轨道交通自动化信息安全面临的挑战及对策

　　随着信息化和工业自动化的深度融合，物联网技术的快速发展，工业自动化和控制网络正朝着分布式和智能化方向快速发展，越来越多的基于TCP/IP的通信协议和接口被采用，从而实现了从管理信息层到现场设备的一致识别、通信和控制。然而，在工业控制系统越来越开放的同时，也削弱了控制系统与外界的隔离和安全保护。因此，行业/企业在享受网络互联带来的各种好处的同时，也面临着来自各种来源的信息安全威胁，包括病毒和木马传播控制网络等。国内工业控制系统的安全风险日益严重，应给予足够的重视。

　　轨道交通自动化系统一般分为与列车运行控制直接相关的系统(如信号系统、电力SCADA系统等)。)，为列车运行提供协助和支持的系统(如综合监控系统、设备监控系统、火灾报警系统等。)和协助安全管理的系统(如门禁系统等。).这些系统有共同的特点：一般系统分为三层：信息管理层、控制执行层和现场操作层；该系统以采集执行控制器(如PLC)和工业控制网络为核心。工业控制网络要求更好的实时性、更高的传输速率和可靠性。

　　由于技术的限制，工业控制网络中的现场总线已经不能满足快速发展的工业控制网络的需要，工业以太网技术是目前应用最广泛的技术。具有以下优点：

　　(1)几乎所有编程语言都支持以太网；

　　(2)软硬件资源丰富，成本低(可以降低系统整体成本)；

　　(3)通信速率高(100兆设备得到广泛应用，千兆和10兆逐渐成为工业骨干网的主流)；

　　(4)由于基于TCP/IP的开放标准，不同设备易于互联，具有良好的发展潜力；

　　(5)易于实现管控一体化；

　　(6)工业产品设计，提供与其他自动化部件相同的MTBF(平均故障间隔时间)值，通常为10年以上(相比之下，典型的商用产品在建造时平均寿命高达5年)；

　　(7)安装方便：通常采用DIN-Rail导轨进行安装，或者用螺栓直接与机器连接；

　　(8)无风扇设计，实现被动散热；

　　(9)冗余电源、冗余链路、支持采用冗余设备，保证全天候正常运行时间；

　　(10)满足特定的行业标准【包括轨道交通行业普遍认可的EN50121-4认证(路侧应用)和EN50155认证(车辆应用)】，保证在湿度、防尘、防腐蚀、温度、振动、冲击、电磁干扰等极端现场条件下的正常运行。但我们不能掩盖这样一个事实，即工业控制网络是工业控制系统安全隐患的主要因素。01.工控系统信息安全现状及其对轨道交通安全的影响

　　现实调查表明，工业控制系统的信息安全问题越来越严重。

　　在过去两年中，在工业网络信息安全领域有几个有影响的例子：

　　(1)2010年7月首次检测到针对某公司ICS/SCADA的Stuxnet地震网病毒；三个月后，全球已有10万台主机被感染。这是世界上第一个专门为工业控制系统编写的破坏性病毒，引起了业界对信息安全的特别关注。

　　(2)2012年8月BBC技术版报道称，在西门子旗下的Roger  Kang平台交换机中发现后门。这个程序允许黑客轻松入侵网络并窃取信息。该设备主要用于美国的国家电厂，受到美国国土安全部的高度重视。

　　(3)2013年底，“棱镜门”事件主角斯诺登曝光了一份材料，显示美国在2008年开发了48种间谍工具，可以打击与互联网隔离的电脑。这种情况对人们认为工业控制系统与互联网隔离，ICS不存在信息安全问题的想法产生了颠覆性的影响。

　　根据统计数据，在工业最发达的美国，2010年工控系统信息安全事件只有39起，到2013年，这一数字已经上升到256起。其中，2013年，工控系统安全事件涉及能源、重点制造、供水、交通、核工业等直接关系国计民生和人身安全的行业。其中，交通行业工控系统安全事故占比达到5%。

　　中国的工业发展暂时落后于美国。因此，可以预测，未来中国工控系统安全事件也将呈现出广泛覆盖、快速增长的趋势。交通运输行业，尤其是轨道交通行业，以及工业基础设施中关键集成电路系统的安全事故的可能影响包括：

　　(1)轨道交通子系统的性能下降，影响系统的可用性；

　　(2)关键控制数据已被篡改或丢失；

　　(3)失控(2008年，波兰罗兹市一少年袭击城市轨道系统，用遥控器更换轨道切换器，导致4列列车脱轨)；

　　(4)严重甚至造成人员伤亡的；

　　(5)铁路运输单位声誉受损，信任度降低；

　　(6)基础设施损坏；

　　(7)严重的经济损失等。

　　02、工业以太网信息安全威胁的主要原因

　　从业人员普遍认为，工控网络的通信协议相对私密，与更广泛的网络隔离。此外，设备的优势使他们对工业网络的安全性充满信心。然而，在当今瞬息万变、互联广泛的网络世界中，许多工业运营商甚至没有意识到他们的系统已经暴露在互联网上，他们必须应对一些特殊的安全漏洞。根据最近的一份报告，美国国土安全部顾问InfraCritical仅通过监控引擎就发现了网络中暴露的50万个SCADA设备，其中7200个设备控制着水利、能源等领域的关键基础设施。因此，安全研究人员将工业控制系统的状态描述为“安全”听起来很荒谬。现有工业自动化网络的漏洞主要体现在以下三个方面：

　　(1)工业基本协议Modbus  TCP/IP协议数据包存在安全隐患

　　Modbus  TCP/IP协议在工业通信中应用广泛，但由于缺乏内置的安全处理，协议的应用相对脆弱。具体来说，即使是在传输一个源IP地址已经被检测到的TCP/IP包的时候，看起来也是合法的，但是因为可能包含恶意的Modbus  TCP通信包，所以整个通信过程都有疑点。假设系统检测到Modbus的源设备ID、功能代码或命令类型，这个恶意数据包就无处可藏了。同时，由于几乎没有针对工业设备的应用层安全防护模式，对于这类任务关键型应用的安全防护会落在网络安全设备上，比如硬件防火墙等。而传统的防火墙解决方案很少有扫描Modbus  TCP等工业协议的机制。

　　(2)自动控制中的定时要求非常严格，存在传输延时的安全隐患

　　监控和数据采集系统和自动化控制对受控对象的直接操作具有高度的时间敏感性。例如，变电站运行对时间非常敏感，触发电路开关的延迟会导致功率波动甚至断电。运营的高度及时性要求工业网络不应有明显的延迟。然而，恶意攻击者使用一个普通的请求者来攻击网络，即使防火墙可以阻止一个未经授权的请求，也会造成网络延迟。同时，在处理数据时，防火墙也存在容量和带宽不足的问题，这也导致关键时刻网络延迟，不能满足实时传输的要求。

　　此外，随着需求的增加，工业网络将集成更多的系统，如视频、语音和数据网络；网络设备需要更多的带宽和吞吐量来支持更高级别的应用，不影响网络安全，也不延迟其他工业运营。

　　(3)恶劣的现场环境促使网络设备被动适应，存在适应的安全隐患。

　　轨道交通现场的机械、电气和工业控制设备部署在恶劣的环境中。传统的信息技术网络安全设备很难在这些恶劣的环境中稳定运行，保证工业网络和系统的信息安全。这些恶劣的环境条件，如极端温度、电磁兼容性、电磁干扰等。可能对传统的IT网络安全设备造成比黑客蓄意程序工具的攻击更严重的破坏。因此，要确保工业网络免受黑客攻击和信息安全，首要任务是确保这些设备能够在这些恶劣的工业环境中持续稳定地运行。

　　消除以上漏洞的第一步是确认漏洞，堵塞漏洞；第二步至关重要，必须彻底清除安全漏洞。3.1轨道交通行业信息安全的整体考虑

　　轨道交通业务可分为自动控制和管理信息两大类。它分为三个安全域：生产域、管理域和互联网域。上海在处理信息安全时通常有以下做法：

　　(1)同一区域内的访问、不同区域之间的受控访问或禁止访问。

　　(2)在根据现有施工安全系统对自动控制系统进行保护的同时，应确定与列车运行控制直接相关的系统(如信号系统、SCADA系统)的等级非常重要，对应于安全等级保护系统的第三级；为列车运行提供辅助和支持的系统级别应确定为重要，对应于安全级别保护系统的第二级；

　　(3)仅用于轨道交通行业的管理、决策和办公系统的级别应确定为一般级别，对应于安全级别保护系统的第一级。

　　3.2工业控制网络信息安全的考虑

　　鉴于以上分析，建议从硬件和软件两方面实现工业以太网的信息安全。

　　(1)硬件实现多层次网络信息安全保护

　　根据轨道交通自动化系统的组成特点，将现场级系统分解为多层结构(如图1所示)，根据不同情况(如连接设备数量、带宽和性能要求等)在网络的每一层设置合适的工业级网络安全产品。).以艾科公司的EDR-810系列为例，随着集成技术的发展，市场上推出了一款集成防火墙交换机，主要面对底层需要连接多个终端设备且必须放置一台交换机的情况；集成设备集成了二层网管的交换功能和防火墙/NAT/VPN的功能，具有千兆上行端口和多个快速以太网端口。既能满足现场设备的接入要求，又能利用网络管理的功能，有效防止现场设备故障引起的广播风暴影响其他关键设备。对于现场未使用的端口，系统可以在物理密封的同时将其关闭，以防止利用现场设备接入交换机进行恶意篡改和非法入侵。此外，设备的防火墙策略控制不同信任区域之间的网络流量，网络地址转换(NAT)保护内部LAN免受外部主机传输的未授权活动，并可进行深度Modbus  TCP包检测，从而有效防止现场PLC等关键设备的非法控制，保证关键设备的可靠性。

　　在顶层对接办公网络时，应选择工业级千兆防火墙/VPN安全路由器设备，并考虑外部连接的高带宽需求和备份链路要求。以艾科公司的EDR-G903系列为例，具有冗余WAN接口，千兆宽带性能，吞吐量可达500Mbps，可建立的防火墙/NAT规则数超过512/256，从而保证了企业信息网与自动化网的安全通信；同时，支持VPN三层隧道协议的IPSec多达100个，可以满足远程多通道安全通信。(2)在网络管理软件中设置信息安全选项

　　工业网络管理套件可以实现简单配置、智能可视化管理、简单备份管理和快速故障排除，并将整个网络生命周期集成为一个工具包。为了应对工业网络对信息安全的重视，有必要在基于工业自动化系统标准IEC  62443的安装、运行和诊断以及由工业网络分隔的控制信息系统三个阶段确保网络安全。

　　在安装阶段，为了从软件上批量部署设备的安全功能，可以选择不同的设备安全级别，规范不同的安全条款，以满足不同的应用需求。

　　在运行阶段，软件可以在可视化的网络拓扑结构中用不同的颜色标注设备的不同安全等级，方便设备管理。检测到安全异常情况后，相应的界面会输出警告，通知操作员并及时处理。

　　04、案例与结论

　　案例：美国亨里科县交通控制系统的安全处置

　　根据NEMATS2交通控制标准，弗吉尼亚州亨里科县的交通部门升级了现有的公路交通信号控制系统，使其成为一个先进的交通管理系统(ATMS)。亨里科县现有的交通控制系统由140个信号控制的路口组成，但只有25个路口相互连接，其余115个路口的信号控制电路是隔离的。该系统将采用集中式网络架构，以便中央指挥中心能够与现场的每个交通信号控制器通信。现场交通管理员还可以每天在不同时间段调整和安排交通信号定时参数，以改善交通流量。从中央指挥中心，操作员将能够访问实时监控交通信号和远程流量控制的位置，以进行紧急响应。这种先进的流量控制网络将通过公共网络部署，不仅需要高度可靠的连接，而且保护网络安全，禁止未经授权的访问。

　　为了使交通管理员能够向交通指挥中心传输数据，系统集成商需要使用现有的ISP公共网络。然而，公共网络中可能存在安全问题，这将直接威胁到交通控制网络的通信。因此，使用VPN以及现场和核心防火墙来保证数据通信的安全性是非常重要的。

　　2011年工业和信息化部发布451号文件【0x9A8B】，强调从国家层面加强工控系统信息安全的重要性和紧迫性，轨道交通核心生产系统在此通知范围内。因此，希望通过以上讨论，相关人士重视对轨道交通现有系统部署现状、网络架构和主要安全问题的分析，形成有效的信息安全架构方案，推动轨道交通信息安全基础设施建设，完善轨道交通信息安全技术保障体系和信息安全管理体系，提升轨道交通行业信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。