新闻资讯
全部分类

轨交网络安全——“护航接力第一棒”

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2019-11-29 15:19
  • 访问量:

【概要描述】网络信息化的发展,轨交行业发生了哪些“黑”事件?

轨交网络安全——“护航接力第一棒”

【概要描述】网络信息化的发展,轨交行业发生了哪些“黑”事件?

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2019-11-29 15:19
  • 访问量:
详情

网络信息化的发展,轨交行业发生了哪些事件?

网络信息化不仅影响着人们的社交生活,同样也覆盖到轨道交通的建设、管理、安全等方面。伴随“云、大、物、移、智”等新技术的不断渗透,信息化、数字化、智能化已成为轨道交通发展的必然趋势。这种情况下,大量网络互联互通、大量数据开放共享的局面或无法避免,所带来的问题便是数据的“暴露面”急剧扩大。一些安全事件和实践经验也在告诉我们,轨道交通已经成为“有组织攻击”的重要攻击目标。

下面我们一起来看一下,网络急速发展的大时代背景下,轨交行业都发生了哪些事情:

 

  • 波兰有轨电车出轨

2008年,波兰罗兹(Lodz)市有轨电车的驾驶员计划向右转弯时,电车调度系统发出的命令却变成了向左转,此举不但导致被操纵电车后部车箱脱轨,而且还造成12名乘客受伤,所幸这起事件并没有造成人员死亡。

起因:此次事件是由该国一名年仅14岁的学生黑客侵入了波兰罗兹 (Lodz)市有轨电车运营调度系统引起的。

 

(图片摘选自网络)

 

  • 深圳地铁WIFI干扰事件

2012111日上午815分至930分,深圳地铁蛇口线多趟列车因信号系统自动防护功能作用而产生紧急制动,列车再次启动后只能维持低速运行。事件处理过程中,部分列车退出服务,造成大量乘客滞留。

起因:据官方通报称,目前排除了由信号系统自身原因造成故障的可能性,初步判断故障原因是线路信号系统受到了列车上乘客所使用的便携式3G无线路由器所产生的信号干扰所致。

 

(图片摘选自网络)

 

  • 黑客攻进旧金山轻轨系统

20161125日,美国旧金山轻轨系统的电脑屏幕上出现了“你被黑了,所有数据已加密。要想破解,登录电子邮箱****获取方法。”的字样。这是一起针对轨道交通系统的勒索软件攻击事件。

……

面对诸如此类事件的发生,天地和兴展开了行业级的网络风险防护课题的探究。

 

(图片摘选自网络)

 

“信号系统”为例

城市轨道交通信号系统是保证列车安全、准点、高密度运行的重要技术装备。是一个集行车指挥和列车运行控制为一体的非常重要的机电系统,它直接关系到城市轨道交通系统的运营安全、运营效率以及服务质量。就系统特点,我司在设计上尽量维持信号系统既有结构,以保证不对信号系统数据传输时延,丢包等指标产生影响,以保障信号系统业务功能安全为首要目标。

针对此系统,天地和兴结合等保2.0防护框架标准,就控制中心、设备集中站、设备非集中站以及停车站,根据各区域特点,进行了持有业务特色的防护规划。

防护设计图:

 

 

控制中心:

控制中心在信号系统中主要功能是轨道交通运营管理调度,担负着交通指挥工作,是信号系统的防护重点。根据区域内的业务模块和功能职责划分逻辑子区域,其中包括:远程接入区、业务服务器区域、核心交换区、外部应用接入区、无线业务区、运维管理区、监管调度区、模拟演示室。对信号系统控制中心安全建设,依据上述逻辑子区域进行安全防护。

在外部接入区,即在控制中心的网络边界部署工控防火墙。通过工控防火墙将信号系统与外部系统,如PISISCSPA系统等子系统及统一安全管理中心进行安全隔离。

在核心交换区,即在控制中心ATS交换机、维护网交换机处,以镜像口旁路部署入侵检测系统及威胁检测系统。入侵检测和威胁检测系统抓取核心交换机、维护网交换机等的数据包,检测病毒、蠕虫、木马、间谍软件、可疑代码、扫描等网络威胁攻击。

在控制中心的服务器区域部署安全审计系统。监视并记录对信号系统控制中心的网络内数据流量的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。

最后,在控制中心设立统一安全管理中心,将各类安全设备通过网络边界的工控防火墙连接到统一安全管理中心,利用统一安全管理中心实现集中监管与统计分析功能。

设备集中站:

设备集中站是信号系统重要的业务区域,在信号系统中主要功能是供车站值班员控制车站信号设备,作为等级保护三级进行设计。根据区域内的业务模块和功能职责划分4个逻辑子区域:业务边界区、核心交换区、车站调度业务区、工控业务区。

在核心交换区,即设备集中站ATS交换机、维护网交换机处,以镜像口旁路部署入侵检测系统。抓取ATS交换机、维护网交换机等的数据包,检测病毒、蠕虫、木马、间谍软件、可疑代码、扫描等网络威胁攻击。

在调度业务区,即设备集中站工作站设备上,部署白名单主机防护系统。在受控情况下完成日常软件和配置变更操作,防止木马、病毒等未授权软件的运行。

设备非集中站:

非设备集中站同属于关键的业务区域,定级为等级保护三级。根据区域内的业务模块和功能职责也划分4个逻辑子区域:业务边界区、核心交换区、车站调度业务区、工控业务区。作为设备非集中站,安全防护方案设计相对简单,防护的重心是调度业务区的各主机终端。

在本地监视工作站上部署白名单主机防护系统。在受控情况下完成日常软件和配置变更操作,防止木马、病毒等未授权软件的运行。

停车场:

停车场的网络拓扑结构及业务类型同设备集中站类似,安全防护方案设计可参考设备集中站的安全域划分。

在停车场ATS交换机、维护网交换机镜像口旁路部署安全审计系统。通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。

在停车场派班工作站、维护工作站等主机终端上部署白名单主机防护系统。白名单主机防护系统可由安全管理中心统一管理,进行权限推送,在受控情况下完成日常软件和配置变更操作,防止木马、病毒等未授权软件的运行。

设计理念所“道”之处是基于工业控制系统的防护手段,构建安全可控为目标、监控审计为特征的新一代主动防御体系,提高轨交系统整体安全性。

 

除信号系统以外,轨交线路级业务系统还包括:ISCS系统、AFC系统、PIC系统、CCTV系统、BAS系统、FAS系统等。就每一个系统的业务特点,天地和兴都有其独到的网络安全防护之精髓理念,以专业的业务安全替代传统的网络安全。下期,我们将为您揭晓更多轨交行业网络安全反攻击专业方案。

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号