行业现状
近年,计算机互联网技术在城市轨道交通中广泛应用,轨道交通各类自动化控制系统向着分布式、智能化的方向迅速发展,轨道交通的各类监控图像及实时数据接入市政管理系统。因此城市轨道交通各类自动化系统与外界的隔离逐渐削弱,各类病毒、恶意代码通过外部或内部接口不断侵入轨道交通内网系统,安全隐患问题日益严峻,一旦发生网络安全事故,将影响国计民生,对人民的生活和工作产生严重影响,造成严重的经济损失,甚至人身伤亡。因此严格按照各项法律法规、行业标准要求推进轨道交通网络安全建设成为轨道交通建设和运营的一项重点工作。
解决方案
(一)信号系统
1. 结构安全建设
信号系统控制中心直接关联、覆盖的区域网关进行重点安全保护,有效的与外部设备系统进行隔离。与此同时,利用ATS交换机建立的审计系统,全面监控设备的安全状况,根据不同的危险信息、漏洞信息主动作出判断和警报,并且可以对全部设备进行核实、检查。
2. 行为安全建设
正线设备集中站如果系统被入侵,可在ATS交换机处进行防御,有效防止各种病毒、木马等攻击造成的危害。
3. 持续性安全建设
建立专业的维修队伍保证设备、系统的安全运行,并监督其运行状态,发生问题及时处理。
4. 本体安全建设
通过不同的途径提升主要设备的安全能力,达到自我防御的性能,在各个终端和工作站点安装安全防护设备,保证设防护设备性能有效。
(二) 综合监控系统(ISCS)
综合监控系统信息安全防护体系主要从物理安全、网络安全、主机安全、应用安全、数据安全五个方面采取相应措施,采用“内部加固,边界隔离,集中管理,统一展示”的实施策略进行安全防护。
安全系统分布部署到车站、停车场和车辆段,安全管理中心需要对全网的安全设备进行集中统一管理。
同时在网络接口分界处进行隔离并进行访问控制,内部系统进行监测,电力系统独立分区进行安全管理,培训系统独立组网进行隔离。
部署方案
(三)自动售检票系统(AFC)
1、基于网络内信息流识别各类数据访问和发现信息异常,通过日志分析发现潜在威胁,比对各业务系统特定控制指令数据包快速发现异常业务数据。
2、同区域之间进行访问控制,对数据包进行过滤,通过白名单机制隔离非法业务数据,实现信息保护。
3、对系统中的应用层协议进行深度解析,与规则策略对比验证内容合规性,可实现对应用系统的入侵检测和分析业务操作异常。
4、对工业主机的访问进行控制,控制移动存储介质的使用。对工联行为进行检查,准确定位并进行阻断。
5、对数据库的操作合规性进行审计。
6、快速发现生产网络资产,准确识别资产属性,全面扫描安全漏洞,准确识别安全风险。
7、建立安全组织机构、安全管理制度、人员安全管理、安全建设管理等方面的综合安全管 理体系。
部署方案
方案价值
- 完全遵循国家等级保护与工控安全防护要求。
- 技术与管理并重,注重整体集成。
- 具备纵深防御能力,提供整体安全保障能力。
- 多种安全产品有机结合,注重整体安全防范能力。
- 支持多种应用系统平台,系统层次明确,各子系统协同工作。