今日頭條
官方微信
官方抖音
資訊頻道1. 項(xiàng)目背景介紹
隨著信息化的發(fā)展,地鐵信號系統(tǒng)的業(yè)務(wù)開展也越來越依托于網(wǎng)絡(luò)平臺,但縱觀當(dāng)前的安全形勢,各種安全事件層出不窮,而在廣州地鐵五號線信號系統(tǒng)的網(wǎng)絡(luò)中,安全設(shè)備較少,前期購買的安全設(shè)備也漸漸不能滿足地鐵信號系統(tǒng)目前的網(wǎng)絡(luò)安全需求,嚴(yán)重影響了地鐵信號系統(tǒng)的安全性和可靠性。通過對地鐵信號系統(tǒng)信息化現(xiàn)狀調(diào)研、分析,結(jié)合等級保護(hù)在在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、在安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等方面的要求,逐步完善信息安全組織、落實(shí)安全責(zé)任制,開展管理制度建設(shè)、技術(shù)措施建設(shè),落實(shí)等級保護(hù)制度的各項(xiàng)要求,使得單位信息系統(tǒng)安全管理水平明顯提高,安全保護(hù)能力明顯增強(qiáng),有效保障信息化健康發(fā)展。
· 2017年6月1日正式生效的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定 “國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度” ,并明確 “國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
· 新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》標(biāo)準(zhǔn)(即等保2.0)中也明確定義了針對工業(yè)控制系統(tǒng)的安全要求,要求安全的工業(yè)控制系統(tǒng)解決方案需要具備相應(yīng)的安全審計(jì)功能。
· “中國制造2025”及工信部的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》均對工控信息安全提出了新的要求,工控系統(tǒng)的安全運(yùn)營離不開堅(jiān)實(shí)的工控安全保障。
2. 項(xiàng)目目標(biāo)與原則
本項(xiàng)目根據(jù)國家《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令第147號)和《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》的要求,依據(jù)信息安全等級保護(hù)制度的基本原則,通過確定信號系統(tǒng)的網(wǎng)絡(luò)邊界及在本系統(tǒng)的規(guī)劃設(shè)計(jì)中,遵循信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,從技術(shù)和管理兩個(gè)維度進(jìn)行安全保障方案的設(shè)計(jì),以確保本系統(tǒng)的安全保護(hù)能力符合相應(yīng)等級的安全要求。
3. 項(xiàng)目實(shí)施與應(yīng)用
(1)信號系統(tǒng)的邊界隔離防護(hù)
地鐵某線路運(yùn)營控制中心的前端處理器 C-FEP連接MCS的以太網(wǎng)邊界屬于外部系統(tǒng),需要進(jìn)行邊界防護(hù),采用FortiGate 101F NGFW下一代防火墻,進(jìn)行安全域隔離、網(wǎng)絡(luò)防病毒和入侵防護(hù)功能。保證數(shù)據(jù)傳輸?shù)陌踩院蛯?shí)現(xiàn)網(wǎng)絡(luò)的訪問控制。系統(tǒng)采用冗余架構(gòu)的方式部署,保證網(wǎng)絡(luò)通訊的健壯性、穩(wěn)定性和高可用性。
(2)西門子工控安全態(tài)勢感知系統(tǒng)(SSM)
在控制中心部署西門子工控安全態(tài)勢感知系統(tǒng)SSM,用于日志采集和集中的日志審計(jì)。通過主動(dòng)、被動(dòng)手段,實(shí)時(shí)不間斷地采集用戶網(wǎng)絡(luò)中不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息,并將這些信息進(jìn)行集中化存儲(chǔ)、備份、查詢、審計(jì)等,實(shí)現(xiàn)全生命周期的日志管理。
西門子工控安全態(tài)勢感知系統(tǒng)(SSM)總體的系統(tǒng)架構(gòu)如下圖:
SSM系統(tǒng)架構(gòu)圖
(3)基于主機(jī)Trend Micro OfficeScan + 網(wǎng)絡(luò)防火墻的惡意軟件檢測及預(yù)防
在windows終端上部署Trend Micro OfficeScan,提供基于黑名單和白名單的主機(jī)安全防護(hù)。它能夠防護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)病毒、惡意軟件、間諜軟件、基于Web的威脅,甚至是混合型的攻擊。同時(shí)在網(wǎng)絡(luò)邊界上部署NGFW,使得惡意代碼在通過網(wǎng)絡(luò)進(jìn)行傳播時(shí)進(jìn)一步得到限制。通過主機(jī)+網(wǎng)絡(luò)兩層防護(hù)使得信息安全能夠產(chǎn)生聯(lián)動(dòng)效應(yīng),進(jìn)一步降低惡意軟件帶來的威脅。
(4)工控多引擎惡意代碼掃描工作站(Scanning Station)(備選)
離線部署工控多引擎惡意代碼掃描工作站(Scanning Station), 型號為Scanning Station v3.0,提供針對可移動(dòng)存儲(chǔ)介質(zhì)的多引擎惡意代碼掃描,同時(shí)把掃描結(jié)果通過前端防火墻上傳到SSM服務(wù)器,SSM服務(wù)器根據(jù)查殺結(jié)果通知安裝在上位機(jī)上的日志采集代理檢測及管控可移動(dòng)存儲(chǔ)介質(zhì)及U盤。
對于不可拆解無法取出硬盤的的計(jì)算機(jī)工作站等,可通過工控多引擎惡意代碼掃描設(shè)備多引擎查殺USB,型號為便攜式病毒掃描設(shè)備,查殺計(jì)算機(jī)或工作站,實(shí)現(xiàn)上位機(jī)、服務(wù)器及新接入到系統(tǒng)中的設(shè)備的病毒查殺。
Scanning Station使用場景示意圖
(5)等保體系認(rèn)證與咨詢
2019年5月13日,網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布,等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,注重在全方位主動(dòng)防、安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象的全覆蓋。
等保2.0結(jié)構(gòu)示意圖
(6)信號系統(tǒng)集成測試
地鐵信號系統(tǒng)是整個(gè)地鐵安全準(zhǔn)點(diǎn)運(yùn)行的核心控制系統(tǒng),對于整體系統(tǒng)的穩(wěn)定度有非常高的要求,系統(tǒng)需要356天全年無故障運(yùn)行,在等保項(xiàng)目實(shí)施期間,需要配合信號系統(tǒng)的超高可靠性要求,配合客戶進(jìn)行相關(guān)系統(tǒng)測試穩(wěn)定度測試。確保系統(tǒng)運(yùn)行正常。
4. 效益分析
√ 項(xiàng)目執(zhí)行不對正常系統(tǒng)運(yùn)行造成干擾;
√ 實(shí)現(xiàn)對全種類惡意代碼的安全防護(hù);
√ 安全方案實(shí)時(shí)不對現(xiàn)有系統(tǒng)造成變更;
√ 全國地鐵客流量最大的地鐵集團(tuán)安全項(xiàng)目(2022);
√ 為地鐵信號系統(tǒng)開發(fā)一套安全解決方案,其中包括防火墻、防病毒系統(tǒng)、補(bǔ)丁管理、用戶管理,以及系統(tǒng)加固措施,工控安全態(tài)勢感知系統(tǒng)SSM;
√ 在地鐵正常運(yùn)營期間完成安全方案部署;
√ 為地鐵信號系統(tǒng)提供持續(xù)安全防護(hù);
√ 降低安全風(fēng)險(xiǎn)的同時(shí)保證了生產(chǎn)可用性;
√ 零信息安全事故/病毒感染。
傳統(tǒng)地鐵信號系統(tǒng),尤其是部分歷史悠久的地鐵信號系統(tǒng)由于建設(shè)時(shí)間較早,系統(tǒng)較為陳舊,近年來,一直受到黑客的多種攻擊。加之老舊系統(tǒng)與現(xiàn)代安全設(shè)備及軟件之間存在不兼容性,在確保系統(tǒng)穩(wěn)定運(yùn)行與采用先進(jìn)的安全技術(shù)持續(xù)進(jìn)行升級及維護(hù)之間無法找到優(yōu)秀的兼容點(diǎn)。通過成功實(shí)施西門子為地鐵信號系統(tǒng)定制化后的解決方案,使地鐵信號系統(tǒng)在滿足國家等保三級要求的同時(shí),也能維持系統(tǒng)的兼容穩(wěn)定,同時(shí)融入先進(jìn)的現(xiàn)代化信息安全技術(shù),在技術(shù)與制度上共同努力,進(jìn)一步增強(qiáng)地鐵信號系統(tǒng)的安全和可靠性。
西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富,從離散控制、過程控制到運(yùn)動(dòng)控制,幾乎都能找到成套的解決方案,這就意味著對OT系統(tǒng)有著深入的了解和實(shí)踐經(jīng)驗(yàn),這些都有助于OT安全的實(shí)施和部署,可以快速的搭建測試環(huán)境;可以預(yù)見和規(guī)避一些風(fēng)險(xiǎn);可以方便的獲得內(nèi)部專家的支持。
北京市公安局海淀分局備案號:11010802023656號