案例背景
某市城市軌道交通公司負責該市城市軌道交通規(guī)劃����、建設���、運營��。城市軌道交通屬于集多專業(yè)�、多工種于一身的復雜系統(tǒng)����,各系統(tǒng)脆弱性被利用易造成信息安全事件,影響軌交系統(tǒng)正常運行,嚴重時可能誘發(fā)安全事故��。在監(jiān)管要求方面���,公安部門要求軌道交通重要系統(tǒng)需要按照等級保護標準要求進行安全建設���。本次項目基于等級保護2.0 標準要求�����,依照“一個中心�,三重防護”核心思想�,設計軌道交通綜合監(jiān)控系統(tǒng)工控網(wǎng)絡安全建設方案,保障綜合監(jiān)控系統(tǒng)安全,支撐軌交系統(tǒng)安全穩(wěn)定運行��。
案例需求
(1)未進行安全域劃分����,區(qū)域間未設置訪問控制措施;
(2)缺少網(wǎng)絡安全風險監(jiān)控技術,不能及時發(fā)現(xiàn)信息安全問題,出現(xiàn)問題后靠人員經(jīng)驗排查;
(3)系統(tǒng)運行后,操作站和服務器很少打補丁�,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面����;
(4)系統(tǒng)工作站缺少身份認證和接入控制�,且權限很大����;
(5)存在使用移動存儲介質(zhì)不規(guī)范問題��,易引入病毒以及黑客攻擊程序。
解決方案
本項目基于等級保護2.0 標準要求,依照“一個中心��,三重防護”核心思想��,集指導����、監(jiān)測���、防護����、響應于一體的防護體系,通過部署工控防火墻、工控安全審計系統(tǒng)、工控主機衛(wèi)士���、工業(yè)安全管理平臺等安全產(chǎn)品,不斷提高軌道交通行業(yè)工業(yè)信息安全保障水平,實現(xiàn)軌道交通綜合監(jiān)控系統(tǒng)“安全管理規(guī)范有序���、安全風險管控有數(shù)、安全態(tài)勢直觀可見��、網(wǎng)絡攻擊主動防御��、安全事件響應快速”的總體目標���。
1.安全區(qū)域邊界
在控制中心����、車站�、車輛段��、停車場綜合監(jiān)控系統(tǒng)與其他系統(tǒng)接口邊界處采用主主模式部署兩臺工控防火墻���,通過白名單方式控制訪問數(shù)據(jù)流��,優(yōu)化訪問控制規(guī)則,基于應用協(xié)議進行訪問控制等技術手段實現(xiàn)區(qū)域隔離�。
2.安全通信網(wǎng)絡
在控制中心��、車站、車輛段及停車場等網(wǎng)絡核心交換機旁路部署工控安全審計系統(tǒng)及工控入侵檢測系統(tǒng)�,基于通信報文深度解析技術���,實時檢測針對PLC��、DCS、上位機等重要的工控設備的網(wǎng)絡攻擊����、用戶誤操作��、用戶違規(guī)操作、非法設備接入以及蠕蟲��、病毒等惡意軟件的傳播行為����,并實時報警,同時詳實記錄一切網(wǎng)絡通信行為����,包括指令級的工業(yè)控制協(xié)議通信記錄��,為軌交綜合監(jiān)控系統(tǒng)的安全事故調(diào)查提供堅實的基礎。
3.安全計算環(huán)境
在中央監(jiān)控系統(tǒng)�、車站、車輛段����、停車場等處的工作站����、服務器等終端設備上部署工控主機衛(wèi)士��,使用“白名單”技術固化工作站行為��,能夠?qū)C合監(jiān)控系統(tǒng)應用的各類老舊操作系統(tǒng)���、應用系統(tǒng)進行安全防護����,確保惡意代碼軟件���、違規(guī)軟件無法在工作站上運行����,保障綜合監(jiān)控系統(tǒng)應用業(yè)務處理全過程安全。
4.安全管理中心
通過組建安全運營中心��,采集安全日志進行關聯(lián)分析匯總呈現(xiàn)��,對安全設備進行集中管控�,為綜合監(jiān)控系統(tǒng)網(wǎng)絡安全運營提供決策支持�,加強安全事件響應速度與安全運維能力。
效益評估
1����、等保安全合規(guī)
建立了涵蓋軌道交通網(wǎng)絡�、控制����、數(shù)據(jù)�����、應用�����、設備的安全防護框架,形成體系化軌道交通安全解決方案。
2、運營安全能力顯著提升
實現(xiàn)了通信網(wǎng)絡安全可控、車輛運行安全實時監(jiān)測,綜合監(jiān)控系統(tǒng)穩(wěn)定運行���,為軌交系統(tǒng)提供有力信息安全支撐,提升軌道交通運營安全能力水平。
