文/雒智奇 張興寶

地鐵綜合監(jiān)控系統(tǒng)架構(gòu)與網(wǎng)絡(luò)安全

文/雒智奇1張興寶2

地鐵綜合監(jiān)控系統(tǒng)(Integrated Supervision and Control System,ISCS)是地鐵設(shè)備數(shù)據(jù)的集中采集、遠(yuǎn)程監(jiān)控以及信息的綜合管理系統(tǒng)。綜合監(jiān)控系統(tǒng)需要和企業(yè)網(wǎng)、Internet網(wǎng)的互聯(lián)，如何保障系統(tǒng)的網(wǎng)絡(luò)安全成為行業(yè)亟待解決的一個(gè)重要問(wèn)題。本文介紹了地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)，從硬件和網(wǎng)絡(luò)安全技術(shù)的角度提出了加強(qiáng)地鐵綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全的措施。

地鐵綜合監(jiān)控系統(tǒng) 網(wǎng)絡(luò)安全 防御架構(gòu)

1 地鐵綜合監(jiān)控系統(tǒng)概述

1.1 概述

地鐵綜合監(jiān)控系統(tǒng) (Integrated Supervision and Control System,ISCS)是基于 SCADA(Supervisory Control and Data Acquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))開(kāi)發(fā)的地鐵設(shè)備數(shù)據(jù)的集中采集、遠(yuǎn)程監(jiān)控以及信息的綜合管理系統(tǒng)。它能夠?qū)⒃S多分立的系統(tǒng)進(jìn)行互聯(lián)，包括電力監(jiān)控系統(tǒng)(PSCADA)、環(huán)境與設(shè)備監(jiān)控系統(tǒng)(BAS)、火災(zāi)自動(dòng)報(bào)警系統(tǒng)(FAS)、信號(hào)自動(dòng)控制(ATC)系統(tǒng)、自動(dòng)售檢票系統(tǒng)(AFC)、屏蔽門系統(tǒng)(PSD)、廣播系統(tǒng)(PA)、時(shí)鐘系統(tǒng)(CLK)、乘客信息系統(tǒng)(PIS)等等。

1.2 綜合監(jiān)控的系統(tǒng)構(gòu)成

綜合監(jiān)控系統(tǒng)一般采用兩級(jí)管理三級(jí)控制的分層分布式結(jié)構(gòu)。兩級(jí)管理分別是中央級(jí)和車站級(jí)，三級(jí)控制分別是中央級(jí)、車站級(jí)和現(xiàn)場(chǎng)級(jí)?，F(xiàn)場(chǎng)級(jí)控制是指在被控對(duì)象附近的就地控制，現(xiàn)場(chǎng)級(jí)控制功能由各相關(guān)系統(tǒng)來(lái)完成。

1.3 綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)架構(gòu)

綜合監(jiān)控系統(tǒng)傳輸數(shù)據(jù)以上行為主，系統(tǒng)采用基于TCP/IP的以太網(wǎng)?，F(xiàn)場(chǎng)層網(wǎng)絡(luò)將各個(gè)監(jiān)控對(duì)象連接起來(lái)匯集到車站級(jí)局域網(wǎng)，各個(gè)車站局域網(wǎng)將車站設(shè)備連接起來(lái)通過(guò)主干網(wǎng)匯集到控制中心。從物理結(jié)構(gòu)的角度，網(wǎng)絡(luò)系統(tǒng)可以分為中央級(jí)局域網(wǎng)、骨干網(wǎng)、車站局域網(wǎng)和就地級(jí)網(wǎng)絡(luò)；從應(yīng)用類型的角度，網(wǎng)絡(luò)系統(tǒng)可分為主干層、局域?qū)雍同F(xiàn)場(chǎng)層。

1.4 地鐵綜合監(jiān)控系統(tǒng)面臨的網(wǎng)絡(luò)安全隱患

地鐵綜合監(jiān)控系統(tǒng)的安全隱患有很多來(lái)源，歸結(jié)起來(lái)，針對(duì)地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)的威脅主要有以下三點(diǎn)：

（1）人員的無(wú)意失誤。操作員操作不當(dāng)、用戶密碼選擇不當(dāng)或是用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人都可能給網(wǎng)絡(luò)帶來(lái)潛在的威脅。

（2）人為的惡意攻擊。這也是地鐵綜合監(jiān)控系統(tǒng)面臨的最大威脅。

（3）網(wǎng)絡(luò)系統(tǒng)軟件的缺陷帶來(lái)的威脅。任何一個(gè)網(wǎng)絡(luò)軟件都不可能是絕對(duì)安全的，都是有缺陷的，而且很多工業(yè)控制協(xié)議和軟件設(shè)計(jì)時(shí)并沒(méi)有考慮網(wǎng)絡(luò)安全問(wèn)題。

2 地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)研究

2.1 地鐵綜合監(jiān)控系統(tǒng)深度防御架構(gòu)

單一的安全產(chǎn)品、技術(shù)或是解決方案并不能充分的保護(hù)整個(gè)地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)。一個(gè)多層的策略可能涉及兩個(gè)或兩個(gè)以上不同的安全重復(fù)機(jī)制，深度防御技術(shù)可以最小化入侵攻擊對(duì)網(wǎng)絡(luò)的不利影響。它要求網(wǎng)絡(luò)是一個(gè)多層系統(tǒng)，當(dāng)其中一層失效，也不至于導(dǎo)致網(wǎng)絡(luò)所有部分癱瘓，也就是說(shuō)這種失效可以被限制在某個(gè)層面，根據(jù)這一分層思想，網(wǎng)絡(luò)的漏洞也可以被限制在某一層，其它層則可以由于應(yīng)用了各種安全策略而不受該漏洞的影響。

深度防御的地鐵綜合監(jiān)控系統(tǒng)的安全架構(gòu)包括多重防火墻的使用、DMZ的建立、擁有有效安全策略的入侵檢測(cè)能力、事件響應(yīng)機(jī)制、控制網(wǎng)安全區(qū)劃分機(jī)制、網(wǎng)絡(luò)地址轉(zhuǎn)換等安全機(jī)制。如圖1所示的是對(duì)一個(gè)地鐵綜合監(jiān)控系統(tǒng)推薦的深度防御體系架構(gòu)，防火墻，隔離區(qū)以及入侵檢測(cè)機(jī)制貫穿于整個(gè)體系中，在地鐵綜合監(jiān)控系統(tǒng)控制網(wǎng)的不同安全區(qū)域部署具有NAT功能的防火墻產(chǎn)品，利用DMZ網(wǎng)絡(luò)實(shí)現(xiàn)控制網(wǎng)與企業(yè)網(wǎng)，企業(yè)網(wǎng)與Internet的隔離并提供有特權(quán)的訪問(wèn)。

圖1：地鐵綜合監(jiān)控系統(tǒng)推薦的深度防御體系架構(gòu)

在該深度防御體系架構(gòu)下，物理層上，將控制網(wǎng)通過(guò)VLAN技術(shù)劃分為若干個(gè)控制子網(wǎng)，廣播流量被限制在控制子網(wǎng)中，各子網(wǎng)之間的流量是被隔離的，實(shí)現(xiàn)子網(wǎng)的點(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。在網(wǎng)絡(luò)層上，通過(guò)路由器或防火墻等網(wǎng)絡(luò)設(shè)備限制進(jìn)入控制網(wǎng)中的數(shù)據(jù)包數(shù)量，采用靜態(tài)的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，實(shí)現(xiàn)控制網(wǎng)地址對(duì)外網(wǎng)的屏蔽，控制子網(wǎng)地址分配采用靜態(tài)地址分配策略，使得網(wǎng)絡(luò)排除攻擊及安全防護(hù)更加容易。傳輸層設(shè)計(jì)的對(duì)策不多，傳輸層安全由底層或應(yīng)用層提供的，已經(jīng)開(kāi)發(fā)提供傳輸層安全的標(biāo)準(zhǔn)，即傳輸層安全或安全套接字。應(yīng)用層上，采用特殊應(yīng)用服務(wù)推薦的防火墻規(guī)則，如HTTP代理中需要配置防火墻來(lái)阻止所有的入站腳本和JAVA應(yīng)用程序、FTP只有在有身份認(rèn)證和加密通道的情況下控制網(wǎng)中出站的通信才允許等。

該架構(gòu)能從網(wǎng)絡(luò)的邊界層、分布層、核心層和接入層實(shí)現(xiàn)網(wǎng)絡(luò)的多層防御，并能從物理層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層實(shí)現(xiàn)多層的安全檢查，入侵檢測(cè)應(yīng)用不同的規(guī)則集和數(shù)字簽名實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)的每一個(gè)區(qū)域。該架構(gòu)是一種非常有效的地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全體系架構(gòu)。

2.2 深度防御架構(gòu)中推薦的防火墻規(guī)則

一旦在地鐵綜合監(jiān)控系統(tǒng)中部署了深度防御策略，主要的工作要從確定允許通過(guò)防火墻的數(shù)據(jù)流開(kāi)始，配置防火墻除特別允許的數(shù)據(jù)包外，盡可能阻斷不必要的數(shù)據(jù)包，通過(guò)確定什么是企業(yè)的絕對(duì)需求來(lái)確定允許的數(shù)據(jù)包。

作為深度防御策略的綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)防火墻應(yīng)具備以下規(guī)則：

（1）基本的規(guī)則設(shè)置應(yīng)該是阻斷所有不必要的數(shù)據(jù)包；

（2）控制網(wǎng)和企業(yè)網(wǎng)間的端口和服務(wù)的接入必須要有授權(quán)；

（3）對(duì)每一個(gè)次出站或入站的數(shù)據(jù)流要有記錄備份；

（4）對(duì)特殊IP地址或一定地址范圍的數(shù)據(jù)流進(jìn)行限制；

（5）阻止從控制網(wǎng)直接傳輸?shù)狡髽I(yè)網(wǎng)的通信流，所有的通信流應(yīng)該終止于DMZ；

（6）明確控制網(wǎng)與DMZ之間允許的協(xié)議和DMZ與企業(yè)網(wǎng)之間不允許的協(xié)議；

（7）從控制網(wǎng)到企業(yè)網(wǎng)的所有出站數(shù)據(jù)流應(yīng)該有源和目標(biāo)限制；

（8）從控制網(wǎng)或DMZ出站的數(shù)據(jù)包只能向定向IP地址發(fā)送，這些IP地址是固定分配給控制網(wǎng)中的設(shè)備或DMZ中設(shè)備的；

（9）不允許控制網(wǎng)中的設(shè)備訪問(wèn)Internet；

（10）控制網(wǎng)不能直接與Internet相連。

3 結(jié)語(yǔ)

地鐵綜合監(jiān)控系統(tǒng)是地鐵中的重要系統(tǒng)，但運(yùn)營(yíng)單位對(duì)重要系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題重視程度不夠，存在一定的安全風(fēng)險(xiǎn)。因此，首先需要運(yùn)營(yíng)單位對(duì)網(wǎng)絡(luò)安全工作重視起來(lái)，然后根據(jù)系統(tǒng)設(shè)備實(shí)際情況，開(kāi)展各項(xiàng)具體工作才會(huì)更加得力。主要措施有：減少不必要的預(yù)留網(wǎng)絡(luò)接口，尤其是公共區(qū)域的預(yù)留接口；加強(qiáng)企業(yè)網(wǎng)的網(wǎng)絡(luò)安全，建立防火墻，設(shè)置DMZ，降低通過(guò)企業(yè)網(wǎng)對(duì)綜合監(jiān)控的攻擊；增加網(wǎng)絡(luò)日志備份，增強(qiáng)網(wǎng)絡(luò)訪問(wèn)的可追溯性；減少系統(tǒng) “后門”并對(duì)“后門”使用進(jìn)行管控。

[1]雷維加.計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)安全防火墻初探[J].高校實(shí)驗(yàn)室工作研究,2010(01):33-35.

[2]張蓓,馮梅,靖小偉.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全,2010(04):36-38.

作者單位1.蘭州市軌道交通有限公司運(yùn)營(yíng)分公司 甘肅省蘭州市 730000
2.西安地鐵運(yùn)營(yíng)分公司 陜西省西安市710016