周萌,姚俊杰
(1.寧夏城際鐵路有限責(zé)任公司 工程管理部,寧夏銀川 750011;2.中國鐵路蘭州局集團(tuán)有限公司 供電部,甘肅蘭州 730030)
依據(jù)《鐵道部、國家電網(wǎng)公司電氣化鐵路供電協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室第三次會議紀(jì)要》規(guī)定,牽引站向電力公司提供:牽引站高壓側(cè)母線高壓、高壓斷路器位置信號、供電線路電壓等信息,并對故障分析起重要作用的事故信號和斷路器跳閘信息同時上傳。鐵路牽引變電所通信網(wǎng)在電力系統(tǒng)中稱為信息直采直送系統(tǒng)[1],主要向國家電網(wǎng)有限公司(簡稱國家電網(wǎng)公司)當(dāng)?shù)厥≌{(diào)和當(dāng)?shù)氐卣{(diào)雙平面?zhèn)魉鸵陨闲畔ⅲ阌趪译娋W(wǎng)公司掌握用戶端受電情況,及時處理故障、事故。
未實(shí)施網(wǎng)絡(luò)安全法前,牽引變電所的信息直采直送系統(tǒng)僅涉及通信傳輸系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng),并未過多涉及網(wǎng)絡(luò)安全相關(guān)領(lǐng)域的要求。
我國鐵路作為國家公共交通資源的重要組成部分,隨著計(jì)算機(jī)技術(shù)在信息網(wǎng)絡(luò)建設(shè)中的不斷應(yīng)用,鐵路信息網(wǎng)絡(luò)系統(tǒng)安全性成為鐵路系統(tǒng)生產(chǎn)運(yùn)營的重要一環(huán)。隨著高鐵建設(shè)步伐的不斷推進(jìn),鐵路業(yè)務(wù)對信息網(wǎng)絡(luò)系統(tǒng)依賴度越來越高,鐵路和接入的電力網(wǎng)絡(luò)任何一方發(fā)生故障或遭到入侵破壞,將會互相影響另一方的正常運(yùn)行,例如2015年“烏克蘭大停電”事件,由于電站內(nèi)遭到黑客攻擊,導(dǎo)致烏克蘭全國大面積停電。
2017年6月1日實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》后,對能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的公共通信及信息服務(wù)提出了建立健全網(wǎng)絡(luò)安全保障體系、提高網(wǎng)絡(luò)安全保護(hù)能力的要求。國家電網(wǎng)公司依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,對高鐵牽引變電所信息直采直送系統(tǒng)提出新增在線監(jiān)測裝置、防火墻、隔離網(wǎng)閘、安全評估、主機(jī)加固等新的網(wǎng)絡(luò)安全防護(hù)設(shè)備及措施。
傳統(tǒng)信息直采直送系統(tǒng)由服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件等部分組成[1]。鐵路牽引站上傳信息需通過國家電網(wǎng)公司電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與各級調(diào)度機(jī)構(gòu)進(jìn)行業(yè)務(wù)通信,高速鐵路牽引變電所和國家電網(wǎng)公司系統(tǒng)間采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)[2]。傳統(tǒng)直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)湟妶D1。
傳統(tǒng)的信息直采直送系統(tǒng)僅實(shí)現(xiàn)了安全分區(qū)、網(wǎng)絡(luò)專用和縱向加密,結(jié)合牽引變電所應(yīng)用系統(tǒng)和功能模塊的特點(diǎn)(實(shí)時和非實(shí)時),將各功能模塊分別置于安全Ⅰ區(qū)控制區(qū)、安全Ⅱ區(qū)非控制區(qū),實(shí)現(xiàn)安全分區(qū)[3]。調(diào)度數(shù)據(jù)網(wǎng)在SDH專用傳輸通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式,在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離,實(shí)現(xiàn)網(wǎng)絡(luò)專用。業(yè)務(wù)應(yīng)用層面通過縱向加密裝置的SM2算法建立專用隧道,以策略配置業(yè)務(wù)IP點(diǎn)到點(diǎn),端口最小化為原則進(jìn)行通訊限制。
這種工作模式下,高鐵牽引變電所直采直送系統(tǒng)存在缺失橫向隔離、綜合防護(hù)不全面等方面的安全隱患,未達(dá)到從邊界、物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全共6個方面的安全防護(hù)要求。應(yīng)進(jìn)一步采用縱深防御和適度安全策略,即安全防護(hù)主要針對基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng),重點(diǎn)強(qiáng)化邊界防護(hù),提高內(nèi)部安全防護(hù)能力,保證生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全[4]?;诰W(wǎng)絡(luò)安全要求,在高鐵牽引變電所建設(shè)時,應(yīng)增加多項(xiàng)防護(hù)措施,以實(shí)現(xiàn)鐵路牽引變電所和國家電網(wǎng)公司網(wǎng)絡(luò)安全運(yùn)行。
以某高速鐵路新建牽引變電所直采直送系統(tǒng)建設(shè)為例,對信息直采直送系統(tǒng)進(jìn)行優(yōu)化,優(yōu)化后的網(wǎng)絡(luò)拓?fù)湟妶D2。
圖2 優(yōu)化直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>
一是在安全Ⅰ區(qū)加裝網(wǎng)絡(luò)安全在線監(jiān)測裝置,對整個電力監(jiān)控系統(tǒng)信息大區(qū)直采直送系統(tǒng)涉及的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行實(shí)時監(jiān)測;二是在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間加裝防火墻,杜絕Ⅰ、Ⅱ區(qū)業(yè)務(wù)混連、直連現(xiàn)象,嚴(yán)格執(zhí)行安全分區(qū)要求;三是在國家電網(wǎng)和鐵路調(diào)度網(wǎng)的連接處增加隔離網(wǎng)閘,杜絕鐵網(wǎng)和電網(wǎng)的直連現(xiàn)象,實(shí)現(xiàn)邊界安全的防護(hù)要求。
主要對服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備等監(jiān)測對象進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)統(tǒng)計(jì)工作。其主要工作內(nèi)容如下:一是對于服務(wù)器、工作站等包含用戶在終端設(shè)備上登錄信息采集、整理,用于采集監(jiān)控操作行為信息與網(wǎng)絡(luò)連接的相關(guān)信息、系統(tǒng)運(yùn)行信息、外設(shè)接入信息、平臺核查的指令信息;二是對于網(wǎng)絡(luò)設(shè)備的運(yùn)行,可以采集到局域網(wǎng)內(nèi)部交換機(jī)設(shè)備的相關(guān)信息、連接交換機(jī)的活躍設(shè)備等網(wǎng)絡(luò)設(shè)備的拓?fù)湫畔?、在線時長、CPU使用率、內(nèi)存使用率、網(wǎng)口狀態(tài)、網(wǎng)絡(luò)連接情況等設(shè)備運(yùn)行信息;三是對于安防設(shè)備自身策略的安全事件、配置信息、運(yùn)行信息以及相關(guān)的操作信息進(jìn)行采集統(tǒng)計(jì)[5]。網(wǎng)絡(luò)安全監(jiān)測裝置的使用能立即直觀的反饋設(shè)備信息,以及非法外聯(lián)的相關(guān)告警,從而及時作出相應(yīng)的處理。設(shè)備連接正常后在裝置告警中可以看到從下聯(lián)設(shè)備中采集到的裝置信息,裝置進(jìn)行整理后上送主站。優(yōu)化后的直采直送系統(tǒng)工作界面見圖3。
圖3 優(yōu)化后的直采直送系統(tǒng)工作界面
隔離網(wǎng)閘和防火墻是電力監(jiān)控系統(tǒng)的橫向防線,隔離網(wǎng)閘和防火墻的指導(dǎo)思想不盡相同:防火墻是在保障互聯(lián)互通的前提下,盡可能安全;而隔離網(wǎng)閘是在保證必須安全的前提下,盡可能互聯(lián)互通。加裝隔離網(wǎng)閘和防火墻,能夠?qū)崿F(xiàn)各安全區(qū)間隔離,是要解決目前網(wǎng)絡(luò)安全存在的如下問題:一是對操作系統(tǒng)的依賴,因?yàn)椴僮飨到y(tǒng)也有漏洞;二是對TCP/IP協(xié)議的依賴,而TCP/IP協(xié)議有漏洞;三是解決通信連接的問題,因?yàn)閮?nèi)網(wǎng)和外網(wǎng)直接連接,存在基于通信攻擊的風(fēng)險;四是應(yīng)用協(xié)議的漏洞,如非法的命令和指令等[6]。防火墻已在寧夏新建牽引變電所的應(yīng)用(見圖4)。
圖4 防火墻在牽引變電所的應(yīng)用界面
隔離網(wǎng)閘(安全隔離與信息交換)是在保證電網(wǎng)調(diào)度和鐵路調(diào)度2個網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享。通過在Ⅰ區(qū)業(yè)務(wù)交換機(jī)和鐵路調(diào)度交換機(jī)中間增加隔離網(wǎng)閘,從而實(shí)現(xiàn)2套網(wǎng)絡(luò)共享牽引變電所內(nèi)遠(yuǎn)動、保護(hù)等業(yè)務(wù)信息,并順利實(shí)現(xiàn)信息在2套網(wǎng)絡(luò)間的安全交換(見圖5)。隔離網(wǎng)閘主要有3個模塊功能,分別是內(nèi)網(wǎng)處理單元(A端)、外網(wǎng)處理單元(B端)和專用隔離交換單元(隔離通道)。
圖5 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元實(shí)物
安全隔離網(wǎng)閘系統(tǒng)中的內(nèi)網(wǎng)處理單元(A端)連接電網(wǎng)調(diào)度,外網(wǎng)處理單元(B端)連接鐵路調(diào)度,專用隔離通道在任一時刻點(diǎn)僅連接內(nèi)網(wǎng)處理單元(A1)或外網(wǎng)處理單元(B1),與兩者間的連接受內(nèi)部硬件電路控制高速切換,其工作原理見圖6。
圖6 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元工作原理
加裝隔離網(wǎng)閘和防火墻后,保證專用隔離硬件交換單元在任一時刻僅連通內(nèi)部網(wǎng)或者外部網(wǎng),既滿足電力調(diào)度數(shù)據(jù)網(wǎng)與鐵路調(diào)度數(shù)據(jù)網(wǎng)的物理隔離要求,又能實(shí)現(xiàn)數(shù)據(jù)的動態(tài)交換。
新建牽引變電所的信息直采直送系統(tǒng)在安全防護(hù)上,不但增加了硬件防護(hù),而且可進(jìn)行主機(jī)加固和安全評估等工作。牽引變電所送電之前對站內(nèi)所有主機(jī)進(jìn)行了更換安全操作系統(tǒng)以及主機(jī)加固工作。因原有Windows操作系統(tǒng)存在太多安全漏洞,容易被黑客利用攻擊(如“熊貓燒香”“永恒之藍(lán)”“勒索病毒”等事件),故將牽引變電所的主機(jī)操作系統(tǒng)更換為相對安全的Linux操作系統(tǒng),并進(jìn)一步設(shè)置了強(qiáng)口令防止非操作員的登錄配置,關(guān)閉了無用用戶以防止遠(yuǎn)程登錄竄改文件,關(guān)閉了遠(yuǎn)程登錄相關(guān)協(xié)議及端口,設(shè)置防火墻策略,啟用了日志審計(jì)功能,對應(yīng)用主機(jī)進(jìn)行安全基線加固,漏洞消缺,強(qiáng)化了就地網(wǎng)絡(luò)安全的防范力度。
對安全制度、人員管理、物理環(huán)境、電力監(jiān)控系統(tǒng)開展了調(diào)研、評估、走查、訪談、漏掃、基線審查等工作,對牽引變電所評估服務(wù)整體架構(gòu)、制度管理、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用程序進(jìn)行風(fēng)險分析,暴露其在物理安全、主機(jī)安全、應(yīng)用安全、管理層面上的脆弱點(diǎn)和風(fēng)險源,并提出建議處置措施,規(guī)避相應(yīng)安全事件發(fā)生的可能性,降低安全事件損失,使整體安全運(yùn)行更加可靠[7-8]。評估結(jié)果見圖7、圖8。
圖7 風(fēng)險匯總表
圖8 各模塊風(fēng)險值
由圖7、圖8可知,通過對新建牽引變電所電力監(jiān)控系統(tǒng)風(fēng)險評估,共發(fā)現(xiàn)12個風(fēng)險點(diǎn),其中高等級風(fēng)險0項(xiàng),中等級風(fēng)險0項(xiàng),低等級風(fēng)險12項(xiàng)。
通過對傳統(tǒng)直采直送系統(tǒng)的優(yōu)化,堅(jiān)持以安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證為基本原則,在綜合防護(hù)方面進(jìn)行主機(jī)加固和安全評估,提高了專用網(wǎng)絡(luò)間的二次安防水平,保障了鐵路牽引站和國家電網(wǎng)公司間網(wǎng)絡(luò)通信的加密性和安全性,進(jìn)一步加強(qiáng)了抵御橫向外來攻擊、消除內(nèi)部安全隱患、降低縱向關(guān)鍵信息泄露風(fēng)險等能力。
但是,還需在抵御黑客制造的病毒、惡意代碼等方面對牽引變電所網(wǎng)絡(luò)系統(tǒng)安全方面繼續(xù)開展工作。目前整個國家電網(wǎng)系統(tǒng)已經(jīng)制定最新安全防護(hù)要求:在電力監(jiān)控系統(tǒng)增加日志審計(jì)、入侵檢測、防惡意代碼、堡壘機(jī)等相關(guān)設(shè)備和措施[8]。相對于國家對網(wǎng)絡(luò)安全更高的要求,國鐵牽引變電所的信息安全防護(hù)系統(tǒng)建設(shè)還需進(jìn)一步研究。