这一站,我们一起出发

发布时间 2020-07-21

地铁对于一个城市来说是必不可少的交通工具。穿梭于城市的每一个角落,改变了城市速度,拉近了城市距离,承载着人们最初的梦想……


随着智能化、网络化技术发展,地铁实现了各专业的综合监控。而一旦出现网络攻击,地铁运营将失去监控的眼睛,无法实时监控各专业的运行状态。因此,各专业实现综合监控的同时,网络安全更需要综合管控,提高对网络安全事件的反应能力和处理速度,提升轨道交通的服务质量和综合运营效率。


综合监控系统的风险


1、网络边界数量多


综合监控系统互联的子系统较多(如SIG、AFC、PIS等),各互联子系统的安全级别不一样,综合监控系统缺乏与互联子系统的网络隔离措施,各系统之间存在互相访问的可能性。


2、业务流量复杂


综合监控系统网络包含集成子系统和互联子系统的流量通信、数据共享和业务操作,缺少对网络流量的监测与协议分析能力,无法识别针对综合监控系统网络内部的入侵渗透、恶意代码传播等网络攻击行为;缺乏对业务流量进行安全审计的能力,发生安全事件后无法快速追踪和溯源;缺乏对综合监控系统网络的威胁评估和风险识别能力。


3、终端设备种类多


综合监控系统的设备包括工作站、服务器和相关控制设备、物联网设备等多个厂家不同类型的终端设备,这些设备的部署、网络接入和管理若不可控,将产生很大的安全风险与隐患。


4、运维管理难度大


综合监控系统的管理与运维主要依赖第三方集成商人员运维,缺少专业的信息安全岗位和人员;员工安全意识淡薄、安全培训不到位,普遍存在账号共享、弱口令、粘贴密码等问题;地铁线路较长,且缺少统一的管理运维工具,仅依赖人工无法做到全线路安全管理和监测。


启明星辰综合管控安全建设方案


● 边界隔离防护


结合综合监控系统的业务特点,在控制中心与现网中心、外部OA等系统边界、控制中心、停车场、车辆段互联子系统边界等部署工业防火墙产品,形成牢靠的边界安全防护体系,保障边界安全防护系统设计的广度和深度。


● 流量入侵检测


在控制中心核心交换机部署入侵检测设备,接收镜像的网络流量,并分析通信系统各网络内是否存在异常流量、入侵等行为。同时,基于网络流量、协议和应用进行全方位的事件记录,以便发生安全事件后能够快速对事件进行分析溯源。


● 流量安全审计


在关键业务节点旁路部署网络审计(包含数据库审计)产品,接收镜像的网络流量、业务环境下的网络操作行为,进行细粒度审计。帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。


● 主机安全防护


在中央级、车站、车辆段、停车场等所有综合监控系统的工作站分别安装启明星辰天珣内网安全风险管理与审计系统软件(简称“终端安全软件”),对外设、进程和软件的进行精细化管控,从根本上扼制恶意代码的运行。


● 安全运维管控


在控制中心核心交换机部署安全运维网关产品(简称“堡垒机”),针对业务环境下的用户运维操作进行控制和审计的合规性管理,实现对运维人员的统一认证管理、精细化的权限划分,以及对运维操作的安全审计和事件溯源,保障业务系统运维的安全性。


● 统一安全管控


在控制中心核心交换机部署安全管理平台,其他网络安全设备(如防火墙、漏洞扫描、入侵检测)的管理口需通过安全VLAN接入到安管平台。通过收集所有安全防护设备、网络设备等重要IT资产的日志信息,监测网络中的异常流量与安全事件,对网络内的安全威胁进行分析,消除安全孤岛,从整体视角进行安全事件分析、安全攻击溯源等,重点解决安全防护设备各自运行而导致的信息不畅和事件处置效率低下等问题,提高全面的安全态势感知能力。


● 定期漏洞扫描


通过部署漏洞扫描产品,在线路停运期间对综合监控系统进行定期的漏洞扫描和评估,快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助用户在弱点全面评估的基础上实现安全自主掌控。


作为信息安全行业领军企业,启明星辰以专业的技术优势赢得了业主、设计院、集成商的一致认可,并在众多信号系统、通信系统、综合监控系统、AFC系统以及信息化系统建立了示范项目,保障网络安全与城市轨道交通信号系统同步规划、同步建设、同步使用,促进中国轨道交通行业网络安全快速发展。


小贴士:

轨道交通综合监控系统(ISCS)是由中央综合监控系统、车站综合监控系统(包括车辆段综合监控系统)以及将它们连接的综合监控主干网组成,以现代计算机、网络、自动化和信息技术为基础的大型计算机集成系统。

系统集成了多个地铁自动化专业子系统,并在统一的集成平台支持下对地铁各专业进行监视、控制和管理,实现各专业系统的信息共享及系统之间的联动控制功能。