軌道交通控制系統(tǒng)信息安全風(fēng)險評估實例分析

一、導(dǎo)論

信息安全風(fēng)險評估是一種基于風(fēng)險管理的評估方法，在工控基礎(chǔ)設(shè)施行業(yè)如工業(yè)自動化、電力行業(yè)已有應(yīng)用，根據(jù)工控信息安全標(biāo)準(zhǔn)IEC62443-3-2，評估過程包括：

1.?識別系統(tǒng)范圍，包括系統(tǒng)架構(gòu)圖、網(wǎng)絡(luò)圖和資產(chǎn)清單;

2.?頂層風(fēng)險分析，識別最壞情況下信息安全威脅事件對資產(chǎn)造成的影響;

3.?區(qū)域和管道劃分，根據(jù)保護(hù)對象業(yè)務(wù)特點將資產(chǎn)進(jìn)行分區(qū)，確定區(qū)域和管道;

4. 對每個分區(qū)進(jìn)行威脅和脆弱性識別，定義風(fēng)險接受準(zhǔn)則，對威脅和脆弱性進(jìn)行風(fēng)險定級;

5. 信息安全風(fēng)險評估報告，輸出信息安全需求。

圖1 信息安全風(fēng)險評估過程

二、軌道交通實例分析

在軌道交通領(lǐng)域中，RAMS也是采用基于風(fēng)險管理的方法，這兩種方法之間：

? RAMS和信息安全的風(fēng)險評估有何不同，對系統(tǒng)的安全性分析側(cè)重點各是什么;

? 在系統(tǒng)RAMS保障體系的基礎(chǔ)上，用戶為何需要關(guān)注信息安全問題。

下面以一個實例(計算機(jī)聯(lián)鎖系統(tǒng))解析軌道交通信息安全風(fēng)險評估的實踐方法。

2.1 識別系統(tǒng)范圍

以城軌信號系統(tǒng)的聯(lián)鎖系統(tǒng)為例，下圖為軌交行業(yè)通用的計算機(jī)聯(lián)鎖系統(tǒng)架構(gòu)圖，用于實現(xiàn)車站現(xiàn)地控制功能，系統(tǒng)架構(gòu)如下：

??操作員工作站位于車站控制室，通過監(jiān)控網(wǎng)連接計算機(jī)聯(lián)鎖主機(jī)單元，工作站由車站調(diào)度員進(jìn)行控制，用于在車站現(xiàn)地控制場景下，辦理/取消本車站管轄范圍內(nèi)的進(jìn)路，控制道岔功能，只分析主要功能，限于篇幅，其它聯(lián)鎖功能不再贅述;

??計算機(jī)聯(lián)鎖系統(tǒng)包括主機(jī)單元、IO執(zhí)行單元和維護(hù)工作站，外設(shè)有計軸器、繼電器組合柜和防雷分線柜，實現(xiàn)操作員工作站發(fā)出的計算機(jī)指令到現(xiàn)場執(zhí)行機(jī)構(gòu)(道岔、信號機(jī))動作的轉(zhuǎn)化和物理區(qū)段的占用檢查。計算機(jī)主機(jī)單元與IO執(zhí)行單元通常采用工業(yè)總線連接，如CAN、RS485等，IO執(zhí)行單元輸出DC24V數(shù)字量開關(guān)信號給繼電器，繼電器組合柜實現(xiàn)弱電到強(qiáng)電的轉(zhuǎn)換，最終通過電纜信號到達(dá)軌道;

? 軌旁設(shè)備中信號機(jī)和道岔是兩種信號基礎(chǔ)設(shè)備，設(shè)置于軌道旁，電纜通過軌旁的分線盒連接現(xiàn)場設(shè)備。

圖2 計算機(jī)聯(lián)鎖系統(tǒng)結(jié)構(gòu)圖(現(xiàn)地控制功能)

2.2 頂層風(fēng)險分析

計算機(jī)聯(lián)鎖系統(tǒng)實現(xiàn)列車進(jìn)路辦理和道岔控制等功能，達(dá)到SIL4最高安全完整性等級，其資產(chǎn)的重要度是最高的，頂層風(fēng)險分析過程與RAMS分析過程相似，但信息安全關(guān)注點除網(wǎng)絡(luò)攻擊引發(fā)控制系統(tǒng)故障造成人身傷害外，數(shù)據(jù)的保密性、系統(tǒng)可用性也是風(fēng)險分析范圍。

2.3 區(qū)域和管道分區(qū)

根據(jù)設(shè)備的放置地點和區(qū)域之間接口，劃分為三個區(qū)域和兩個管道。

2.4 系統(tǒng)威脅和脆弱性識別

圖3 系統(tǒng)可能的威脅來源

根據(jù)系統(tǒng)架構(gòu)中的三個區(qū)域zone和區(qū)域間的管道conduit，和區(qū)域內(nèi)的各個資產(chǎn)類型，如圖3，圖中標(biāo)出了區(qū)域內(nèi)每種資產(chǎn)和接口存在的信息安全威脅來源，威脅有以下類型：

表1 信息安全威脅分類及示例

每種威脅成為一個安全事件的前提為系統(tǒng)中存在脆弱性，脆弱性被攻擊者利用造成信息安全事件的可能性。脆弱性分為技術(shù)和管理因素，技術(shù)脆弱性分為物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、平臺系統(tǒng)、通信、應(yīng)用軟件五個方面，管理分為技術(shù)管理和組織管理。對于計算機(jī)聯(lián)鎖系統(tǒng)此類傳統(tǒng)的控制系統(tǒng)三個區(qū)域分區(qū)特點，對外的接口只有操作人員、維護(hù)人員與操作員工作站、維護(hù)工作站之間的接口，每個區(qū)域的訪問都設(shè)置有嚴(yán)格的權(quán)限管理。

2.5 信息安全要求

對于傳統(tǒng)的軌道交通控制系統(tǒng)，物理安全防護(hù)和安全管理體系是提高系統(tǒng)脆弱性的主要方法，這些措施已能保障系統(tǒng)的信息安全要求，即完整性、可用性和保密性。

三、 軌道交通技術(shù)革新引起的信息安全挑戰(zhàn)

從上面的系統(tǒng)威脅、脆弱性及對應(yīng)防護(hù)措施分析來看，已有的安全措施已能保障傳統(tǒng)控制系統(tǒng)的安全性。但是，當(dāng)前的技術(shù)變革帶來了新的挑戰(zhàn)：

??近年來針對商業(yè)和個人計算機(jī)的惡意代碼攻擊顯著增加，如勒索病毒、DDoS攻擊，由于工業(yè)化系統(tǒng)很少做安全升級，商用系統(tǒng)已修復(fù)的熟知的安全漏洞，也可能被攻擊者利用;

??工業(yè)主機(jī)不再局限于專用開發(fā)的計算機(jī)，基于商用貨架COTS的通用產(chǎn)品也應(yīng)用于工業(yè)控制系統(tǒng);

??工業(yè)以太網(wǎng)成為控制系統(tǒng)的主要連接方式，基于IP的協(xié)議，使得工業(yè)系統(tǒng)在網(wǎng)絡(luò)層會受到與商用系統(tǒng)同樣的攻擊;

??數(shù)字化進(jìn)程使工業(yè)控制系統(tǒng)底層數(shù)據(jù)接口接入數(shù)據(jù)中心，接口的擴(kuò)展增加了攻擊路徑;

??產(chǎn)品集成度的提高，軟件代碼量成倍數(shù)增長，開發(fā)者大量應(yīng)用開源庫作為工控系統(tǒng)軟件基礎(chǔ)組件，開源軟件的潛在漏洞成為攻擊者被利用的手段;

以計算機(jī)聯(lián)鎖系統(tǒng)為例，技術(shù)的更新使系統(tǒng)架構(gòu)也發(fā)生變化，下面是一種可能的架構(gòu)：

??控制網(wǎng)絡(luò)化：以中心控制為主，車站只在應(yīng)急或維護(hù)中現(xiàn)地控制，控制中心對計算機(jī)聯(lián)鎖采用遠(yuǎn)程網(wǎng)絡(luò)化控制;

??數(shù)字化：計算機(jī)聯(lián)鎖的內(nèi)部數(shù)據(jù)不僅在本地保存，通過維護(hù)網(wǎng)絡(luò)上傳到云數(shù)據(jù)中心，用于設(shè)備故障分析和健康管理;

??產(chǎn)品集成化：全電子化的執(zhí)行機(jī)構(gòu)取代傳統(tǒng)鐵路信號繼電器，將系統(tǒng)高度集成化，小型化，提高設(shè)備可靠性和工程實施效率，更小的產(chǎn)品體積使控制系統(tǒng)放在軌旁成為可能。

圖4 新架構(gòu)下的區(qū)域和管道劃分

新的系統(tǒng)架構(gòu)下，區(qū)域和管道相比原有系統(tǒng)增加，接入系統(tǒng)的途徑增加，攻擊者無需直接物理訪問目標(biāo)對象，通過網(wǎng)絡(luò)可以在遠(yuǎn)程進(jìn)行攻擊。如果沒有專用保護(hù)工具，攻擊后很難留下訪問證據(jù)，為法律調(diào)查和事件溯源工作帶來困難。

圖5 新架構(gòu)下的區(qū)域和管道劃分

以圖5中六種新的安全威脅作為示例：

1. 網(wǎng)絡(luò)化中心控制使得網(wǎng)絡(luò)攻擊的影響范圍變大，如一旦攻擊者進(jìn)入控制網(wǎng)絡(luò)，DoS攻擊可能導(dǎo)致整個線路的調(diào)度系統(tǒng)陷入癱瘓;

2. 維護(hù)網(wǎng)絡(luò)與云中心之間傳輸?shù)臄?shù)據(jù)包被截獲，導(dǎo)致安全數(shù)據(jù)泄露;

3. 已知的以太網(wǎng)漏洞被利用，如ARP欺騙攻擊，攻擊者截獲廣播ARP請求發(fā)送給主機(jī)特定的ARP響應(yīng)，使得攻擊者的MAC地址取代真正的接收方與主機(jī)通信;

4. 工業(yè)內(nèi)部網(wǎng)絡(luò)很少采用數(shù)據(jù)加密的方式進(jìn)行發(fā)送方和接收方的身份鑒權(quán)機(jī)制，傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)都在同一地點，物理安全措施很好保證未經(jīng)授權(quán)的訪問;如果目標(biāo)控制器位于車站軌旁，橫向防御的范圍擴(kuò)大，攻擊者可以訪問室外設(shè)備進(jìn)行遠(yuǎn)程控制;

5. 采用COTS商用產(chǎn)品，使COTS本身的安全漏洞被利用，如TFTP遠(yuǎn)程更新軟件是嵌入式系統(tǒng)普遍采用的一種升級方式，攻擊者可以攔截執(zhí)行初始化主機(jī)的數(shù)據(jù)包，使主機(jī)下載特定的系統(tǒng)鏡像包;

6. 工作站操作系統(tǒng)植入勒索病毒等IT通用威脅，并非針對軌道交通行業(yè)，但在網(wǎng)絡(luò)安全攻擊事件中也會被波及。

針對其威脅和脆弱性，確定信息安全防護(hù)需求中，按照IEC62443-1-1規(guī)定的標(biāo)識和鑒別控制(IAC)、使用控制 (UC)、系統(tǒng)完整性 (SI)、數(shù)據(jù)保密性 (DC)、受限的數(shù)據(jù)流 (RDF) 、對事件的及時響應(yīng) (TRE)七個方面要求，可以分為三個類別：

接口要求：對用戶(人員、軟件進(jìn)程和設(shè)備)接入系統(tǒng)的訪問進(jìn)行標(biāo)識和鑒權(quán)，對有權(quán)限的使用者根據(jù)權(quán)限不同限定其執(zhí)行動作，并進(jìn)行監(jiān)控;

系統(tǒng)要求：根據(jù)不同的業(yè)務(wù)重要性，進(jìn)行分區(qū)，限制不同區(qū)域的數(shù)據(jù)流類型，保障系統(tǒng)完整性、資源可用性、數(shù)據(jù)保密性;

監(jiān)控溯源要求：實現(xiàn)連續(xù)監(jiān)控，對威脅信息安全事件進(jìn)行跟蹤、溯源，事后調(diào)查。

四、 結(jié)語

傳統(tǒng)軌道交通控制系統(tǒng)由于網(wǎng)絡(luò)化程度低，專用設(shè)備多，產(chǎn)品的安全性和可用性為主要關(guān)注方向，做好物理安全防護(hù)和安全管理，因信息安全事件造成系統(tǒng)的可用性、安全性受到影響的可能性大大降低。在新技術(shù)革新浪潮中，軌道交通的技術(shù)變更是必然趨勢，數(shù)字化、網(wǎng)絡(luò)化程度的提高，已有軌道交通RAMS保障的基礎(chǔ)上，信息安全問題也不容忽視。

注：封面照片為2017年德國開姆尼茨的火車站受到勒索軟件的影響，車站信息顯示設(shè)備出現(xiàn)錯誤。

來源：功能安全踐行者