01
高铁供电远动系统介绍
高速铁路电力远动系统又称高速铁路配电自动化系统,是利用计算机软硬件技术、通信技术、自动控制技术,对高速铁路供电系统中的各个环节如变配电所设备、贯通自闭线路等进行集中监控,实现四遥功能,以达到高速铁路供电系统自动调度与控制运行的目的。通过电力远动系统的控制与调节,能够及时地辅助处理供电故障并迅速恢复供电,给供电系统稳定与高速铁路安全运行提供了重要保障。
铁路供电远动系统SCADA是采用铁路内部专用数据网,实现对铁路局集团公司管内所有铁路沿线牵引供电和电力配电设施监控的工业控制系统。该系统能够实现供电系统的电压、电流、功率因数等电气参数的实时采集和监测,电力设备运行状况的动态显示,开关设备的远程控制等功能。系统通过准确记录历史数据,并通过报表、图形等显示形式还原各个时刻运行状态。在正常情况下,帮助调度员全面掌握供电系统的运行状态;在事故情况下,帮助调度员及时了解事故的原因和范围,快速进行事故处置。
SCADA系统采用分层、分布式的结构,系统分为调度管理层、通信传输网络层和现场设备层。PSCADA系统的调度管理层设在调度所内,另外在供电段(供电工区)设置复示终端。网络通信层包括连接铁路总公司调度中心与调度所之间、调度所与现场设备层之间、调度所与供电段(供电工区)之间的通信传输承载网络。现场设备层包括设置在客运专线沿线的牵引变电所、开闭所、分区所、AT所、变配电所的综合自动化系统、RTU等。
02
现状分析
Part. 1
安全隐患风险
高铁供电远动系统采用标准化系统平台和应用开放标准的网络协议,其网络和数据存在如下安全隐患:
供电远动系统与常规的信息系统一样,会感染来自信息网络的恶意代码;
供电远动系统的各种终端、工作站、服务器具有大量USB口、串口、光驱等输入通道,存在直接感染、复制恶意代码到系统中的风险;
供电远动系统网络缺少准入控制,在各区域很容易接入非经授权的网络终端而不被发现,存在被网络攻击的风险;
供电远动系统内缺少基于深度协议分析的异常检测和审计系统,当系统感染了恶意代码后,存在对底层执行系统发送非法指令的风险;
高铁供电远动系统集成互联了多个子系统,供电远动系统本身的远程维护,以及各子系统的远程维护缺少相应的记录和过程审计,存在大量安全隐患。
Part. 2
安全现状分析
供电远动系统按区域一般分为核心服务器区、调度工作区、前置服务器区及复示工作站区,集成化程度高,互联系统多,在各系统及区域间缺少有效的访问控制手段,并且区域间安全监测和入侵防范措施也很缺失;缺少信息安全监控机制,不能及时了解或发现入侵行为、病毒、网络访问异常、网络拥塞等问题。对于突发的安全事件基本靠人工经验排查,无法及时定位问题或组织有效的应急处置,事件精确定位的难度较大,排查过程需要耗费大量人力成本、时间成本。
高铁供电远动系统操作站一般采用Windows XP、Windows7等,服务器一般采用Solaris、Windows server2003等,上线后操作系统基本不会针对漏洞升级或加固,而操作系统在使用期间不断有新的漏洞被发现,导致操作站和服务器暴露在风险中;包括系统上线前没有关闭多余的系统服务以及缺乏有效的账号密码策略等安全问题;除此之外,运维人员调试过程需要对操作站和服务器安装一些软件,为了方便调试,会开启一些操作系统远程服务功能,上线后通常不会关闭此功能,从而使得安全配置略微薄弱的操作站系统,特别容易遭受攻击。
在高铁供电远动系统运维过程中,存在随意使用U盘、光盘、移动硬盘等移动存储介质现象,包括将传染病毒、木马等威胁因素带入生产系统等风险。且防病毒软件没有覆盖所有终端或者安装后没有及时更新防病毒软件程序及恶意代码库,出现问题后将无法及时准确地定位产生问题的原因、影响范围及后续的问题回溯。目前,现有的系统还无法准确获取第三方运维数据,因此当第三方运维人员运维SCADA软件和PLC时,高铁运营人员不能及时了解第三方运维人员是否存在误操作和恶意操作。一旦发生事故,需要大量时间确定问题,不能够及时有效地解决问题,也没有追溯手段。
03
方案设计依据及建设原则
中华人民共和国主席令 第五十三号《中华人民共和国网络安全法》;
中华人民共和国国务院令第745号《关键信息基础设施安全保护条例》;
工信部 信软〔2016〕338号《工业控制系统信息安全防护指南》;
工信部 信软〔2017〕122号《工业控制系统信息安全事件应急管理工作指南》;
工信部 信软〔2017〕122号 关于印发《工业控制系统信息安全事件应急管理工作指南》的通知;
工信部 信软〔2017〕188号 关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知;
工信部 信软〔2017〕316号 关于印发《工业控制系统信息安全行动计划(2018-2020年)》的通知;
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;
GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》;
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》。
04
方案介绍
Part.1
安全防护思路
安全问题
高铁供电远动系统面临着上述诸多技术、管理等方面的安全问题,主要表现在以下几个方面:
系统内未进行安全域划分,区域间未设置访问控制措施;
系统安全策略配置薄弱,大部分主机未安装杀毒软件;
第三方运维人员、运维系统无审计措施;
缺乏网络接入审核机制,任意第三方终端可轻松接入访问工控网络内系统资源。
防护思路
基于“白名单”机制的工业控制系统网络安全“白环境”解决方案,形成了基于“一个中心、三重防护”的纵深安全防护体系,通过对工控网络流量、工控主机状态等进行监控,收集并分析工控网络数据及软件运行状态,建立工控系统正常工作环境下的安全状态基线和模型,进而构筑工控安全“白环境”防护理念,确保:
以管理风险为核心目标,以白名单技术为基础;
以国内“两个要求”体系合规、国际“技术体系”接轨为两个视角;
形成可防御、可检测、可响应、可预测的全生命周期的四大体系;
孵化出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全能力。
总体设计思路如下:
依据网络安全等级保护要求,结合目前高铁供电远动系统安全防护面临的诸多安全问题,在安全防护体系建设方面需要遵循“系统内主机加固和风险监控,互联系统间逻辑隔离和防护,审计和告警数据集中管理和统一呈现”的工控系统安全建设原则。具体防护思路如下:
针对工业控制系统内部威胁部署工控安全监测与审计系统,实时监测系统内部异常行为,异常流量告警。
针对各互联系统间存在安全威胁的可能,部署工业防火墙,做到系统之间的逻辑隔离,保障不同系统间的数据交换安全性。
针对系统边界接终端随意接入网络的情况,部署网络准入系统,保证只有可信的节点可以访问网络,同时针对终端安全问题,部署工控安全卫士严格监管终端异常行为及非法数据外传等操作。
针对供电远动系统工业资产及异常数据监控方面,通过部署工控安全监测与审计平台及数据库审计系统,基于数据流的网络拓扑,实现对工业资产的实时统计并对整套系统安全风险做到实时展现。
针对全网资产统一管理及安全运维的需求,通过部署统一安全管理平台和安全运维管理系统,可有效解决工控网络中安全设备的统一管控,运维人员权限管理及过程监控的建设。
同时,在供电远动系统工控安全管理制度建设方面,面对组织机构人员职责不完善、专业人员缺乏、信息安全管理制度流程欠完善、应急响应机制欠健全、人员信息安全培训不足、人员安全意识有待提高等方面,需要在安全管理制度、组织机构安全、系统安全管理和运维管理等方面着重加强建设。
Part.2
工控安全技术方案
总体系统架构
高铁供电远动系统由调度工作站、复示工作站、前置服务器、核心服务器、各所远动通道及网络管理系统等组成,各系统通过冗余环网连接。针对供电远动系统安全防护体系建设,主要集中在复示工作站、调度工作站、各所远动通道、系统服务器等系统防护。
高铁安全防护总体架构如下图所示:
图1-供电远动系统安全设备部署示意图
区域边界安全防护
1、在复示工作站和各所远动通道区边界部署冗余工控防火墙实现区域边界防护。
2、在不同系统的区域边界部署工控防火墙,实现逻辑隔离,保证生产网的安全性,解决生产网区域之间进行互连时违规访问现象的发生以及网络边界防护。
针对工业控制现场的特点,工业防火墙能够对工业协议做到识别和深度解析,目前支持了500+种工业协议的识别、40+种的工业协议的深度解析,对于Modbus TCP/RTU、S7、OPC DA/UA等常见的工业协议,能够做到值域级细粒度的访问控制。
基于工控系统相对固化的特点,安全问题及安全防护措施有别于传统IT系统。威努特创新性地提出了建立工控系统的可信任网络白环境工控软件白名单理念,通过建立工业控制协议白名单访问控制策略,保证只有可信任的指令和消息才能在网络上传输,为工控系统构筑安全“白环境”整体防护体系,保护基础设施安全。
针对逻辑性、时序性强的业务流程,工业防火墙能够配置通讯周期和工艺序列,如果报文提前或超时到来、到来时序不符合预期,工业防火墙能够立即发出告警并拦截。同时业务工艺异常检测模块也能够对源地址和目的地址、协议字段、报文长度、包长度进行检测,全方位监测业务是否正常运行。
3、在安全管理中心部署网络安全准入系统,纯旁路部署方式接入网络,准确识别入网终端身份,提供终端健康检查与隔离修复,实现对网络终端的全面接入控制,严格管控非法终端入网,加强网络边界防护。
通信网络安全防护
在主干交换机、调度交换机上分别旁路部署工控安全监测与审计系统和入侵检测系统,部署在安全管理区的统一安全管理平台实现集中管理系统功能。
产品具备与多家主流工控厂商的兼容性测试报告,具有丰富的硬件接口,双电源设计,完全满足工控现场复杂的应用需要,能与行业主流工控系统厂商DCS、SCADA等控制系统完美兼容。
提供工控入侵检测规则,预置以下工控场景的入侵检测,至少包括: 针对 Modbus、IEC-60870-104、 BACnet、 DNP3、 Ethernet IP、 Siemens S7 、Profinet、OPC的检测规则 。
工控安全监测与审计系统智能学习模式,基于工控协议通信记录、智能学习通信关系、操作功能码和参数等方面对正常通信行为建模,对违规行为监测审计,包括工控网连接异常、工控协议异常、工控协议规约、工控关键事件监测审计。
统一安全管理平台对监测引擎告警数据的收集、记录、审计以及对监测引擎设备管理;监测引擎对工控协议(DDE、OPC、S7、MODBUS、IEC104等常用工业协议)解析、异常流量分析、告警数据推送。从而实现对生产控制系统中存在的异常流量、误操作、违规操作进行实时告警,记录、审计,为事后追溯、定位提供有力的证据,并帮助维护人员快速定位事故点,缩短系统恢复时间。
计算环境安全防护
· 安全运维管理系统
在安全管理中心部署1台安全运维管理系统,针对运维人员在管理区远程运维设备时,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。
在运维现场,经常会出现多名运维人员使用同一个资源账号远程访问同一资源信息的情况,导致出现安全事件后无法准确、清晰、快速定位事件责任人。安全运维管理系统为解决这一问题,为企业每个运维人员创建唯一的自然人账号(即主账号),此账号如同个人的身份证一样,与个人绑定。在运维过程中,主账号与其权限内的设备账号(从账号)进行关联,做到资源信息的实名制访问。可有效解决当下供电远动系统运维人员身份认证的问题。
· 终端主机安全管理
现场业务服务器操作系统大部分采用静态口令认证方式对用户身份进行鉴别,较容易受到字典攻击;工控主机卫士引入了硬件USB-KEY,该 USB-KEY为用户身份的唯一标识,当用户登录系统时需要插入USB-KEY然后系统对用户进行双因子身份认证,用户只有拥有合法的USB-KEY,并且输入正确的操作系统口令才能登录终端系统。登录成功后,如果用户需要临时外出可以拔除USB-KEY,安全内核会自动锁定服务器桌面。除持有授权USB-KEY的用户外任何人都不能进入服务器桌面环境。
在安全中心部署工控主机卫士管理端,在各区域的操作员站、监控中心接口机和工作站上安装客户端,通过主机卫士的程序白名单、外设管控、外联白名单等功能实现对调度工作站的进程白名单管理,对流量、移动存储介质使用进行管理,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现安全防护。
· 数据库审计
在安全中心部署1套数据库审计系统,对SCADA系统对数据库防护过程进行检测与审计,有效识别异常数据库访问行为,并将告警和日志上传至安全管理中心。数据库审计系统,可以可视化数据库资产分布和风险情况,提升数据安全治理能力。通过首页监控,展示数据库服务器的分布情况和风险状态;实时监控用户的数据库操作行为,及时对异常行为进行告警,防止业务瘫痪,保障业务系统的可用性。同时也帮助安全管理员打开数据库系统的“黑盒子”,全面地发现数据库在使用中的各种管理、系统配置风险,并给出合理化的修改建议。修复系统漏洞,降低数据库系统被攻击的风险。
安全管理中心建设
· 安全管理平台及日志审计
在安全管理中心部署1台统一安全管理平台及日志审计与分析系统,对整个系统里的网络设备,应用服务器、安全设备的使用率,如CPU、内存、硬盘等进行状态的监控,并且可以对资产的威胁进行攻击态势的展示,形成一个可视化的展示平台,提高运维人员的工作效率。
对整个系统里的网络设备、业务系统、安全设备等的日志进行统一收集和关联分析,并且通过关联分析对高危的安全事件进行告警,通过对日志的实时分析,系统能够识别出高危的安全事件,并及时发出告警。这有助于提前防范潜在的安全威胁,减少安全事件对业务的影响,同时也满足网络安全法要求的日志保存六月以上的要求。
整体自动化的监控、告警和日志分析,运维人员可以更高效地处理日常工作,减少手动干预的需求。这不仅提高了运维的效率,也降低了人为错误的可能性;在发生安全事件时,系统能够提供详细的事件溯源功能,帮助安全团队追踪事件的来源和影响范围,从而制定有效的应对策略。
05
结 语
高速铁路已经成为我国走向世界的一张国家名片,其名声享誉海内外。电力远动技术为高速铁路自动化和无人化的发展提供了重要的技术支持和强大的前进动力。为了进一步提高我国高速铁路的整体发展和巩固更加领先的地位,电力远动的技术研发人员要不断地学习进步和发展创新,北京威努特技术有限公司也在该领域提出了完整的工控安全建设方案,遵循“一个中心、三重防护”的技术路线全方位辐射覆盖高铁供电远动系统的安全能力建设,从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护、实现工控网络资产的可视化管理,动态识别非法接入设备,直观展示工控网络安全威胁。全面提升高铁供电远动系统网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求,为我国的高速铁路事业添砖加瓦。
