轨道交通自动化信息安全面临的挑战与应对
2020-12-23
来源:关键基础设施安全应急响应中心
联盟旨在搭建政府、产、学、研、用之间的交流平台,推进我国工业安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展。此账号用于发布联盟成果、专家视点及工业安全前沿动态等内容。
随着信息化与工业自动化的深度融合,以及物联网技术的快速发展,工业自动化与控制网络也向着分布式、智能化的方向迅速发展,越来越多基于TCP/IP的通信协议和接口被采用,从而实现了自管理信息层延伸至现场设备的一致性识别、通讯和控制。然而,在工控系统越来越开放的同时,也同步削弱了控制系统与外界的隔离和安全保护。因此,行业/企业在享受网络互连带来的种种好处的同时也面临着各种来源的信息安全威胁,包括病毒、木马向控制网络的扩散等,国内工控系统(ICS)的安全隐患问题日益严峻,应给予足够的重视。
轨道交通中的自动化系统一般分为:与列车运行控制直接相关的系统(如信号系统与电力SCADA系统等)、为列车运行提供辅助、支撑的系统(如综合监控系统、设备监控系统、火灾报警系统等)以及辅助于安全管理的系统(如门禁系统等)。这些系统存在着共同的特点:一般系统分为信息管理层、控制执行层和现场操作层三层架构;系统以采集与执行控制器(如PLC)和工业控制网络为核心开展工作;工业控制网络要求有更好的实时性、更高的传输速率以及可靠性。
工业控制网络中的现场总线由于技术的局限性已经不能满足快速发展的工业控制网络的需求,当前应用最为广泛的是工业以太网技术。具有如下优点:
( 1 ) 几乎所有的编程语言都支持以太网;
( 2 ) 软硬件资源丰富,成本低廉(可降低系统的整体成本);
( 3 ) 通信速率高( 百兆设备已被广泛使用,千兆、万兆逐渐成为工业骨干网的主流);
( 4 ) 由于基于TCP/IP开放式标准,不同设备很容易互联,具有很好的发展潜力;
( 5 ) 易于实现一体化的管理与控制;
( 6 ) 工业产品设计,提供其它自动化组件相同的MTBF(平均故障间隔时间)值,通常是10年以上(相比之下,典型商用产品在建造时,最多实现5年平均寿命);
( 7 ) 方便安装:通常采用DIN-Rail导轨安装,或者直接用螺栓连接到机器上;
( 8 ) 无风扇设计,实现被动散热;
( 9 ) 冗余电源,冗余链路,支持采取冗余设备以保证全天候正常运行时间;
( 10 ) 符合特定行业标准[包括轨道交通行业普遍认可EN50121-4认证(轨旁应用)以及EN50155认证(车载应用)],以保证能在极端的现场条件下正常运作,如湿度、防尘、防腐蚀、温度、振动、冲击和电磁干扰。但无法掩盖一个事实,工业控制网络是工控系统安全隐患中的主要因素。
工控系统信息安全现状以及对轨交安全的影响
现实情况的调研说明了工业控制系统信息安全问题日趋严重。
近两年,在工业网络信息安全领域有几个影响较大的实例:
( 1 ) 2010年7月首次检测出以某公司的ICS/SCADA为攻击目标的Stuxnet震网病毒;三个月后,全球已有十万台主机计算机受到感染。这是世界上首个专门针对工业控制系统编写的破坏性病毒,由此引发了工业界对信息安全的特别关注。
( 2 ) 2012年8月,BBC技术版报道,在西门子旗下的罗杰康平台交换机中发现了后门,这个程序让黑客可以容易的侵入网络,窃取信息。该设备主要应用在美国的国家发电厂中,得到美国国土安全局的高度重视。
( 3 ) 2013年底,“棱镜门”事件的主角斯诺登曝光了一份材料,显示美国在2008年研制了48种间谍工具,可以实现对与互联网隔离的计算机的隔空打击。这一情况对人们存在将工业控制系统与互联网隔离、ICS不存在信息安全问题的想法构成颠覆性冲击。
根据统计数据显示,在工业最为发达的美国,2010年工业控制系统信息安全事件数量统计仅为39条,到了2013年,这一数据增至256条。其中在2013年,工业控制系统的安全事件在能源、关键制造、供水、交通、核工业等直接关系到国民生计以及人身安全的行业都有涉及。其中交通行业工业控制系统安全事件的比例达到5%。
中国的工业发展暂落后于美国。因此,可以预见到未来中国的工业控制系统安全事件也将呈现覆盖范围广、增长速度快的趋势。交通行业,尤其是轨道交通行业,工业基础设施中的关键ICS系统的安全事件可能造成的影响包括:
( 1 ) 轨道交通子系统性能的下降,影响系统的可用性;
( 2 ) 关键控制数据被篡改或者丧失;
( 3 ) 失去控制(2008年一少年攻击了波兰的Lodz的城铁系统,用一个遥控器改变轨道扳道器,导致4节列车出轨);
( 4 ) 严重甚至导致人员伤亡;
( 5 ) 轨道运输单位声誉受损,信任度降低;
( 6 ) 基础设施破坏;
( 7 ) 严重的经济损失等。
工业以太网信息安全威胁的主要原因
从业者一般认为工业控制网络通信协议相对私有,与更广范围的网络存在隔离的特性,加上设备自身的优势,使得他们对于工业网络的安全性很有信心。但在如今不断变化、更广互联的网络世界中,许多工业运营商甚至都没有意识到他们的系统已经被暴露在互联网上,必须要进行一些特别的安全漏洞处理。在近期的一则报道中反映,美国国土安全部顾问InfraCritical仅仅通过监控引擎就发现了50万个暴露在网络中的SCADA设备,其中7200个设备控制着关键的基础设施,比如说水利、能源以及其它领域的设备。因此,安全研究人员描述工业控制系统的状态“很安全”,就听起来很可笑了。
现有的工业自动化网络中漏洞存在主要体现在以下三方面:
( 1 ) 工业基础协议Modbus TCP/IP 协议数据包存在安全隐患
Modbus TCP/IP 协议被广泛应用于工业通信中,但由于缺乏内置的安全处置,使得协议应用时相对脆弱。具体地说,即使当传送一个检测过源IP地址的TCP/IP的数据包时,看起来似乎是合法的,但由于它可能包涵有恶意的Modbus TCP 通信数据包,让整个通信过程存在疑虑。假设让系统对Modbus的源设备ID、功能码或者命令类型进行检测时,这种恶意的数据包将无处遁形。同时由于工业设备几乎没有应用层的安全防护方式,因此这样的关键任务应用的安全保护将落地在网络安全设备,如硬件防火墙等,而传统防火墙的解决方案中很少有扫描Modbus TCP等工业协议的机制。
( 2 ) 自动化控制中对时序的要求很严格,存在传输延迟的安全隐患
SCADA和自动化控制对受控对象的直接操作是具有高度时效性的,比如说变电站运作对时间非常敏感,触发电路开关的延迟可以导致功率波动甚至停电。操作的高时效性要求工业网络不能存在重大的延迟问题。然而,恶意攻击者使用一个常见请求程序去攻击一个网络,即便防火墙可以阻止一个未经授权的请求,也会造成网络延迟。同时防火墙在处理数据时也存在能力不足、带宽不够的情况,同样也会在关键时刻导致网络的延迟,无法满足实时性传输要求。
另外,随着需求的不断增长,工业网络将集成更多的系统,如视频、语音和数据网络等;网络设备需要更大的带宽和吞吐量来支持更高级的应用程序,并不影响网络安全,也不会造成其它工业操作的延迟。
( 3 ) 严苛的现场环境促使网络设备被动适应,存在适应性安全隐患
轨交现场机电机械和工业控制设备都部署在较为严苛的环境中。采用传统的IT网络安全设备很难在这些严苛的环境中稳定运行并保障工业网络及系统的信息安全。这些严苛的环境条件包括如极端的温度、EMC、EMI等,对传统IT网络安全设备造成的损坏也许比黑客刻意程序工具的攻击更加严重。因此,确保工业网络免受黑客的攻击,保障信息安全,首要任务是确保这些设备能够在这些严苛工业环境下持续、稳定地运行。
消除以上漏洞的思路,第一步是确认漏洞、关闭漏洞;第二步至关重要,必须将安全漏洞完全处理掉。
工控网信息安全解决方案探讨
3.1 轨交行业信息安全的总体考虑
轨交业务总体可以分为自动化控制和管理信息两大类。划分为三个安全域:生产网域、管理网域和互联网域。上海在处置信息安全时,一般有以下做法:
( 1 ) 同区域访问、各不同区域之间实行受控访问或禁止访问。安全域之间的访问控制策略见表1。
表1 访问控制策略表
( 2 ) 自动化控制系统按照既有的建设安全体系进行防护的同时,与列车运行控制直接相关的系统(如信号系统和SCADA系统)级别应定为非常重要,对应安全等级保护体系的第三级;为列车运行提供辅助、支撑的系统级别应定为重要,对应安全等级保护体系的第二级;
( 3 ) 仅供轨交行业内部使用的管理、决策、办公类系统级别应定为一般,对应安全等级保护体系的第一级。
3.2 工控网信息安全的考虑
针对以上的分析,建议从硬件以及软件两个方面实现工业以太网的信息安全。
( 1 ) 硬件实现多层次网络信息安全防护
针对轨道交通自动化系统构成特征,将现场级系统分解成多层结构(如图1所示),在各层网络中根据不同情况(如连接设备数目、带宽以及性能要求等),设置合适的工业级网络安全产品。以Moxa公司的EDR-810系列为例,随着集成技术发展,在市场上推出了一体化的防火墙交换机,主要面对最底层需连接多个终端设备,必须放置一台交换机的情况;该集成设备集合了二层网管交换功能以及防火墙/NAT/VPN的功能,具有千兆上联口以及多个快速以太网口,在满足现场设备接入的同时,还可利用网管的功能,有效防止由于现场设备故障导致的广播风暴对于其它关键设备的影响;对于现场不被使用的端口,在物理封存的同时系统可以将其关闭,从而防止利用现场设备接入交换机进行的恶意篡改以及非法入侵。另外,该设备的防火墙策略控制不同信任区域之间的网络流量以及网络地址转换(NAT)防御内部局域网免受未经授权从外部主机传来的活动,能够执行深度的Modbus TCP数据包检测,从而有效地防止对于现场PLC等关键设备的非法控制,确保关键设备的可靠性。
在最上层对接办公网络时,宜选择设置工业级千兆防火墙/VPN安全路由器设备,同时应考虑满足带宽需求高、对外连线需要有备份链路的要求。以Moxa公司的EDR-G903系列为例,其具备冗余的WAN接口,千兆的宽带性能,吞吐量能够达到500Mbps,能够建立的Firewall/NAT规则数为512/256以上,从而确保企业信息网与自动化网络之间的安全通信;同时,支持VPN三层隧道协议IPSec可达100条,能够满足远端的多通道安全通讯。
( 2 ) 在网管软件中设置信息安全的选项
工业网络管理套件可以实现简易配置、智能可视化管理、简便的备份管理以及快速故障排除,将整个网络生命周期都结合到了一个工具包内。为了回应工业网络对于信息安全的重视,须基于ISA与IEC共同制定的针对工业网络分隔的工业自动化系统和控制信息系统的标准IEC 62443标准,分别在安装、运行和诊断三个阶段来确保网络安全。
在安装阶段,要从软件上可以批量部署设备的安全功能,可选择不同的设备安全级别,规范不同的安全条款,以满足不同的应用需要。
在运行阶段,软件可在可视化的网络拓扑结构中,用不同颜色来标注设备的不同安全等级,方便进行设备管理。在侦测到安全异常情况后,有相应的界面输出警告,通知操作人员,进行及时处理。
案例与结语
案例:美国亨利科县交通控制系统的安全处置
弗吉尼亚州亨利科县交通部门按NEMA TS2交通控制规范升级现有的公路交通信号控制系统,使其成为先进交通管理系统(ATMS)。亨利科县现有的交通控制系统是由140个信号控制的十字路口组成,但只有25个十字路口是相互连接的,其余115个十字路口的信号控制电路隔离。该系统将采用一个集中的网络架构,使得中央指挥中心可以与每一个现场交通信号控制器进行数据通信。现场的交通控制器也可以调整和安排每天不同时间段的交通信号配时参数,以此来提高交通车流量。从中央指挥中心,运营商将能够访问交通信号的实时监控和应急响应远程流量控制的位置。这种先进的交通控制网络将通过公用网络进行部署,不只需要一个高度可靠的连接,同时也保护了网络安全,禁止未经授权的访问。
图1 现场系统的多层结构图
为了使交通控制器能够将数据传送到交通指挥中心,系统集成商需要利用现有的ISP公共网络。然而,在公共网络中存在可能的安全性问题,会直接威胁到交通控制网络的通信。所以,采用VPN和现场及核心防火墙来保证数据通信的安全就显得至关重要。
2011年,工业和信息化部颁发了451号文《关于加强工业控制系统信息安全管理的通知》,从国家层面强调了加强工业控制系统信息安全工作的重要性和紧迫性,而轨道交通的核心生产系统正属于此通知范围内。因此希望通过上述讨论,提请相关人士重视对轨道交通现有的、各个层次系统部署状况、网络架构及主要安全问题的分析,形成一套有效的信息安全架构方案,推动轨道交通信息安全基础建设,完善轨道交通信息安全技术防护体系、信息安全管理体系,提升轨交行业的信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。