2016 年城市轨道交通网络安全设计探讨张程 www.h3c.com
二 网络安全设计分析 三 网络安全设计应注意事项 四 部分案例
信息安全技术信息系统安全等级保护基本要求,GB/ 1 T22239 2008, 涉及到无线网络层面的安全要求包括 : 结构 安全 访问控制 边界完整性检查 入侵防范 网络设备防护 国内信息安全法规 2 国家保密法 第二十五条, 在有线 无线通信中传递国家秘 密的, 必须采取保密措施 3 PCI DSS, 支付卡数据安全标准, 目的在于阻止身份盗取和信 用卡诈骗, 需要对无线网络定期进行安全检查
GB/T22239 2008 信息安全技术信息系统安全等级保护基本要求 分析
第一级安全保护能力 : 应具有能够对抗来自个人的 拥有很少资源 ( 如利用公开可获取的工具 等 ) 的威胁源发起的恶意攻击 一般的自然灾难 ( 灾难发生的强度弱 持续时间很短 系统局 部范围等 ) 以及其他相当危害程度的威胁所造成的关键资源损害, 并在威胁发生后, 能够恢复部分功能 第二级安全保护能力 : 应具有能够对抗来自小型组织的 ( 如自发的三两人组成的黑客组织 ) 拥有少量资源 ( 如个别人员能力 公开可获或特定开发的工具等 ) 的威胁源发起的恶意攻击 一般的自然灾难 ( 灾难发生的强度一般 持续时间短 覆盖范围小 ( 局部性 ) 等 ) 以及其他 相当危害程度 ( 无意失误 设备故障等 ) 的威胁所造成的重要资源损害, 能够发现重要的安全漏洞和安全事件, 在系统遭到损害后, 能够在一段时间内恢复部分功能 第三级安全保护能力 : 应具有能够对抗来自大型的 有组织的团体 ( 如一个商业情报组织或犯 罪组织等 ), 拥有较为丰富资源 ( 包括人员能力 计算能力等 ) 的威胁源发起的恶意攻击 较 为严重的自然灾难 ( 灾难发生的强度较大 持续时间较长 覆盖范围较广 ( 地区性 ) 等 ) 以及 其他相当危害程度 ( 内部人员的恶意威胁 设备的较严重故障等 ) 威胁的能力, 并在威胁发生后, 能够较快恢复绝大部分功能
第四级安全保护能力 : 应能够在统一安全策略下防护系统免受来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 以及其他相当危害程度的威胁所造成的资源损害, 能够发现安全漏洞和安全事件, 在系统遭到损害后, 能够迅速恢复所有功能 应具有能够对抗来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 ( 灾难发生的强度大 持续时间长 覆盖范围广 ( 多地区性 ) 等 ) 以及其他相当危害程度 ( 内部人员的恶意威胁 设备的严重故障等 ) 威胁的能力, 并在威胁发生后, 能够迅速恢复所有功能 第五级安全保护能力 : 第五级信息系统是涉及国家安全 社会秩序和公共利益的重要信息系统的核心子系统, 国家将指定专门部门或者专门机构对其信息安全等级保护工作进行强制监督 检查, 本标准不适用
不同级别系统控制点的差异 注 : 二级在控制点上的增加较为显著 不同级别系统要求项的差异 注 : 在二级与一级之间, 三级与二级之间要求项的增加比较显著, 尤其是三 二级之间, 尽管控制点的增加不多, 但在具体的控制点上增加了要求项, 故整体的级差增强较显著
网络安全 网络安全主要关注的方面包括 : 网络结构 网络边界以及网络设备自身安全等, 具体的控制点包括 : 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护等七个控制点 控制点 一级 二级 三级 四级 结构安全 * * * * 访问控制 * * * * 安全审计 * * * 边界完整性检查 * * * 入侵防范 * * * 恶意代码防范 * * 网络设备防护 * * * * 合计 3 6 7 7
网络安全 1 结构安全一级 : 要求网络资源方面能够为网络的正常运行提供基本的保障 二级 : 在一级要求的基础上, 要求网络资源能够满足业务高峰的需要, 同时应以网段形式分隔不同部门的系统 三级 : 除二级要求外, 增加了 处理优先级 考虑, 以保证重要主机能够正常运行 四级 : 与三级要求基本相同 2 访问控制 一级 : 主要在网络边界处对经过的数据进行包头信息的过滤, 以控制数据的进出网络, 对用户进行基本的访问控制 二级 : 在一级要求的基础上, 对数据的过滤增强为根据会话信息进行过滤, 对用户访问粒度进一步细化, 由用户组到单个用户, 同时限制拨号访问的用户数量 三级 : 在二级要求的基础上, 将过滤的力度扩展到应用层, 即根据应用的不同而过滤, 对设备接入网络进行了一定的限制 四级 : 对数据本身所带的协议进行了禁止, 同时根据数据的敏感标记允许或拒绝数据通过, 并禁止远程拨号访问
网络安全 3 安全审计一级 : 无此要求 二级 : 要求对网络设备运行 网络流量等基本情况进行记录 三级 : 除二级要求外, 要求对形成的记录能够分析 形成报表 同时对审计记录提出了保护要求 四级 : 除三级要求外, 要求设置审计跟踪极限阈值, 并做到集中审计 4 边界完整性检查一级 : 无此要求 二级 : 能够检测到内部的非法联出情况 三 四级 : 在二级的基础上, 能检测到非授权设备私自外联, 而且能够准确定位并阻断 5 入侵防范一级 : 无此要求 二级 : 能够检测常见攻击的发生 三级 : 在二级要求的基础上, 不仅能够检测, 并能发出报警 四级 : 在三级要求的基础上, 防范能力增强, 做到检测 报警并自动采取相应动作阻断等
网络安全 6 恶意代码防范一级 : 无此要求 二级 : 无此要求 三 四级 : 要求能够在网络边界处防范恶意代码, 并保持代码库的及时更新 7 网络设备防护一级 : 对网络设备要求基本的登录鉴别措施 二级 : 对登录要求进一步增强, 提出了鉴别标识唯一 鉴别信息复杂等要求 三级 : 在二级要求的基础上, 提出了两种以上鉴别技术的组合来实现身份鉴别, 同时提出了特权用户权限分离 四级 : 在三级要求的基础上, 要求其中一种鉴别技术为是不可伪造的
二 网络安全设计分析 三 网络安全设计应注意事项 四 部分案例
二 网络安全设计分析 城市轨道交通需要进行网络设计包括信号系统 通信系统 ( 软交换 乘客信息 视频监视 办公自动化等 ) 综合监控系统 自动售检票系统, 涉及专业多 安全等级高, 以下从设计原则 设计方案两个方面来阐述网络安全设计 : 一 ) 网络安全设计原则 1 确定安全保护级别 2 需求与投资的匹配任何网络安全级别的提升伴随投资的增加 城市轨道交通信息网络安全设计必须考虑性价比, 做到网络安全与投资的匹配 3 安全措施及手段应尽量简单 灵活 4 多种安全技术相结合的原则当一种技术保护被攻破时, 其它保护技术仍可保护信息的安全
二 网络安全设计分析 二 ) 网络安全设计方案结合前面网络安全分析, 网络的安全设计可从网络结构 ( 结构安全 网络设备防护 ) 网络边界安全( 访问控制 边界完整性检查 恶意代码防范 ) 入侵防范 安全审计措施等 4 个方面综合考虑 1 网络结构 1) 网络拓扑网络拓扑应采用结构层次化设计, 层次化将简化网络结构 可划分为核心层 汇聚层和接入层, 或采用核心层和汇聚层合二为一的扁平结构, 通过层级划分进行流量汇聚, 将风险影响范围进行限制 2) 网络设备选型交换能力 包转发率 QoS 机制 组播和安全特性支持能力 支持 NAT MAC 和 VLAN 支持等
二 网络安全设计分析 3) 网络安全策略 核心层 : 核心节点进行链路保护 ; 关闭路由设备上不要开放的服务 加强网络设备用户管理 登录管理 制定详尽的访问控制列表 ACL 对异常流量进行报文过滤 ; 采用 NAT 技术, 对外屏 蔽内部网络的主机地址 ; 采用 VPN 技术网络设备进行远程管理, 避免密码被劫持泄漏等等 汇聚层 : 冗余配置的链路宜采用负载均衡, 限制接入的 IP 地址数 TCP/UDP 连接数, 强化 访问控制列表 ACL, 用户带宽进行控制等 接入层 : 采用端口限速, 限制网络攻击和用户的恶意行为 ; 合理分配 IP 地址 ; 采用 QinQ 技术 拓展 VLAN 的数量, 保证用户问隔离, 抑制广播风暴 ; 采用 IP 地址与 MAC 地址绑定, 避免 IP 的 盗用和非授权用户接入 ; 采用必要的端口检测措施, 防止二层环路的发生
二 网络安全设计分析 2 网络边界安全 城市轨道交通信息网络的网络边界可分为外部网络边界和内部网络边界 外部网络边界 : 应采用具有电信级 无阻塞交换技术的硬件防火墙, 布置在城市轨道交通信息网络接 入电信运营商 IP 城域网处, 提供深度的攻击检测和灵活强大的攻击防护, 实现对 SYN FLOOD UDPFLOOD CC 攻击 ICMP FLOOD Ping of Death Tear Drop 地址扫描 端口扫描 恶意代码 等多种攻击的有效地防范 内部网络边界 : 对于涉及资金 行车运营管理的系统, 网络边界宜采用物理隔离和协议隔离相结合 基于硬件设计大容量高可靠性的网闸 其他系统可考虑防火墙或 UTM (UnitedThreat Management, 统 一威胁管理 )
二 网络安全设计分析 3 入侵防范 城市轨道交通信息网络的入侵防范措施可采用 IDS( 入侵检测系统 ) IPS( 入侵防御系统 ) 等 IDS: IDS 可采用 NIDS 和 HIDS NIDS 宜部署在城市轨道交通信息网络接入电信运营商 IP 城域 网处, 可采用 NIDS 与防火墙配合使用, 由 NIDS 实现安全检测功能, 由防火墙实现安全控制功能, 通过两者联动来实现自动安全检测和控制,NIDS 宜放置在防火墙内侧 在加强主机防御和降低主机安全风险方面,HIDS 具有独特优势, 可作为安全措施的组成部分, 但 HIDS 部署应充分考虑对主机性能的影响 IPS:IPS 可对网络威胁进行主动和实时的防御, 对信息网络起到风险控制作用 安全等级达到 四级需配套此设备
二 网络安全设计分析 4 安全审计 网络安全审计系统是一种基于信息流的数据采集 分析 识别和资源审计封锁软件 通过实时 审计网络数据流, 根据用户设定的安全控制策略, 对受控对象的活动进行审计 它侧重于 事中 阶段 城市轨道交通信息网络安全等级多为二 三级, 安全审计实现对网络设备运行 网络流量等基 本情况进行记录, 并能够分析 形成报表 进行保护即可
二 网络安全设计分析 三 网络安全设计应注意事项 四 部分案例
三 网络安全设计应注意事项 1 应与建设单位 信息安全等级保护办公室及早确定保护等级, 在设计阶段与之匹配, 避免后续备案阶段方案变更 2 网络安全需求应与与投资的匹配, 达到性价比最优化 3 对于办公自动化系统, 保护级别可定为二级, 但该系统牵扯到接入电信运营商 IP 城域网, 建议该系统在实施过程中可参照三级甚至四级要求进行设计 4 网络结构安全二级和三级区别比较大, 增加了 处理优先级 考虑 因此, 三级在网络设备选型中应充分考虑业务分级需求 5 设备选型: 例如 : 访问控制需求从链路层一直扩展到应用层, 需各供货商在产品定制机研发过程中与之相匹配 同时应根据技术发展及时更新防护策略 6 加强管理要求, 避免内部人员的恶意威胁
三 网络安全设计应注意事项 7 无线网络传输介质固有缺陷及解决方案 前面网络安全主要分析是链路层至应用层的保护, 对于无线网络物理 层存在更为直接的安全问题, 主要包括 : 1) 传输过程中的物理防护问题 无线信号一旦离开信号源, 在空气中朝多个方向传播, 只需要一根调 整到正确频率的天线, 攻击者很容易利用一些设备监听到未授权频谱上的传输内容 2) 未授权无线频谱的使用 未授权无线频谱的使用对物理防护问题无疑难度更大 LTE TETRA 等网络使用专用的无线频谱资源, 也并不解决物理防护问题, 只是攻击者需要特殊的设备 工具以及专业知识
三 网络安全设计应注意事项 3) 解决方案 (WLAN 为例 ) 通过对数据加密, 引入强壮的认证和数据加密措施 目前通常 WPA/WPA2 加密方式, 建议密钥长度不低于 128 位 关闭 SSID 广播功能, 降低探测难度 通过接入管理设备识别接入设备 MAC 地址 设备类型等信息, 禁止非授权设备接入 使用数字证书进行身份认证
二 网络安全设计分析 三 网络安全设计应注意事项 四 部分案例
四 部分案例 CBTC 系统安全通信方案 其它网络 中央控制室 防火墙 IPS 核心交换机 日志审计系统 ATS 控制系统 一体化 AC 无线接入管理无线入侵防御 安全无线接入 无线接入 安全探测 无线接入 安全探测无线接入 无线接入安全探测 安全探测
四 部分案例 PIS 系统安全通信方案 中央控制室 核心交换机 日志审计系统 PIS 服务器集群 交换机 其它网络 交换机 防火墙 IPS 一体化 AC 无线接入管理无线入侵防御 IP 摄像头 安全无线接入 媒体终端 无线接入 安全探测 无线接入 安全探测无线接入 无线接入安全探测 安全探测 STA STA
汇报结束, 谢谢大家! 31