有軌電車系統控制和信息網絡安全研究

黃新生

（中土集團福州勘察設計研究院有限公司，福州350000）

1 引言

波哥大有軌電車系統主要由信號系統（SIG）、通信系統（COMMS）、自動售檢票系統（AFC）、綜合采集和監控系統（IACS）等子系統組成，列車運營、子系統間數據傳輸的準確性和安全性將直接影響系統的安全性。因此，網絡安全在該項目中尤為重要，通過分析有軌電車控制和信息網絡安全需求、潛在風險，制定了網絡安全管理策略和程序、防范措施，確保了波哥大西部有軌電車系統控制和信息網絡安全。

2 網絡安全

網絡安全，指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，使系統連續可靠地正常運行，網絡服務不中斷[1]。

網絡安全的目標是促進能夠提高組織業務流程的信息流，阻止降低組織業務流程的信息流[2]。

波哥大西部有軌電車控制和信息系統網絡安全主要根據當地信息安全戰略《網絡安全和網絡防御政策指南》、美國國家標準技術研究所網絡安全框架、國際電工委員會規范IEC-62243Artificial Intelligence Exchange and Service Tie to All Test Environments(AI-ESTATE)、國際標準化組織信息安全管理體系ISO-27001等標準開展網絡安全活動，主要包括網絡安全管理、管理范圍和網絡安全需求。

2.1 網絡安全管理

網絡安全管理主要包括識別網絡安全的薄弱區域、定義管理策略和流程、風險分析和評估、風險防范措施等。管理項目運行的數據、訪問人員、設備、系統等，確保在運營過程中數據傳輸安全。

2.2 網絡安全管理范圍

網絡安全管理范圍主要包括涉及安全相關的子系統，包括SIG、COMMS及其子系統，AFC、IACS，主要的工作內容包括身份驗證和識別、數據和信息安全、控制和信息數據的維護。

2.3 網絡安全需求

有軌電車系統為列車的運營調度、系統控制、生產管理、運營維護等提供服務，控制和信息的數據傳輸、車-地通信主要通過通信傳輸網、TETRA、WiFi等傳輸，并應能滿足國際標準網絡安全要求，保護系統處理、存儲和傳輸的信息。

無線通信網絡安全需要防止無線通信中可能受到的入侵或干擾，并確保數據保密及數據完整性。提供維護數據完整性功能，包括錯誤檢查，驗證未經授權的修改或數據破壞，提供自動檢測、修改等功能，防止未經授權的用戶查閱個人資料，記錄和審查用戶活動，單獨管理用戶信息等功能。

為了確保控制和信息系統的網絡安全，在物理層、無線通信網絡和傳輸網絡、授權認證程序、管理層等設置網絡安全防范措施。

3 網絡安全管理策略和流程

3.1 網絡安全管理策略

控制和信息系統主要從身份驗證和識別、授權訪問控制、通道安全、數據安全、應用程序和數據庫安全、物理安全等考慮安全管理策略，并遵循如下原則：

1）系統組件將被鎖定和保護，防止未經授權方訪問、并不允許接入和數據訪問；

2）設備和軟件模塊應確保數據的完整性、準確性并防止內部、外部的欺詐；

3）支持SAM技術，確保設備的身份驗證。

控制和信息系統需確保安裝設備和設施、軟件源代碼和編譯的代碼、數據庫訪問和信息、數據通信和接口、系統數據的安全并提供系統和設備授權訪問、用戶唯一的身份和密碼、系統訪問記錄等服務。

3.2 網絡安全管理流程

通過分析系統網絡安全需求，網絡安全管理的范圍涉及全線安全運營的控制和信息系統，制定了網絡安全管理流程，如圖1所示。

4 網絡安全風險評估

網絡安全評估是一種混合進行的過程，采用有效的自動化工具，也包括訓練有素的安全分析員對漏洞、威脅進行人工測試和量定[3]。風險評估定義為識別業務/運營風險并對其進行優先排序的過程，主要指風險評估階段。網絡安全風險評估考慮網絡威脅（如黑客、病毒等）對所分析的系統所構成的風險。圖2為進行風險評估的技術方法。

5 網絡安全風險防范措施

5.1 物理防范措施

在車站、控制中心等設備用房設置物理訪問，除現場設備外的設備將安裝在室內的機柜中，并設置門禁和入侵檢測系統防止非授權用戶進入設備房。

圖1 網絡安全管理流程

圖2 風險評估框架

安裝在列車上的車載設備需安裝在乘客無法到達的區域，避免重啟、修改或關閉設備。

5.2 無線網絡安全防范措施

無線網絡安全防范措施主要有干擾攻擊防護、加密和鑒權機制。

5.2.1 干擾攻擊防護措施

采用指令天線、CAMA/CA訪問方法、ARQ錯誤控制方法、OFDM多載波傳輸方案、多種頻率規劃策略、無線網絡物理冗余等措施防護干擾攻擊。

5.2.2 加密和鑒權機制

1）基于WPA2-PSK解決方案，采用AES算法在無線網絡WiFi中實現加密和認證。

2）所有的無線網絡設備配置特定的賬戶，定義對設備的不同訪問權限，禁用工廠默認用戶。

3）在無線網絡范圍內，無線網絡的鏈接遵循如下網絡安全規定：（1）限制每個接入點的最大用戶數量；（2）隱藏服務標識（SSID）；（3）啟用身份驗證/安全模式使用WPA2-PSK驗證。

5.2.3 TETRA安全防范措施

1）通過實施用戶身份驗證機制保護基站運行設備的用戶身份和驗證密鑰，無線電網絡將防止通過克隆用戶進行惡意訪問；

2）TETRA提供空中接口和端到端加密方案；

3）所有身份驗證和加密算法都提供高級別的安全性及涉及身份驗證和加密密鑰的管理程序；

4）TETRA提供無線電終端禁用工具，允許暫時或永久停用被盜或丟失的無線電終端設備。

5.3 傳輸系統及服務網絡的防范措施

5.3.1 訪問授權

傳輸系統和服務網絡將建立在專用網絡基礎設施上，按照IEC 62280-1的要求采用封閉式通信系統，構建用于授權MAC地址訪問機制，其參數允許靈活地限制訪問交換機接入層。

5.3.2 禁用未使用的以太網端口

為加強安全性，所有未使用的以太網端口都配置為“禁用”模式，在授權操作員或管理員啟用之前，無法連接到網絡。

拒絕訪問任何通信網絡設備接入骨干網，防止意外或惡意入侵。

通過管理登錄名和密碼的請求防止重新配置連接端口的入侵。

5.3.3 限制性IP尋址規則

通信網絡在IP層使用不同類型的網絡保護。系統使用固定的IP地址，通過固定IP地址識別設備和用戶；子系統都使用特定的IP子網來確保子系統的IP隔離。

5.3.4 訪問控制策略

通信網絡架構部署了基于ACL（訪問控制列表）的安全模型。

不同域之間不在IP路由上通信，網關程序將中斷，以獲得最大的安全性。

5.3.5 防火墻

當不同邊界之間需要提供比ACL控制和隔離更強大的控制和隔離時，安裝防火墻設備連接邊界，并提供明確的限制。

不同邊界之間的單一交換采用最新的安全架構和冗余IP防火墻，所有接受或丟棄的會話都將記錄在維護工作站上，并保留6個月。

防火墻提供攻擊檢測或端口掃描檢測，允許攻擊檢測并提供系統未經授權使用驗證，檢測和監控層將記錄報警和報告。

5.3.6 系統加固

系統加固是指根據安全評估結果，制定相應的系統加固方案，對操作系統、軟件應用程序和所需的第三方軟件的默認配置進行更改，以限制安全漏洞。采用經認證的IT配置管理工具、禁用未使用的服務和協議、設置操作系統權限等加固措施確保操作系統安全。

5.3.7 安裝配置工具操作系統的默認安裝和手動配置安全性較差。為了提高安全級別，采用經過認證的IT配置管理工具。

5.3.8 禁用未使用的服務和協議

啟用的主機操作系統中未使用的服務或協議將成為網絡攻擊的潛在入口，只啟用用于服務、提供維護的服務和協議，以限制潛在的網絡攻擊。

使用SSH和HTTPS協議遠程管理網絡設備，使用SFTP協議傳輸文件。

5.3.9 惡意代碼檢測與保護

惡意代碼主要包括特洛伊木馬、蠕蟲、病毒、后門程序等。

為了限制惡意代碼的潛在影響，建立防病毒架構如下：

1）每晚進行硬盤分析，為避免影響應用程序，任務將被配置為控制CPU使用率和管理任務啟動/停止時間；

2）“訪問分析”將設置在可移動媒體驅動器和日志文件驅動器上；

3）主機上的防病毒配置將受密碼保護，每天下載更新防病毒庫；

4）報警和報告記錄在維護工作站上，存儲時間不少于6個月；

5）更新防病毒庫（病毒簽名和引擎分析更新）前須在驗證平臺上進行測試和驗證；

6）在更新SIG、COMM、AFC、IACS等控制和信息系統軟件版本前更新防病毒版本。

5.4 網絡安全管理

在運營過程中持續開展安全管理活動，保證安全級別。為此，運營人員將遵循如下原則：

1）所有網絡IP設備、服務器和工作站都將在限制訪問的設備中進行物理保護（只有授權用戶才能訪問設備室）；

2）所有網絡設備（接入點、無線網絡、交換機和路由器）的密碼和密匙將保密；

3）設置合適的密匙和密碼（不設置通用密碼或訪客賬戶，密碼長度至少8位且至少具有2個特殊字符、數字、字母，密碼歷史設置等）；

4）無線電鏈路的加密密碼將保密；

5）定期修改密碼；

6）無線電鏈路加密的加密密碼應遵守最小/最大大小要求（8～63個ASCII字符）。

6 結語

通過分析波哥大西部有軌電車控制和信息系統網絡安全需求，研究了控制和信息系統潛在的網絡安全風險和需求，確定了有軌電車系統網絡安全管理策略和流程、風險評估程序，制定了物理、無線網絡、TETRA、傳輸系統網絡安全風險防范措施和網絡安全管理的原則，確保了有軌電車系統控制和信息的網絡安全。