隨著(zhù)信息化與工業(yè)自動(dòng)化的深度融合，以及物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，工業(yè)自動(dòng)化與控制網(wǎng)絡(luò )也向著(zhù)分布式、智能化的方向迅速發(fā)展，越來(lái)越多基于TCP/IP的通信協(xié)議和接口被采用，從而實(shí)現了自管理信息層延伸至現場(chǎng)設備的一致性識別、通訊和控制。然而，在工控系統越來(lái)越開(kāi)放的同時(shí)，也同步削弱了控制系統與外界的隔離和安全保護。因此，行業(yè)/企業(yè)在享受網(wǎng)絡(luò )互連帶來(lái)的種種好處的同時(shí)也面臨著(zhù)各種來(lái)源的信息安全威脅，包括病毒、木馬向控制網(wǎng)絡(luò )的擴散等，國內工控系統（ICS）的安全隱患問(wèn)題日益嚴峻，應給予足夠的重視。

    軌道交通中的自動(dòng)化系統一般分為：與列車(chē)運行控制直接相關(guān)的系統（如信號系統與電力SCADA系統等）、為列車(chē)運行提供輔助、支撐的系統（如綜合監控系統、設備監控系統、火災報警系統等）以及輔助于安全管理的系統（如門(mén)禁系統等）。這些系統存在著(zhù)共同的特點(diǎn)：一般系統分為信息管理層、控制執行層和現場(chǎng)操作層三層架構；系統以采集與執行控制器（如PLC）和工業(yè)控制網(wǎng)絡(luò )為核心開(kāi)展工作；工業(yè)控制網(wǎng)絡(luò )要求有更好的實(shí)時(shí)性、更高的傳輸速率以及可靠性。

    工業(yè)控制網(wǎng)絡(luò )中的現場(chǎng)總線(xiàn)由于技術(shù)的局限性已經(jīng)不能滿(mǎn)足快速發(fā)展的工業(yè)控制網(wǎng)絡(luò )的需求，當前應用最為廣泛的是工業(yè)以太網(wǎng)技術(shù)。具有如下優(yōu)點(diǎn)：

    （1）幾乎所有的編程語(yǔ)言都支持以太網(wǎng)；

    （2）軟硬件資源豐富，成本低廉（可降低系統的整體成本）；

    （3） 通信速率高（ 百兆設備已被廣泛使用，千兆、萬(wàn)兆逐漸成為工業(yè)骨干網(wǎng)的主流）；

    （4）由于基于TCP/IP開(kāi)放式標準，不同設備很容易互聯(lián)，具有很好的發(fā)展潛力；

    （5）易于實(shí)現一體化的管理與控制；

    （6）工業(yè)產(chǎn)品設計，提供其它自動(dòng)化組件相同的MTBF（平均故障間隔時(shí)間）值，通常是10年以上（相比之下，典型商用產(chǎn)品在建造時(shí)，最多實(shí)現5年平均壽命）；

    （7）方便安裝：通常采用DIN-Rail導軌安裝，或者直接用螺栓連接到機器上；

    （8）無(wú)風(fēng)扇設計，實(shí)現被動(dòng)散熱；

    （9）冗余電源，冗余鏈路，支持采取冗余設備以保證全天候正常運行時(shí)間；

    （10）符合特定行業(yè)標準[包括軌道交通行業(yè)普遍認可EN50121-4認證(軌旁應用)以及EN50155認證(車(chē)載應用)]，以保證能在極端的現場(chǎng)條件下正常運作，如濕度、防塵、防腐蝕、溫度、振動(dòng)、沖擊和電磁干擾。但無(wú)法掩蓋一個(gè)事實(shí)，工業(yè)控制網(wǎng)絡(luò )是工控系統安全隱患中的主要因素。

    1　工控系統信息安全現狀以及對軌交安全的影響

     現實(shí)情況的調研說(shuō)明了工業(yè)控制系統信息安全問(wèn)題日趨嚴重。

    近兩年，在工業(yè)網(wǎng)絡(luò )信息安全領(lǐng)域有幾個(gè)影響較大的實(shí)例：

    （ 1 ） 2 0 1 0年7 月首次檢測出以某公司的I C S /SCADA為攻擊目標的Stuxnet震網(wǎng)病毒；三個(gè)月后，全球已有十萬(wàn)臺主機計算機受到感染。這是世界上首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性病毒，由此引發(fā)了工業(yè)界對信息安全的特別關(guān)注。

    （2）2012年8月，BBC技術(shù)版報道，在西門(mén)子旗下的羅杰康平臺交換機中發(fā)現了后門(mén)，這個(gè)程序讓黑客可以容易的侵入網(wǎng)絡(luò )，竊取信息。該設備主要應用在美國的國家發(fā)電廠(chǎng)中，得到美國國土安全局的高度重視。

    （3）2013年底，“棱鏡門(mén)”事件的主角斯諾登曝光了一份材料，顯示美國在2008年研制了48種間諜工具，可以實(shí)現對與互聯(lián)網(wǎng)隔離的計算機的隔空打擊。這一情況對人們存在將工業(yè)控制系統與互聯(lián)網(wǎng)隔離、ICS不存在信息安全問(wèn)題的想法構成顛覆性沖擊。

    根據統計數據顯示，在工業(yè)最為發(fā)達的美國，2010年工業(yè)控制系統信息安全事件數量統計僅為39條，到了2013年，這一數據增至256條。其中在2013年，工業(yè)控制系統的安全事件在能源、關(guān)鍵制造、供水、交通、核工業(yè)等直接關(guān)系到國民生計以及人身安全的行業(yè)都有涉及。其中交通行業(yè)工業(yè)控制系統安全事件的比例達到5%。

    中國的工業(yè)發(fā)展暫落后于美國。因此，可以預見(jiàn)到未來(lái)中國的工業(yè)控制系統安全事件也將呈現覆蓋范圍廣、增長(cháng)速度快的趨勢。交通行業(yè)，尤其是軌道交通行業(yè)，工業(yè)基礎設施中的關(guān)鍵ICS系統的安全事件可能造成的影響包括：

    （1）軌道交通子系統性能的下降，影響系統的可用性；

    （2）關(guān)鍵控制數據被篡改或者喪失；

    （3）失去控制（2008年一少年攻擊了波蘭的Lodz的城鐵系統，用一個(gè)遙控器改變軌道扳道器，導致4節列車(chē)出軌）；

    （4）嚴重甚至導致人員傷亡；

    （5）軌道運輸單位聲譽(yù)受損，信任度降低；

    （6）基礎設施破壞；

    （7）嚴重的經(jīng)濟損失等。

    2　工業(yè)以太網(wǎng)信息安全威脅的主要原因

    從業(yè)者一般認為工業(yè)控制網(wǎng)絡(luò )通信協(xié)議相對私有，與更廣范圍的網(wǎng)絡(luò )存在隔離的特性，加上設備自身的優(yōu)勢，使得他們對于工業(yè)網(wǎng)絡(luò )的安全性很有信心。但在如今不斷變化、更廣互聯(lián)的網(wǎng)絡(luò )世界中，許多工業(yè)運營(yíng)商甚至都沒(méi)有意識到他們的系統已經(jīng)被暴露在互聯(lián)網(wǎng)上，必須要進(jìn)行一些特別的安全漏洞處理。在近期的一則報道中反映，美國國土安全部顧問(wèn)InfraCritical僅僅通過(guò)監控引擎就發(fā)現了50萬(wàn)個(gè)暴露在網(wǎng)絡(luò )中的SCADA設備，其中7200個(gè)設備控制著(zhù)關(guān)鍵的基礎設施，比如說(shuō)水利、能源以及其它領(lǐng)域的設備。因此，安全研究人員描述工業(yè)控制系統的狀態(tài)“很安全”，就聽(tīng)起來(lái)很可笑了。

    現有的工業(yè)自動(dòng)化網(wǎng)絡(luò )中漏洞存在主要體現在以下三方面：

    （1）工業(yè)基礎協(xié)議Modbus TCP/IP 協(xié)議數據包存在安全隱患

    Modbus TCP/IP 協(xié)議被廣泛應用于工業(yè)通信中，但由于缺乏內置的安全處置，使得協(xié)議應用時(shí)相對脆弱。具體地說(shuō)，即使當傳送一個(gè)檢測過(guò)源IP地址的TCP/IP的數據包時(shí)，看起來(lái)似乎是合法的，但由于它可能包涵有惡意的Modbus TCP 通信數據包，讓整個(gè)通信過(guò)程存在疑慮。假設讓系統對Modbus的源設備ID、功能碼或者命令類(lèi)型進(jìn)行檢測時(shí)，這種惡意的數據包將無(wú)處遁形。同時(shí)由于工業(yè)設備幾乎沒(méi)有應用層的安全防護方式，因此這樣的關(guān)鍵任務(wù)應用的安全保護將落地在網(wǎng)絡(luò )安全設備，如硬件防火墻等，而傳統防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機制。

    （2）自動(dòng)化控制中對時(shí)序的要求很?chē)栏?，存在傳輸延遲的安全隱患

    SCADA和自動(dòng)化控制對受控對象的直接操作是具有高度時(shí)效性的，比如說(shuō)變電站運作對時(shí)間非常敏感，觸發(fā)電路開(kāi)關(guān)的延遲可以導致功率波動(dòng)甚至停電。操作的高時(shí)效性要求工業(yè)網(wǎng)絡(luò )不能存在重大的延遲問(wèn)題。然而，惡意攻擊者使用一個(gè)常見(jiàn)請求程序去攻擊一個(gè)網(wǎng)絡(luò )，即便防火墻可以阻止一個(gè)未經(jīng)授權的請求，也會(huì )造成網(wǎng)絡(luò )延遲。同時(shí)防火墻在處理數據時(shí)也存在能力不足、帶寬不夠的情況，同樣也會(huì )在關(guān)鍵時(shí)刻導致網(wǎng)絡(luò )的延遲，無(wú)法滿(mǎn)足實(shí)時(shí)性傳輸要求。

    另外，隨著(zhù)需求的不斷增長(cháng)，工業(yè)網(wǎng)絡(luò )將集成更多的系統，如視頻、語(yǔ)音和數據網(wǎng)絡(luò )等；網(wǎng)絡(luò )設備需要更大的帶寬和吞吐量來(lái)支持更高級的應用程序，并不影響網(wǎng)絡(luò )安全，也不會(huì )造成其它工業(yè)操作的延遲。

    （3）嚴苛的現場(chǎng)環(huán)境促使網(wǎng)絡(luò )設備被動(dòng)適應，存在適應性安全隱患

    軌交現場(chǎng)機電機械和工業(yè)控制設備都部署在較為
嚴苛的環(huán)境中。采用傳統的IT網(wǎng)絡(luò )安全設備很難在這些嚴苛的環(huán)境中穩定運行并保障工業(yè)網(wǎng)絡(luò )及系統的信息安全。這些嚴苛的環(huán)境條件包括如極端的溫度、EMC、EMI等，對傳統IT網(wǎng)絡(luò )安全設備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴重。因此，確保工業(yè)網(wǎng)絡(luò )免受黑客的攻擊，保障信息安全，首要任務(wù)是確保這些設備能夠在這些嚴苛工業(yè)環(huán)境下持續、穩定地運行。

    消除以上漏洞的思路，第一步是確認漏洞、關(guān)閉漏洞；第二步至關(guān)重要，必須將安全漏洞完全處理掉。

   3　工控網(wǎng)信息安全解決方案探討

    3.1　軌交行業(yè)信息安全的總體考慮

    軌交業(yè)務(wù)總體可以分為自動(dòng)化控制和管理信息兩大類(lèi)。劃分為三個(gè)安全域：生產(chǎn)網(wǎng)域、管理網(wǎng)域和互聯(lián)網(wǎng)域。上海在處置信息安全時(shí)，一般有以下做法：

    （1）同區域訪(fǎng)問(wèn)、各不同區域之間實(shí)行受控訪(fǎng)問(wèn)或禁止訪(fǎng)問(wèn)。安全域之間的訪(fǎng)問(wèn)控制策略見(jiàn)表1。

 

    （2）自動(dòng)化控制系統按照既有的建設安全體系進(jìn)行防護的同時(shí)，與列車(chē)運行控制直接相關(guān)的系統（如信號系統和SCADA系統）級別應定為非常重要，對應安全等級保護體系的第三級；為列車(chē)運行提供輔助、支撐的系統級別應定為重要，對應安全等級保護體系的第二級；

    （3）僅供軌交行業(yè)內部使用的管理、決策、辦公類(lèi)系統級別應定為一般，對應安全等級保護體系的第一級。

    3.2　工控網(wǎng)信息安全的考慮

    針對以上的分析，建議從硬件以及軟件兩個(gè)方面實(shí)現工業(yè)以太網(wǎng)的信息安全。

    （1）硬件實(shí)現多層次網(wǎng)絡(luò )信息安全防護

    針對軌道交通自動(dòng)化系統構成特征，將現場(chǎng)級系統分解成多層結構（如圖1所示），在各層網(wǎng)絡(luò )中根據不同情況（如連接設備數目、帶寬以及性能要求等），設置合適的工業(yè)級網(wǎng)絡(luò )安全產(chǎn)品。以Moxa公司的EDR-810系列為例，隨著(zhù)集成技術(shù)發(fā)展，在市場(chǎng)上推出了一體化的防火墻交換機，主要面對最底層需連接多個(gè)終端設備，必須放置一臺交換機的情況；該集成設備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能，具有千兆上聯(lián)口以及多個(gè)快速以太網(wǎng)口，在滿(mǎn)足現場(chǎng)設備接入的同時(shí)，還可利用網(wǎng)管的功能，有效防止由于現場(chǎng)設備故障導致的廣播風(fēng)暴對于其它關(guān)鍵設備的影響；對于現場(chǎng)不被使用的端口，在物理封存的同時(shí)系統可以將其關(guān)閉，從而防止利用現場(chǎng)設備接入交換機進(jìn)行的惡意篡改以及非法入侵。另外，該設備的防火墻策略控制不同信任區域之間的網(wǎng)絡(luò )流量以及網(wǎng)絡(luò )地址轉換（NAT）防御內部局域網(wǎng)免受未經(jīng)授權從外部主機傳來(lái)的活動(dòng)，能夠執行深度的Modbus TCP數據包檢測，從而有效地防止對于現場(chǎng)PLC等關(guān)鍵設備的非法控制，確保關(guān)鍵設備的可靠性。

    在最上層對接辦公網(wǎng)絡(luò )時(shí)，宜選擇設置工業(yè)級千兆防火墻/VPN安全路由器設備，同時(shí)應考慮滿(mǎn)足帶寬需求高、對外連線(xiàn)需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例，其具備冗余的WAN接口，千兆的寬帶性能，吞吐量能夠達到500Mbps，能夠建立的Firewall/NAT規則數為512/256以上，從而確保企業(yè)信息網(wǎng)與自動(dòng)化網(wǎng)絡(luò )之間的安全通信；同時(shí)，支持VPN三層隧道協(xié)議IPSec可達100條，能夠滿(mǎn)足遠端的多通道安全通訊。

    （2）在網(wǎng)管軟件中設置信息安全的選項

    工業(yè)網(wǎng)絡(luò )管理套件可以實(shí)現簡(jiǎn)易配置、智能可視化管理、簡(jiǎn)便的備份管理以及快速故障排除，將整個(gè)網(wǎng)絡(luò )生命周期都結合到了一個(gè)工具包內。為了回應工業(yè)網(wǎng)絡(luò )對于信息安全的重視，須基于ISA與IEC共同制定的針對工業(yè)網(wǎng)絡(luò )分隔的工業(yè)自動(dòng)化系統和控制信息系統的標準IEC 62443標準，分別在安裝、運行和診斷三個(gè)階段來(lái)確保網(wǎng)絡(luò )安全。

    在安裝階段，要從軟件上可以批量部署設備的安全功能，可選擇不同的設備安全級別，規范不同的安全條款，以滿(mǎn)足不同的應用需要。

    在運行階段，軟件可在可視化的網(wǎng)絡(luò )拓撲結構中，用不同顏色來(lái)標注設備的不同安全等級，方便進(jìn)行設備管理。在偵測到安全異常情況后，有相應的界面輸出警告，通知操作人員，進(jìn)行及時(shí)處理。

    4　案例與結語(yǔ)

    案例：美國亨利科縣交通控制系統的安全處置

    弗吉尼亞州亨利科縣交通部門(mén)按NEMA TS2交通控制規范升級現有的公路交通信號控制系統，使其成為先進(jìn)交通管理系統（ATMS）。亨利科縣現有的交通控制系統是由140個(gè)信號控制的十字路口組成，但只有25個(gè)十字路口是相互連接的，其余115個(gè)十字路口的信號控制電路隔離。該系統將采用一個(gè)集中的網(wǎng)絡(luò )架構，使得中央指揮中心可以與每一個(gè)現場(chǎng)交通信號控制器進(jìn)行數據通信?，F場(chǎng)的交通控制器也可以調整和安排每天不同時(shí)間段的交通信號配時(shí)參數，以此來(lái)提高交通車(chē)流量。從中央指揮中心，運營(yíng)商將能夠訪(fǎng)問(wèn)交通信號的實(shí)時(shí)監控和應急響應遠程流量控制的位置。這種先進(jìn)的交通控制網(wǎng)絡(luò )將通過(guò)公用網(wǎng)絡(luò )進(jìn)行部署，不只需要一個(gè)高度可靠的連接，同時(shí)也保護了網(wǎng)絡(luò )安全，禁止未經(jīng)授權的訪(fǎng)問(wèn)。

 

    為了使交通控制器能夠將數據傳送到交通指揮中心,系統集成商需要利用現有的ISP公共網(wǎng)絡(luò )。然而，在公共網(wǎng)絡(luò )中存在可能的安全性問(wèn)題，會(huì )直接威脅到交通控制網(wǎng)絡(luò )的通信。所以，采用VPN和現場(chǎng)及核心防火墻來(lái)保證數據通信的安全就顯得至關(guān)重要。

    2011年，工業(yè)和信息化部頒發(fā)了451號文《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，從國家層面強調了加強工業(yè)控制系統信息安全工作的重要性和緊迫性，而軌道交通的核心生產(chǎn)系統正屬于此通知范圍內。因此希望通過(guò)上述討論，提請相關(guān)人士重視對軌道交通現有的、各個(gè)層次系統部署狀況、網(wǎng)絡(luò )架構及主要安全問(wèn)題的分析，形成一套有效的信息安全架構方案，推動(dòng)軌道交通信息安全基礎建設，完善軌道交通信息安全技術(shù)防護體系、信息安全管理體系，提升軌交行業(yè)的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力。

    
    作者簡(jiǎn)介

    洪翔，高級工程師?，F任上海申通地鐵集團有限公司技術(shù)研究中心系統集成部主任。多年從事軌道交通通信工程、控制中心、綜合監控系統以及信息化等專(zhuān)業(yè)的工程規劃、可研報告編制、工程設計、咨詢(xún)和技術(shù)管理、評審和科研等工作。曾獲上海市科技進(jìn)步獎、教育部科技進(jìn)步獎、建設部?jì)?yōu)秀工程設計銀獎、上海市優(yōu)秀工程咨詢(xún)成果獎等獎項。