編組站自動化系統(tǒng)安全探討

王繼海

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；2．北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070)

1 概述

編組站綜合自動化系統(tǒng)實現(xiàn)了鐵路運輸生產指揮智能化、信息化和自動化，滿足鐵路運營管理、安全維護等方面的需要。隨著編組站自動化系統(tǒng)技術發(fā)展及應用需求，它與越來越多的其他系統(tǒng)、網絡互聯(lián)，尤其是采用云架構后，傳統(tǒng)的安全解決方案已無法適用云數(shù)據(jù)中心的安全需要。

2 云架構編組站自動化系統(tǒng)安全風險分析

編組站綜合自動化系統(tǒng)采用云架構后，其安全風險包括物理安全、管道安全、終端、云安全和安全管理風險等幾個方面。

2.1 物理安全風險分析

物理安全涉及設備本身的安全、環(huán)境的安全、系統(tǒng)設置的安全等，它們分別針對編組站綜合自動化系統(tǒng)設備所用設備、所在環(huán)境、系統(tǒng)組建進行安全保護。物理安全風險可能導致數(shù)據(jù)資源的損毀，主要表現(xiàn)在如下幾個方面：

1）設備故障會造成數(shù)據(jù)丟失；

2）電源故障會造成的設備損壞或數(shù)據(jù)丟失；

3）電磁輻射會造成數(shù)據(jù)丟失。

2.2 管道安全風險分析

編組站綜合自動化系統(tǒng)作為一個相對獨立的系統(tǒng)，但其管道部分即網絡部分為利用既有鐵路網絡，云與管道互聯(lián)部分若沒有嚴格的控制手段，很容易被來自鐵路網絡的其他無關用戶隨意訪問，進行非法操作。

另外惡意的內部人士對數(shù)據(jù)庫的非法篡改或使用、越權使用、引入未授權的軟件到系統(tǒng)中也會影響關鍵生產系統(tǒng)的正常運行。

2.3 終端風險分析

終端是編組站工作人員處理業(yè)務的重要工具，由于其作業(yè)點分散且缺乏必要的安全手段，已經成為編組站綜合自動化系統(tǒng)安全體系的薄弱環(huán)節(jié)。各終端除了本身易遭攻擊破壞外，還容易把破壞迅速傳播到網絡上其他節(jié)點。

2.4 云風險分析

云安全風險可劃分為數(shù)據(jù)安全風險、應用安全風險、虛擬化安全風險等。

數(shù)據(jù)安全風險在于數(shù)據(jù)泄露、數(shù)據(jù)丟失、界面和API被黑等。

應用安全風險在于身份憑證被盜、賬號被劫持、系統(tǒng)漏洞等。

虛擬化安全風險在于共享技術共享危險及虛擬機的故障濫用等。

2.5 管理風險分析

管理風險在于管理制度，管理制度不完善，可操作性差等都可能引起管理安全的風險。

3 云架構編組站自動化系統(tǒng)安全解決方案

云架構編組站自動化系統(tǒng)安全保障體系是一個技術、管理相結合的綜合保障體系。

3.1 物理安全

編組站自動化系統(tǒng)所用設備應有國家相關3C認證；設備安裝在專用通信、信息、信號等專業(yè)設備機房；機房應配置雙電源設備，機房應設置屏蔽網，系統(tǒng)應考慮冗余備份，以確保編組站自動化系統(tǒng)的物理安全。

3.2 管道安全

編組站自動化系統(tǒng)通過信息網與確報系統(tǒng)、班計劃、清算系統(tǒng)、貨票電子化上傳系統(tǒng)、貨運系統(tǒng)、電子貨票系統(tǒng)、AEI系統(tǒng)、超編載系統(tǒng)、現(xiàn)車系統(tǒng)等有接口互聯(lián)。系統(tǒng)邊界安全為重中之重。

應在系統(tǒng)邊界考慮設置防火墻、防病毒網關、入侵檢測（IPS）、抗DDOS、沙箱等。同時編組站通過信息網與相關系統(tǒng)互聯(lián)，應設置接口及交換服務，作為與信息網的安全隔離區(qū)。

防火墻設置訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權訪問，通過報文的五元組及應用的信息來過濾報文，防止設備的非法接入。

防病毒網關防范惡意代碼，針對HTTP、FTP、郵件等應用協(xié)議的防病毒功能，防止病毒在網絡傳播擴散。

IPS進行入侵檢測和阻斷?？笵DOS防護大流量攻擊。沙箱對未知惡意文件的檢測，并與防火墻聯(lián)動， 防護APT攻擊。

3.3 終端安全

根據(jù)業(yè)務應用的具體要求，卸載所有不必要的應用程序和服務；關閉所有非必要開放的對外端口，并且對操作系統(tǒng)及時進行補丁更新；定期進行病毒查殺；關閉系統(tǒng)中guest用戶，對系統(tǒng)用戶設置強口令認證；開啟系統(tǒng)審計。

終端應能實時檢測USB接入狀態(tài)，記錄用戶插拔USB時間、操作文件名、操作文件大小等詳細信息。通過USB監(jiān)控功能可以確保內部關鍵和機密文件不外泄，實現(xiàn)確保信息安全。

為滿足有臨時數(shù)據(jù)拷貝的特殊需求，可設置公共終端。公共終端對外可以使用USB指定端口，應對從外部設備拷貝到公共終端的文件進行病毒查殺后，才能導入網絡。

3.4 云安全

云架構下信息數(shù)據(jù)高度集中，采用虛擬化的底層架構，使其面臨許多新的安全威脅。從技術層面來分析，主要是由于傳統(tǒng)安全策略適用于物理設備，無法管理到虛擬機、虛擬網絡等，使得傳統(tǒng)的防護機制難以有效保護基于共享虛擬化環(huán)境下的用戶應用及信息安全。

基于以上本文提出云服務安全方案是在云外獨立部署安全資源池，在云內部署的云導流平臺結合流轉發(fā)平臺，實現(xiàn)對云內東西向流量的采集和導出。東西流量經過流轉發(fā)平臺的編排交付給虛擬化安全資源池。在虛擬安全資源池內虛擬出數(shù)據(jù)庫審計、流量審計、日志審計等，用虛擬化導流器把云資源池內部東西及南北流量導出到SDN交換機，并由SDN交換機對流量進行智慧編排，最終把流量分配到虛擬化資源池內不同的虛擬化安全設備。對云資源池東西及南北流量進行審計。此方案通過將云內流量導出，極大擴展了分析空間。引入安全資源池，交付給多種類型的安全引擎進行分析。各類引擎實現(xiàn)了網絡中基于流、包和事件等多個維度的可視。豐富的引擎類型為上層業(yè)務分析提供了多維度的基礎數(shù)據(jù)。另外，通過對東西向流量的分析，實現(xiàn)了對可能造成數(shù)據(jù)泄露的主要路徑的監(jiān)控。

3.5 管理安全

管理平臺承接著網絡各種審計策略的執(zhí)行與下發(fā)，應部署運維堡壘主機，為系統(tǒng)提供全面的運維管理體系和運維能力，支持資產管理、用戶管理、命令阻斷、訪問控制、自動改密、審計等功能； 部署了漏洞掃描系統(tǒng)，通過定期對網絡中的網絡設備和服務器進行漏洞掃描，及時發(fā)現(xiàn)系統(tǒng)漏洞，從而提高系統(tǒng)的安全性； 部署安全審計系統(tǒng)，通過獲取日志信息和操作信息等，全面監(jiān)測各類操作過程和內容進行深層次地審計分析，及時發(fā)現(xiàn)違規(guī)的操作行為；部署終端管理和準入系統(tǒng)，對終端接入網絡進行管控、終端用戶的進程進行監(jiān)控、終端用戶的文件操作進行管控、及時進行補丁安裝,從而加強終端用戶的安全。

在運維管理網上的各管理平臺應進行安全集中管控，設置系統(tǒng)管理員、安全管理員和審計員，這3種角色應由安全管理平臺進行統(tǒng)一規(guī)則設定，并明確三權各自的職責?？梢园凑罩悄艿陌酌麊慰刂圃L問策略，確保系統(tǒng)中人員、應用程序可信，權限可控，可以對用戶級、進程級、文件級以及網絡空間級強制訪問控制，對文件、目錄、進程、注冊表和服務進行防護，保護操作系統(tǒng)安全。

4 結束語

面向未來，基于云架構的信息應用必定是鐵路信息業(yè)務發(fā)展的方向，云計算的架構下，數(shù)據(jù)、計算的共享場景將更加復雜多變，安全性方面的挑戰(zhàn)更加嚴峻，合理有效地解決云環(huán)境中的各種類型的安全問題是云技術健康、可持續(xù)發(fā)展的基石。本文提出的云架構編組站自動化系統(tǒng)安全的一個解決方案，對于如何進一步滿足系統(tǒng)安全的需求，是每一個設計者、開發(fā)者和運營維護人員應該深入思考的問題。