案例背景
某市城市軌道交通公司負(fù)責(zé)該市城市軌道交通規(guī)劃、建設(shè)、運(yùn)營(yíng)。城市軌道交通屬于集多專(zhuān)業(yè)、多工種于一身的復(fù)雜系統(tǒng),各系統(tǒng)脆弱性被利用易造成信息安全事件,影響軌交系統(tǒng)正常運(yùn)行,嚴(yán)重時(shí)可能誘發(fā)安全事故。在監(jiān)管要求方面,公安部門(mén)要求軌道交通重要系統(tǒng)需要按照等級(jí)保護(hù)標(biāo)準(zhǔn)要求進(jìn)行安全建設(shè)。本次項(xiàng)目基于等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)要求,依照“一個(gè)中心,三重防護(hù)”核心思想,設(shè)計(jì)軌道交通綜合監(jiān)控系統(tǒng)工控網(wǎng)絡(luò)安全建設(shè)方案,保障綜合監(jiān)控系統(tǒng)安全,支撐軌交系統(tǒng)安全穩(wěn)定運(yùn)行。
案例需求
(1)未進(jìn)行安全域劃分,區(qū)域間未設(shè)置訪問(wèn)控制措施;
(2)缺少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控技術(shù),不能及時(shí)發(fā)現(xiàn)信息安全問(wèn)題,出現(xiàn)問(wèn)題后靠人員經(jīng)驗(yàn)排查;
(3)系統(tǒng)運(yùn)行后,操作站和服務(wù)器很少打補(bǔ)丁,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面;
(4)系統(tǒng)工作站缺少身份認(rèn)證和接入控制,且權(quán)限很大;
(5)存在使用移動(dòng)存儲(chǔ)介質(zhì)不規(guī)范問(wèn)題,易引入病毒以及黑客攻擊程序。
解決方案
本項(xiàng)目基于等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)要求,依照“一個(gè)中心,三重防護(hù)”核心思想,集指導(dǎo)、監(jiān)測(cè)、防護(hù)、響應(yīng)于一體的防護(hù)體系,通過(guò)部署工控防火墻、工控安全審計(jì)系統(tǒng)、工控主機(jī)衛(wèi)士、工業(yè)安全管理平臺(tái)等安全產(chǎn)品,不斷提高軌道交通行業(yè)工業(yè)信息安全保障水平,實(shí)現(xiàn)軌道交通綜合監(jiān)控系統(tǒng)“安全管理規(guī)范有序、安全風(fēng)險(xiǎn)管控有數(shù)、安全態(tài)勢(shì)直觀可見(jiàn)、網(wǎng)絡(luò)攻擊主動(dòng)防御、安全事件響應(yīng)快速”的總體目標(biāo)。
安全區(qū)域邊界
在控制中心、車(chē)站、車(chē)輛段、停車(chē)場(chǎng)綜合監(jiān)控系統(tǒng)與其他系統(tǒng)接口邊界處采用主主模式部署兩臺(tái)工控防火墻,通過(guò)白名單方式控制訪問(wèn)數(shù)據(jù)流,優(yōu)化訪問(wèn)控制規(guī)則,基于應(yīng)用協(xié)議進(jìn)行訪問(wèn)控制等技術(shù)手段實(shí)現(xiàn)區(qū)域隔離。
安全通信網(wǎng)絡(luò)
在控制中心、車(chē)站、車(chē)輛段及停車(chē)場(chǎng)等網(wǎng)絡(luò)核心交換機(jī)旁路部署工控安全審計(jì)系統(tǒng)及工控入侵檢測(cè)系統(tǒng),基于通信報(bào)文深度解析技術(shù),實(shí)時(shí)檢測(cè)針對(duì)PLC、DCS、上位機(jī)等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶(hù)誤操作、用戶(hù)違規(guī)操作、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播行為,并實(shí)時(shí)報(bào)警,同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為,包括指令級(jí)的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。
安全區(qū)域邊界
在控制中心、車(chē)站、車(chē)輛段及停車(chē)場(chǎng)等網(wǎng)絡(luò)核心交換機(jī)旁路部署工控安全審計(jì)系統(tǒng)及工控入侵檢測(cè)系統(tǒng),基于通信報(bào)文深度解析技術(shù),實(shí)時(shí)檢測(cè)針對(duì)PLC、DCS、上位機(jī)等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶(hù)誤操作、用戶(hù)違規(guī)操作、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播行為,并實(shí)時(shí)報(bào)警,同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為,包括指令級(jí)的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。
2.安全通信網(wǎng)絡(luò)
在控制中心、車(chē)站、車(chē)輛段及停車(chē)場(chǎng)等網(wǎng)絡(luò)核心交換機(jī)旁路部署工控安全審計(jì)系統(tǒng)及工控入侵檢測(cè)系統(tǒng),基于通信報(bào)文深度解析技術(shù),實(shí)時(shí)檢測(cè)針對(duì)PLC、DCS、上位機(jī)等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶(hù)誤操作、用戶(hù)違規(guī)操作、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播行為,并實(shí)時(shí)報(bào)警,同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為,包括指令級(jí)的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。
3.安全計(jì)算環(huán)境
在中央監(jiān)控系統(tǒng)、車(chē)站、車(chē)輛段、停車(chē)場(chǎng)等處的工作站、服務(wù)器等終端設(shè)備上部署工控主機(jī)衛(wèi)士,使用“白名單”技術(shù)固化工作站行為,能夠?qū)C合監(jiān)控系統(tǒng)應(yīng)用的各類(lèi)老舊操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行安全防護(hù),確保惡意代碼軟件、違規(guī)軟件無(wú)法在工作站上運(yùn)行,保障綜合監(jiān)控系統(tǒng)應(yīng)用業(yè)務(wù)處理全過(guò)程安全。
4.安全管理中心
通過(guò)組建安全運(yùn)營(yíng)中心,采集安全日志進(jìn)行關(guān)聯(lián)分析匯總呈現(xiàn),對(duì)安全設(shè)備進(jìn)行集中管控,為綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)營(yíng)提供決策支持,加強(qiáng)安全事件響應(yīng)速度與安全運(yùn)維能力。
效益評(píng)估
1、等保安全合規(guī)
建立了涵蓋軌道交通網(wǎng)絡(luò)、控制、數(shù)據(jù)、應(yīng)用、設(shè)備的安全防護(hù)框架,形成體系化軌道交通安全解決方案。
2、運(yùn)營(yíng)安全能力顯著提升
實(shí)現(xiàn)了通信網(wǎng)絡(luò)安全可控、車(chē)輛運(yùn)行安全實(shí)時(shí)監(jiān)測(cè),綜合監(jiān)控系統(tǒng)穩(wěn)定運(yùn)行,為軌交系統(tǒng)提供有力信息安全支撐,提升軌道交通運(yùn)營(yíng)安全能力水平。
