0 引言
近年来,由于我国城市化进程不断加快,城市地下综合管廊作为保障城市安全的“生命线”工程,建设规模及智能化水平日渐增高。同时,管廊网络化、信息化带来的高效运维,也伴随着网络与数据安全方面的更高要求[1]。一旦受到攻击,不仅会造成关键基础设施的重大受损,而且威胁到城市的公共安全。因此,建立科学、高效的综合性安全防护体系,已经成为保障管廊安全稳定运行的迫切需求。本文基于城市地下综合管廊的特点和网络应用场景,在分析管廊网络系统体系架构和面临的各类安全风险基础上,探讨网络边界安全、数据全生命周期安全及智能化预警等关键网络安全技术,研究设计构建以管廊为对象的纵深防御式安全防护体系,并通过实例验证该体系的有效性,以期对提升我国城市地下综合管廊整体安全防护能力具有一定的参考意义。
1 管廊网络体系架构与数据流特征
城市地下综合管廊网络系统架构是一个典型的工业物联网系统,常规采取分层架构。由下至上分别是:感知执行层、网络传输层、平台服务层和应用层[2]。感知执行层由环境检测传感器(温度、湿度、有毒气体)、设备状态传感器(水泵、阀门)、视频监控单元及远程控制单元(RTU/PLC)等组成,负责数据采集和指令执行。网络传输层是“神经末梢”连接“大脑”的通道,主要由光纤环网作为主干技术,结合工业以太网、5G、无线传感网(WSN)等多种技术,来满足网络实时性及可靠性需求。平台服务层作为管廊的“智慧大脑”,基于云计算及大数据技术,实现海量数据的汇聚、存储、计算和分析功能。应用层为各种用户提供环境监测、设备运维、应急调度、智能巡检等业务的可视化功能。
其数据流特征明显,一是数据流类型繁杂,既有结构化监测数据,又有半结构化日志数据和非结构化视频流数据;二是数据流走向复杂,既有从低端到高端的数据量巨大的上行监测数据,又有从高端到低端精准的数据量较少的下行控制指令数据,对实时性有严格要求。数据流价值密度不均匀,日常监测数据呈现规律性平稳状态,而异常数据或告警数据属于突发性的、价值高的数据。这种“端-管-云-用”的结构特点和复杂的组网数据流特征,给安全防护带来了广域性、多协议、实时性要求的安全防护难题。
2 网络与数据安全风险识别与威胁建模
通过对管廊网络体系结构分析,安全威胁贯穿于管廊网络体系的各个维度。感知执行层,大量物理设备为无人值守状态,容易遭受物理损害、非法接入和固件注入;无线通信链路容易受到截听、干扰等影响[3]。网络传输层,多网融合所带来的模糊网络边界使网络容易受到中间人攻击、拒绝服务攻击和协议漏洞等影响。平台服务层,集中的数据平台成为重点攻击目标,数据泄漏、勒索软件、越权访问等成为安全威胁的主要原因。应用层,Web接口存在不安全性、弱口令等漏洞,攻击者可获取系统控制权。
鉴于上述风险,从数据生命周期安全性管理角度和威胁建模角度,使用如 ATT&CK等威胁建模方法分析管廊攻击链模型,主要考虑攻击者可能通过社工攻击或供应链攻击获得管廊的初始访问,通过漏洞攻击获得更高操作权限,在管廊网络横向扩展,在系统内搜索核心业务数据、获取或者配置修改获取核心业务数据控制并管理数据等行为,以实现核心信息获取或相关控制数据篡改以实现管廊业务中断或发生安全事故等。其中业务安
全风险尤为重要,整个数据生命周期的全过程数据将面临被窃取、篡改、泄露和滥用的可能性。
3 安全防护体系设计原则与目标
城市地下综合管廊网络和数据安全防护设计需满足纵深防御原则、主动防御智能响应原则、数据驱动原则、最小权限原则以及安全可用性原则。实现以下目标:(1)保障可用性,要求管廊监控与控制系统(7×24h)运行不可中断,并保障网络免遭攻击;(2)保障机密性、完整性,要求保证核心运维数据、控制信息、关键指令、数据及信息不被泄露和篡改;(3)安全状况可视化,要求通过多维度的监测数据与深度的分析挖掘能力,准确把握全网态势,及时判定潜在的威胁并发布警告;(4)加强应急恢复,要求建立健全联动机制并形成处置事件的有效闭环,实现安全问题的及时发现定位、处置恢复,将安全事件的危害降到最低。该安全防护体系旨在构建“可信、可控、可溯”的立体安全防护体系,有效保证城市地下“生命线”的运行安全可靠。
4 城市地下综合管廊网络与数据安全防护关键技术
4.1 网络边界安全与访问控制技术
网络边界安全是抵御外部威胁的第一道防线[4]。基于管廊网络“端-管-云”多层级的结构,应梳理管廊网络边界,管廊现场与管廊监控中心部署工业防火墙和下一代防火墙,通过深度数据包检测(DPI)技术实现工业协议等工业应用的数据包过滤能力,对网络设备访问管廊应用系统的工控指令进行“白名单”式的精细化访问控制;管廊远程运维接入点必须采取 VPN、ZTNA技术,对访问主体进行强身份认证并基于最小权限原则动态授权访问,严禁非法接入。
访问控制技术是内部安全的核心。应建立统一的身份认证与权限管理平台,整合人员、设备与应用的身份信息,实现基于角色的访问控制(RBAC)。对于 PLC、 RTU等关键控制设备,需启用严格的访问控制列表,仅允许授权的监控主机或工程师站进行通信。在网络内部,运用微隔离技术将不同功能区域(如环境监控区、视频监控区、消防控制区)进行逻辑隔离,限制攻击者在内网的横向移动。通过“边界防护+内部管控”相结合,形成立体化的访问控制体系,确保“进不来、动不了”。
4.2 数据全生命周期安全防护技术
管廊智慧化运营的核心资产就是数据,而数据安全须贯穿于数据生命周期的全过程[5]。在数据的采集阶段,需要对数据采集传感终端、摄像头等进行身份认证,确保数据源头安全可信,对采集的数据进行轻量级加密或签名,防止源头篡改。在传输过程中,必须使用 TLS/
SSL、IPSec等加密协议,并保证针对光纤、5G、无线等不同链路上的数据流的机密性和完整性,以防止窃听攻击和中间人攻击。
在数据存储阶段,应开展数据库中重要数据加密存储和数据库访问行为审计,防范数据越权窃取。在数据处理与应用阶段,应实现数据脱敏与访问控制,对开发、测试等非正式生产环境使用数据进行脱敏,并对数据分析平台数据的访问权限进行分级管理,同时建立完善的数据备份恢复机制,在遭受勒索软件等攻击后能够快速恢复业务。最后,在数据使用层面,利用数据水印实现数据泄露时进行溯源追责,形成数据的安全闭环管理。
4.3 安全监测与智能预警技术
安全监测与智能预警是实现主动防御的关键。一是搭建全量安全监测框架,借助网络安全流量分析(NTA)、入侵检测系统(IDS)、主机安全代理(HIDS)及日志审计系统采集多方面网络流量、设备日志、安全事件等数据,构建统一的安全大数据资源池。二是开展资产、漏洞管理工具核查,不断摸清网络资产底数,主动识别发现系统、应用的安全漏洞,为风险告警提供基础保障。
智能预警侧重人工智能和大数据分析。用机器学习算法,学习管廊网络的行为基线,然后用异常检测、关联规则等技术,持续对偏离基线的可疑活动进行实时检测,包括异常的网络连接、非法的控制指令、突发的数据流量等。并结合威胁情报,对检测的异常进行深入分析和判断,及时发现高级持续性威胁(APT)攻击事件的早期迹象。最后通过图形化的可视化安全态势感知平台呈现纷繁复杂的安全信息,实现告警和预警的自动关联,让运维人员实现被动的“救火”模式向积极的“防患于未然”模式转变。