我的位置:

轨道交通

作者:「admin」

发表于:Oct 30, 2019

浏览:


一、安全与现状

轨道交通行业最重要的三大系统分别是AFC、信号系统、综合监视系统。
AFC是基于计算机、通信、网络、自动控制等技术,实现轨道交通售票、检票、计费、收费、统计、清分、管理等全过程的自动化系统。病毒攻击、黑客攻击泛滥、应用软件漏洞层出不穷、木马后门传播普遍,这些威胁都直接影响着AFC系统,随时有可能窃取AFC系统相关的重要信息和数据,给核心信息系统的安全运行带来很大的威胁。

具体威胁主要体现在以下几个方面:

外部攻击:综合监控系统采用大量的IT技术, 工业控制信息技术的安全早已进入黑客的研究范围;
内部威胁的加剧: 信息安全的威胁主要来自内部人员的破坏及内部信息的泄露, 并非来自外部黑客攻击或病毒入侵;
应用软件威胁:由外部提供的授权应用软件无法保证提供完整的信息保护功能, 因此,后门、漏洞等问题都有可能出现;
第三方维护人员的威胁:如何有效的对运维人员的操作进行监控, 执行规范化的严格审计是信息系统运营面临的一个关键问题;
多种病毒的泛滥:病毒可通过移动存储设备、外来运维电脑,、无线系统等方式进入系统,造成网络拥塞、网络风暴甚至网络瘫痪。
 
二、政策依据
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;
工信部信软〔2016〕338号 《工业控制系统信息安全防护指南》;
GB/T 30976.1-2014 《工业控制系统信息安全第1部分:评估规范》;
GB/T 30976.2-2014 《工业控制系统信息安全第2部分:验收规范》;
GBT 26333-2010 《工业控制网络安全风险评估规范》;
 
 
三 解决方案

 
边界防护
轨道交通网SCADA系统和外部系统网络边界部署工业防火墙,通过工业协议深度解析实现边界访问控制和安全隔离,通过最小化规则尽可能规避来自外部系统的非法或违规数据访问。
内部区域防护
通过明确内部安全区域,在调度SISCS、DISCS、OCC互联系统、OCC大楼内系统网络边界部署工业防火墙,实现内部安全区域边界防护,通过建立白名单策略,规范和细化区域内的网络和应用访问规则,阻断数据篡改伪造和恶意攻击等行为,有效保护安全区域内核心数据和应用。
主机防护
对SCADA系统网络内的主机进行安全防护,主要是针对调度控制中心和各站控系统区域内的主机,通过部署工控卫士,阻止非工作程序在主机上的操作运行,并进行阻断与拦截,同时通过安全U盘实现移动安全数据存储。
网络实时监测与审计
在SCADA系统调度控制中心旁路部署工控安全审计平台,建立业务通信模型实现对工控威胁的实时监测和告警,同时对网络中的攻击行为、网络会话、数据流量、重要操作等进行审计,实现安全事件的日志回溯和取证。
统一安全管理
建立管网SCADA系统安全管理平台,对工控网络中的相关防护产品进行统一的管理运维,对整网防护设备进行策略配置下发、网络流量分析,对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应,并出具丰富的报表和报告,实时掌握工业控制网络情况,获悉工业控制网络整体的安全状态,实现全生命周期的日志管理。
 
 
四、客户价值
安全效益 
通过对工控系统网络的安全防护,全面提升生产网络整体的安全性,确保设备、系统、网络的可靠性、稳定性,提高安全生产管理水平、管理效率。 
管理效益 
对生产系统网络进行安全加固,不仅符合轨道公司针对轨道交通系统安全防护的要求,同时也提高了系统生产控制网络本身的安全防护等级,极大推进了企业系统信息安全防护工作的进程。 
社会效益 
轨道交通是交通行业的重要组成部分,在社会经济发展中有着不可忽视的重要影响。对交通控制系统进行安全防护,不仅能够保证交通行业的安全运营,而且也能保障社会经济的稳定发展。