周 晓
(上海申通地铁集团有限公司运营管理中心,200070,上海∥工程师)
随着上海轨道交通网络化运营的发展,轨道交通客运量不断增长,自动售检票(AFC)系统的数据量不断扩大,系统的安全越显重要。如何保证业务系统工作安全、正常、可靠,是信息系统的一个重要任务。
在所有计算机安全问题中,计算机病毒是最为严重的。这个问题同样存在于AFC系统之中。经粗略统计,在上海轨道交通已运营的11条线路的AFC车站终端设备中,或多或少有电脑病毒存在,且多次发作,影响运营。因此,必须结合目前AFC系统运营的实际情况加以分析,并建立一套完善的、多级的AFC车站终端设备病毒防护解决方案。
运营方面:目前,上海轨道交通AFC车站终端设备由闸机、半自动售票机、自动售票机和自动充值机等组成,这些设备将收集到的信息汇总至车站计算机后,统一发送到中央服务器。在这一过程中,数据收集的有效性、正确性和数据传输的完整性是关键。如果病毒发作,不仅造成数据收集不及时或不准确,还会造成设备无法继续运行、甚至运营参数被恶意篡改影响乘客的正常扣款。
硬件方面:终端设备的硬件配置相对较低,硬盘和内存容量较小、CPU(中央处理器)处理能力低,正常的运行程序已占用绝大部分系统资源,可给予第三方病毒防护软件运行使用的资源不多。
网络方面:虽然各AFC线路的网络拓扑已逐渐改造为三层网络架构,但二层网络架构依然存在。二层网络架构通过广播进行通信传输,病毒的传播性随之由点盖面。三层网络虽然能将广播域缩小,但无法控制同一广播域内的病毒传播,且由于在改造前部分设备已经感染了病毒,因此在三层网络架构的车站中病毒依然猖獗。
操作系统方面:目前车站终端设备主要使用DOS、Linux、Windows XPE 和 Windows NT 等4种操作系统。针对DOS系统和Linux系统的病毒目前较少,但一旦中毒,清除这2类操作系统病毒的工作量却最大。后2类操作系统由于都是精简版的,很多组件和服务无法开启,导致很多清除病毒工具及内网防护工具无法运行。因此,操作系统的限制,对整个AFC车站终端设备的病毒防护是最具挑战的。
应用方面:各类车站终端设备除了相应的作业应用外,有的还需开启数据库应用和报文传输应用,这些应用对网络带宽和内存、CPU的使用率都有一定的要求。因此,病毒防护工具对应用的影响必须很小,且可接受。
维护方面:大多为现场维护工作,如需进入系统更新文件,一般都通过U盘进行拷贝,且不能受控。AFC网络是一个相对封闭的系统,无外网连接,产生病毒最大的可能性就是通过U盘感染设备并传播到其他设备。
综上所述,目前车站终端设备完全没有安全防护的机制,而且在硬件、网络、操作系统、应用和后期维护中,限制了安全防护工具的使用,滋长了病毒的传播。
AFC车站终端设备的病毒防护这一概念于2008年就已提出并开始了相关的测试工作,历经5年,直到2012年初才有了适用的产品。其主要的测试历程如下:
2008年,经过近10年的AFC系统运营后,技术人员注意到AFC系统内的病毒问题,并自发进行研究。尝试了传统的病毒防护软件客户端及入侵检测系统等传统防护手段,实现了对车站计算机系统以上部分进行初级病毒防护,但对车站计算机系统以下的部分无从下手。自发研究遇到了瓶颈,并于2009年年底暂停研究。
2010年,国家信息系统安全等级保护评定中心对清分系统(ACC)进行安全评测,ACC被定为二级信息系统。由于ACC直接接收车站终端设备的交易数据,本次测评中对车站终端设备的安全防护提出了具体要求。虽与多家国内外知名厂商进行了合作与尝试,但因终端设备的操作系统太过“精简”,厂商的应用程序均无法顺利安装和运行而再次失败。
2011年末,开始对国外(A公司)和国产(JM公司)各一款新型安全防护软件产品进行相关的测试研究,并最终于2012年取得成功。
A公司的产品全称为Hard Disk Firewall(简为HDF),是用于保护电脑系统文档(System File)的完整性和加强信息安全的技术解决方案。它的思路是:通过一个系统文档的保护锁,阻止包括病毒、恶意软件、黑客和内贼等入侵,使其不能破坏和感染计算机,保证文档、系统、应用和运作的完整性。
HDF的工作机制是:识别程序中恶意行为的特征来拦截病毒程序进入磁盘,阻止其进行自身复制和传播。HDF在程序执行过程中对系统读、写、删、改等操作行为进行识别,并判别是否是恶意程序,通过阻止恶意操作来达到保护系统的目的。
传统的基于病毒库的杀毒软件是在病毒进入磁盘之后,利用病毒特征码对其进行分析。根据病毒特征库对病毒的定义对目标文件进行扫描分析,以确定目标文件是否为病毒或包含病毒。这种做法需要对病毒特征库频繁更新,并依据病毒特征库对系统进行扫描查毒。该机制会给系统带来大量资源开销,病毒特征库需占用较大的硬盘存储空间,扫描时占用大量的CPU处理能力、内存空间和磁盘IO开销,降低系统性能,影响业务系统的使用。此外,如果病毒特征库不足够新的话,将不能正确识别新病毒,无法做到对系统的全面保护。
此外,对于利用系统零日漏洞对电脑发起的攻击行为,基于病毒特征库的杀毒软件是无能为力的,因为杀毒软件无法识别这种攻击行为。在这种情况下,通过识别攻击行为特征的防护方式,能提供非常重要的最终基线来防范入侵之病毒和恶意软件。
(1)HDF充分融入 Microsoft Windows(支持Windows 2000、Windows XP、嵌入式 Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista、Windows 7)及Linux操作系统,并与所有病毒防护软件、防火墙产品兼容。
(2)对于微软已不再提供更新服务的操作系统,使用HDF可以保护文件系统的完整性,保护系统不被新型病毒攻击其已知漏洞。
(3)HDF能有效防止通过U盘进行的病毒传播。
(4)HDF核心组件只有80K大小,运行时占用内存不超过5M,CPU使用率不超过1%。
(5)HDF隐置于内核的机制保证其自身的安全性,通过设置可信赖的进程对特定文件进行操作,重点是文件系统的安全性。HDF也同时保护白名单(信任程序列表)不会被篡改。
(6)积极的安全解决方案。在不影响系统性能的情况下有效地打击系统漏洞攻击行为,避免系统受蠕虫、间谍软件、木马、傀儡网络等感染。
(7)增强企业计算机软件的管理,不能随便安装应用程序于公司计算机系统里,只有经过授权的用户和系统管理员才可安装软件,同时有助于降低用户支持和帮助的成本。
(8)可自动保证操作和文档系统的完整性,维持和加强计算机有效性状态。
(9)相比传统的防病毒解决方案,其总拥有成本(TCO)要低得多。
(10)HDF提供详细的审核日志和帮助监察文档系统的完整性。
本次测试使用车站及现实环境中流行的蠕虫、木马程序对测试设备进行模拟攻击,通过调整HDF软件不同工作模式,来反映HDF软件对系统的保护以及安全审计作用。
测试用病毒样本:Win32.SillyFDC,WORM_SPYBOT。
测试结果:
(1)HDF软件开启保护模式——两种病毒均无法感染系统,无法把病毒宿主文件复制到目标设备中,且软件对病毒的攻击行为在审计日志中进行了记录。
(2)HDF软件处于非保护模式——两种病毒能感染系统,宿主文件能复制到目标设备中,软件能发现病毒的攻击行为并在审计日志中进行记录。
经测试,A公司的解决方案能实现车站终端设备的病毒防护,在开启保护模式下能拒绝病毒的入侵;在已经带毒的环境下,可通过临时关闭保护模式执行带毒程序,同时对其行为特征进行审计,以做出相应的限制策略以及安全的恢复。
JM公司专网防护软件针对专用设备的安全需求,采用一种全新的安全解决思路,从根本上解决专用设备的病毒防范问题。
专网防护与传统的防火墙、防病毒、入侵检测系统等基于网络防护的安全产品不同,其通过控制中心将用户使用、安装过的程序或软件加入到白名单,并下发到网络内运行的设备主机中,在设备主机正常工作模式下通过白名单对运行程序或软件进行安全审核,从而从根本上保障Windows系统的安全。即使非法入侵者拥有Windows系统管理员最高权限并进入了操作系统,也不能对经过专网防护技术保护的系统运行或安装木马、后门等恶意软件或程序。专网防护保证了核心或重要数据的安全性不被破坏和遭受任何有害操作,可提升系统的安全等级,构造一个安全的操作系统平台。
传统杀毒软件对病毒的预防措施类似于对公共场所采取的安全措施。公共场所允许各类人员自由进入,但会通过一些手段对人员进行相应的检查,并设立监控设备对人员进行监控,发现可疑情况后进行处理。杀毒软件通过一些静态监控及行为监控手段实时监控计算机中各种程序的运行情况,并在发现确认病毒或可疑行为时采取相应的措施。专网防护软件则采用另外一种安全措施。即这些场所只允许需要的人员进入,而其他人员,无论是否有危险、还是非常好的人,只要没有需要,都不允许进入。这是一种更为可靠的安全措施。
(1)安全性高:只允许用户需要的软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性。
(2)资源占用更加小且稳定:在程序启动过程时进行信任检查,且信任检查进行预处理,资源占用更加小;在运行过程中资源需求固定,不会有突发性大量的资源占用而影响业务程序的运行。
(3)兼容性高:在入口处对程序进行信任检查,并在运行时严格测试,后续使用一般不需要程序更新,提供了良好的兼容性。
(4)维护容易:通过服务器端可方便全面地管理信任程序,并提供学习机制,客户端实现无界面操作。
(5)无需升级客户端:客户端软件摆脱传统杀毒软件病毒库日常更新概念,不需要每天进行升级,只有在特殊情况下的软件程序更新,不会影响客户端业务程序的运行。
(6)完备的远程控制:通过控制中心可以实现远程部署、设置、升级等操作,能减轻管理员的工作负担,提高工作效率。
(7)分级、分组管理:专网安全防护系统采用分级、分组管理模式,通过部署控制中心、子控制中心的模式实现对客户端多地点、多网段的统一管理,减少了繁复的重复工作,可提高管理效率,有效降低企业开销;同时能实现分布式部署,分担主节点的工作压力,避免单点故障。
(8)完善的客户端脱机运行机制:当客户端处于脱离网络的情况时,客户端程序会根据已有的安全程序白名单来执行安全策略,不会因为脱机状态而中断安全检查,更不会为此而影响业务系统的使用。
4.3.1 控制中心端
控制中心是专网防护系统管理与控制的核心部分,在部署专网防护系统时必须首先安装。控制中心除对网络中的计算机进行日常的管理与控制外,还实时记录专网防护体系内每台计算机上的信息。专网防护中采用了全新的控制中心管理页面,通过登录该页面,可对全网内的客户端进行统一管理。
4.3.2 客户端
专网防护的客户端分为服务器客户端和普通客户端两种类型。服务器客户端是针对安装了服务器版操作系统的计算机而设计的,普通客户端则是针对安装了普通版本操作系统的计算机而设计的。在安装专网防护客户端时,安装程序会进行智能判断,自动安装合适的客户端,无需用户干预安装过程。客户端的主要功能是禁止任何除操作系统必备文件及信认程序列表(白名单)中的软件或程序在部署专网防护客户端的计算机上运行。
专网防护客户端以无界面的后台方式运行,专网防护设置不允许客户端计算机修改,必须通过控制中心统一管理,以最大程度保证客户端电脑的安全。客户端在安装后,用户可以通过客户端控制的只有升级操作。
客户端隶属于控制中心,其可自动查找网内的控制中心。一般情况下,客户端若采用WEB页面的安装方式,安装完毕后即可自动连接到上级控制中心。
本次测试使用车站及现实环境中流行的蠕虫、木马程序,使用带毒U盘对终端设备进行操作,来模拟对测试设备的攻击。通过对专网防护软件的审计日志进行分析来反映专网安全防护软件对设备的保护能力。
首先,在完成专网安全防护系统部署的测试设备中开启学习模式自动学习信任程序,并将这些程序提交到控制中心进行安全过滤。其次,在闸机上刷卡进出,同时查看软件运行时的负载情况,查看是否影响原业务。最后,在闸机上运行病毒案例,查看专网防护软件的防御情况,在控制中心查看防御记录。
测试结果:
(1)该软件可以在AFC终端设备的XPE操作系统上部署。
(2)完成软件部署的设备工作正常,各项业务操作不受影响。
(3)进行病毒模拟攻击时,该软件能阻止病毒入侵,审计日志能反映攻击行为。
经测试,JM专网安全防护产品能实现上海轨道交通AFC车站终端设备的病毒防护,但其Server管理端功能较为简单,需根据上海轨道交通的实际需求进行定制,如报表和统计等功能。另外,dII文件中毒后的防护工作需要加强,AFC系统运行参数文件的网络下发环节需要完善。
经过一系列的测试,在平台适用性方面,A公司的产品解决方案和JM公司的专网安全防护产品在上海轨道交通大部分闸机使用的XPE系统上可以完整部署,但均不支持Dos及Windows NT操作系统的闸机,好在Dos及Windows NT操作系统的车站终端设备数量较少,且都属于停产设备,即将通过设备大修等方式进行改造。从安全性和稳定性方面来讲,在已部署客户端两种产品的闸机上运行病毒程序并尝试部分网络攻击行为,两种产品都进行了阻止,并报告于控制中心,在审计日志中予以反映。整个测试过程中,AFC终端设备日常的业务流程、功能均可正常运行,用户的业务系统未受任何影响。
下一阶段,将根据上海轨道交通运营管理的实际需求,完善该类产品的服务器端功能需求,完善维护管理方面的功能,定制相关的统计分析报表。同时,针对AFC系统的特点,对参数类文件下发等业务流程在系统中的使用及监管进行研究。之后将对已运营车站进行测试,进一步测试产品的适用性、稳定性和可靠性。
[1]赖荣旭,钟玮.计算机病毒与防范技术[M].北京:清华大学出版社,2011.
[2]王倍昌.计算机病毒揭秘与对抗[M].北京:电子工业出版社,2011.
[3]马宣兴.网络安全与病毒防范实验指导手册[M].上海:上海交通大学出版社,2011.