《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 城市軌道交通CBTC信號(hào)系統(tǒng)網(wǎng)絡(luò)安全方案

城市軌道交通CBTC信號(hào)系統(tǒng)網(wǎng)絡(luò)安全方案

2021-09-28
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  摘要:基于CBTC信號(hào)系統(tǒng)的業(yè)務(wù)模型,,從網(wǎng)絡(luò)安全法,、工控信息安全和網(wǎng)絡(luò)安全等級(jí)保護(hù)等國家相關(guān)法規(guī),、標(biāo)準(zhǔn)角度出發(fā),,分析了城市軌道交通信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀以及存在的安全隱患,,提出了一種信號(hào)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案,,可全面防護(hù)信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全,。

  關(guān)鍵詞:城市軌道交通,;信號(hào)系統(tǒng),;網(wǎng)絡(luò)安全

  1,、概述

  隨著城鎮(zhèn)化建設(shè)步伐的加快,城市軌道交通迎來新一輪建設(shè)高潮,?;跓o線網(wǎng)絡(luò)通信的CBTC系統(tǒng)在可用性、可靠性等方面均能滿足當(dāng)前城市軌道交通安全高效運(yùn)營的需要,,是實(shí)現(xiàn)軌道交通高安全,、高速度和高密度的最佳技術(shù)之一。但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,,特別是信息化與信號(hào)系統(tǒng)深度融合,,CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,,以各種方式與綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò),、旅客信息系統(tǒng)、語音廣播等公共網(wǎng)絡(luò)連接,,容易造成病毒,、木馬等威脅向CBTC系統(tǒng)擴(kuò)散,信號(hào)系統(tǒng)安全問題日益突出,。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞,,將對(duì)城市軌道交通的生產(chǎn)運(yùn)行和國家安全造成重大隱患。

  《中華人民共和國網(wǎng)絡(luò)安全法》中明確要求“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,,履行安全保護(hù)義務(wù)”;“國家對(duì)公共通信和信息服務(wù),、能源,、交通、水利,、金融,、公共服務(wù),、電子政務(wù)等重要行業(yè)和領(lǐng)域,,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全,、國計(jì)民生,、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù),。”

  中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(簡(jiǎn)稱“中央網(wǎng)信辦”)發(fā)布了《國家網(wǎng)絡(luò)安全檢查操作指南》,,并確定了關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍,。對(duì)于生產(chǎn)業(yè)務(wù)系統(tǒng)一旦發(fā)生安全事故,可能造成影響單個(gè)地市級(jí)行政區(qū)30%以上人口的工作,、生活,,可能影響10萬人用水、用電,、用氣,、用油、取暖或交通出行等,,均屬于關(guān)鍵信息基礎(chǔ)設(shè)施,,如圖1所示。城市軌道交通一旦發(fā)生安全事故,,則可能會(huì)影響幾十萬人的交通出行,,所以城市軌道交通屬于市政類關(guān)鍵信息基礎(chǔ)設(shè)施,需要在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù),。

  圖1 關(guān)鍵信息基礎(chǔ)設(shè)施判定圖

  城市軌道交通信號(hào)系統(tǒng)從系統(tǒng)規(guī)劃、設(shè)計(jì),、實(shí)施,、上線、生產(chǎn),、運(yùn)維到廢棄的整個(gè)漫長(zhǎng)的生命周期中,,各個(gè)階段都面臨著不同的網(wǎng)絡(luò)安全問題。要真正做到信號(hào)系統(tǒng)網(wǎng)絡(luò)安全,,需要按照等級(jí)保護(hù)建設(shè)的思路作為最佳實(shí)踐,,建立健全信號(hào)系統(tǒng)的信息安全管理制度和信息安全管理機(jī)構(gòu),完善信號(hào)信息安全管理體制,;建立信號(hào)系統(tǒng)信息安全縱深防御技術(shù)體系,,需要從網(wǎng)絡(luò)編輯到內(nèi)部流量、再到主機(jī)的全方位技術(shù)防護(hù)措施,,從而保障城市軌道交通平穩(wěn),、安全,、高效運(yùn)行。

  2,、安全防護(hù)現(xiàn)狀及需求分析

  2.1 安全現(xiàn)狀與隱患分析

  目前,,大部分已開通線路信號(hào)系統(tǒng)的安全防護(hù)措施嚴(yán)重缺失,無法有效防御攻擊者對(duì)信號(hào)系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊,?;趪液托袠I(yè)內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),結(jié)合已開通線路網(wǎng)絡(luò)安全調(diào)研情況,,分析了信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全隱患如下:

 ?。?1 ) 安全區(qū)域邊界問題

  信號(hào)系統(tǒng)與綜合監(jiān)控系統(tǒng)、旅客信息系統(tǒng),、廣播系統(tǒng),、時(shí)鐘系統(tǒng)等多個(gè)外部系統(tǒng)互聯(lián)互通,缺乏訪問控制措施,,不能對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,,不能實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議命令級(jí)的控制,無法在網(wǎng)絡(luò)邊界處對(duì)惡意攻擊進(jìn)行檢測(cè)和清除,;缺少防止地址欺騙的技術(shù)手段,。

  ( 2 ) 安全通信網(wǎng)絡(luò)方面

  缺乏有效的安全審計(jì)功能,,缺少對(duì)業(yè)務(wù)模型的異常分析,,缺少流量的實(shí)時(shí)監(jiān)控和記錄,所以無法有效的檢測(cè)到網(wǎng)絡(luò)攻擊行為,,也無法對(duì)攻擊源IP,、攻擊類型等信息進(jìn)行記錄,無法及時(shí)發(fā)現(xiàn)業(yè)務(wù)流程的異常操作,,無法發(fā)現(xiàn)高級(jí)持續(xù)威脅,、無法有效應(yīng)對(duì)目標(biāo)性強(qiáng)的攻擊。

 ?。?3 ) 安全計(jì)算環(huán)境方面

  缺少惡意代碼防護(hù)手段,,采用傳統(tǒng)網(wǎng)絡(luò)防病毒軟件,對(duì)業(yè)務(wù)應(yīng)用誤殺現(xiàn)象突出,,影響業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行,,傳統(tǒng)防病毒軟件無法及時(shí)更新惡意代碼庫,無法識(shí)別新的惡意軟件,,起不到完整的主機(jī)防護(hù)作用,;USB接口濫用現(xiàn)象明顯,缺少技術(shù)手段對(duì)外設(shè)接口實(shí)施有效管控,。

 ?。?4 ) 安全管控方面

  未建設(shè)統(tǒng)一的安全管控平臺(tái),,整體安全態(tài)勢(shì)無感知;各安全設(shè)備獨(dú)立運(yùn)行,,沒有形成縱深防御的安全合力,。

  2.2 安全防護(hù)要求

  《城市軌道交通信號(hào)系統(tǒng)用戶需求書(范本)》第一部分通用技術(shù)要求和第二部分專用技術(shù)要求中分別對(duì)信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全提出要求,。信號(hào)系統(tǒng)應(yīng)符合國家安全部門對(duì)信號(hào)信息系統(tǒng)等級(jí)(暫定3級(jí))保護(hù)要求,,能夠防范病毒入侵、黑客攻擊,、對(duì)數(shù)據(jù)有審計(jì)功能等技術(shù)要求的能力,。信號(hào)系統(tǒng)應(yīng)接受并通過信息保護(hù)等級(jí)相適應(yīng)的測(cè)試,并在正式運(yùn)營前通過等級(jí)保護(hù)測(cè)評(píng),。參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中第三級(jí)的要求,,進(jìn)行差異分析和安全加固,保障信號(hào)系統(tǒng)能夠防范病毒入侵,、黑客攻擊,、對(duì)數(shù)據(jù)有審計(jì)功能等技術(shù)要求的能力。

  3 方案設(shè)計(jì)

  城市軌道交通信號(hào)系統(tǒng)等級(jí)保護(hù)建設(shè)方案將根據(jù)系統(tǒng)在不同階段的需求,、業(yè)務(wù)特性及應(yīng)用重點(diǎn),,采用評(píng)估、管理,、技術(shù)和持續(xù)運(yùn)維安全體系設(shè)計(jì)方法,,幫助用戶構(gòu)建一套覆蓋全面、重點(diǎn)突出,、節(jié)約成本,、持續(xù)運(yùn)行的縱深安全防御體系。

  3.1 技術(shù)防護(hù)方案

  根據(jù)城市軌道交通信號(hào)系統(tǒng)與其他系統(tǒng)的數(shù)據(jù)流交互情況,、系統(tǒng)內(nèi)部各子系統(tǒng)和模塊之間的數(shù)據(jù)流交換情況,,結(jié)合“一個(gè)中心”管理下的“三重保護(hù)”體系框架進(jìn)行設(shè)計(jì),構(gòu)建安全機(jī)制和策略,,形成定級(jí)系統(tǒng)的安全保護(hù)環(huán)境,。包括:安全區(qū)域邊界、安全通信網(wǎng)絡(luò),、安全計(jì)算環(huán)境和安全管理中心,,設(shè)計(jì)信號(hào)系統(tǒng)的安全防護(hù)技術(shù)方案,如圖2所示,。

  圖2 信號(hào)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)圖

  3.1.1 安全區(qū)域邊界

  城市軌道交通信號(hào)系統(tǒng)根據(jù)系統(tǒng)自身的網(wǎng)絡(luò)特點(diǎn),,各子系統(tǒng)結(jié)合比較緊密,同時(shí)城市軌道交通的《技術(shù)需求書》要求信號(hào)系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)相互獨(dú)立,,所以本方案將信號(hào)系統(tǒng)和外部互聯(lián)系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全域,,將信號(hào)系統(tǒng)整體作為一個(gè)完整的安全域進(jìn)行保護(hù),。

  為滿足等級(jí)保護(hù)建設(shè)對(duì)訪問控制、邊界完整性檢查,、入侵防范等基本安全要求,,在信號(hào)系統(tǒng)與外部系統(tǒng)互聯(lián)處,通過部署工業(yè)防火墻來實(shí)現(xiàn)隔離與訪問控制,,能夠根據(jù)數(shù)據(jù)包的源地址,、目的地址、傳輸層協(xié)議,、應(yīng)用層協(xié)議,、端口(對(duì)應(yīng)請(qǐng)求的服務(wù)類型)等信息執(zhí)行訪問控制規(guī)則,允許信號(hào)系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過該平臺(tái),,禁止其他應(yīng)用的連接請(qǐng)求,,以保障信號(hào)系統(tǒng)的安全性。由于信號(hào)系統(tǒng)與外部系統(tǒng)互聯(lián)的網(wǎng)絡(luò)是冗余網(wǎng)絡(luò),,所以本方案在控制中心與互聯(lián)系統(tǒng)(旅客信息系統(tǒng),、綜合監(jiān)控系統(tǒng)、時(shí)鐘系統(tǒng),、廣播系統(tǒng)等)的網(wǎng)絡(luò)邊界位置冗余部署2臺(tái)工業(yè)防火墻產(chǎn)品,。通過配置訪問控制策略,能夠根據(jù)數(shù)據(jù)包的源地址,、目的地址,、傳輸層協(xié)議、應(yīng)用層協(xié)議,、端口(對(duì)應(yīng)請(qǐng)求的服務(wù)類型),、時(shí)間、用戶名等信息執(zhí)行訪問控制規(guī)則,,允許信號(hào)系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過該網(wǎng)絡(luò)邊界,,同時(shí)禁止其他與業(yè)務(wù)無關(guān)的訪問連接。

  3.1.2 安全通信網(wǎng)絡(luò)

  通信網(wǎng)絡(luò)的安全性是指由外部攻擊和內(nèi)部誤操作甚至惡意操作行為引起的安全問題,,一般隱藏在正常的通信流量中,、合法的操作行為中,所以通過對(duì)關(guān)鍵位置核心流量的實(shí)時(shí)監(jiān)控,,可實(shí)現(xiàn)對(duì)異常流量和操作的及時(shí)告警和記錄,。

  為滿足等級(jí)保護(hù)建設(shè)對(duì)網(wǎng)絡(luò)安全的安全審計(jì)、入侵防范等基本安全要求,,根據(jù)信號(hào)系統(tǒng)業(yè)務(wù)特點(diǎn),,本方案需要在控制中心核心交換機(jī)、設(shè)備集中站接入交換機(jī)、停車場(chǎng)接入交換機(jī),、車輛段接入交換機(jī),、維修中心接入交流旁路部署監(jiān)測(cè)審計(jì)平臺(tái),分別接收來自安全網(wǎng)(冗余),、非安全(冗余)和管理網(wǎng)的鏡像流量數(shù)據(jù),,并分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為,,同時(shí)基于網(wǎng)絡(luò)流量,、協(xié)議和應(yīng)用進(jìn)行全方位的審計(jì)記錄,以便發(fā)生安全事件后能夠快速對(duì)事件進(jìn)行分析溯源,。

  3.1.3 安全計(jì)算環(huán)境

  城市軌道交通信號(hào)系統(tǒng)的計(jì)算任務(wù)執(zhí)行主要是工作站,、服務(wù)器和控制器,,這些工作站和服務(wù)器直接參與列車運(yùn)行調(diào)度命令的下發(fā),、運(yùn)行圖的繪制存儲(chǔ)、列車運(yùn)行狀態(tài)數(shù)據(jù)存儲(chǔ)等業(yè)務(wù)過程,。所以需要通過多種加固措施提升主機(jī)自身的安全能力,,從而提升信號(hào)系統(tǒng)整體安全能力,達(dá)到立體防御的安全防護(hù)目標(biāo),。

  為滿足等級(jí)保護(hù)建設(shè)對(duì)主機(jī)的惡意代碼防范,、入侵防范等基本安全要求,在信號(hào)系統(tǒng)中各工作站和服務(wù)器上,,安裝主機(jī)安全防護(hù)系統(tǒng)軟件,,通過進(jìn)程白名單的方式從根本上扼制惡意代碼的運(yùn)行。在控制中心,、設(shè)備集中站,、非設(shè)備集中站、車輛段,、停車場(chǎng)等處的工作站和服務(wù)器分別安裝主機(jī)安全防護(hù)系統(tǒng)軟件,。通過安全策略配置,主機(jī)只能運(yùn)行與列車運(yùn)行控制相關(guān)的軟件應(yīng)用程序(例如計(jì)算機(jī)聯(lián)鎖的表示軟件),,其他與列車運(yùn)行無關(guān)的軟件或應(yīng)用程序需要禁止安裝,,以防止無關(guān)程序的漏洞或誤操作而影響業(yè)務(wù)程序的運(yùn)行,所以主機(jī)安全防護(hù)系統(tǒng)能夠智能識(shí)別軟件的安裝與升級(jí),,并以白名單方式避免非法軟件安裝,。主機(jī)安全防護(hù)系統(tǒng)在進(jìn)程啟動(dòng)之前進(jìn)行安全性檢查以保證運(yùn)行進(jìn)程的合法性和完整性,同時(shí)對(duì)系統(tǒng)做深入的分析,,感知針對(duì)操作系統(tǒng)漏洞進(jìn)行的惡意代碼執(zhí)行過程,,發(fā)現(xiàn)隱藏的進(jìn)程,保護(hù)系統(tǒng)的完整性。

  3.1.4 安全管控中心

  信號(hào)系統(tǒng)的安全防護(hù)設(shè)計(jì),,從網(wǎng)絡(luò)邊界安全,、主機(jī)安全、入侵行為安全等不同維度部署了相應(yīng)的防護(hù)設(shè)備和軟件進(jìn)行縱深防御,,那么多種技術(shù)類型的防護(hù)設(shè)備和軟件需要一個(gè)統(tǒng)一指揮的平臺(tái),,才能形成安全防護(hù)的合力,構(gòu)成縱深防護(hù)的整體,,以達(dá)到協(xié)同聯(lián)動(dòng)抵御針對(duì)網(wǎng)絡(luò)攻擊的目的,。

  為滿足等級(jí)保護(hù)建設(shè)對(duì)監(jiān)控管理和安全管理中心的基本安全要求,本方案在控制中心維護(hù)網(wǎng)交換機(jī)上旁路部署安全管理平臺(tái),,其他監(jiān)測(cè)審計(jì)平臺(tái)和工業(yè)防火墻的管理口就近接入維護(hù)網(wǎng)中,,這樣方便運(yùn)營方對(duì)信號(hào)系統(tǒng)部署的所有的安全防護(hù)設(shè)備進(jìn)行統(tǒng)一管理和維護(hù),以及提高全面的安全態(tài)勢(shì)感知能力,??刂浦行木S護(hù)網(wǎng)交換機(jī)旁路部署統(tǒng)一安全管理平臺(tái)。

  部署統(tǒng)一安全管理平臺(tái),,可以實(shí)現(xiàn)對(duì)各車站和控制中心的安全防護(hù)設(shè)備和軟件進(jìn)行集中管理,,提供統(tǒng)一的策略配置接口,總覽各設(shè)備和軟件的運(yùn)行狀態(tài),、事件記錄和威脅日志等關(guān)鍵信息,。各安全防護(hù)設(shè)備和軟件由集中管理裝置統(tǒng)一控制、配置和管理,,統(tǒng)一部署安全策略,,并監(jiān)測(cè)信號(hào)系統(tǒng)網(wǎng)絡(luò)的通信流量與安全事件,對(duì)信號(hào)系統(tǒng)網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析,,消除安全孤島,,從整體視角進(jìn)行安全事件分析、安全攻擊溯源等,,重點(diǎn)解決安全防護(hù)設(shè)備各自運(yùn)維而導(dǎo)致的信息不暢和事件處置效率低下等問題,。

  3.2 安全管理方案

  為滿足等級(jí)保護(hù)建設(shè)對(duì)信號(hào)系統(tǒng)安全管理的基本安全要求,本方案通過等保安全咨詢服務(wù)實(shí)現(xiàn)安全管理方案的建設(shè),。結(jié)合城市軌道交通信號(hào)系統(tǒng)的業(yè)務(wù)流程,,從安全管理制度、安全管理機(jī)構(gòu),、安全人員管理,、安全意識(shí)培訓(xùn)等方面進(jìn)行全面梳理,并設(shè)置相應(yīng)的組織架構(gòu),、人員職責(zé),、管理制度、培訓(xùn)機(jī)制等管理方案,以保障信號(hào)系統(tǒng)能夠長(zhǎng)時(shí)間持續(xù)的安全穩(wěn)定運(yùn)行,。

  3.2.1 安全管理制度

  根據(jù)安全管理制度的基本要求制定各類管理規(guī)定,、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定,、管理辦法和實(shí)施辦法,,是具有可操作性,且必須得到有效推行和實(shí)施的制度,。

  制定嚴(yán)格的制度與發(fā)布流程,、方式、范圍等,,制度需要統(tǒng)一格式并進(jìn)行有效版本控制,;發(fā)布方式需要正式、有效并注明發(fā)布范圍,,對(duì)收發(fā)文進(jìn)行登記,。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,定期或不定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂,,修訂不足及進(jìn)行改進(jìn),。

  3.2.2 安全組織架構(gòu)

  根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式,,明確崗位職責(zé),;設(shè)置安全管理崗位,設(shè)立系統(tǒng)管理員,、網(wǎng)絡(luò)管理員,、安全管理員等崗位,根據(jù)要求進(jìn)行人員配備,,配備專職安全員,;成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán),;制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé),、分工和技能要求。建立授權(quán)與審批制度,;建立內(nèi)外部溝通合作渠道,;定期進(jìn)行全面安全檢查,特別是系統(tǒng)日常運(yùn)行,、系統(tǒng)漏洞和數(shù)據(jù)備份等,。

  3.2.3 人員安全管理

  根據(jù)基本要求制定人員錄用,離崗,、考核,、培訓(xùn)幾個(gè)方面的規(guī)定,并嚴(yán)格執(zhí)行;規(guī)定外部人員訪問流程,,并嚴(yán)格執(zhí)行,。

  3.2.4 系統(tǒng)建設(shè)管理

  根據(jù)基本要求制定系統(tǒng)建設(shè)管理制度,包括:系統(tǒng)定級(jí),、安全方案設(shè)計(jì),、產(chǎn)品采購和使用、自行軟件開發(fā),、外包軟件開發(fā),、工程實(shí)施、測(cè)試驗(yàn)收,、系統(tǒng)交付,、系統(tǒng)備案、安全評(píng)測(cè),、安全服務(wù)商選擇等方面,。從工程實(shí)施的前、中,、后三個(gè)方面,,從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。

  3.2.5 系統(tǒng)運(yùn)維管理

  根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理,,利用管理制度以及安全管理中心進(jìn)行,,包括:環(huán)境管理、資產(chǎn)管理,、介質(zhì)管理,、設(shè)備管理、監(jiān)控管理和安全管理中心,、網(wǎng)絡(luò)安全管理,、系統(tǒng)安全管理、惡意代碼防范管理,、密碼管理,、變更管理、備份與恢復(fù)管理,、安全事件處置,、應(yīng)急預(yù)案管理等,使系統(tǒng)始終處于安全狀態(tài)中,。

  4,、總結(jié)

  ( 1 ) 完善的安全建設(shè)方案

  本方案基于軌道交通各專業(yè)的業(yè)務(wù)流程進(jìn)行設(shè)計(jì),,以保障業(yè)務(wù)安全為目標(biāo),,將網(wǎng)絡(luò)安全產(chǎn)品以對(duì)業(yè)務(wù)最小影響方式融入既有業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò),,例如,串接到網(wǎng)絡(luò)中的工業(yè)防火墻部署在各系統(tǒng)網(wǎng)絡(luò)外部邊界,,同時(shí)具備Bypass功能,,以保障故障情況下的業(yè)務(wù)可用性。主機(jī)安全防護(hù)系統(tǒng)軟件通過白名單技術(shù),,徹底解決工控主機(jī)不能安裝殺毒軟件的問題或者病毒庫升級(jí)后影響程序運(yùn)行的問題,,保障了軟件的兼容性和對(duì)業(yè)務(wù)系統(tǒng)的無影響性。

 ?。?2 ) 安全合規(guī)的防護(hù)體系建設(shè)

  城市軌道交通作為市政體系的關(guān)鍵信息基礎(chǔ)設(shè)施,,需要符合《網(wǎng)絡(luò)安全法》中的信息安全等級(jí)保護(hù)制度要求,同時(shí)城市軌道交通由多個(gè)重要的工業(yè)控制系統(tǒng)組成,,需要符合《工業(yè)控制系統(tǒng)安全防護(hù)指南》要求,,所以本方案深度融合法規(guī)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì),結(jié)合等保評(píng)估,、等保咨詢,、運(yùn)維實(shí)施等持續(xù)的安全服務(wù),協(xié)助軌道交通建設(shè)和運(yùn)營單位規(guī)避法律風(fēng)險(xiǎn),。

 ?。?3 ) 領(lǐng)先的縱深防御技術(shù)方案

  本方案以縱深防御理念為核心,在充分了解信號(hào)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全現(xiàn)狀的基礎(chǔ)上,,構(gòu)建了從區(qū)域邊界隔離,、通信流量監(jiān)測(cè)、主機(jī)終端防護(hù)到統(tǒng)一安全管控一體的縱深防御技術(shù)體系,,針對(duì)攻擊鏈條的各個(gè)階段采取有效的防護(hù)措施,,切實(shí)保護(hù)業(yè)務(wù)系統(tǒng)遠(yuǎn)離復(fù)雜多樣的網(wǎng)絡(luò)攻擊手段,保障城市軌道交通信號(hào)系統(tǒng)安全穩(wěn)定運(yùn)行,。

  ( 4 ) 可靠的工業(yè)級(jí)安全產(chǎn)品

  城市軌道交通各業(yè)務(wù)系統(tǒng)的現(xiàn)場(chǎng)工作環(huán)境惡劣,,大部分設(shè)備部署在地下機(jī)房,、軌旁等位置,EMC干擾嚴(yán)重,、溫濕度環(huán)境苛刻,、振動(dòng)沖擊環(huán)境惡劣,本方案所選用的網(wǎng)絡(luò)安全產(chǎn)品具備工業(yè)級(jí)品質(zhì),,關(guān)鍵網(wǎng)絡(luò)安全設(shè)備采用低功耗無風(fēng)扇設(shè)計(jì),,滿足城市軌道交通相關(guān)標(biāo)準(zhǔn)要求并通過測(cè)試,穩(wěn)定可靠,、堅(jiān)固耐用,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]