轨道交通信号系统网络安全防护方案
建设背景
城市轨道交通信号系统是保证列车运行安全,实现行车指挥和列车运行现代化,提高运输效率的关键系统设备。目前城市轨道交通信号系统大多数采用基于无线局域网的CBTC系统,CBTC系统的可用性、可靠性等均能满足当前城市轨道交通安全高效运营的需要,是实现轨道交通高安全、高速度和高密度的最佳技术之一。
随着计算机和网络技术的发展,特别是信息化与信号系统深度融合,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与PIS网络、语音广播、ISCS系统等网络互联互通,有可能造成病毒、木马等威胁向CBTC系统扩散,信号系统安全问题日益突出。特别是车地无线通信的应用,攻击者可以通过无线方式进行入侵和攻击。一旦CBTC系统的信息安全出现漏洞,将对城市轨道交通的生产运行和国家安全造成重大隐患。
建设目标
针对轨道交通信号系统存在的安全问题,依据工信部《工业控制系统信息安全防护指南》指导要求,结合信息安全等级保护(三级)符合性要求,轨道交通信号系统安全防护建设目标如下: ? 完善轨道交通信号系统安全防护技术体系:梳理、分析轨道网络整体情况,从网
络层次划分、网络分区分域、网络边界划分、纵深防御等方面提供适用于轨道交通信号系统的网络规划思路;
? 完善轨道交通信号系统安全防护管理体系:梳理轨道交通信号系统安全防护方面
的组织机构、管理制度、人员管理、系统建设管理、资源保障、监督检查等方面的信息,进行需求分析并提出解决思路,为轨道交通信号系统管理体系建设及整改工作提供参考;
? 完善轨道交通信号系统安全防护运维体系:梳理、分析轨道交通信号系统的运维
体系,从运维管理制度、操作流程的规范化、关键技术控制点等方面提供运维体系建设及完善思路,挖掘运维平台潜在风险和盲区,为完善轨道交通运维平台提供解决思路。
解决方案
威努特以实时高效为前提、安全可靠为目标、主动防御为手段,为城市轨道交通信息系统的安全防护提供完整解决方案,从网络边界防护、主机安全加固、操作安全审计、入侵检测防范、安全运维管理等方面建设安全防护体系,全面覆盖轨道交通信号系统各个环节。威努特同时具备完善的工控安全服务体系,为用户提供安全评估、安全设计、安全建设和安全运维的全过程一站式解决方案。
1) 方案架构
轨道交通信号系统网络安全防护方案涵盖控制中心、试车线、车辆段、培训中心等轨道交通重要组成部分,安全防护产品包括威努特可信网关、工控主机卫士、监测审计平台、安全管理平台,方案架构图如下所示:
? 边界防护:在控制中心ATS与其互联的系统间(PIS、ISCS、PA、SCADA等)、号系
统与外部系统互联处等网络边界位置部署威努特可信网关,实现基于白名单机制的纵深边界安全防护,防范传统网络攻击及工业攻击带来的安全风险。
? 安全审计与入侵防范:在信息系统各主要区域汇聚交换机旁路部署威努特安全监测
审计平台,实现基于工业协议深度解析的识别与防范,对网络中的攻击行为、数据流量、重要操作等进行监测审计,用于事后回溯和网络分析。
? 主机安全加固:在轨道交通信息系统中所有工作站上部署威努特工控主机卫士,充
分利用应用程序白名单技术的高安全、高性能、高功效等特点,有效防范已知未知病毒的入侵和攻击,实现了统启动、加载和运行过程中的全生命周期的安全保证。 ? 安全运维中心:在轨道交通信息系统中部署威努特统一安全管理平台,对网络中所有安全产品进行统一管理、统一策略调整下发、统一日志收集分析,对整体网络信息安全情况进行统一实时的监控,极大简化安全运维流程。 ? 安全管理体系:协助用户建立安全组织机构、安全管理制度、人员安全管理、安全建设管理等方面的综合安全管理体系。 2) 方案特点
? 完全遵循国家等级保护与工控安全防护要求; ? 技术与管理并重,注重整体集成;
? 具备纵深防御能力,提供整体安全保障(IA)能力; ? 多种安全产品有机结合,注重整体安全防范能力;
? 支持多种应用系统平台,系统层次明确,各子系统协同工作; ? 各类安全产品集中管理,简化运维。