预约试听:15323438773
  


技术分享

News

轨道交通自动化信息安全面临的挑战及对策

日期: 2020-12-21
浏览次数: 83

  轨道交通自动化信息安全面临的挑战及对策


  随着信息化和工业自动化的深度融合,物联网技术的快速发展,工业自动化和控制网络正朝着分布式和智能化方向快速发展,越来越多的基于TCP/IP的通信协议和接口被采用,从而实现了从管理信息层到现场设备的一致识别、通信和控制。然而,在工业控制系统越来越开放的同时,也削弱了控制系统与外界的隔离和安全保护。因此,行业/企业在享受网络互联带来的各种好处的同时,也面临着来自各种来源的信息安全威胁,包括病毒和木马传播控制网络等。国内工业控制系统的安全风险日益严重,应给予足够的重视。


  轨道交通自动化系统一般分为与列车运行控制直接相关的系统(如信号系统、电力SCADA系统等)。),为列车运行提供协助和支持的系统(如综合监控系统、设备监控系统、火灾报警系统等。)和协助安全管理的系统(如门禁系统等。).这些系统有共同的特点:一般系统分为三层:信息管理层、控制执行层和现场操作层;该系统以采集执行控制器(如PLC)和工业控制网络为核心。工业控制网络要求更好的实时性、更高的传输速率和可靠性。


  由于技术的限制,工业控制网络中的现场总线已经不能满足快速发展的工业控制网络的需要,工业以太网技术是目前应用最广泛的技术。具有以下优点:


  (1)几乎所有编程语言都支持以太网;


  (2)软硬件资源丰富,成本低(可以降低系统整体成本);


  (3)通信速率高(100兆设备得到广泛应用,千兆和10兆逐渐成为工业骨干网的主流);


  (4)由于基于TCP/IP的开放标准,不同设备易于互联,具有良好的发展潜力;


  (5)易于实现管控一体化;


  (6)工业产品设计,提供与其他自动化部件相同的MTBF(平均故障间隔时间)值,通常为10年以上(相比之下,典型的商用产品在建造时平均寿命高达5年);


  (7)安装方便:通常采用DIN-Rail导轨进行安装,或者用螺栓直接与机器连接;


  (8)无风扇设计,实现被动散热;


  (9)冗余电源、冗余链路、支持采用冗余设备,保证全天候正常运行时间;


  (10)满足特定的行业标准【包括轨道交通行业普遍认可的EN50121-4认证(路侧应用)和EN50155认证(车辆应用)】,保证在湿度、防尘、防腐蚀、温度、振动、冲击、电磁干扰等极端现场条件下的正常运行。但我们不能掩盖这样一个事实,即工业控制网络是工业控制系统安全隐患的主要因素。01.工控系统信息安全现状及其对轨道交通安全的影响


  现实调查表明,工业控制系统的信息安全问题越来越严重。


  在过去两年中,在工业网络信息安全领域有几个有影响的例子:


  (1)2010年7月首次检测到针对某公司ICS/SCADA的Stuxnet地震网病毒;三个月后,全球已有10万台主机被感染。这是世界上第一个专门为工业控制系统编写的破坏性病毒,引起了业界对信息安全的特别关注。


  (2)2012年8月BBC技术版报道称,在西门子旗下的Roger  Kang平台交换机中发现后门。这个程序允许黑客轻松入侵网络并窃取信息。该设备主要用于美国的国家电厂,受到美国国土安全部的高度重视。


  (3)2013年底,“棱镜门”事件主角斯诺登曝光了一份材料,显示美国在2008年开发了48种间谍工具,可以打击与互联网隔离的电脑。这种情况对人们认为工业控制系统与互联网隔离,ICS不存在信息安全问题的想法产生了颠覆性的影响。


  根据统计数据,在工业最发达的美国,2010年工控系统信息安全事件只有39起,到2013年,这一数字已经上升到256起。其中,2013年,工控系统安全事件涉及能源、重点制造、供水、交通、核工业等直接关系国计民生和人身安全的行业。其中,交通行业工控系统安全事故占比达到5%。


  中国的工业发展暂时落后于美国。因此,可以预测,未来中国工控系统安全事件也将呈现出广泛覆盖、快速增长的趋势。交通运输行业,尤其是轨道交通行业,以及工业基础设施中关键集成电路系统的安全事故的可能影响包括:


  (1)轨道交通子系统的性能下降,影响系统的可用性;


  (2)关键控制数据已被篡改或丢失;


  (3)失控(2008年,波兰罗兹市一少年袭击城市轨道系统,用遥控器更换轨道切换器,导致4列列车脱轨);


  (4)严重甚至造成人员伤亡的;


  (5)铁路运输单位声誉受损,信任度降低;


  (6)基础设施损坏;


  (7)严重的经济损失等。


  02、工业以太网信息安全威胁的主要原因


  从业人员普遍认为,工控网络的通信协议相对私密,与更广泛的网络隔离。此外,设备的优势使他们对工业网络的安全性充满信心。然而,在当今瞬息万变、互联广泛的网络世界中,许多工业运营商甚至没有意识到他们的系统已经暴露在互联网上,他们必须应对一些特殊的安全漏洞。根据最近的一份报告,美国国土安全部顾问InfraCritical仅通过监控引擎就发现了网络中暴露的50万个SCADA设备,其中7200个设备控制着水利、能源等领域的关键基础设施。因此,安全研究人员将工业控制系统的状态描述为“安全”听起来很荒谬。现有工业自动化网络的漏洞主要体现在以下三个方面:


  (1)工业基本协议Modbus  TCP/IP协议数据包存在安全隐患


  Modbus  TCP/IP协议在工业通信中应用广泛,但由于缺乏内置的安全处理,协议的应用相对脆弱。具体来说,即使是在传输一个源IP地址已经被检测到的TCP/IP包的时候,看起来也是合法的,但是因为可能包含恶意的Modbus  TCP通信包,所以整个通信过程都有疑点。假设系统检测到Modbus的源设备ID、功能代码或命令类型,这个恶意数据包就无处可藏了。同时,由于几乎没有针对工业设备的应用层安全防护模式,对于这类任务关键型应用的安全防护会落在网络安全设备上,比如硬件防火墙等。而传统的防火墙解决方案很少有扫描Modbus  TCP等工业协议的机制。


  (2)自动控制中的定时要求非常严格,存在传输延时的安全隐患


  监控和数据采集系统和自动化控制对受控对象的直接操作具有高度的时间敏感性。例如,变电站运行对时间非常敏感,触发电路开关的延迟会导致功率波动甚至断电。运营的高度及时性要求工业网络不应有明显的延迟。然而,恶意攻击者使用一个普通的请求者来攻击网络,即使防火墙可以阻止一个未经授权的请求,也会造成网络延迟。同时,在处理数据时,防火墙也存在容量和带宽不足的问题,这也导致关键时刻网络延迟,不能满足实时传输的要求。


  此外,随着需求的增加,工业网络将集成更多的系统,如视频、语音和数据网络;网络设备需要更多的带宽和吞吐量来支持更高级别的应用,不影响网络安全,也不延迟其他工业运营。


  (3)恶劣的现场环境促使网络设备被动适应,存在适应的安全隐患。


  轨道交通现场的机械、电气和工业控制设备部署在恶劣的环境中。传统的信息技术网络安全设备很难在这些恶劣的环境中稳定运行,保证工业网络和系统的信息安全。这些恶劣的环境条件,如极端温度、电磁兼容性、电磁干扰等。可能对传统的IT网络安全设备造成比黑客蓄意程序工具的攻击更严重的破坏。因此,要确保工业网络免受黑客攻击和信息安全,首要任务是确保这些设备能够在这些恶劣的工业环境中持续稳定地运行。


  消除以上漏洞的第一步是确认漏洞,堵塞漏洞;第二步至关重要,必须彻底清除安全漏洞。3.1轨道交通行业信息安全的整体考虑


  轨道交通业务可分为自动控制和管理信息两大类。它分为三个安全域:生产域、管理域和互联网域。上海在处理信息安全时通常有以下做法:


  (1)同一区域内的访问、不同区域之间的受控访问或禁止访问。


  (2)在根据现有施工安全系统对自动控制系统进行保护的同时,应确定与列车运行控制直接相关的系统(如信号系统、SCADA系统)的等级非常重要,对应于安全等级保护系统的第三级;为列车运行提供辅助和支持的系统级别应确定为重要,对应于安全级别保护系统的第二级;


  (3)仅用于轨道交通行业的管理、决策和办公系统的级别应确定为一般级别,对应于安全级别保护系统的第一级。


  3.2工业控制网络信息安全的考虑


  鉴于以上分析,建议从硬件和软件两方面实现工业以太网的信息安全。


  (1)硬件实现多层次网络信息安全保护


  根据轨道交通自动化系统的组成特点,将现场级系统分解为多层结构(如图1所示),根据不同情况(如连接设备数量、带宽和性能要求等)在网络的每一层设置合适的工业级网络安全产品。).以艾科公司的EDR-810系列为例,随着集成技术的发展,市场上推出了一款集成防火墙交换机,主要面对底层需要连接多个终端设备且必须放置一台交换机的情况;集成设备集成了二层网管的交换功能和防火墙/NAT/VPN的功能,具有千兆上行端口和多个快速以太网端口。既能满足现场设备的接入要求,又能利用网络管理的功能,有效防止现场设备故障引起的广播风暴影响其他关键设备。对于现场未使用的端口,系统可以在物理密封的同时将其关闭,以防止利用现场设备接入交换机进行恶意篡改和非法入侵。此外,设备的防火墙策略控制不同信任区域之间的网络流量,网络地址转换(NAT)保护内部LAN免受外部主机传输的未授权活动,并可进行深度Modbus  TCP包检测,从而有效防止现场PLC等关键设备的非法控制,保证关键设备的可靠性。


  在顶层对接办公网络时,应选择工业级千兆防火墙/VPN安全路由器设备,并考虑外部连接的高带宽需求和备份链路要求。以艾科公司的EDR-G903系列为例,具有冗余WAN接口,千兆宽带性能,吞吐量可达500Mbps,可建立的防火墙/NAT规则数超过512/256,从而保证了企业信息网与自动化网的安全通信;同时,支持VPN三层隧道协议的IPSec多达100个,可以满足远程多通道安全通信。(2)在网络管理软件中设置信息安全选项


  工业网络管理套件可以实现简单配置、智能可视化管理、简单备份管理和快速故障排除,并将整个网络生命周期集成为一个工具包。为了应对工业网络对信息安全的重视,有必要在基于工业自动化系统标准IEC  62443的安装、运行和诊断以及由工业网络分隔的控制信息系统三个阶段确保网络安全。


  在安装阶段,为了从软件上批量部署设备的安全功能,可以选择不同的设备安全级别,规范不同的安全条款,以满足不同的应用需求。


  在运行阶段,软件可以在可视化的网络拓扑结构中用不同的颜色标注设备的不同安全等级,方便设备管理。检测到安全异常情况后,相应的界面会输出警告,通知操作员并及时处理。


  04、案例与结论


  案例:美国亨里科县交通控制系统的安全处置


  根据NEMATS2交通控制标准,弗吉尼亚州亨里科县的交通部门升级了现有的公路交通信号控制系统,使其成为一个先进的交通管理系统(ATMS)。亨里科县现有的交通控制系统由140个信号控制的路口组成,但只有25个路口相互连接,其余115个路口的信号控制电路是隔离的。该系统将采用集中式网络架构,以便中央指挥中心能够与现场的每个交通信号控制器通信。现场交通管理员还可以每天在不同时间段调整和安排交通信号定时参数,以改善交通流量。从中央指挥中心,操作员将能够访问实时监控交通信号和远程流量控制的位置,以进行紧急响应。这种先进的流量控制网络将通过公共网络部署,不仅需要高度可靠的连接,而且保护网络安全,禁止未经授权的访问。


  为了使交通管理员能够向交通指挥中心传输数据,系统集成商需要使用现有的ISP公共网络。然而,公共网络中可能存在安全问题,这将直接威胁到交通控制网络的通信。因此,使用VPN以及现场和核心防火墙来保证数据通信的安全性是非常重要的。


  2011年工业和信息化部发布451号文件【0x9A8B】,强调从国家层面加强工控系统信息安全的重要性和紧迫性,轨道交通核心生产系统在此通知范围内。因此,希望通过以上讨论,相关人士重视对轨道交通现有系统部署现状、网络架构和主要安全问题的分析,形成有效的信息安全架构方案,推动轨道交通信息安全基础设施建设,完善轨道交通信息安全技术保障体系和信息安全管理体系,提升轨道交通行业信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。


News / 推荐新闻 More
2023 - 06 - 28
联为智能教育主要从事计算机软件技术咨询;企业自动化技术培训;教育设备研发生产;自动化设备的研发、有着丰富的教学经验,教学设备齐全,老师手把手带着做实操,辅导到个人,是一家实地工厂的培训机构目前开设课程PLC、电工电路,机器视觉、机器人等等。联为教育课程的优势优势一:零基础教学!从零开始,快速领您入门优势二:偏实操!“老师重点知识讲解,手把手带您做实操”,由浅入深,逐步讲解,学生容易吸收,快速提升!优势三:经验丰富!具有专业性,多种案例讲解,知识点考核、教学经验丰富,针对性强!优势四:推荐就业!指导就业方向,充实简历,推荐相关岗位工作重要通知机器视觉课程开班日期:2023年7月10日三菱PLC课程开班日期:随到随学  开设课程 01三菱PLC课程教学内容包括电工电路,电气制图,PLC编程、伺服,步进,触摸屏,变频器,模拟量,过程中结合多个实用案例教学01机器视觉课程教学内...
2022 - 10 - 20
自动化人才专场!免费展位!企业征集报名开始咯~广大自动化类企业注意了!10月28日(星期五)14:00—16:30 由深圳市龙华区人力资源局主办深圳市龙华区人力资源行业协会、深圳市联为智能教育有限公司开展的2022年龙华人才园“大国工匠 梦启龙华”系列公益招聘活动之“伯乐识良马,明主觅贤才”预约式自动化人才公益招聘会将在龙华人才园举办 现诚邀广大企业到场选聘自动化技术员、电气工程师、机构工程师、视觉工程师装配电工、装配钳工等各类自动化技术人才~   时间10月28日(星期五)14:00—16:30(活动最终实际举办时间将根据疫情情况确定)地址龙华人才园深圳市龙华区观湖街道环观南路61号龙华人才园 人才会堂主办单位深圳市龙华区人力资源局承办单位深圳市龙华区人力资源行业协会深圳市联为智能教育有限公司企业报名1.企业报名日期即日起至2022年10...
2022 - 09 - 17
关于举办“视觉定位工程实训”线下培训班 众所周知,工业机器人是制造业的高端制造设备,对于稳定性、定位精准度的要求,是 非常高的,因此,需要借助机器视觉技术处理图像,通过工业相机实现引导定位和模式识别 等操作,得快速获取物体的质心和边界,才能满足工业机器人系统运行的自定位需求。 联为智能教育特邀行业资深工程师共同举办视觉定位工程实训培训班。本次培训课程重 点介绍基于视觉定位项目要求所需的相机镜头相关参数,相机选型,精度评估,定位原理及 分类,标定设计等方面的知识和原理,并结合实际 案例和代码实制进行了详细的讲解和具 体的操作指导。具体通知事宜如下: 一、【培训目标】 1、能够利用图像处理软件进行具体定位项目的开展 2、对视觉定位原理有较深全面的理解,并代码实现。3、通过原理解析、典型实例操作强化应用,提升学员解决实际工程问题的能力。 学会如何设计标定,...
2022 - 07 - 22
电气工程系主任刘忠翔率队到深圳开展企业调研为深化校企合作,深入推进2020级学生岗位实习和学生就业工作。2022年6月21日,贵州装备制造职业学院电气工程系党总支书记兼主任一行4人到深圳市联为智能技术有限公司、深圳市海目星激光智能装备股份有限公司、深圳龙华区人才园等调研,并开展深入的交流座谈。交流座谈会上,深圳市联为智能技术有限公司董事长陈星树表示:贵州装备制造职业学院在专业技术、研究方向与公司发展高度契合,双方可以在促进智能制造毕业生高质量就业、专业人才培养、推进新型产教融合等方面深度合作。电气工程系党总支书记兼主任刘忠翔对贵州装备制造职业学院和系部的办学情况、学科建设情况等进行了介绍,希望双方尽快就智能制造新型产教融合相关细节展开深入沟通,促进学生高质量就业和发展,同时在智能制造领域开展长效的合作。调研过程中,刘忠翔一行还深入海目星自动化产线的装配调试现场实地考察,并与企业负责人、人力...
技术分享
 
2023 / 06 / 28
联为智能教育主要从事计算机软件技术咨询;企业自动化技术培训;教育设备研发生产;自动化设备的研发、有着丰富的教学经验,教学设备齐全,老师手把手...
 
联系方式
深圳市龙华区观澜街道桂香社区桂圆路23号联为智能装备数字产业园
1812977051@qq.com

15323438773 陈老师

0755-29495142

预约免费试听
  • 您的姓名:
  • *
  • 公司名称:
  • 地址:
  • 电话:
  • *
  • 传真:
  • E-mail:
  • 邮政编码:
  • 留言主题:
  • 详细说明:
  • *
     
联为智能教育专业打造自动化教育产、学、研一体化平台,成为智能制造教育领导者。联为plc培训班精心打造专业培训实操基地,专门为学员研发一批教学设备,包括机器人学习教学连线,plc培训学习教学连线,工业机器人培训、plc编程培训等专业的教学设备,让学员真正理论实践一体,学以致用,从实践交流中体会知识的精髓,来一场完美的职业转身。
扫码学习
深圳联为智能教育感谢您的关注!
plc学习
在线直播间
plc培训班
小胡老师
Copyright ©2005 - 2013 深圳市联为智能教育有限公司


犀牛云提供企业云服务
5
电话
  • 15323438773
6
二维码
回到顶部