首頁 > 關于我們 > 新聞動態 > 產品動態

不讓地鐵停在隧道中——某市地鐵綜合監控系統安全防護案例

發布時間 2018-10-15

設想一下

下班了,你坐地鐵回家
開開心心的聽著歌
突然
地鐵停在了隧道中
燈光瞬間熄滅
火災報警鈴聲響起
地鐵門卻打不開
這可不是什么法術
有可能是不法分子發動的網絡攻擊


2016年某市地鐵綜合監控系統建設接近尾聲時,公安機關檢查發現其未按等級保護要求建設,地鐵業主非常重視,得知啟明星辰不僅是網絡安全行業的領航企業,而且已在地鐵行業有較多成功經驗,所以緊急召集啟明星辰技術人員進行方案探討和設計,啟明星辰技術人員在深入探討分析后,總結出其系統存在以下安全風險和安全需求。


(1)綜合監控系統未進行安全域劃分和域間訪問控制,由于綜合監控系統集成了諸多子系統,很容易出現因某一子系統的問題引起其它系統故障。

(2)缺少信息安全風險監控技術,不能及時了解發現入侵行為、病毒、網絡訪問異常、網絡擁塞等問題,出現問題后需依靠人員經驗排查。

(3)操作員站均為Windows系統,在運維和使用過程中允許使用U盤,通過U盤,很容易傳染病毒、木馬等威脅,且操作員站上未安裝防病毒軟件,很可能發生因病毒導致的系統癱瘓或不能正常運行。

(4)第三方人員運維系統時無審計措施,出現問題后很難取證。


啟明星辰方案部


2016年中下旬,安全設備與綜合監控系統在仿真環境中進行測試聯調。


在中央控制中心設置安全管理區域,劃分獨立VLAN,部署工控安全管理平臺、工控漏洞掃描和安全配置核查,在綜合監控系統與AFC\PIS\CLK\PA等其他系統的接口處部署工業防火墻,在中心的核心交換機上部署工控異常監測系統, 部署如下圖所示:


1,工業控制信息安全管理平臺

工控信息安全管理系統對所有安全信息進行統一管理,統一呈現?;诹靼l現異常和訪問關系,關聯日志發現潛在威脅,同時檢測PSCADA、BAS的業務異?!诰唧w業務中,系統發出控制命令是特定的、有限的,將正確的數據包作為標準,就可以快速發現異常數據包。


2,工業防火墻


工業防火墻可以控制外部系統(如信號、AFC等)對綜合監控系統,以及綜合監控系統內部不同區域之間(如中央到車站)的訪問控制,對數據包進行過濾,嚴格執行白名單機制,實現保護。工業防火墻還可以對工業控制協議進行深度解析,通過預設,自學習等方法識別非法或違規的工業控制指令及控制參數,并進行阻斷,避免工業控制設備受到網絡攻擊。

工業防火墻對于網絡中的工控協議MODBUS的安全防護如下:
 

3,工控異常檢測系統

工控異常檢測通過對系統中的應用層協議進行深度解析檢驗協議格式,并與規則策略對比驗證內容合規性,可實現對應用系統的入侵檢測和分析業務操作異常。能自動發現工業網絡中的活動設備,設備開放的端口以及設備的網絡連接,并通過預設、自學習等方法制定白名單策略,自動監視異常的違規業務??蓪W絡中傳播的病毒、木馬以及對系統已知漏洞的攻擊行為進行檢測。

在集成商仿真環境中工控異常檢測系統有效檢測出網絡中的基于MODBUS協議的模擬攻擊行為,實現告警。

4,漏洞掃描系統


漏洞掃描系統能夠快速發現網絡資產,準確識別資產屬性,全面掃描安全漏洞,清晰定性安全風險,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助安全人員在弱點全面評估的基礎上實現安全自主掌控。

5,配置核查

安全基線配置核查系統是檢查安全配置的自動化工具,可對主機設備、網絡設備、安全設備、數據庫、中間件等系統配置進行安全檢查。檢查內容應包括操作系統和網絡設備、數據庫和中間件等的賬號、口令、授權、日志安全要求、不必要的服務、啟動項、注冊表、會話設置等和安全相關配置,幫助安全人員對操作站主機進行定期檢查和安全加固。配置檢查結果如下:
 

通過該項目的建設,不僅對綜合監控系統進行了安全防護,而且滿足等級保護建設要求并通過等保測評,2017年地鐵上半年已上線運行,目前運行穩定。

綜合監控系統作為地鐵四大系統之一,不僅所有的地鐵都會建設此系統,而且目前也從原來只集成PSCADA、BAS等系統會擴展到集成信號系統。綜合監控系統的網絡安全問題在地鐵系統中是非常突出的問題,啟明星辰集團從2014年開始拓展工控安全業務研究時就針對地鐵行業的系統進行安全防護研究及設計。截止目前已經為深圳、北京、廣州、南京、武漢、西安、重慶、成都、長沙、廈門、上海、蘇州、溫州、柳州、南寧、杭州、寧波、鄭州、烏魯木齊、長春等各大城市的地鐵系統如信號系統(CBTC)、綜合監控系統(ISCS)、自動售檢標系統(AFC)、通信系統、線網中心系統的安全提供防護建設等,持續不斷地為人民安全出行保駕護航。
 
上一篇 下一篇