官網熱線:400-100-0298
案例背景
某市城市軌道交通公司負責該市城市軌道交通規劃、建設、運營。城市軌道交通屬于集多專業、多工種于一身的復雜系統,各系統脆弱性被利用易造成信息安全事件,影響軌交系統正常運行,嚴重時可能誘發安全事故。在監管要求方面,公安部門要求軌道交通重要系統需要按照等級保護標準要求進行安全建設。本次項目基于等級保護2.0 標準要求,依照“一個中心,三重防護”核心思想,設計軌道交通綜合監控系統工控網絡安全建設方案,保障綜合監控系統安全,支撐軌交系統安全穩定運行。
案例需求
(1)未進行安全域劃分,區域間未設置訪問控制措施;
(2)缺少網絡安全風險監控技術,不能及時發現信息安全問題,出現問題后靠人員經驗排查;
(3)系統運行后,操作站和服務器很少打補丁,存在系統漏洞,系統安全配置較薄弱,防病毒軟件安裝不全面;
(4)系統工作站缺少身份認證和接入控制,且權限很大;
(5)存在使用移動存儲介質不規范問題,易引入病毒以及黑客攻擊程序。
解決方案
本項目基于等級保護2.0 標準要求,依照“一個中心,三重防護”核心思想,集指導、監測、防護、響應于一體的防護體系,通過部署工控防火墻、工控安全審計系統、工控主機衛士、工業安全管理平臺等安全產品,不斷提高軌道交通行業工業信息安全保障水平,實現軌道交通綜合監控系統“安全管理規范有序、安全風險管控有數、安全態勢直觀可見、網絡攻擊主動防御、安全事件響應快速”的總體目標。
安全區域邊界
在控制中心、車站、車輛段、停車場綜合監控系統與其他系統接口邊界處采用主主模式部署兩臺工控防火墻,通過白名單方式控制訪問數據流,優化訪問控制規則,基于應用協議進行訪問控制等技術手段實現區域隔離。
安全通信網絡
在控制中心、車站、車輛段及停車場等網絡核心交換機旁路部署工控安全審計系統及工控入侵檢測系統,基于通信報文深度解析技術,實時檢測針對PLC、DCS、上位機等重要的工控設備的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為軌交綜合監控系統的安全事故調查提供堅實的基礎。
安全區域邊界
在控制中心、車站、車輛段及停車場等網絡核心交換機旁路部署工控安全審計系統及工控入侵檢測系統,基于通信報文深度解析技術,實時檢測針對PLC、DCS、上位機等重要的工控設備的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為軌交綜合監控系統的安全事故調查提供堅實的基礎。
2.安全通信網絡
在控制中心、車站、車輛段及停車場等網絡核心交換機旁路部署工控安全審計系統及工控入侵檢測系統,基于通信報文深度解析技術,實時檢測針對PLC、DCS、上位機等重要的工控設備的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為軌交綜合監控系統的安全事故調查提供堅實的基礎。
3.安全計算環境
在中央監控系統、車站、車輛段、停車場等處的工作站、服務器等終端設備上部署工控主機衛士,使用“白名單”技術固化工作站行為,能夠對綜合監控系統應用的各類老舊操作系統、應用系統進行安全防護,確保惡意代碼軟件、違規軟件無法在工作站上運行,保障綜合監控系統應用業務處理全過程安全。
4.安全管理中心
通過組建安全運營中心,采集安全日志進行關聯分析匯總呈現,對安全設備進行集中管控,為綜合監控系統網絡安全運營提供決策支持,加強安全事件響應速度與安全運維能力。
效益評估
1、等保安全合規
建立了涵蓋軌道交通網絡、控制、數據、應用、設備的安全防護框架,形成體系化軌道交通安全解決方案。
2、運營安全能力顯著提升
實現了通信網絡安全可控、車輛運行安全實時監測,綜合監控系統穩定運行,為軌交系統提供有力信息安全支撐,提升軌道交通運營安全能力水平。
