电力 石油石化 轨道交通 烟草 智能制造 市政 智慧矿山 其他

威努特助力某市大步迈进轨道交通新时代

威努特自2016年成立轨道交通事业部以来,已服务全国众多城市轨道交通等级保护安全建设项目,涉及信号系统、综合监控系统、乘客信息系统、视频监控系统和自动售检票系统等多种业务系统。今天我们以某市地铁为例,为大家分享城市轨道交通信号系统安全建设过程。

背  景

某市地铁1号线(以下简称“某市地铁”)的顺利建成,标志着某市大步迈进轨道交通新时代。为保障地铁线路的安全运行,同时满足轨道交通等保安全建设要求,某市地铁决定对地铁信号系统进行安全建设,经过对多家工控安全厂商资质、产品性能、技术实力及经验等方面综合对比评估,最终邀请威努特对地铁信号系统进行安全建设。

随着计算机和网络技术的发展,特别是轨交行业信息化与信号系统的深度融合,信号系统产品越来越多地采用通用协议、通用硬件和通用软件,与综合监控系统网络、旅客信息系统、语音广播等外部网络连接,病毒、木马等威胁容易通过外部接口扩散到信号系统,安全问题日益突出。一旦信号系统出现网络安全威胁,将对城市轨道交通的生产运行和城市安全造成重大隐患。

对于城市轨道交通信号系统而言,从系统规划、设计、实施、上线、生产、运维到废弃,整个漫长的生命周期中,各个阶段都面临着不同的网络安全问题。要真正做到信号系统网络安全,应按照等级保护的要求开展建设,建立健全信号系统的信息安全管理制度和信息安全管理机构,完善信号系统信息安全管理体制;建立信号系统信息安全纵深防御技术体系,从网络结构到内部流量、再到主机的全方位技术防护措施,进而保障城市轨道交通平稳、安全、高效运行。通过对该线路设计方案深入剖析,针对系统进行综合分析,威努特提出完整解决方案。

项目方案

方案总体包括技术和管理两大部分,其中技术部分按照安全通信网络、安全区域边界、安全计算环境和安全管理中心四个维度进行建设;管理部分分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。整个安全保障体系各部分既有机结合,又相互支撑,总体构建纵深防护技术体系。通过安全管理制度及安全人员的持续运维,保障系统长时间持续稳定运转。

根据信号系统与其他外部系统的数据流交互情况、系统内部各子系统和模块之间的数据流交互情况,将从安全通信网络、安全区域边界、安全计算环境和安全管理中心设计信号系统的安全防护技术方案。

◆在信号系统与外部系统互联处,通过部署威努特工业防火墙来实现边界隔离与访问控制,禁止其它系统与信号系统之间的无用连接请求;同时对现场的modbus TCP工业协议进行深度解析,阻断白名单外的读写双向流量,以保障信号系统的安全性。

◆在核心网络边界旁路部署威努特入侵检测系统,针对网络内的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为进行实时检测,并生成不同类型告警。

◆部署威努特工控主机卫士软件,通过程序白名单的方式对信号系统所有的工作站和服务器进行安全防护。

◆关键业务节点(控制中心核心交换机,设备集中站、车辆段、试车线、维修中心等接入交换机)旁路部署威努特工控安全监测与审计系统,基于网络流量、协议和应用进行全方位的记录和审计。

◆核心交换机旁路署威努特工控漏洞扫描平台,可针对不同区域进行漏洞扫描操作。

◆控制中心维护网交换机部署威努特统一安全管理平台, 对所有信号系统内部署的安全防护设备进行统一管理和维护。

◆在控制中心网络中部署威努特日志审计与分析系统, 对主机、网络设备、安全设备等的日志进行集中分析、管理,提高全面的安全管理、风险管理能力。

◆控制中心核心网络内部署威努特安全运维管理系统,统一对内部设备的所有运营和维护操作进行授权、管理和监控,从而提高系统持续的安全运维能力。


方案特色

>>>> 技术角度

1、工业防火墙的一个重要创新,就是引入白名单形式的安全策略控制。运用“通信白名单”机制,支持学习、告警、防护三种模式分别对应产品的部署、试运行和正式运行,满足工控网络对设备的高可靠要求。

2、利用“工控安全监测与审计系统”白名单方式自动学习生成“正常业务通信模型”,对已知、未知攻击均可检测,满足了关键基础设施对于通信行为安全的要求。

3、采用工控主机卫士代替传统“杀毒软件”,利用白名单技术有效的避免了传统杀毒软件所带来的a)病毒库无法升级 b)对业务软件进行误杀 c)对恶意代码漏杀 d)过多占用系统资源等问题。同时通过工控主机卫士内置的U盘管控功能,实现对USB接口的管理,配套安全U盘,保证只有可信任的U盘才能在网内使用。此外工控主机卫士具备系统安全加固的功能,通过对服务器系统加固的方式来保障服务器的安全运行。

>>>> 部署角度

工控安全监测与审计系统部署在控制中心、车辆段、停车场、试车线、维修中心、一级集中站和二级集中站,覆盖信号系统所有关键网络节点。这种全覆盖的部署模式深度契合等级保护三级要求,也避免了因存在安全缺口,而导致的“木桶原则”现象。

项目服务

根据信号系统的安全防护技术方案,威努特服务团队迅速组织人力投入项目建设,项目采用威努特完全自主知识产权的安全防护产品及安全服务,完成安全建设内容主要如下:

◆ OCC外部接口增设工业防火墙;◆ OCC和车站增设工控安全监测与审计系统;◆ OCC增设入侵检测系统;◆ OCC增设安全运维管理系统;◆ OCC增设工控漏洞扫描系统;◆ OCC增设日志审计与分析系统;◆ 所有主机和服务器增设工控主机卫士;◆ 安全管理制度建设;◆ 三级等级保护测评服务(第三方);◆ 技术培训服务;◆ 开通运营后质保期内的持续技术支持工作。

根据项目情况,威努特做好了充分的施工计划。针对可能存在的实施风险,采取了相应风险控制措施和应急方案,包括系统备份、设备在告警模式试运行等。威努特的应急预案及风险控制措施,有效降低了实施过程中可能存在的安全风险,保障项目的顺利完成。同时从进场设备质量控制、过程质量控制、工程施工质量验收工作、工程质量的缺陷及处理等方面采取相应的项目质量控制措施,高质量完成项目的建设。威努特全流程参与该项目网络安全建设直至线路正式通车,并确保在正式运营前高分通过等保测评。




施工现场图片:


项目总结

项目实施过程中,双方积极配合,威努特严格按照各方面标准执行,并根据工程实际情况建立了项目组织机构。最终,如期保质的按照施工计划圆满完成了信号系统信息安全建设任务,成功助力某市轨道交通1号线的顺利开通,为祖国七十周年大庆献礼。
ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
support@winicssec.com
威努特Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计
友情链接: 刑事律师 绝缘材料厂家 污水处理 保镖公司 沈阳玻璃钢冷却塔 汽车租赁 储能消防 数字化转型 青岛国际机床展 氨糖软骨素钙片作用