某地鐵信號系統(tǒng)網(wǎng)絡(luò)安全方案
1. 行業(yè)痛點
目前地鐵信號系統(tǒng)大多采用CBTC技術(shù)實現(xiàn)列車和地面設(shè)備的雙向通信�,利用通信技術(shù)實現(xiàn)“車地通信”并實時地傳遞“列車定位”信息����。通過車載設(shè)備��、軌旁通信設(shè)備實現(xiàn)列車與車站或控制中心之間的信息交換,完成速度控制��。但隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展��,特別是信息化與信號系統(tǒng)深度融合�����,CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議��、通用硬件和通用軟件,采用以太網(wǎng)與綜合監(jiān)控�、PIS網(wǎng)絡(luò)、語音廣播等其他業(yè)務(wù)系統(tǒng)互聯(lián)�,造成病毒、木馬等威脅向CBTC系統(tǒng)擴散����。一旦CBTC系統(tǒng)受到網(wǎng)絡(luò)攻擊,將對城市軌道交通的穩(wěn)定運行和旅客的人身安全帶來重大威脅���。
根據(jù)前期對該項目的需求調(diào)研和風(fēng)險評估�,總結(jié)該項目網(wǎng)絡(luò)安全建設(shè)的痛點如下:
? 信號系統(tǒng)與其他業(yè)務(wù)系統(tǒng)如綜合監(jiān)控系統(tǒng)����、AFC系統(tǒng)、PIS系統(tǒng)等之間存在互聯(lián)接口����,采用標(biāo)準(zhǔn)Modbus協(xié)議進行通訊,數(shù)據(jù)采用明文傳輸���。但未采取任何訪問控制或技術(shù)隔離手段進行區(qū)域隔離�����,無法對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾�,不能實現(xiàn)對應(yīng)用層協(xié)議命令級的控制;
? 信號系統(tǒng)受網(wǎng)絡(luò)結(jié)構(gòu)及運營模式影響���,投入使用后設(shè)備�����、系統(tǒng)補丁��、漏洞庫����、病毒庫無法采用自動模式進行自動更新���,設(shè)備易出現(xiàn)重大缺陷受到網(wǎng)絡(luò)攻擊����;
? 地鐵信號系統(tǒng)網(wǎng)絡(luò)內(nèi)缺乏對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查����、定位和阻斷的能力;缺乏檢測網(wǎng)絡(luò)攻擊行為及惡意代碼的手段�����,無法對攻擊源IP����、攻擊類型等信息進行記錄、并回溯���;
? 沒有獨立的信息安全部門或者信息安全崗位�����,安全策略和安全管理制度不完善�����。
2. 解決方案
1)邊界防護
采用工業(yè)級防火墻實現(xiàn)區(qū)域邊界訪問控制���。在信號系統(tǒng)和其它系統(tǒng)(如PIS系統(tǒng)和綜合監(jiān)控系統(tǒng))互聯(lián)的邊界(A,B網(wǎng))各部署一臺防火墻����,通過邊界部署防火墻設(shè)置訪問控制策略,實現(xiàn)對信號系統(tǒng)和其它系統(tǒng)間的通信進行訪問控制,僅允許特定的數(shù)據(jù)傳輸�����,禁止所有非必要的網(wǎng)絡(luò)通信�。訪問控制策略可基于傳統(tǒng)五元組、協(xié)議���、資產(chǎn)���、時間等多元組;同時對信號系統(tǒng)與其他業(yè)務(wù)系統(tǒng)通訊采用的modbus協(xié)議實現(xiàn)指令級訪問控制�����。
2)入侵檢測
釆用入侵檢測系統(tǒng)對網(wǎng)絡(luò)中的流量進行監(jiān)測����。
在骨干環(huán)網(wǎng)交換機上旁路部署入侵檢測系統(tǒng),檢測可能發(fā)生的入侵行為并報警��。入侵檢測通過對系統(tǒng)中的應(yīng)用層協(xié)議進行深度解析���,并與規(guī)則策略對比,實現(xiàn)對應(yīng)用系統(tǒng)的入侵檢測和業(yè)務(wù)操作異常分析。
3)業(yè)務(wù)審計
通過部署數(shù)據(jù)庫審計系統(tǒng)�,運維審計系統(tǒng),日志審計系統(tǒng)(包含在安全管理平臺中)��,對信號系統(tǒng)進行安全審計���。
數(shù)據(jù)庫審計系統(tǒng)����,對中心數(shù)據(jù)庫進行網(wǎng)絡(luò)審計����,審計內(nèi)容包括數(shù)據(jù)庫用戶的登錄和對數(shù)據(jù)庫的增、刪���、改���、查等操作。
運維審計系統(tǒng)對維護工作站的維護操作進行審計���,審計內(nèi)容包括維護工作站對網(wǎng)絡(luò)設(shè)備�,ATS服務(wù)器����,ATC維護機的遠程操作�����,可進行操作回放�����。
4)終端安全管理
在信號系統(tǒng)各工作站上安全主機安全防護軟件���,對工作站進行安全防護,防護內(nèi)容包括安全基線管理�����,網(wǎng)絡(luò)ACL控制��,外設(shè)控制�,U盤管控,非法外聯(lián)阻斷�����,病毒查殺等�。對全線工作站進行集中統(tǒng)一管理���,集中配置安全策略�����,集中展示全線工作站的安全狀態(tài)�����。
5)集中安全管理
安全管理平臺可對網(wǎng)絡(luò)中所有的工作站主機��,服務(wù)器主機���,網(wǎng)絡(luò)設(shè)備�����,安全設(shè)備進行狀態(tài)���、資源監(jiān)控,自動生成資產(chǎn)列表����、實現(xiàn)資產(chǎn)管理�,動態(tài)生成網(wǎng)絡(luò)拓撲�,實現(xiàn)全網(wǎng)設(shè)備性能監(jiān)控,日志管理等����。
3. 方案成果與價值
保障信號系統(tǒng)的最低時延要求,采用旁路安全監(jiān)測為主����,以安全系統(tǒng)自響應(yīng)為原則來構(gòu)建防護系統(tǒng);例如:IDS與FW的聯(lián)動����;建立信號系統(tǒng)各類控制設(shè)備,實現(xiàn)信號系統(tǒng)整體的安全管控�����。保證信號網(wǎng)絡(luò)的高安全性�����。通過威脅檢測���、安全預(yù)警���、安全加固�����、安全審計��、應(yīng)急響應(yīng)等,建立安全事件事前�、事中、事后的安全維護管理���,確保信號系統(tǒng)的持續(xù)安全����,滿足持續(xù)性按需防御的安全需求����。?
地鐵云平臺網(wǎng)絡(luò)安全方案
1. 行業(yè)痛點
地鐵業(yè)務(wù)系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施,一直以來其網(wǎng)絡(luò)都是相對獨立和封閉的�,地鐵內(nèi)部的各個業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)都是獨立建設(shè)。近年來為了推動地區(qū)的軌道交通的發(fā)展��,提升行業(yè)的服務(wù)質(zhì)量�,部分地區(qū)的地鐵建設(shè)方通過引進云計算技術(shù)來改變傳統(tǒng)的地鐵業(yè)務(wù)建設(shè)模式��,將各大專業(yè)(業(yè)務(wù)系統(tǒng))��,諸如:AFC系統(tǒng)�����、ISCS系統(tǒng)����、SIG系統(tǒng)等等都集中在一個云數(shù)據(jù)中心�����,將車站級的數(shù)據(jù)要求降低甚至取消����,提高全局的資源利用率,減少業(yè)務(wù)建設(shè)過程中過多的對車站的投入��,同時通過集中的管理中心對全局的各系統(tǒng)個資產(chǎn)進行管理����,提高管理效率。
地鐵云平臺面臨的安全問題主要有:
? 云平臺自身的安全問題
云平臺的底層架構(gòu)是通過虛擬化技術(shù)實現(xiàn)資源共享調(diào)用,但是共享需要保證用戶資源間的隔離���,目前大多數(shù)云平臺存在VENOM(毒液)漏洞����,通過該漏洞能讓攻擊者越過虛擬化技術(shù)的限制��,訪問并監(jiān)視控制宿主機��,并通過宿主機的權(quán)限來訪問控制其他虛擬主機��。因此需要提供面向虛擬機��、存儲等虛擬對象的安全保護策略���。
? 不同專業(yè)的安全控制與管理
雖然將各專業(yè)的計算都集中到了云中心,但是部分專業(yè)的現(xiàn)場級的數(shù)據(jù)采集組件都是部署在車站的���,在目前的技術(shù)背景下�����,無法實現(xiàn)現(xiàn)場級設(shè)備的虛擬化�,且采用TCP/IP協(xié)議作為數(shù)據(jù)傳輸協(xié)議,且各業(yè)務(wù)系統(tǒng)如ISCS與AFC�、SIG等專業(yè)都是采用的工業(yè)控制協(xié)議:TCP/MODBUS,應(yīng)用層協(xié)議依靠傳統(tǒng)的網(wǎng)絡(luò)分析技術(shù)是無法進行分析的�����。
? 云端數(shù)據(jù)的安全傳輸與交換
地鐵云平臺將所有數(shù)據(jù)都集中到云端加工��、存儲��,站段數(shù)據(jù)向云端傳輸需要云平臺向各業(yè)務(wù)系統(tǒng)開放相應(yīng)的接口�����,這種中心級的數(shù)據(jù)交換需要保障各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全傳輸與交換�。
2. 解決方案
1)云平臺網(wǎng)絡(luò)安全邊界防護體系
建立外部服務(wù)網(wǎng)、內(nèi)部管理網(wǎng)��、安全生產(chǎn)網(wǎng)三個安全域間防護體系����;各安全域內(nèi)部業(yè)務(wù)系統(tǒng)安全邊界;帶外管理網(wǎng)區(qū)域邊界�����;車站/車輛段節(jié)點安全域邊界;區(qū)域邊界實現(xiàn)以下幾方面的防護措施:邊界隔離及訪問控制����、安全審計、抗DDoS攻擊�、入侵檢測及防御、未知威脅檢測�����、通信鏈路加密�����、負載均衡�����、Web安全防護��。
2)云平臺網(wǎng)絡(luò)安全防護支撐體系
云平臺網(wǎng)絡(luò)安全防護支撐體系旨在建立云平臺安全管理中心�����,云平臺安全管理中心定位于云安全體系中的上層管理平臺系統(tǒng)����,可以整合云中各類安全監(jiān)控資源、采集環(huán)境中全量的安全監(jiān)測信息�,形成面向云計算集中安全監(jiān)測、綜合安全分析和統(tǒng)一運維支撐的安全運維管理�����,承擔(dān)云上態(tài)勢感知的功能�����。
3. 方案成果與價值
該方案以安全生產(chǎn)網(wǎng)���、內(nèi)部管理網(wǎng)以及外部服務(wù)網(wǎng)為基礎(chǔ)�����,實現(xiàn)區(qū)域化的安全治理�����。集合云技術(shù)資源動態(tài)調(diào)度的優(yōu)勢�,將安全能力以資源池的形態(tài)進行交付���,各專網(wǎng)��、系統(tǒng)按需提出需求��,由云安全管理中心進行分配��;最終實現(xiàn)跨專業(yè)����、跨網(wǎng)絡(luò)的統(tǒng)一安全管理,解決了資源利用不足�,安全部署繁瑣、不利于統(tǒng)一管理的問題����。
某市地鐵自動售檢票系統(tǒng)網(wǎng)絡(luò)安全方案
1. 行業(yè)痛點
AFC系統(tǒng)是軌道交通業(yè)務(wù)系統(tǒng)的重要組成部分之一,AFC系統(tǒng)在城市軌道交通中扮演自動化票務(wù)管理的角色�����,它的安全性��、可靠性及保密性極高����。AFC系統(tǒng)結(jié)構(gòu)層次目前通常劃分為5個層次,分別為票卡�����、車站終端設(shè)備���、車站控制中心���、線路控制中心(或多線路控制中心)以及清分清算中心。隨著AFC互聯(lián)網(wǎng)售票等新業(yè)務(wù)架構(gòu)的興起�,傳統(tǒng)的AFC系統(tǒng)面臨了新的安全風(fēng)險,如何保障AFC系統(tǒng)運行的數(shù)據(jù)安全和業(yè)務(wù)穩(wěn)定性是在AFC系統(tǒng)建設(shè)過程中必須考慮的問題���。
根據(jù)對現(xiàn)場的需求調(diào)研和風(fēng)險評估�����,總結(jié)痛點如下:
? 未進行安全域劃分��,區(qū)域間未設(shè)置訪問控制措施����;
? 缺少網(wǎng)絡(luò)監(jiān)控手段����,不能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題���;
? 缺少網(wǎng)絡(luò)審計手段,出現(xiàn)問題后靠人員經(jīng)驗排查�;
? 系統(tǒng)運行后,操作站和服務(wù)器很少打補丁����,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱�,防病毒軟件安裝不全面;
? 缺少身份認(rèn)證和接入控制�����,且權(quán)限很大�;
? 存在使用移動存儲介質(zhì)不規(guī)范問題,易引入病毒以及黑客攻擊程序��;
? 第三方人員運維生產(chǎn)系統(tǒng)無審計措施��;
? 上線前未進行網(wǎng)絡(luò)安全測試����;
? 缺少對網(wǎng)絡(luò)安全的全局監(jiān)控,頭疼醫(yī)頭��,腳疼醫(yī)腳���。
2. 解決方案
? 邊界防護隔離
在控制中心���、車站與各系統(tǒng)互聯(lián)邊界部署防火墻,實現(xiàn)冗余���。通過防火墻實現(xiàn)AFC系統(tǒng)與地鐵運營非直接相關(guān)系統(tǒng)的訪問控制����,對數(shù)據(jù)包進行過濾��,同時避免系統(tǒng)受到病毒入侵����、非法入侵及未授權(quán)人員的非法訪問,嚴(yán)格執(zhí)行基于業(yè)務(wù)的訪問控制機制�����。
? 終端安全管理
在控制中心、車站���、車輛段部署殺毒軟件�����、終端管理對終端設(shè)備進行病毒防護�����、進程白名單��、移動存儲介質(zhì)管理�。
? 內(nèi)部監(jiān)測審計
在控制中心核心交換處旁路部署入侵檢查�����、網(wǎng)絡(luò)安全監(jiān)測審計�、運維審計,對網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理����。通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、分析�、記錄、匯報,以幫助用戶事前規(guī)劃預(yù)防�����、事中實時監(jiān)視���、違規(guī)行為響應(yīng)、事后合規(guī)報告���、事故追蹤溯源�,加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管����、促進核心資產(chǎn)的正常運營。
? 應(yīng)用安全網(wǎng)關(guān)
在線路中心邊界部署應(yīng)用安全網(wǎng)關(guān)對數(shù)據(jù)進行2-7層的全面檢查和分析�����,深度識別�、管控和審計近千種常見應(yīng)用����。應(yīng)用安全網(wǎng)關(guān)支持詳細�、清晰、易用的日志特性�����,可以全面記錄審計網(wǎng)絡(luò)行為��、使用流量�、訪問業(yè)務(wù)、所用終端系統(tǒng)及設(shè)備類型平臺等信息��。
3. 方案價值
自動售檢票等保安全解決方案��,成功的解決了自動售檢票系統(tǒng)安全問題�。方案對軌道交通自動售檢票系統(tǒng)進行實時在線的監(jiān)測、預(yù)警���、防護��、評估和控制����,構(gòu)建軌道交通信息安全一體化平臺����,符合國家《網(wǎng)絡(luò)安全法》條例規(guī)定����,切合等保2.0的安全建設(shè)指導(dǎo)建議����,為軌道交通工業(yè)控制系統(tǒng)正常運行提供全面穩(wěn)固的安全保障。?
某市地鐵綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全方案
1. 行業(yè)背景
近年來����,國內(nèi)地鐵綜合監(jiān)控系統(tǒng)的信息化建設(shè)呈現(xiàn)快速穩(wěn)步的發(fā)展����,隨著信息化與軌道交通自動化的深度融合,軌道交通自動化與控制網(wǎng)絡(luò)也向著分布式��、智能化的方向迅速發(fā)展����,越來越多基于TCP/IP的通信協(xié)議和接口被采用,從而實現(xiàn)了自管理信息層延伸至現(xiàn)場設(shè)備的一致性識別��、通訊和控制�。實現(xiàn)了各子系統(tǒng)的互聯(lián)互通,資源共享和自動化水平���。隨著地鐵綜合監(jiān)控系統(tǒng)的集成化����、智能化程度越來越高,運行線路包含的信息點越來越多��,與之而來的網(wǎng)絡(luò)管理和安全面臨的挑戰(zhàn)也變得更大�。
根據(jù)對現(xiàn)場的需求調(diào)研和風(fēng)險評估,總結(jié)痛點如下:
? 綜合監(jiān)控系統(tǒng)的集成化越來越高���,與各系統(tǒng)互聯(lián)接口僅在應(yīng)用層面進行訪問控制��,系統(tǒng)底層沒有訪問控制措施���,很容易繞過應(yīng)用層的控制措施,直接對變電站/所的供電系統(tǒng)進操作���,對環(huán)控系統(tǒng)的PLC控制器進行操作���。而與互聯(lián)系統(tǒng)間通過通信處理機FEP進行接口通信,僅考慮功能實現(xiàn)���,未對通信處理機上的通用操作系統(tǒng)進行安全加固�,導(dǎo)致通信處理機容易成為攻擊靶標(biāo)并淪陷為網(wǎng)絡(luò)攻擊的跳板。
? 綜合監(jiān)控系統(tǒng)工作站一般采用Windows系統(tǒng)�,上線后基本不會對操作系統(tǒng)進行升級,系統(tǒng)上線前沒有關(guān)閉掉多余的系統(tǒng)服務(wù)�,以及系統(tǒng)的密碼策略等進行安全加固等問題,系統(tǒng)安全配置薄弱�����,容易遭受攻擊����。
? 地鐵建設(shè)和運營公司未設(shè)置網(wǎng)絡(luò)安全管理部門,未明確建設(shè)運營相關(guān)部門的安全職責(zé)和技能要求��。同時普遍缺乏網(wǎng)絡(luò)安全人才�����。
因此如何應(yīng)對地鐵綜合監(jiān)控系統(tǒng)面臨的安全風(fēng)險�,是我們在新形勢下迫切需要解決的現(xiàn)實問題��。
2. 解決方案
通過對軌道交通多年的研究���,已經(jīng)為北京��、上海���、深圳�����、成都����、廣州等城市地鐵建設(shè)提供了網(wǎng)絡(luò)安全服務(wù)�,目前與80%以上已開通地鐵城市建立了合作關(guān)系,通過100多個安全項目形成了獨有的行業(yè)認(rèn)識與經(jīng)驗�����,結(jié)合等保2.0的要求提出“邊界防護隔離�����、內(nèi)部監(jiān)測審計�、終端安全管理、集中管控預(yù)警” 的建設(shè)思路�,建立“預(yù)測、防御���、檢測�、響應(yīng)”立體式的安全防護體系,實現(xiàn)安全威脅快速檢測與有效防御����。
? 邊界防護隔離
在控制中心、車站�����、車輛段與各系統(tǒng)互聯(lián)邊界部署防火墻���,實現(xiàn)冗余��。通過防火墻實現(xiàn)綜合監(jiān)控系統(tǒng)與地鐵運營非直接相關(guān)系統(tǒng)的訪問控制���,對數(shù)據(jù)包進行過濾�,同時避免系統(tǒng)受到病毒入侵、非法入侵及未授權(quán)人員的非法訪問��,嚴(yán)格執(zhí)行基于業(yè)務(wù)的訪問控制機制�����。
? 內(nèi)部監(jiān)測審計
在控制中心、車站��、車輛段部署核心交換處旁路部署入侵檢查�����、網(wǎng)絡(luò)審計����,對網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理。通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析���、分析���、記錄、匯報���,以幫助用戶事前規(guī)劃預(yù)防��、事中實時監(jiān)視��、違規(guī)行為響應(yīng)���、事后合規(guī)報告���、事故追蹤溯源,加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管����、促進核心資產(chǎn)的正常運營。
? 終端安全管理
在控制中心�����、車站�、車輛段部署殺毒軟件、終端管理�����、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對終端設(shè)備進行病毒防護����、進程白名單、移動存儲介質(zhì)�����、客戶端接入進行管理�����。
? 集中管控預(yù)警
在控制中心部署態(tài)勢感知系統(tǒng)����、漏洞掃描和配置核查系統(tǒng),對分布在控制中心���、車輛段�、停車場和各車站的防火墻���、入侵檢測系統(tǒng)���、網(wǎng)絡(luò)審計系統(tǒng)和主機防護軟件進行集中管控。統(tǒng)一設(shè)置安全策略�、補丁升級和病毒庫更新等安全事項。對綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)鏈路��、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備、服務(wù)器����、工作站進行集中監(jiān)測。收集����、存儲和分析全線的安全日志,對有潛在威脅的安全事件進行識別和報警�,定期生成安全報表。
在控制中心部署運維安全網(wǎng)關(guān)對綜合監(jiān)控系統(tǒng)的網(wǎng)管子系統(tǒng)和維護子系統(tǒng)的遠程運維操作進行認(rèn)證��、授權(quán)�����、監(jiān)控和審計���,實現(xiàn)對網(wǎng)管和運維人員的雙因素認(rèn)證���。
3. 方案價值
綜合監(jiān)控解決方案,是目前針對綜合監(jiān)控系統(tǒng)安全比較全面的解決方案���,方案對綜合監(jiān)控系統(tǒng)進行實時在線的監(jiān)測���、預(yù)警、防護����、評估和控制,構(gòu)建軌道交通信息安全一體化平臺�,同時也滿足法律法規(guī)要求,為軌道交通工業(yè)控制系統(tǒng)正常運行提供全面的網(wǎng)絡(luò)空間信息安全保障�。
400-001-9776
