作为目前国内轨道交通运营里程第一的上海申通地铁集团,近年提出建设符合自身运营特点的自主化轨交工控云平台。该计划旨在采用基于高可信的工控安全技术,统一设备设施数据接口,标准化数据格式,为轨道交通智慧应用建设提供良好平台基础。可预见到轨交工控云的广泛运营,整个轨道交通系统将面临防不胜防的安全威胁。一般而言,已部署的工控系统是建立在独立的专网之上,通过网闸与公网完全隔离,各个子系统之间相对独立,数据接口非标准化,系统从外部攻破的难度大,影响面也相对较小。
随着工业互联网、物联网和大数据技术的引入,工控云网络的互联互通程度越来越高,数据接口需要逐渐标准化,开放接口组件也越来越多,既有基于物理位置的应用、数据和设备的信任体系不再适用于新的轨道交通智慧应用场景,基于数据的攻击方式将不断涌现。例如,远程违规操作机电设备、窃取或篡改音视频系统内容、攻击电力供应系统等具体案例。由于入侵的是“物”或者“数据”,入侵过程极难察觉,而事后造成的短效损害(设备无法运转)和长效损害(持续的信息泄露与信息被篡改),都是轨道交通运营所无法承受的。
轨交云平台的系统架构
结合轨道交通行业云边端的系统结构如图1所示,分成终端设备、边缘计算服务器和云平台三个层级(以下简称“云边端”)。终端设备往往位于车站或区间现场,如水泵、风机、冷冻机组、照明等设备设施。一般而言,每个车站或区间会放置一套或多套边缘计算服务器,实现终端设备的运行数据采集,设备控制,系统联动等功能,并将处理后的数据上传到云平台。系统所有的数据和应用均存储和部署在云平台,用户可以通过浏览器或各种客户端访问云平台获取数据和应用服务。由此可知,轨道交通工控云安全风险集中在三个方面:(1)终端设备的安全风险;(2)数据和网络环境风险;(3)云端应用系统和操作风险。
解决轨道交通的工控云安全风险问题,就必须从终端设备安全加固、边缘计算服务器安全管理,端边云协同防护这三个层面分别展开,并结合人工智能和机器学习建立完整的安全运营体系。同时,需要确保完成安全体系加固后的系统对于原系统的时延、响应速度、运行效率等影响,仍符合轨道交通的技术要求与等级保护要求。
终端侧设备的安全加固
终端设备指的是运行在车站/区间现场的设备设施,如EMCS系统中的水泵、风机、冷冻机组,PIS系统中的广播设备,AFC系统中的售票机、闸机等。这些设备原本都是独立运行在各自的专网或者车站级的生产专网中,与外界相对隔离,但是在新的云边端架构中其网络安全边界的认识开始模糊,增加新的暴露面,安全风险越来越不容忽视。尤其在类似轨道交通这类涉及民生的领域,终端设备的安全问题尤为突出。因此,终端设备有针对性地对安全加固技术提出要求,利用轻量化的安全协议和机器学习算法等技术来作为身份的安全认证基础设施,并重点对边缘计算网关的安全,终端设备的身份安全认证方案进行设计和优化,最后通过实验和分析,来验证方案的实际效果。
结合轨道交通的应用场景,典型的终端设备安全问题有如下几类:(1)没有安全保护机制的工控协议;(2)不可信的终端设备;(3)终端设备自身的应用安全风险;(4)边缘计算所带来的安全挑战。
轨道交通智慧应用场景中终端设备的产地、品牌、型号众多,其各自装载的操作系统也各不相同,安全加固软件无法一一适配兼容,因此终端设备的安全加固考虑采用外挂安全网关的方式实现,安全网关的身份认证和安全加固应具备设备身份认证,设备密钥,设备行为分析和设备信用评分等相关功能。随着轨道交通末端设备数量大幅增加,工控云正在将数据的处理转移到轨道交通物联网设备的边缘,以减少流向云的流量。因此边缘计算服务器处于连接云和端之间的重要位置,物理世界的终端设备如传感器、执行器和设备设施通过边缘计算服务器与云端应用的操作者、管理者进行交互。
对于终端设备的攻击主要限于单体设备或系统的停止工作、数据丢失、信息篡改,但通过对于边缘计算服务器的攻击,攻击者比以往更容易侵入整个边缘侧的物理世界。现有的攻击有可能造成在轨道交通工控系统中的车辆、车站、轨道区间等设备执行错误的控制指令。比如可以通过边缘网关控制入站口的闸机造成票款的流失。通过边缘计算服务器控制站台照明和新风系统造成人员的恐慌。通过边缘计算服务器向工控云上报错误的数据信息引起云端错误的指令下发。这些故障轻则造成设备或系统瘫痪导致财产损失,重则会外泄系统中的关键数据,甚至造成人民群众生命安全事故。所以边缘计算服务器的安全管理在整个体系中是尤为重要的。
边缘计算服务器安全管理
保护边缘计算服务器的最佳方式是阻止其连接到外部网络,将其限制在封闭专用网络中。但是在云边端的体系架构中这种方式是不可能实现的,许多的边云协同和边云数据传输因为建设和成本的要求要依靠公有网络实现连接。除此以外很多情况下,本来安全的网络和节点还必须与已有旧网络进行互操作,而这种老式网络本身的安全性可能要差很多。这就带来一个新问题,那就是最弱的安全风险可能超出了轨道交通物联网系统的影响范围。
必须要有一种云边端相互实时验证的方法,确保通信的握手、数据的传输在这种验证的方法监控之下进行。针对边缘计算节点海量、跨域接入、计算资源有限等特点,面向终端设备伪造、劫持等安全问题,突破边缘节点接入身份信任机制、多信任域间交叉认证、设备多物性特征提取等技术难点,实现海量边缘计算节点的基于边云、边边交互的接入与跨域认证。
面向边缘设备与数据可信性不确定、数据容易失效、出错等安全问题,突破基于软/硬结合的高实时可信计算、设备安全启动与运行、可信度量等技术难点,实现对设备固件、操作系统、虚拟机操作系统等启动过程、运行过程的完整性证实、数据传输、存储与处理的可信验证等。除此之外边缘计算服务器向工控云发送数据的数量越多越频繁,数据暴露的节点和机会就越多,其数据保密就越困难。在边缘侧网关处理清洗过的数据可以减少直接发送和暴露给云的数据数量。让边缘计算服务器更多地参与数据清洗,逻辑运算,智能控制等功能可以减少专门针对关键数据的攻击面。
实现终端设备和边缘计算服务器分别的安全管理是前提,其次是建立端边云的协同防护,实现对轨道交通终端设备和边缘计算服务器接入授权动态调整、全链路加密传输控制,实现轨交工控设备接入和数据传输的安全加固,结合机器学习和人工智能算法实现对终端设备、边缘计算服务器等安全风险自动识别,智能预警及安全策略的统一部署、动态更新和优化。
零信任自适应安全技术的端边云协同防护
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理、循环的过程,细粒度、多角度、持续化地对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。端边云协同防护技术具有更主动的学习分析能力,具有更强的自适应能力,应对不断变化的信息安全态势。
零信任自适应安全框架基本理念在于“网络中自始至终存在外部或内部威胁”的这一假设,这一底层思维与错综复杂的轨道交通工控场景非常契合。云边端的协同防护也需要结合终端设备和边缘计算服务器的安全管理需求,做相对应的应用探索,涉及:(1)身份与强认证;(2)最小特权;(3)可变信任;(4)设备信任评分;(5)基于机器学习自适应设备行为分析。
采用机器学习、人工智能等技术,基于JDL
(Joint Directors of Laboratories)和Endsley两种模型,实时收集和分析设备的通信流量、资源使用情况、所处位置、环境信息等综合数据,结合设备操作指令,为设备威胁感知概念模型(图2),以区别正常使用模式和攻击模式,并对攻击行为进行标记和阻止,能实时检测并对抗正在进行中的威胁。
通过对网络活动数据特征提取、模型训练等过程,构建信任评估模型,利用模型输出和人工定义风险评分,实现模型的验证和评估,并正向反馈至评估模型,提升模型分析的准确性,增强信任评估的智能化水平和准确性,应对日益复杂的未知网络威胁,能够有效解决突出云计算中面临的全新攻击方式,通过自适应的学习机制主动有效地鉴别恶意应用和操作。
结语
针对行业应用与技术发展的国产自主瓶颈,围绕轨道交通工控云安全的核心痛点,以自适应安全架构技术为技术依托,探索零信任的自适应安全体系的研究,综合解决轨道交通工控系统云化过程中的安全加固难、繁、慢和无法保证轨交工控系统迁移上云后功能和网络信息双安全的核心技术难题,并希望从三方面解决安全加固的问题:解决因终端设备计算资源受限无法直接应用安全防护产品导致的加固难问题;解决因设备种类多样、安全策略配置要求各不相同并且通过传统的操作方式极其繁琐的加固繁问题;解决因终端设备部署物理空间广泛,操作环境受限,所需时间极其漫长导致的加固慢问题。期待以技术创新为驱动,以数字化、网络化、智能化为主线,以促进交通运输提效能、扩功能、增动能为导向,推动交通基础设施数字转型、智能升级,建设便捷顺畅、经济高效、绿色集约、智能先进、安全可靠的交通运输领域新型基础设施。
注:(1)一并致谢本文参考与引用的所有期刊、论文、报道、新闻以及学者和政府发文。(2)一并致谢本文撰写、修改、审校过程中的专家、学者和其他工作人员。(3)*本文通讯作者:张雷,reizhg@tongji.edu.cn
(作者孙旦阳、蒋秋明就职于上海上实龙创智能科技股份有限公司;作者王大庆、张立东、张菁博就职于上海申通地铁集团有限公司技术中心;作者张雷就职于同济大学上海自主智能无人系统科学中心)
