今日頭條
官方微信
官方抖音
資訊頻道1 項(xiàng)目背景介紹
隨著信息化的發(fā)展,某地鐵線路的業(yè)務(wù)開(kāi)展也越來(lái)越依托于網(wǎng)絡(luò)平臺(tái),但縱觀當(dāng)前的安全形勢(shì),各種安全事件層出不窮,而在某地鐵線路信號(hào)系統(tǒng)的網(wǎng)絡(luò)中,安全設(shè)備較少,前期購(gòu)買(mǎi)的安全設(shè)備也漸漸不能滿足其目前的網(wǎng)絡(luò)安全需求,嚴(yán)重影響了系統(tǒng)的安全性和可靠性。通過(guò)對(duì)該項(xiàng)目信息化現(xiàn)狀調(diào)研、分析,結(jié)合等級(jí)保護(hù)在在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、在安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等方面的要求,逐步完善信息安全組織、落實(shí)安全責(zé)任制,開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè),落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,使得單位信息系統(tǒng)安全管理水平明顯提高,安全保護(hù)能力明顯增強(qiáng),有效保障信息化健康發(fā)展。
· 2017年6月1日正式生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確規(guī)定 “國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度” ,并明確 “國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
· 新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)(即等保2.0)中也明確定義了針對(duì)工業(yè)控制系統(tǒng)的安全要求,要求安全的工業(yè)控制系統(tǒng)解決方案需要具備相應(yīng)的安全審計(jì)功能。
· “中國(guó)制造2025”及工信部的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》均對(duì)工控信息安全提出了新的要求,工控系統(tǒng)的安全運(yùn)營(yíng)離不開(kāi)堅(jiān)實(shí)的工控安全保障。
2 項(xiàng)目目標(biāo)與原則
本項(xiàng)目根據(jù)國(guó)家《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令第147號(hào))和《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》的要求,依據(jù)信息安全等級(jí)保護(hù)制度的基本原則,通過(guò)確定信號(hào)系統(tǒng)的網(wǎng)絡(luò)邊界及在本系統(tǒng)的規(guī)劃設(shè)計(jì)中,遵循信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,從技術(shù)和管理兩個(gè)維度進(jìn)行安全保障方案的設(shè)計(jì),以確保本系統(tǒng)的安全保護(hù)能力符合相應(yīng)等級(jí)的安全要求。
3 項(xiàng)目實(shí)施與應(yīng)用情況詳細(xì)介紹
1) 信號(hào)系統(tǒng)的邊界隔離防護(hù)
該地鐵運(yùn)營(yíng)控制中心的前端處理器 C-FEP連接MCS的以太網(wǎng)邊界屬于外部系統(tǒng),需要進(jìn)行邊界防護(hù),采用NGFW下一代防火墻,進(jìn)行安全域隔離、網(wǎng)絡(luò)防病毒和入侵防護(hù)功能。保證數(shù)據(jù)傳輸?shù)陌踩院蛯?shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)控制。系統(tǒng)采用冗余架構(gòu)的方式部署,保證網(wǎng)絡(luò)通訊的健壯性、穩(wěn)定性和高可用性。
2) 西門(mén)子工控安全態(tài)勢(shì)感知系統(tǒng)
在控制中心部署西門(mén)子工控安全態(tài)勢(shì)感知系統(tǒng),用于日志采集和集中的日志審計(jì)。通過(guò)主動(dòng)、被動(dòng)手段,實(shí)時(shí)不間斷地采集用戶網(wǎng)絡(luò)中不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息,并將這些信息進(jìn)行集中化存儲(chǔ)、備份、查詢、審計(jì)等,實(shí)現(xiàn)全生命周期的日志管理。
西門(mén)子工控安全態(tài)勢(shì)感知系統(tǒng)總體的系統(tǒng)架構(gòu)如下圖:
系統(tǒng)架構(gòu)圖
3) 基于主機(jī)防病毒 + 網(wǎng)絡(luò)防火墻的惡意軟件檢測(cè)及預(yù)防
在windows終端上部署主機(jī)防病毒,提供基于黑名單和白名單的主機(jī)安全防護(hù)。它能夠防護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)病毒、惡意軟件、間諜軟件、基于Web的威脅,甚至是混合型的攻擊。同時(shí)在網(wǎng)絡(luò)邊界上部署下一代防火墻,使得惡意代碼在通過(guò)網(wǎng)絡(luò)進(jìn)行傳播時(shí)進(jìn)一步得到限制。通過(guò)主機(jī)+網(wǎng)絡(luò)兩層防護(hù)使得信息安全能夠產(chǎn)生聯(lián)動(dòng)效應(yīng),進(jìn)一步降低惡意軟件帶來(lái)的威脅。
4) 等保體系認(rèn)證與咨詢
2019年5月13日,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布,等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,注重在全方位主動(dòng)防、安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。
等保2.0結(jié)構(gòu)示意圖
5) 信號(hào)系統(tǒng)集成測(cè)試
地鐵信號(hào)系統(tǒng)是整個(gè)地鐵安全準(zhǔn)點(diǎn)運(yùn)行的核心控制系統(tǒng),該地鐵線路屬于當(dāng)?shù)靥貏e繁忙的地鐵線路之一,對(duì)于整體系統(tǒng)的穩(wěn)定度有非常高的要求,系統(tǒng)需要356天全年無(wú)故障運(yùn)行,在等保項(xiàng)目實(shí)施期間,需要配合信號(hào)系統(tǒng)的超高可靠性要求,配合客戶進(jìn)行相關(guān)系統(tǒng)測(cè)試穩(wěn)定度測(cè)試。確保系統(tǒng)運(yùn)行正常。
4 效益分析
· 項(xiàng)目執(zhí)行不對(duì)正常系統(tǒng)運(yùn)行造成干擾
· 實(shí)現(xiàn)對(duì)全種類(lèi)惡意代碼的安全防護(hù)
· 安全方案實(shí)時(shí)不對(duì)現(xiàn)有系統(tǒng)造成變更
· 全國(guó)地鐵客流量最大的安全項(xiàng)目(2022)
· 為地鐵信號(hào)系統(tǒng)開(kāi)發(fā)一套安全解決方案,其中包括防火墻、防病毒系統(tǒng)、補(bǔ)丁管理、用戶管理,以及系統(tǒng)加固措施,工控安全態(tài)勢(shì)感知系統(tǒng)
· 在地鐵正常運(yùn)營(yíng)期間完成安全方案部署
· 為地鐵信號(hào)系統(tǒng)提供持續(xù)安全防護(hù)
· 降低安全風(fēng)險(xiǎn)的同時(shí)保證了生產(chǎn)可用性
· 零信息安全事故/病毒感染
北京市公安局海淀分局備案號(hào):11010802023656號(hào)