城市軌道交通網絡安全分析及安全建設思路

發布時間:2019-12-18 瀏覽次數:385來源:新聞資訊

當前,我國軌道交通正處于黃金發展期。據最新統計,截至2017年12月31日,中國內地累計有34個城市建成投運線路5021.7公里。

   如果說高鐵的提速改變了人們對中國火車速度的認識,那么城市軌道交通高密度的運行也改變了人們對出行時間的估算,城市軌道交通像一只高精準的機械手表,指引著城市的基本運轉。然而再精密的系統也需要安全保障。而各行業層出不窮的安全資訊也在不斷麻木著我們的神經,相關企業在承受、并努力挽回著攻擊造成的損失。

   以北京為例,城市軌道交通系統每天承載上千萬人的出行,一旦出現網絡安全事故將直接影響人民的正常生活,造成的損失也是無法挽回。日前,國務院辦公廳印發了《關于保障城市軌道交通安全運行的意見》更是從中看出國家對于軌道交通安全的重視。
   下面小威就從網絡安全的視角分析下城市軌道交通面臨的主要安全風險:
   1、 防護手段不足
   缺乏靈活有效的隔離手段是軌道交通各業務系統存在的通病,目前主要的隔離手段還是依靠FEP進行隔離,系統缺乏整體的網絡安全設計,安全設備使用不規范。
   2、內部威脅防不勝防
   利用U盤拷貝從物理上繞過了內部安全防護機制,使病毒直達內網,因此內部監管、防護十分重要,避免再次出現類震網病毒事件。
   3、主機安全防護手段的落后
   眾多實踐證明,以殺毒軟件為首的黑名單主機防護機制不適用于封閉式網絡,但在實際安全建設中,為了降低成本,仍然采用殺毒軟件。而實際運營中不升級病毒庫的行為也使的網絡內主機/服務器對于病毒(已知、未知)的防范能力依舊薄弱。
   4、安全管理漏洞
   管理,這也是小威在安全領域經常談及的,所謂三分技術七分管理,在城市軌道交通系統中,系統運維管理、設備策略管理、運維人員操作管理、人員的安全意識管理等等均有較大提升空間。
   5、攻擊者門檻降低
   隨著城市軌道交通技術的不斷創新,云平臺、全自動無人駕駛、車車通信等使得系統的融合已成為必然,甚至可能存在與互聯網的通道連接,而在安全技術發展的今天,攻擊者只需花費少量的費用,就可以從互聯網側發起各種攻擊的手段。
   除了上述的5點,實際上在我們城市軌道交通系統中還有很多安全問題,小威就不一一列舉,總之隨著安全攻防技術的不斷進度,安全風險、安全漏洞會不斷升級。所以打造以不變應萬變,無招勝有招的安全體系,才是解決城市軌道交通網絡安全之根本。

   城市軌道交通安全建設思路
   城市軌道交通業務特點明顯,所以傳統安全解決思路是無法適用于城市軌道交通系統。因此小威根據《中華人民共和國網絡安全法》要求,將國家網絡安全等級保護制度和行業自身特點進行融合,形成"事前、事中、事后"+"可信、可管、可控"的安全防護保障體系。整體安全體系設計立足于"一個中心,三重防護"的安全思想,將以"白名單"為核心功能的安全產品貫穿始終,形成"軌道交通網絡安全白環境"的安全體系結構。

   第一層防護:安全區域邊界
   安全區域邊界主要解決城市軌道交通中不同系統間的邊界問題,安全區域邊界的核心內容,一是基于安全策略控制和已知威脅的防護,二是基于行為模式判斷的未知威脅防護。

   第二層防護:通信網絡安全
   通信邊界安全防護旨在保證不同節點間無異常流量通信的安全設計,通過在網絡內各個交換節點部署流量安全監測審計設備,保證網絡內無任何異常流量。

   第三層防護:計算環境安全 
   計算環境安全主要是系統內網絡、主機、服務器等節點自身的安全設計,主要利用包括登錄用戶身份鑒別、訪問控制、數據完整性、程序可信執行保護、系統安全審計等技術來保障最后一道屏障的安全。

   安全管理中心
   首先在三層防護設計下,劃分單獨的安全域作為統一的安全管理中心,承載全網系統管理、安全管理、審計管理。
   在安全管理中心內部署運維管理系統(堡壘機)對核心業務系統、工作站、服務器、數據庫、網絡設備等各種資源進行統一的身份認證、授權和審計,同時對所有第三方運維過程進行記錄,確保運維可見可控可查。
   其次在安全管理中心中部署一套漏洞掃描系統,定期對網絡中資產、系統的漏洞進行核查,從而保證整套網絡系統全生命周期內的安全性。

   城市軌道交通安全建設關鍵技術
   白名單技術在小威在多年的工控安全建設實踐中總結出來的最適合、最符合工業控制系統特點的安全技術。
   采用基于規則匹配技術實現的安全功能,要么就是黑名單方式,要么以白名單方式。黑名單方式,主要規則匹配的內容認為是惡意的,對其它內容不做處理,如入侵檢測系統、殺毒軟件主要采用此方式;白名單方式,主要是規則匹配的內容認為是無害或能夠允許的,而其它內容均認為是異?;虿豢尚?。 
   下面小威結合其自主研發的監測審計平臺給大家詳細闡述白名單技術,監測審計平臺也是在城市軌道交通安全建設中使用數量最多的一款硬件安全產品。
   監測審計平臺內置網絡通信安全模型自動學習功能通過學習在通信流量中的IP、MAC,服務端口等信息,生成類似防火墻包過濾策略的五元組規則,源IP、源端口,目的IP、目的端口、傳輸層協議類型的通信模型。通過與該安全通信模型比對,若監測到系統中出現了通信模型之外的源IP或MAC地址,說明有非法設備接入,可能就是潛在的攻擊探測;同時若監測到存在非正常業務內的調度臺、工作站等主機與聯鎖計算機、軌旁控制器進行通信,無論其應用層協議是否合規,都有可能是直接的協議攻擊。
   一旦形成穩定、可靠的網絡通信安全模型,則出現的任何不符合安全模型的通信流量都被列為異常流量,簡而言之面對萬變的風險,只有以不變的安全模型來解決能真正做到"以不變應萬變"。

   城市軌道交通安全建設效果
   在"一個中心,三重防護"的建設思想下,結合白名單技術,最終實現只有可信的設備才允許接入,只有可信任的消息才允許傳輸,只有可信任的軟件才允許執行的"軌道交通網絡白環境"從而實現城市軌道交通系統的專機專用,專網專用,徹底解決軌道交通網絡安全問題。

   威努特深耕軌道交通行業安全建設,在信號系統、綜合監控系統、AFC系統等系統中大量的城市軌道交通網絡安全防護案例中證明,威努特對于軌道交通業務系統、業務場景、工業控制系統安全建設有著深入的理解,能夠提供完整的安全解決方案,并依靠著成熟的技術服務團隊提供良好的技術支撐,為城市軌道交通安全建設提供堅實的后盾。

新疆35选7开奖结果79期 投资基金平台 中国福利彩票幸运农场 德甲恢复 下载大唐麻将手机下 手机捕鱼安全平台 东北麻将飘胡是什么意思 欢乐捕鱼人赢话费安卓 下载一个打麻将的游戏 360直播中超 大地棋牌下载地址