地鐵綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)改造及密評(píng)方法與應(yīng)用

楊廣祿

（深圳達(dá)實(shí)智能股份有限公司，廣東深圳 518000）

0 引言

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）和《中華人民共和國(guó)密碼法》（簡(jiǎn)稱《密碼法》）正式實(shí)施，等級(jí)保護(hù)和商用密碼應(yīng)用安全性評(píng)估工作上升為法律要求。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡(jiǎn)稱等保2.0）國(guó)家標(biāo)準(zhǔn)（包括《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》［1］、《GB/T 28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》［2］、《GB/T 25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》［3］）及《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》［4］正式發(fā)布，綜合監(jiān)控系統(tǒng)進(jìn)行對(duì)標(biāo)等保2.0及商用密碼應(yīng)用安全性評(píng)估要求進(jìn)行試點(diǎn)補(bǔ)強(qiáng)工作，并同步推進(jìn)既有線工控系統(tǒng)接入“線網(wǎng)工控網(wǎng)絡(luò)安全預(yù)警與監(jiān)控系統(tǒng)平臺(tái)”［5］。

目前，地鐵新線招標(biāo)均已要求按照等保2.0標(biāo)準(zhǔn)建設(shè)，既有線路根據(jù)運(yùn)營(yíng)年限已逐步進(jìn)入大、中修期，對(duì)標(biāo)等保2.0整改工作擬在更新改造中一并進(jìn)行。本文選取了近期開(kāi)通但未按照等保要求建設(shè)的部分線路進(jìn)行安全加固改造方案的應(yīng)用探索。

1 地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全存在問(wèn)題

由于目前信息系統(tǒng)的內(nèi)聯(lián)網(wǎng)主要是采用計(jì)算機(jī)網(wǎng)絡(luò)與內(nèi)部互連協(xié)議技術(shù)建設(shè)，所采用的TCP/IP協(xié)議并不符合保證通信安全性的基本機(jī)制，因此如何保證內(nèi)部系統(tǒng)聯(lián)網(wǎng)及安全可靠性，已成為綜合監(jiān)控系統(tǒng)亟待解決的問(wèn)題［6］。因?yàn)榫C合監(jiān)控系統(tǒng)網(wǎng)絡(luò)必須同時(shí)和多個(gè)機(jī)電控制系統(tǒng)進(jìn)行相連，導(dǎo)致安全問(wèn)題越來(lái)越明顯［7］。實(shí)現(xiàn)安全信息集中管理，構(gòu)建信息系統(tǒng)安全態(tài)勢(shì)感知，輔助安全人員進(jìn)行決策及應(yīng)急處置、追蹤溯源等工作迫在眉睫［8］。下面對(duì)地鐵綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行分析。

1.1 安全技術(shù)問(wèn)題

安全技術(shù)問(wèn)題包括：（1）不同系統(tǒng)之間缺乏有效的訪問(wèn)控制措施；（2）監(jiān)測(cè)與審計(jì)技術(shù)不完備；（3）缺少必要的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)；（4）缺乏對(duì)操作站和客戶端的安全設(shè)置與病毒預(yù)防；（5）需完善運(yùn)維審計(jì)機(jī)制；（6）缺乏規(guī)范完整可靠的密碼保障體系。

1.2 安全管理問(wèn)題

安全管理問(wèn)題包括：（1）信息安全管理體系流程不健全；（2）密碼管理體系流程不健全；（3）應(yīng)急響應(yīng)體系不健全，需進(jìn)一步提高安全問(wèn)題的處理能力；（4）員工安全培訓(xùn)確實(shí)，專業(yè)技能和管理能力在員工意識(shí)亟待提高。

1.3 密碼應(yīng)用問(wèn)題

密碼應(yīng)用問(wèn)題包括：（1）密碼應(yīng)用不廣泛，大量數(shù)據(jù)處于暴露狀態(tài)，沒(méi)有使用密碼技術(shù)保護(hù)；（2）密碼應(yīng)用不規(guī)范，仍使用具有風(fēng)險(xiǎn)的密碼算法；（3）密碼應(yīng)用不安全，未按國(guó)家規(guī)定使用密碼產(chǎn)品。

2 地鐵既有線路綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)改造方法

從地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的兩個(gè)主要問(wèn)題入手，提出以下網(wǎng)絡(luò)安全系統(tǒng)的架構(gòu)和改造方法。

2.1 網(wǎng)絡(luò)安全系統(tǒng)整體改造規(guī)劃與路徑

根據(jù)當(dāng)前綜合監(jiān)控系統(tǒng)面臨的一系列安全問(wèn)題，按照等保2.0相關(guān)規(guī)范進(jìn)行安全建設(shè)。設(shè)計(jì)網(wǎng)絡(luò)安全等級(jí)保護(hù)防護(hù)思路房屋模型如圖1所示。

圖1 網(wǎng)絡(luò)安全等級(jí)保護(hù)防護(hù)思路房屋模型

具體系統(tǒng)搭建與網(wǎng)絡(luò)安全改造防護(hù)思路［8］如下：（1）針對(duì)工業(yè)系統(tǒng)的威脅部署了工控安全檢測(cè)審計(jì)系統(tǒng)，可以監(jiān)控網(wǎng)絡(luò)系統(tǒng)的非正常狀態(tài)，對(duì)異常流量報(bào)警；（2）各互聯(lián)系統(tǒng)間存在的安全威脅，通過(guò)部署工業(yè)防火墻，做到系統(tǒng)之間的邏輯隔離，保障各互聯(lián)系統(tǒng)與綜合監(jiān)控系統(tǒng)數(shù)據(jù)交換的安全性；（3）針對(duì)終端問(wèn)題，部署終端防護(hù)系統(tǒng)，嚴(yán)格管控終端異常行為及非法數(shù)據(jù)外傳等操作；（4）通過(guò)運(yùn)維堡壘機(jī)的管理措施降低運(yùn)維過(guò)程風(fēng)險(xiǎn)；（5）針對(duì)工業(yè)資產(chǎn)及異常數(shù)據(jù)監(jiān)視方面，通過(guò)安全管理平臺(tái)實(shí)現(xiàn)對(duì)工業(yè)資產(chǎn)的實(shí)時(shí)統(tǒng)計(jì)并能夠?qū)φ卓刂葡到y(tǒng)的安全態(tài)勢(shì)做到實(shí)時(shí)展現(xiàn)。

2.2 安全域劃分

根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的要求以及綜合監(jiān)控的結(jié)構(gòu)特征，綜合監(jiān)控系統(tǒng)地作為一個(gè)整體進(jìn)行定級(jí)［9-10］。綜合監(jiān)控系統(tǒng)安全保護(hù)區(qū)重心在監(jiān)控層，現(xiàn)場(chǎng)執(zhí)行層的被控設(shè)備不在防護(hù)范圍，其集成的控制子系統(tǒng)宜作為一個(gè)安全域提供安全防護(hù)設(shè)計(jì)。系統(tǒng)的安全通信網(wǎng)絡(luò)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，通信傳輸采用校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性和啟用安全的管理方式。綜合監(jiān)控系統(tǒng)安全域劃分如圖2所示。

圖2 綜合監(jiān)控系統(tǒng)安全域劃分示意圖

2.3 系統(tǒng)架構(gòu)

系統(tǒng)配置基本原則設(shè)置如下。

（1）邊界防護(hù)

在控制中心FEP、車站FEP與各互聯(lián)接口處冗余部署工控防火墻，利用工控防火墻解決系統(tǒng)之間網(wǎng)絡(luò)邊界防護(hù)，從而避免某一系統(tǒng)出現(xiàn)安全事件引起其他工控系統(tǒng)也被感染，降低安全損失。

（2）工控安全監(jiān)測(cè)與審計(jì)

在控制中心交換機(jī)和車站交換機(jī)上各旁路部署1臺(tái)監(jiān)測(cè)審計(jì)管理系統(tǒng)，實(shí)現(xiàn)對(duì)工控協(xié)議（OPC、MODBUS等常用工業(yè)協(xié)議）解析、異常流量分析、告警數(shù)據(jù)推送。對(duì)生產(chǎn)控制系統(tǒng)中存在的異常流量、誤操作、違規(guī)操作進(jìn)行實(shí)時(shí)告警、記錄、審計(jì)，為事后追溯、定位提供有力的證據(jù)。

（3）數(shù)據(jù)監(jiān)測(cè)與審計(jì)

在控制中心交換機(jī)上旁路部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)流量的采集、監(jiān)測(cè)、記錄、分析審計(jì)以及告警展現(xiàn)，并識(shí)別出控制中心網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)操作隱患以及違規(guī)操作等安全風(fēng)險(xiǎn)，發(fā)現(xiàn)裝庫(kù)、拖庫(kù)、SQL注入等威脅，為事后追溯、定位提供有力的證據(jù)。

（4）主機(jī)防護(hù)

在控制中心配置工控終端防護(hù)系統(tǒng)，以進(jìn)行對(duì)系統(tǒng)的安全策略下發(fā)和基線控制，并對(duì)系統(tǒng)工作情況實(shí)施系統(tǒng)監(jiān)控；高效對(duì)抗未知病毒、木馬、惡性進(jìn)程、非法攻擊。

（5）運(yùn)維審計(jì)

部署了運(yùn)維管理審計(jì)系統(tǒng)，對(duì)綜合監(jiān)控系統(tǒng)的管理與運(yùn)維集中管理，降低管理運(yùn)維風(fēng)險(xiǎn)。

（6）統(tǒng)一管理

在中心配置一套統(tǒng)一安全管理平臺(tái)，對(duì)全線配置的邊界隔離、網(wǎng)絡(luò)監(jiān)測(cè)、主機(jī)防護(hù)、工控網(wǎng)絡(luò)審計(jì)等安全產(chǎn)品進(jìn)行集中管控，實(shí)現(xiàn)統(tǒng)一配置、全方位監(jiān)測(cè)、及時(shí)告警、安全事件的集中呈現(xiàn)等。

綜合監(jiān)控系統(tǒng)安全防護(hù)部署如圖3所示。

圖3 綜合監(jiān)控系統(tǒng)安全防護(hù)部署示意圖

3 合規(guī)性分析

依據(jù)等保2.0三級(jí)安全規(guī)范規(guī)定，補(bǔ)強(qiáng)和加固后系統(tǒng)可達(dá)到等保2.0三級(jí)要求。

3.1 安全通信網(wǎng)絡(luò)

（1）網(wǎng)絡(luò)架構(gòu)

繪制與當(dāng)前業(yè)務(wù)相匹配的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，相關(guān)設(shè)備、系統(tǒng)實(shí)現(xiàn)冗余；單獨(dú)劃分區(qū)域，采取必要隔離措施。

（2）通信傳輸

利用PKI系統(tǒng)提供的完整性檢測(cè)技術(shù)進(jìn)行一致性檢驗(yàn)，從而確定信息的安全性以及對(duì)傳輸中的敏感信息字段及整個(gè)報(bào)文的保密度。

3.2 安全區(qū)域邊界搭建與安全系統(tǒng)功能設(shè)計(jì)

（1）邊界防護(hù)。各系統(tǒng)邊界安全需要考慮綜合監(jiān)控系統(tǒng)與其他系統(tǒng)的訪問(wèn)控制和邊界防護(hù)。配置訪問(wèn)控制功能（如防火墻），使得所有跨邊界的訪問(wèn)和數(shù)據(jù)流是經(jīng)過(guò)防火墻限制后的受控接口進(jìn)行通信。

（2）訪問(wèn)控制。在系統(tǒng)邊界配置了防火墻，并且對(duì)所有通過(guò)防火墻的數(shù)據(jù)流必須遵循一定的規(guī)則進(jìn)行檢查過(guò)濾。

（3）入侵防范檢測(cè)。部署工控監(jiān)測(cè)審計(jì)系統(tǒng)，使用全新的威脅檢測(cè)技術(shù)對(duì)各種攻擊行為以及網(wǎng)絡(luò)威脅提供高精度的檢測(cè)能力。

（4）惡意代碼防范。各個(gè)設(shè)備上安裝的病毒特征庫(kù)必須及時(shí)進(jìn)行更新。

（5）安全審計(jì)。通過(guò)部署審計(jì)設(shè)備，會(huì)話記錄的保存時(shí)間6個(gè)月以上且不得中斷。

3.3 安全計(jì)算環(huán)境

計(jì)算環(huán)境對(duì)定級(jí)范圍中的主機(jī)、網(wǎng)絡(luò)安全設(shè)備等設(shè)備及應(yīng)用系統(tǒng)、數(shù)據(jù)等進(jìn)行安全保護(hù)。

（1）身份鑒別。業(yè)務(wù)系統(tǒng)及重要資產(chǎn)應(yīng)采用雙因子認(rèn)證方式。

（2）訪問(wèn)控制。對(duì)于操作系統(tǒng)的重要文件和目錄，需要設(shè)置權(quán)限，確保其相互不能越權(quán)訪問(wèn)。

（3）惡意代碼防范。在工作站主機(jī)上部署終端防護(hù)系統(tǒng)提供安全策略集中管控，比如進(jìn)行集中安全策略下發(fā)等。

（4）可信驗(yàn)證。可信驗(yàn)證用戶可根據(jù)情況選擇是否應(yīng)用。實(shí)現(xiàn)設(shè)備內(nèi)核級(jí)系統(tǒng)監(jiān)控、文件可信校驗(yàn)、動(dòng)態(tài)度量、可信網(wǎng)絡(luò)連接及可信審計(jì)等功能。

（5）剩余信息保護(hù)。存在敏感信息的空間在再次產(chǎn)生或再次分享以前，必須先徹底擦除重要信息。

（6）控制設(shè)備安全。在不妨礙系統(tǒng)正常穩(wěn)定運(yùn)行的前提下，使用專業(yè)設(shè)備和軟件對(duì)控制設(shè)備完成補(bǔ)丁更新、固件刷新等工作。

4 密評(píng)測(cè)試驗(yàn)證與結(jié)果分析

密碼應(yīng)用等級(jí)一般由網(wǎng)絡(luò)安全等級(jí)保護(hù)的級(jí)別確定，綜合監(jiān)控系統(tǒng)已確定定級(jí)為三級(jí)保護(hù)，因此應(yīng)同步進(jìn)行三級(jí)密碼應(yīng)用等級(jí)測(cè)評(píng)，即應(yīng)遵循《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》第三級(jí)密碼應(yīng)用基本要求。綜合監(jiān)控系統(tǒng)三級(jí)密評(píng)整改對(duì)比如表1所示。

表1 綜合監(jiān)控系統(tǒng)三級(jí)密評(píng)整改對(duì)比

續(xù)表

5 結(jié)束語(yǔ)

綜合監(jiān)控系統(tǒng)安全防護(hù)從“技、管”兩個(gè)維度建立全面防護(hù)體系和實(shí)現(xiàn)安全防護(hù)建設(shè)，同時(shí)結(jié)合綜合監(jiān)控系統(tǒng)特性，構(gòu)建符合國(guó)家等保監(jiān)管要求的安全防護(hù)體系。方案能夠有效識(shí)別綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)中的非法訪問(wèn)、入侵等行為，通過(guò)與安全管理平臺(tái)進(jìn)行聯(lián)動(dòng)，快速定位風(fēng)險(xiǎn)入侵路徑、風(fēng)險(xiǎn)階段、風(fēng)險(xiǎn)源頭，方便管理人員能夠快速及時(shí)的做出應(yīng)對(duì)措施，實(shí)現(xiàn)通信行為、威脅、資產(chǎn)的“可知、可管”，降低工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)邊界防護(hù)能夠精準(zhǔn)的識(shí)別基于工控協(xié)議的入侵行為，對(duì)異常的通信行為能夠進(jìn)行分析、告警和阻斷的能力，實(shí)現(xiàn)風(fēng)險(xiǎn)、威脅的“可知、可管”。通過(guò)邊界防護(hù)將安全風(fēng)險(xiǎn)遏制形成閉環(huán)動(dòng)態(tài)的安全防御體系，為軌道交通綜合監(jiān)控系統(tǒng)的穩(wěn)定運(yùn)行、安全運(yùn)行提供有效的安全保障支撐。