城轨交通网络安全系列（二） | 工业控制系统安全风险及保障

工业控制系统主要在轨道交通各主要子系统以及业务流程中参与过程控制、监控、自动化运行并提供相关信息服务。

从工控角度出发，轨道交通工业控制系统总体可以分为运行控制系统、牵引供电系统、车站系统、车载系统以及工务线路系统五大部分，并与信号、PSCADA、BAS、通信、列控、自动售检票等业务系统一起汇集到综合监控系统进行综合处理。

运行控制系统：运行控制系统包括中央控制系统、地面控制系统、车载控制系统及通信网络。负责对列车的运行速度进行控制、调度列车以及对列车进行动态定位和收集道路的占用信息等，确保列车运行安全，提高运输效率。

牵引供电系统：根据电力系统的服务方式，牵引供电系统可以被分为基础供电和安全检测两大类工业控制系统。基础供电工业控制系统包括接触网系统、受电弓系统、牵引变电所系统以及综合自动化系统，负责连接变电所内的强流设备和高压设备，并通过受电弓系统与接触网系统使高速列车获得持续稳定的动力供给。

车站系统：包含旅客服务系统和运营保障系统。旅客服务系统的主要目的是保障旅客和工作人员的人身安全，方便旅客购票、休息、乘车。运营保障系统主要是为了保障车站的正常运营以及对列车进行服务。

车载系统：分为两类，一类是列车运行基础控制系统，另一类是车载配套控制系统。列车运行控制系统包括车门系统、转向架系统、牵引系统、供电系统、制动系统、列车网络控制系统等，负责列车的安全运行控制、列车内部系统的控制和诊断，保障列车正常行驶。车载配套控制系统包括辅助供电系统、车内环境控制系统、烟雾报警监测系统等，主要负责列车内部的供电、照明、环境控制等。

工务线路系统：主要包括线路检测维修系统、防灾安全监测系统、轨旁监测系统3个部分。线路检测维修系统包括轨检、动检、探伤、道岔缺口监测、轨温监测等功能；防灾安全监控系统包括大风预警系统、雨量监测系统、异物侵界系统、水位监测系统等；轨旁监测系统包含地面安全监测系统、通信信号设备监测系统、线路状态监测系统等。

过去轨道交通工业控制系统的安全问题一直聚焦在功能安全的范畴，认为轨道交通工业控制系统依赖专有的、隔离的网络，使用特定的协议管理和通信，不存在较大的信息安全威胁。

然而随着信息技术推动轨道交通工业控制系统的不断进步，信息化和工业自动化深度融合，物联网技术的快速发展，工业自动化和控制网络正朝着分布式和智能化方向快速发展，国内工业控制系统的安全风险日益严重。

轨道交通工控系统，Modbus、OPC、工控协议设计之初主要为实现工控环境中实时、高效地传输工控数据，其本身缺乏内置的安全处理机制，协议的应用相对脆弱，且工控协议通常直接影响业务生产和功能，一旦工控系统系统被入侵，极易造成严重后果。再者，目前主流网络安全监测都基于TCP/IP，对IP负载的工控协议ID、功能码、数值、命令类型等缺乏细粒度的有效审计。

该类信息安全威胁包括网络接口导致的漏洞、网络协议导致的漏洞、网络权限管理导致的漏洞、网络风险传播导致的安全威胁等。当前轨交乘客服务、车站、运营、维护等各类业务系统之间存在各类接口。系统的互联互通是一把双刃剑，允许所有相关系统传输信息，提高了系统之间的协作效率，但它们也带来了新的入侵路径，增大了系统安全风险。

该类信息安全威胁包括工业主机漏洞、数据库及云平台漏洞，主机、传感器、控制器故障导致的信息错误或缺失等。实际上，轨道交通业务系统设备，自上线之后运行在断网环境中，针对后续发布的各类系统漏洞，基本不会升级。

该类信息安全威胁包括电磁干扰、拒绝服务、消息篡改、错误信息注入、未经授权访问、被动窃听、控制权攻击等。例如轨道交通信号系统，信号轨旁设备受电磁干扰可用性降低；车载无线入侵和非法访问等。

轨道交通调度软件、控制软件等专业应用程序在开发之初就考虑到了安全问题，相对比较可靠。但是其他服务器软件、办公软件、打印机软件等常见商业软件存在较大漏洞，对信息安全造成了潜在的风险。

如果工作人员疏忽或违规操作，就有可能使系统遭受非法攻击。例如：安全功能未开启、弱口令配置等。此外工作人员的非法网络访问、非法硬件接入、非法权限管理等操作都会对信息安全造成巨大威胁。

雷击、温度、湿度等物理环境导致的设备损坏，电流电压异常引起的交直流电源设备故障，进而影响设备正常运行。

网络安全的本质，是攻防两端的力量的对抗。应对轨道交通工业控制系统中的安全风险，需要针对性地部署安全能力，对抗入侵，抵御安全威胁，保障轨道交通业务系统的正常运行。

传统的IT信息安全设备已经不能满足工控场景下的安全防护需求，需要信息安全设备具备工控场景下的应用能力，同时支持对工控协议的深度分析。

为解决轨道交通工控场景下的网络安全能力建设，保障乘客安全出行，推动轨道交通业务系统安全水平到达新台阶，研发出整套的适用于轨道交通的工控安全解决方案及产品。能力上支持轨道交通工业协议的广泛支持和解析审计，硬件上支持宽温、抗震、防尘、防水等工业特性。 

综合上述轨道交通工控安全风险，从以下几个方面入手进行安全保障。

1) 工控网络边界防护

应用绿盟工业防火墙或工业网闸进行工控网络边界隔离，并针对车上业务场景，照国际标准EN50155设计开发绿盟车载工业防火墙，冗余电源设计，所有接口均使用标准M12接口，低功耗，无风扇，通讯接口全部满足bypass设计，完全符合“上车”的要求。

2) 工业网络审计与入侵检测

在工控网汇聚或核心交换机旁路部署，工控网络流量进行审计。对违规操作、误操作、入侵行为进行监测，实时了解工控网络的安全状态，为事后追溯、定位提供证据，并将审计结果传送给平台。探针也可以采集第三方设备日志并进行转发。对工控网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。

在小型成套的工控系统网络交换机上部署现场级工业网络预警探针，负责监测工控系统流量。

3) 工业主机防护

在工控系统PC端部署工业主机卫士系统服务，启用进程防护、病毒检测（非杀毒）、主机加固、USB等外设接口的防护功能，加强对工业主机的安全防护，增强未知威胁防范能力。

在安全管理区部署主机卫士服务端，实现对主机卫士的统一管理。

4) 远程运维安全

部署运维堡垒机，设置ACL访问策略，保障运维数据流经过堡垒机到达运维资源。对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。

5) 工业脆弱性管理

部署工控漏扫系统，对工控资产扫描和发现并对对PLC、PSCADA等工控系统的漏洞扫描、配置核查，支持Schneider、Siemens、AB等各大主流厂商DCS、PLC、RTU等控制器的漏洞扫描，为了避免漏扫活动对工控系统产生干扰，可使用无损漏描的方式对资产的漏洞进行发现及管理。

6) 工业态势感知

部署工业预警平台（INSP），工控网络安全情况进行分析、预警与响应。通过关联分析、深度学习等大数据分析方法，为用户提供风险评估量化与排名、事件关联分析、深度威胁挖掘、设备状态管理等态势感知功能。同时平台还能够通过全网主动探测的方法，对工业互联网设施的存活、状态、脆弱性、安全性进行检测，实时向运维人员动态反馈各工业设施安全状况，依据安全态势发展趋势为用户提供安全策略和建议。对包括工业勒索在内的工业网络攻击行为的事前、事中、事后形成闭环的处理方案。通过该项目建设，提高客户对工业网络安全管理水平，提高工业安全风险事件的处置及时率。

7) 安全管理

首先，进行组织治理。明确网络安全负责人和管理组织，企业主要负责人是网络安全第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。其次，进行管理制度建设。主要从四个层面进行建设，包括一级文件的网络安全方针、战略；二级文件的管理规定、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。最后，将制度文件进行评审、修订、发布、执行等管理。