技术分享 | 基于等级保护2.0要求的城市轨道交通PIS系统安全解决方案分享
乘客信息系统(PIS)全称Passenger Information System,是运用网络技术和多媒体技术进行信息多样化显示,为地铁乘客及时传递各种信息,进一步提高地铁服务质量的系统。它通过控制中心、编播中心、车站控制等系统,对所需信息实时编辑、制作、传递,并通过车站或车上等离子或液晶显示器,为地铁乘客和地铁员工提供以运行信息为主,商业广告为辅的多媒体综合信息显示。虽然PIS系统并不像SIG系统、ISCS系统或AFC系统那么重要,但是它却在实时播放列车运营信息、出行信息、政府公告、公益广告等多媒体资讯,在火灾等紧急情况下,可迅速、直观、优先播放紧急疏散和防灾等文本和图像信息,以便告知和引导乘客,起到辅助防灾、救灾的作用,所以PIS系统也是保障城市轨道交通运行安全的重要手段。
随着2017年6月1日《中华人民共和国网络安全法》正式施行,中央网络安全和信息化领导小组办公室(简称“中央网信办”)发布《国家网络安全检查操作指南》也明确城市轨道交通为国家关键基础设施,所以城市轨道交通各个弱电专业子系统都应严格按照国家网络安全等级保护基本要求进行安全建设,并根据各个专业子系统的特点,在网络安全等级保护制度的基础上,实行重点保护。
根据PIS系统在业务信息安全被破坏时对客体的侵害程度、系统服务安全被破坏对客体的侵害程度以及轨交协起草的《智慧城轨信息技术架构及信息安全规范》中对于系统的要求,综合判断,PIS系统宜按照等级保护二级标准进行安全建设。
√ 网络结构分析
PIS系统由控制中心子系统、车站子系统、车辆段&停车场子系统、网络子系统、车-地无线通信子系统和车载子系统构成,下图为PIS系统的总体网络架构图:
在业务上控制中心子系统与线网编播中心子系统互联,接收线网编播中心提供的视频源和播放列表,合成本线路轨道运营需正常发布的PIS信息,支持视频信号在IP网络上进行单播、组播和广播。同时,PIS系统在控制中心与时钟系统、集中监控系统、信号系统和综合监控系统互联,进行相关数据交互。
车站子系统通过传输系统与控制中心子系统互联,接收、存储和下发来自控制中心的播放列表和播放内容,并通过控制本地LCD显示屏进行播放。PIS系统在车站与综合监控系统互联,用来接收综合监控系统提供的信息。
√ 安全隐患分析
① PIS系统与其它互联系统存在对外接口,黑客可以利用其它系统作为跳板入侵PIS系统。
② 内部各子系统中没有针对重要的业务设备进行区域划分,攻破一点即有可能进行整网扩散。
③ 车-地通信采用无线通信网络,部分采用通用的协议,容易被黑客干扰,导致通信信息无法正常传输。
④ 网络中存在大量交换设备,但交换机自身无任何安全配置,黑客很容易通过交换机接入网络,从而进行破坏动作。
⑤ 控制中心和车站的服务器与工作站主要以windows为主,无有效的恶意代码防护手段、USB接口管控手段;且因为不具备更新补丁的环境,导致其自身也存在缓存区溢出、拒绝服务攻击的问题。
⑥ 工作站系统登录仍然采用用户密码认证的身份鉴别手段,防护能力较弱,无法有效的阻止黑客破解密码,获取系统权限,从而发起攻击行为。
⑦ 因早期对PIS系统无安全管理办法,从而使的其安全管理体系不完善。
除了上述的7点安全隐患外,在城市轨道交通PIS系统中还有很多安全隐患,小威就不一一列举。
√ 白名单概念:
白名单的概念与黑名单概念是相对应的,黑名单设置的是“不能通过的”,而白名单设置的是“能通过的”。如果设立了白名单,则在白名单中的IP地址、IP包、程序会优先通过,不会被当成违规文件,其安全性、快捷性和稳定性都大大提高,而快捷性和稳定性恰恰是工业控制系统所需要的。这也是在工业领域众多实践中白名单技术优于黑名单技术的主要原因。
√ PIS等级保护二级技术解决方案
在最新的网络安全等级保护2.0的基本要求中,安全技术要求分为了5个部分,分别是物理环境安全、通信网络安全、区域边界安全、计算环境安全和安全管理中心。以网络安全等级保护2.0为依据的PIS等级保护二级技术解决方案主要包括如下四个部分:
> 区域边界安全解决方案:
1)在控制中心和车站的对外接口处部署工业防火墙,通过配置端口级访问控制策略解决通过其他专业系统对PIS系统的越权访问与非法登陆问题,同时配置基于白名单的应用级策略,有效的阻止病毒、蠕虫恶意软件利用该接口扩散和入侵,防止针对于PIS系统通信协议的攻击,保证PIS系统的安全运行。
2)因线网编播中心存在互联网接口,所以在控制中心与线网编播中心接口处部署物理隔离设备,如网闸,通过物理隔离的方式与互联网接口隔离,同时满足网络安全等级保护V2.0中对边界安全的要求。
3)在控制中心交换机上进行IP/MAC地址绑定,保证只有绑定了IP和MAC的设备才能接入网络,一定程度上防止了非法接入的行为。同时在控制中心交换机上进行VLAN划分,将服务器和工作站划分在不同的VLAN中。
> 通信网络安全解决方案
在PIS系统控制中心核心交换机处旁路部署网络流量监测审计设备,利用监测审计设备网络流量白名单功能,详实记录一切网络通信流量,建立安全通信基线模型,对异常流量、操作行为监测并告警,识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值等安全威胁,为安全事故调查取证提供技术支撑。
> 计算环境安全解决方案
1)在控制中心和车站的所有主机类设备上部署主机白名单软件,利用白名单技术,从根本上防御病毒入侵,解决了杀毒软件误识别和不能更新样本库的问题;同时通过在主机白名单软件上开启外设白名单管控功能,对USB接口进行管控,仅允许经过认证的安全 U盘才可以执行读写操作,解决U盘滥用问题。
2)对网络设备进行配置加固,包括不使用接口的关闭,开启密码策略等操作,保证网络设备在一定程度上的安全性。
3)对计算环境内主机、网络设备开启自身安全审计功能,对发生的安全事件进行审计,做到事后追溯,有证可查。
> 安全管理中心解决方案
在控制中心划分出独立的VLAN用于放置安全管理中心设备,小威建议在安全管理中心中配置统一安全管理平台和安全运维管理系统。
1)统一安全管理平台包括三个部分,系统管理、安全管理和审计管理。a)系统管理用于管理PIS系统内工作站、服务器等主机类设备和路由器、交换机等网络设备,对其状态进行实时监测,如CPU,内存,硬盘等;b) 安全管理则对部署安全设备进行策略的统一下发,保证PIS系统内所有安全策略的一致性,避免出现“木桶原则”。c) 审计管理通过采集各个节点的审计日志,通过对审计日志进行关联分析,以可视化的方式对分析结果进行展示,使得业主和用户能直观的了解网络安全状态。
2)安全运维管理系统则对网络内所有运维的用户进行授权和身份鉴别,保证只有经过认可的用户才可以进行运维动作,同时对所有用户的运维动作进行审计,保证运维过程的安全性。
以网络安全等级保护2.0的 “一个中心,三重防护”为核心安全思想,同时将“白名单”为核心安全技术的贯穿始终,形成“轨道交通PIS系统网络安全白环境”的安全体系架构,既能满足网络安全等级保护2.0的技术基本要求,同时亦满足《中华人民共和国网络安全法》要求,最终形成“事前、事中、事后”+“可信、可管、可控”的安全防护体系。
威努特深耕城市轨道交通行业等级保护安全建设工作,2018年已获20余个中标项目,涉及信号系统、综合监控系统、AFC系统和通信系统(PIS+CCTV)等多个专业子系统,对于轨道交通业务系统、业务场景、工业控制系统安全建设有着深入的理解。小威期待在城市轨道交通各专业系统安全防护领域,与更多业界同仁不断探讨,持续深入。
跟多阅读:
威努特工控态势感知平台亮相全国水利工程工控网络安全防护技术推介会
威努特工控安全
专注工控·捍卫安全