新闻中心
联系我们

总机:  010-8250-9710

热线:  400-1066-819

邮箱:  support@icssla.com
地址:  北京市海淀区上地东路1号院华控大厦7层

典型案例 | 某轨交综合监控(ISCS)系统等保建设项目

返回

2024-07-10 公司原创

 

1、项目介绍

1.1 背 景

随着国民经济的持续、快速、健康发展,新型城镇化战略正在积极、稳妥、有序推进,我国城市轨道交通跨入蓬勃发展的黄金机遇期。信息化建设也已进入到大规模开发和应用阶段。云计算、大数据等新一代信息技术在城市轨道交通行业逐渐得到应用,同时相应的网络安全问题也随之而来,作为工业控制系统的特殊应用,轨交业务系统网络安全需求既存在传统网络安全通用需求,也具有工控系统特殊属性需求。

1.2 客户介绍

某地铁是该城市轨道交通线网中的市域快线。全长23.3千米,全部为地下线;共设7座车站,全部为地下车站;设计速度120千米/小时;列车采用6节编组A型列车。

1.3系统介绍

地铁综合监控的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能两大部分。一方面,通过综合监控系统, 可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能;另一方面,通过综合监控系统,还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。

 

2、需求介绍

目前,大部分已开通线路综合监控系统的安全防护措施严重缺失,无法有效防御攻击者对综合监控系统发起的网络攻击。基于国家和行业内网络安全标准,结合已开通线路网络安全调研情况,分析了综合监控系统的网络安全隐患如下:

安全区域边界问题

综合监控系统与信号系统、气象系统、时钟系统等多个外部系统互联互通,缺乏访问控制措施,不能对进出网络的信息内容进行过滤,不能实现对应用层协议命令级的控制,无法在网络边界处对恶意攻击进行检测和清除;缺少防止地址欺骗的技术手段。

安全通信网络方面

缺乏有效的安全审计功能,缺少对业务模型的异常分析,缺少流量的实时监控和记录,所以无法有效的检测到网络攻击行为,也无法对攻击源IP、攻击类型等信息进行记录,无法及时发现业务流程的异常操作,无法发现高级持续威胁、无法有效应对目标性强的攻击。

安全计算环境方面

缺少恶意代码防护手段,采用传统网络防病毒软件,对业务应用误杀现象突出,影响业务系统稳定运行,传统防病毒软件无法及时更新恶意代码库,无法识别新的恶意软件,起不到完整的主机防护作用;USB接口滥用现象明显,缺少技术手段对外设接口实施有效管控。

安全管控方面

未建设统一的安全管控平台,整体安全态势无感知;各安全设备独立运行,没有形成纵深防御的安全合力。

 

3、解决方案

综合监控系统应符合国家安全部门对综合监控系统安全等级(3级)保护要求,能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。综合监控系统应接受并通过网络安全保护等级相适应的测试,并在正式运营前通过等级保护测评。参照《网络安全等级保护基本要求》中第三级的要求,进行差异分析和安全加固,保障综合监控系统能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。

区域边界防护

在控制中心综合监控系统与线路通信传输骨干网边界处,备用控制中心线路侧与中心侧网络边界处,7个车站综合监控系统网络出口位置,车辆段综合监控系统网络边界处部署工业防火墙。通过对数据包进行过滤,并结合工业流量行为模型,实现对综合监控系统的保护。

行为审计

在综合监控系统关键节点部署工控安全审计系统。通过内置的工控协议深度解析引擎,实时监测综合监控系统中违规行为、异常流量和不明设备接入,实时全面掌握工控网络安全运行状况。

终端安全防护

在全线综合监控系统中各工作站和服务器上,安装主机安全加固系统。通过进程白名单的方式从根本上扼制恶意代码的运行。

集中管控

在控制中心部署工控集中安全管理系统,对网络安全防护设备进行集中管理,提供统一的策略配置接口,统一部署安全策略,总览各设备和软件的运行状态、事件记录和威胁日志等关键信息。并监测综合监控系统通信流量与安全事件,对综合监控系统网络内的安全威胁进行分析,消除安全岛。

安全评估

在控制中心部署工控安全评估系统,对ISCS系统中的控制设备、应用或系统进行扫描、识别,检测工业控制网络中存在的各种漏洞,同时,根据检测结果提供专业的报告定制,生成系统分析报告,并给出修复建议和预防措施,帮助企业用户弥补漏洞,消除安全隐患。

态势感知

在控制中心部署工业安全管理与态势分析系统,具备数据整合、分析、处理等功能,且具备对轨道交通系统的生产控制系统、信息网络管理系统安全态势感知、态势风险控制等能力。

安全管理

根据地铁公司现有网络安全管理体系和管理制度,并结合本工程信息安全技术建设中围绕安全态势感知平台所带来的安全能力提升,以提升安全问题响应时效为方向,优化现有的网络安全管理制度。

 

4、项目价值

某轨交综合监控(ISCS)系统等保建设项目以合规化建设为导向,高标准完成等级保护合规性建设,保证了项目按照计划顺利通车。此外,通过本工程态势感知平台的建设,实现了安全风险的主动检测、多端设备协同防护、安全防御体系与安全威胁情报共享结合、以及简易化网络安全运维,使得本工程网络安全防护体系有了专项能力上的显著提高。并且本工程以安全技术能力提高作为抓手,通过完善地铁公司网络安全管理方案和应急处置方案,从网络安全管理制度上实现了进一步优化,为后期地铁安全运营提供了可靠保障。