上海轨道交通信息安全风险评估平台

2021-09-28 07:16张立东张菁博上海申通地铁集团有限公司技术中心
城市轨道交通 2021年8期
关键词:检测工具核查漏洞

文/张立东、张菁博,上海申通地铁集团有限公司技术中心

一、背景情况

网络安全等级保护制度是我国网络安全保障工作的伟大创举。为了安全、高效地运营与维护城市轨道交通,我们利用自动化、信息化技术建设了各类工业控制和信息化系统。随着智慧地铁建设的不断深化,数据互联互通要求的不断增强,网络边界日趋模糊,信息安全保障需求日益见长,网络安全等级保护测评的范围和频率逐步扩大。

而测评工作却面临着测评工具集成化、自动化程度低、兼容性差,对工控系统检测支持度不够,无法以单一工具匹配轨交众多专业系统的复杂业务需求与接口等诸多问题,测评工作对人员技能要求高,并且单次检测结果合规不等于永久安全,频繁的测评保障工作已经给运营单位带来了巨大的压力。

二、解决方案

(一)整体描述

为满足网络安全保障需求,上海地铁针对轨交行业系统种类繁多、结构复杂等特点研制了轨交行业首个、具备自主产权的轨道交通信息安全风险评估平台。用于等级保护标准核查、网络安全扫描测试、资产风险自动评估等工作。

作为软硬件结合的总成式网络安全风险评估平台,系统硬件采用定制化便携式方案,支持各类检测入口,适配性与延展性强。应用层级集成了多种测试扫描工具并能提供广泛的测试应用范围,使用模块化、平台化设计,架构层级的扩展型和兼容性高。在可持续更新的轨交行业知识库基础上,提供渗透测试、主机安全、控制器安全、网络安全、漏洞扫描、通讯协议安全等6大安全检测能力。具备安全评估普及化、渗透测试易用化、使用操作可视化、自动化报告生成等四大优势。

图1: 轨道交通信息安全检测工具平台

(二)方案设计

结合轨道交通领域面临的问题,轨道交通信息安全检测工具平台主要设计了安全测试、标准核查、风险评估、知识库等模块。

1.安全测试

具备全面的安全测试能力,集成渗透测试工具、网络安全检测工具、主机安全检测工具,漏洞扫描工具、通讯协议安全检测工具等,检测类型覆盖网络检测、主机检测、核查问卷、系统漏洞扫描、软件漏洞扫描、渗透测试、通讯协议安全检测。风险评估平台将原本零散的渗透测试检测工具进行集成,并通过统一的数据收集和输出接口,完成轨道交通生产系统一体化、标准化、体系化的系统检测。

涵盖的测试项目如下:

2.标准核查

平台可支持定制化的轨交工控系统风险评估检测标准,支持等保2.0等安全标准核查和标准对标。通过标准体系提供核查问卷,进行系统脆弱性分析和安全评估测试,完成问卷后平台对系统威胁自动分析并形成评估记录,提出针对性分析改进建议,操作简洁便利,实现自评工作全流程管理。核查流程如下:

图2: 标准核查流程

3.风险评估

风险评估模块检查数据多维度统计分析功能,包括资产分析,漏洞状况分析,安全威胁分析,脆弱性分析,系统风险评估,并能自动化产生系统检测报表。对轨交各子系统进行系统安全项配置核查、安全域划分、系统漏洞及存在的安全威胁等问题深入跟踪和分析,对安全风险进行安全评估,同时形成系统合理性解决方案。最大程度的保证轨交各业务支撑系统信息安全,提升安全管理水平和安全防范能力。系统检测报表提供了可视化界面,简化了界面操作,报表部分分析图表如下:

图3: 标准核查报表

4.知识库

完善涵盖轨道交通领域“漏洞知识库”和“标准规范库”的行业安全信息库,提升轨交行业定制化的安全信息共享服务能力。漏洞知识库包含常规系统威胁信息、系统事件信息,提供漏洞检测设备厂商、漏洞ID、漏洞名称、CVEID、入侵检测设备厂商、攻击特征ID、攻击特征名称等信息。

标准规范库依托国内标准要求,结合轨道交通信息系统进行等级保护核查、检测、分析,提供信息安全等级保护规划方案,提出保护整改建议。

提供标准规范如下:

•《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)

•《信息安全技术工业控制系统信息安全分级规范》(GB/T 36324-2018)

•《信息安全技术工业控制系统安全管理基本要求》(GB/T 36323-2018)

•《信息安全技术 工业控制系统信息安全防护能力评价方法》

•《信息安全技术工业控制系统安全控制应用指南》 (GB/T 32919-2016)

(三)技术特色

1.软件漏洞检测技术

利用智能漏洞分析引擎来扫描组件中所含的漏洞与许可证风险,该引擎利用了第三方数据库与开源组件独有的特性和漏洞特性来提升扫描结果的准确率,可满足系统上线前软件源码审计的需求。

2.工业控制协议模糊检测工具

工业控制协议模糊测试工具用于测试工业控制网络协议的健壮性,它采用构造畸形数据包,并将畸形数据包发送给被测工控目标,来检测工业控制网络协议的安全性。

3.检测统计报表自动化生成

根据自身渗透测试经验以及相关安全标准设计测试用例,并根据测试结果,自动给出检测报告,提供报告分析,有针对性的对被测对象提出结果分析和修改建议,可以更直接的帮助用户发现被测对象问题,帮助寻求完善方式。

三、方案价值

平台主要应用于轨道交通列车运行控制系统、综合监控系统、乘客信息系统等生产系统的安全检测,同时也能兼顾管理系统的风险评估,可用于运营单位的等保安全自测和重大活动网络安全保障前的技术检测。平台提供高度集成的一站式等级保护检测安全评估服务,实现高度自动化自评工作全流程管理,可协助运营单位切实提升测评工作效率,大幅节省测评工作成本,有效降低测评工作专业门槛,为保障城市轨道交通的安全运行提供重要支撑。

猜你喜欢
检测工具核查漏洞
对某企业重大危险源核查引发的思考
漏洞
关于设计保证系统适航独立核查的思考
基于无人机影像的营造林核查应用研究
高温封隔器胶筒试验检测工具的研究
三明:“两票制”堵住加价漏洞
漏洞在哪儿
德国Rosen公司发布新型漏磁检测工具
高铁急救应补齐三漏洞
逾六千家政府网站关停整改核查再升级