

3）支持SAM技術(shù)，確保設(shè)備的身份驗證。

控制和信息系統(tǒng)需確保安裝設(shè)備和設(shè)施、軟件源代碼和編譯的代碼、數(shù)據(jù)庫訪問和信息、數(shù)據(jù)通信和接口、系統(tǒng)數(shù)據(jù)的安全并提供系統(tǒng)和設(shè)備授權(quán)訪問、用戶唯一的身份和密碼、系統(tǒng)訪問記錄等服務(wù)。

3.2 網(wǎng)絡(luò)安全管理流程

通過分析系統(tǒng)網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全管理的范圍涉及全線安全運營的控制和信息系統(tǒng)，制定了網(wǎng)絡(luò)安全管理流程，如圖1所示。

4 網(wǎng)絡(luò)安全風險評估

網(wǎng)絡(luò)安全評估是一種混合進行的過程，采用有效的自動化工具，也包括訓練有素的安全分析員對漏洞、威脅進行人工測試和量定[3]。風險評估定義為識別業(yè)務(wù)/運營風險并對其進行優(yōu)先排序的過程，主要指風險評估階段。網(wǎng)絡(luò)安全風險評估考慮網(wǎng)絡(luò)威脅（如黑客、病毒等）對所分析的系統(tǒng)所構(gòu)成的風險。圖2為進行風險評估的技術(shù)方法。

5 網(wǎng)絡(luò)安全風險防范措施

5.1 物理防范措施

在車站、控制中心等設(shè)備用房設(shè)置物理訪問，除現(xiàn)場設(shè)備外的設(shè)備將安裝在室內(nèi)的機柜中，并設(shè)置門禁和入侵檢測系統(tǒng)防止非授權(quán)用戶進入設(shè)備房。

圖1 網(wǎng)絡(luò)安全管理流程

圖2 風險評估框架

安裝在列車上的車載設(shè)備需安裝在乘客無法到達的區(qū)域，避免重啟、修改或關(guān)閉設(shè)備。

5.2 無線網(wǎng)絡(luò)安全防范措施

無線網(wǎng)絡(luò)安全防范措施主要有干擾攻擊防護、加密和鑒權(quán)機制。

5.2.1 干擾攻擊防護措施

采用指令天線、CAMA/CA訪問方法、ARQ錯誤控制方法、OFDM多載波傳輸方案、多種頻率規(guī)劃策略、無線網(wǎng)絡(luò)物理冗余等措施防護干擾攻擊。

5.2.2 加密和鑒權(quán)機制

1）基于WPA2-PSK解決方案，采用AES算法在無線網(wǎng)絡(luò)WiFi中實現(xiàn)加密和認證。

2）所有的無線網(wǎng)絡(luò)設(shè)備配置特定的賬戶，定義對設(shè)備的不同訪問權(quán)限，禁用工廠默認用戶。

3）在無線網(wǎng)絡(luò)范圍內(nèi)，無線網(wǎng)絡(luò)的鏈接遵循如下網(wǎng)絡(luò)安全規(guī)定：（1）限制每個接入點的最大用戶數(shù)量；（2）隱藏服務(wù)標識（SSID）；（3）啟用身份驗證/安全模式使用WPA2-PSK驗證。

5.2.3 TETRA安全防范措施

1）通過實施用戶身份驗證機制保護基站運行設(shè)備的用戶身份和驗證密鑰，無線電網(wǎng)絡(luò)將防止通過克隆用戶進行惡意訪問；

2）TETRA提供空中接口和端到端加密方案；

3）所有身份驗證和加密算法都提供高級別的安全性及涉及身份驗證和加密密鑰的管理程序；

4）TETRA提供無線電終端禁用工具，允許暫時或永久停用被盜或丟失的無線電終端設(shè)備。

5.3 傳輸系統(tǒng)及服務(wù)網(wǎng)絡(luò)的防范措施

5.3.1 訪問授權(quán)

傳輸系統(tǒng)和服務(wù)網(wǎng)絡(luò)將建立在專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，按照IEC 62280-1的要求采用封閉式通信系統(tǒng)，構(gòu)建用于授權(quán)MAC地址訪問機制，其參數(shù)允許靈活地限制訪問交換機接入層。

5.3.2 禁用未使用的以太網(wǎng)端口

為加強安全性，所有未使用的以太網(wǎng)端口都配置為“禁用”模式，在授權(quán)操作員或管理員啟用之前，無法連接到網(wǎng)絡(luò)。

拒絕訪問任何通信網(wǎng)絡(luò)設(shè)備接入骨干網(wǎng)，防止意外或惡意入侵。

通過管理登錄名和密碼的請求防止重新配置連接端口的入侵。

5.3.3 限制性IP尋址規(guī)則

通信網(wǎng)絡(luò)在IP層使用不同類型的網(wǎng)絡(luò)保護。系統(tǒng)使用固定的IP地址，通過固定IP地址識別設(shè)備和用戶；子系統(tǒng)都使用特定的IP子網(wǎng)來確保子系統(tǒng)的IP隔離。

5.3.4 訪問控制策略

通信網(wǎng)絡(luò)架構(gòu)部署了基于ACL（訪問控制列表）的安全模型。

不同域之間不在IP路由上通信，網(wǎng)關(guān)程序?qū)⒅袛?，以獲得最大的安全性。

5.3.5 防火墻

當不同邊界之間需要提供比ACL控制和隔離更強大的控制和隔離時，安裝防火墻設(shè)備連接邊界，并提供明確的限制。

不同邊界之間的單一交換采用最新的安全架構(gòu)和冗余IP防火墻，所有接受或丟棄的會話都將記錄在維護工作站上，并保留6個月。

防火墻提供攻擊檢測或端口掃描檢測，允許攻擊檢測并提供系統(tǒng)未經(jīng)授權(quán)使用驗證，檢測和監(jiān)控層將記錄報警和報告。

5.3.6 系統(tǒng)加固

系統(tǒng)加固是指根據(jù)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，對操作系統(tǒng)、軟件應(yīng)用程序和所需的第三方軟件的默認配置進行更改，以限制安全漏洞。采用經(jīng)認證的IT配置管理工具、禁用未使用的服務(wù)和協(xié)議、設(shè)置操作系統(tǒng)權(quán)限等加固措施確保操作系統(tǒng)安全。

5.3.7 安裝配置工具操作系統(tǒng)的默認安裝和手動配置安全性較差。為了提高安全級別，采用經(jīng)過認證的IT配置管理工具。

5.3.8 禁用未使用的服務(wù)和協(xié)議

啟用的主機操作系統(tǒng)中未使用的服務(wù)或協(xié)議將成為網(wǎng)絡(luò)攻擊的潛在入口，只啟用用于服務(wù)、提供維護的服務(wù)和協(xié)議，以限制潛在的網(wǎng)絡(luò)攻擊。

使用SSH和HTTPS協(xié)議遠程管理網(wǎng)絡(luò)設(shè)備，使用SFTP協(xié)議傳輸文件。

5.3.9 惡意代碼檢測與保護

惡意代碼主要包括特洛伊木馬、蠕蟲、病毒、后門程序等。

為了限制惡意代碼的潛在影響，建立防病毒架構(gòu)如下：

1）每晚進行硬盤分析，為避免影響應(yīng)用程序，任務(wù)將被配置為控制CPU使用率和管理任務(wù)啟動/停止時間；

2）“訪問分析”將設(shè)置在可移動媒體驅(qū)動器和日志文件驅(qū)動器上；

3）主機上的防病毒配置將受密碼保護，每天下載更新防病毒庫；

4）報警和報告記錄在維護工作站上，存儲時間不少于6個月；

5）更新防病毒庫（病毒簽名和引擎分析更新）前須在驗證平臺上進行測試和驗證；

6）在更新SIG、COMM、AFC、IACS等控制和信息系統(tǒng)軟件版本前更新防病毒版本。

5.4 網(wǎng)絡(luò)安全管理

在運營過程中持續(xù)開展安全管理活動，保證安全級別。為此，運營人員將遵循如下原則：

1）所有網(wǎng)絡(luò)IP設(shè)備、服務(wù)器和工作站都將在限制訪問的設(shè)備中進行物理保護（只有授權(quán)用戶才能訪問設(shè)備室）；

2）所有網(wǎng)絡(luò)設(shè)備（接入點、無線網(wǎng)絡(luò)、交換機和路由器）的密碼和密匙將保密；

3）設(shè)置合適的密匙和密碼（不設(shè)置通用密碼或訪客賬戶，密碼長度至少8位且至少具有2個特殊字符、數(shù)字、字母，密碼歷史設(shè)置等）；

4）無線電鏈路的加密密碼將保密；

5）定期修改密碼；

6）無線電鏈路加密的加密密碼應(yīng)遵守最小/最大大小要求（8～63個ASCII字符）。

6 結(jié)語

通過分析波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡(luò)安全需求，研究了控制和信息系統(tǒng)潛在的網(wǎng)絡(luò)安全風險和需求，確定了有軌電車系統(tǒng)網(wǎng)絡(luò)安全管理策略和流程、風險評估程序，制定了物理、無線網(wǎng)絡(luò)、TETRA、傳輸系統(tǒng)網(wǎng)絡(luò)安全風險防范措施和網(wǎng)絡(luò)安全管理的原則，確保了有軌電車系統(tǒng)控制和信息的網(wǎng)絡(luò)安全。