案例背景
某市城市軌道交通公司負(fù)責(zé)該市城市軌道交通規(guī)劃、建設(shè)、運營。城市軌道交通屬于集多專業(yè)、多工種于一身的復(fù)雜系統(tǒng),各系統(tǒng)脆弱性被利用易造成信息安全事件,影響軌交系統(tǒng)正常運行,嚴(yán)重時可能誘發(fā)安全事故。在監(jiān)管要求方面,公安部門要求軌道交通重要系統(tǒng)需要按照等級保護(hù)標(biāo)準(zhǔn)要求進(jìn)行安全建設(shè)。本次項目基于等級保護(hù)2.0 標(biāo)準(zhǔn)要求,依照“一個中心,三重防護(hù)”核心思想,設(shè)計軌道交通綜合監(jiān)控系統(tǒng)工控網(wǎng)絡(luò)安全建設(shè)方案,保障綜合監(jiān)控系統(tǒng)安全,支撐軌交系統(tǒng)安全穩(wěn)定運行。
案例需求
(1)未進(jìn)行安全域劃分,區(qū)域間未設(shè)置訪問控制措施;
(2)缺少網(wǎng)絡(luò)安全風(fēng)險監(jiān)控技術(shù),不能及時發(fā)現(xiàn)信息安全問題,出現(xiàn)問題后靠人員經(jīng)驗排查;
(3)系統(tǒng)運行后,操作站和服務(wù)器很少打補丁,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面;
(4)系統(tǒng)工作站缺少身份認(rèn)證和接入控制,且權(quán)限很大;
(5)存在使用移動存儲介質(zhì)不規(guī)范問題,易引入病毒以及黑客攻擊程序。
解決方案
本項目基于等級保護(hù)2.0 標(biāo)準(zhǔn)要求,依照“一個中心,三重防護(hù)”核心思想,集指導(dǎo)、監(jiān)測、防護(hù)、響應(yīng)于一體的防護(hù)體系,通過部署工控防火墻、工控安全審計系統(tǒng)、工控主機衛(wèi)士、工業(yè)安全管理平臺等安全產(chǎn)品,不斷提高軌道交通行業(yè)工業(yè)信息安全保障水平,實現(xiàn)軌道交通綜合監(jiān)控系統(tǒng)“安全管理規(guī)范有序、安全風(fēng)險管控有數(shù)、安全態(tài)勢直觀可見、網(wǎng)絡(luò)攻擊主動防御、安全事件響應(yīng)快速”的總體目標(biāo)。
安全區(qū)域邊界
在控制中心、車站、車輛段、停車場綜合監(jiān)控系統(tǒng)與其他系統(tǒng)接口邊界處采用主主模式部署兩臺工控防火墻,通過白名單方式控制訪問數(shù)據(jù)流,優(yōu)化訪問控制規(guī)則,基于應(yīng)用協(xié)議進(jìn)行訪問控制等技術(shù)手段實現(xiàn)區(qū)域隔離。
安全通信網(wǎng)絡(luò)
在控制中心、車站、車輛段及停車場等網(wǎng)絡(luò)核心交換機旁路部署工控安全審計系統(tǒng)及工控入侵檢測系統(tǒng),基于通信報文深度解析技術(shù),實時檢測針對PLC、DCS、上位機等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。
安全區(qū)域邊界
在控制中心、車站、車輛段及停車場等網(wǎng)絡(luò)核心交換機旁路部署工控安全審計系統(tǒng)及工控入侵檢測系統(tǒng),基于通信報文深度解析技術(shù),實時檢測針對PLC、DCS、上位機等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。
2.安全通信網(wǎng)絡(luò)
在控制中心、車站、車輛段及停車場等網(wǎng)絡(luò)核心交換機旁路部署工控安全審計系統(tǒng)及工控入侵檢測系統(tǒng),基于通信報文深度解析技術(shù),實時檢測針對PLC、DCS、上位機等重要的工控設(shè)備的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播行為,并實時報警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。
3.安全計算環(huán)境
在中央監(jiān)控系統(tǒng)、車站、車輛段、停車場等處的工作站、服務(wù)器等終端設(shè)備上部署工控主機衛(wèi)士,使用“白名單”技術(shù)固化工作站行為,能夠?qū)C合監(jiān)控系統(tǒng)應(yīng)用的各類老舊操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行安全防護(hù),確保惡意代碼軟件、違規(guī)軟件無法在工作站上運行,保障綜合監(jiān)控系統(tǒng)應(yīng)用業(yè)務(wù)處理全過程安全。
4.安全管理中心
通過組建安全運營中心,采集安全日志進(jìn)行關(guān)聯(lián)分析匯總呈現(xiàn),對安全設(shè)備進(jìn)行集中管控,為綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運營提供決策支持,加強安全事件響應(yīng)速度與安全運維能力。
效益評估
1、等保安全合規(guī)
建立了涵蓋軌道交通網(wǎng)絡(luò)、控制、數(shù)據(jù)、應(yīng)用、設(shè)備的安全防護(hù)框架,形成體系化軌道交通安全解決方案。
2、運營安全能力顯著提升
實現(xiàn)了通信網(wǎng)絡(luò)安全可控、車輛運行安全實時監(jiān)測,綜合監(jiān)控系統(tǒng)穩(wěn)定運行,為軌交系統(tǒng)提供有力信息安全支撐,提升軌道交通運營安全能力水平。
