城市軌道交通信息系統(tǒng)網絡安全建設
2017-11-29 來源:世界軌道交通資訊網
本文摘要:截止2017年上半年,全國開通城軌交通運營線路的城市增加至31個,累計運營里程4400公里。與此同時全國在建城軌交通的城市已增至53個,在建線路總規(guī)模5770公里!
截止2017年上半年,全國開通城軌交通運營線路的城市增加至31個,累計運營里程4400公里。與此同時全國在建城軌交通的城市已增至53個,在建線路總規(guī)模5770公里!
如果說高鐵改變了人們差旅出行中對距離的認識,城軌的發(fā)展毫無疑問改變了人們對時間的觀念。依賴其精確的運行,人們對出行時間的估算可做到誤差不超過5分鐘,城軌像一臺巨大精密的節(jié)拍器,指引著城市的基本運轉,像骨骼一樣支撐其快速擴張。
然而精密的系統(tǒng)更需要呵護,在層出不窮的網絡安全新聞已經麻木人的神經,并被大眾迅速遺忘時,相關企業(yè)和個人卻在承受、并努力挽回著攻擊造成的損失。
對于城軌系統(tǒng),每天承載幾百上千萬人出行的城市核心系統(tǒng),網絡安全事故是無法承受之重。
城市軌道交通信息系統(tǒng)面臨的安全威脅
•防護手段不足
缺乏系統(tǒng)級網絡安全設計,安全設備使用不規(guī)范,缺乏靈活有效的區(qū)域隔離手段,甚至部分子網間使用網關計算機隔離,對新型未知威脅更是缺乏防范。
•無線網絡安全
無線技術應用使網絡邊界變得模糊,軌道交通部分無線通信使用ISM頻段,采用開放頻段和標準協(xié)議,部分車站提供wifi便民服務,都導致整體網絡易受攻擊。
•內部威脅防不勝防
企業(yè)越來越多地采用無紙化辦公,甚至大量的企業(yè)密級信息以電子文檔的形式存儲,通過U盤拷貝數據更是從物理上繞過了互聯(lián)網出口的安全防護層,使病毒直達內網,因此內部監(jiān)管、防護十分重要。
•安全管理漏洞
所謂三分技術七分管理,在復雜的多系統(tǒng)網絡下,設備策略管理、運維人員操作管理、以及工作人員的安全意識等方面,都有較大提升空間。
•互聯(lián)網攻擊威脅
城市軌道交通信息網絡接入互聯(lián)網已成為必然,而黑客從互聯(lián)網發(fā)起攻擊的手段日趨多樣,系統(tǒng)掃描、撞庫攻擊、DDoS攻擊、釣魚郵件、0day攻擊、DNS劫持、HTTP劫持等漏洞、APT攻擊新工具層出不窮。
城市軌道交通信息系統(tǒng)網絡安全建設思路
根據網絡安全法要求,以及軌道交通信息系統(tǒng)自身安全需求,系統(tǒng)的安全建設應將網絡安全等級保護制度和行業(yè)自身特點有機結合,探索建立城軌系統(tǒng)"可信、可控、可管"的安全體系。
整體的設計應依據"一個中心、三層防護"的思想進行展開。
•第一層防護:計算環(huán)境安全
計算環(huán)境安全指網絡、主機等節(jié)點自身的安全設計,包括登錄用戶身份鑒別、用戶對資源的訪問控制、數據完整性保密性保護、程序可信執(zhí)行保護、系統(tǒng)安全審計等內容,其中基礎防護是統(tǒng)一的身份鑒別和基于身份的數據安全保護與審計控制:
上流程圖首先通過兩級身份鑒別,專業(yè)的安全網關設備便可將用戶身份和網絡地址對應,并通過業(yè)務策略子系統(tǒng)依據用戶身份進行防護。同時,在安全網關對用戶的訪問流量進行數據完整性、保密性檢查,以及程序可信執(zhí)行的檢查。
•第二層防護:區(qū)域邊界安全
區(qū)域邊界安全解決城市軌道交通網中外部服務網、內部服務網、安全生產網各自的網絡邊界,以及三網內部依據不同信任等級、業(yè)務特點劃分的各安全區(qū)域之間的網絡邊界防護。
區(qū)域邊界的核心內容,一是基于安全策略控制和已知威脅的防護,二是基于行為模式判斷的未知威脅防護。
安全策略,應基于多個維度,如五元組、應用類型、時間、位置信息、報文內容等全方位的訪問控制。
基于已知威脅的防護應充分考慮已知威脅特征庫的升級問題,在內網建立升級服務器,實時全網更新最新的病毒和漏洞特征。
對于傳播能力更強的未知威脅,應基于文件行為判斷。
上圖所示即為主流的行為檢測系統(tǒng)--安全沙箱--的檢測流程,通過還原報文數據,在虛擬機環(huán)境內對文件進行觀測,實現對未知惡意文件的識別。安全沙箱面對惡意軟件,可通過信譽掃描、實時行為分析、大數據關聯(lián)等技術,分析和收集軟件的靜態(tài)及動態(tài)行為。
通過行為模式庫技術,安全沙箱可得出精確的檢測結果,通過自身或多設備聯(lián)動對"灰度"流量實時檢測、阻斷和報告呈現,有效避免未知威脅攻擊的擴散和核心信息資產損失。
•第三層防護:通信邊界安全
通信邊界安全防護指在節(jié)點之間傳輸數據的安全設計,對于重要的業(yè)務系統(tǒng)、數據應采用加解密技術傳輸,實現數據完整性和保密性,并避免中間人攻擊、網頁劫持等特定網絡攻擊,因此宜在城規(guī)系統(tǒng)車站區(qū)域網絡出口、車輛段辦公區(qū)網絡出口、停車場區(qū)域網絡出口、數據中心核心交換區(qū)等網絡關鍵節(jié)點之間跨區(qū)域傳輸,或特別敏感數據采用端到端加密。
•一個中心區(qū)域:安全管理中心
在三層防護設計思想下,應劃分單獨的安全域作為統(tǒng)一的安全管理中心,承載全網系統(tǒng)管理、安全管理、審計管理。
控制中心部署日志系統(tǒng),實現對全網多種日志格式的統(tǒng)一管理、審計。部署漏洞掃描系統(tǒng)實時發(fā)現系統(tǒng)漏洞。
各區(qū)域安全網關、入侵檢測、終端安全軟件、用戶認證平臺,以及互聯(lián)網出口部署的上網行為管理,均將所記錄的用戶訪問日志、安全日志、用戶認證日志等信息實時發(fā)送至日志系統(tǒng)進行統(tǒng)一分析和留存。
部署堡壘機對核心業(yè)務系統(tǒng)、主機、數據庫、網絡設備等各種IT資源的帳號、認證、授權和審計的集中管理和控制,對所有運維過程進行記錄,確保運維可見可控可查。
結語
大量的城軌信息系統(tǒng)安全防護案例證明,華為能通過成熟的設計理念、業(yè)務場景的深刻理解,提供端到端完整的等級保護解決方案,并依靠領先的技術實力幫助客戶有效防御APT、已知&未知威脅攻擊,為城軌信息系統(tǒng)健康發(fā)展保駕護航。
相關文章
- 鋪軌高科技防震降噪,不會有晃動感覺2018-08-03
- 北京軌道交通線網客流特征分析2018-04-04
- BIM在城市軌道交通施工階段中,面臨的5大障礙2018-02-08
- 軌道交通列車節(jié)能關鍵技術及工程應用示范”項目通過驗2017-11-08
- 核心技術 自主創(chuàng)新--打造中國軌道交通「神經中樞」2015-03-31