“新基建”——城市軌道交通

發布時間 2020-03-26

城市軌道交通在為人們提供方便、快捷、綠色出行方式的同時,其安全性也是一直關注的重點。如今,隨著“新基建”的提出,城市軌道交通將迎來怎樣的變化呢?


2019年5月,公安部正式發布了GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》,我國的網絡安全建設進入“等保2.0”階段,城市軌道交通作為市政大類的國家關鍵信息基礎設施,也在監管機構監管范圍內。



2019年8月2日,國家交通運輸部發布的《城市軌道交通運營突發事件應急演練管理辦法》中明確運營單位專項應急預案應涵蓋網絡安全的應急預案,針對網絡安全事件應明確風險分析、應急指揮機構及職責、處置程序和措施等內容。


這說明,國家監管機構針對軌道交通行業的網絡安全要求趨向網絡安全加強建設、獨立管理、明確責任、促進應急響應,要求網絡安全建設與城市軌道交通基礎建設需同步規劃、同步建設、同步使用。


信號系統是地鐵運輸系統中保證行車安全、提高區間和車站通過能力的手動控制、自動控制及遠程控制技術的總稱,具有下達行車指令、辦理列車進路、開放信號并指揮行車的基本功能。一旦信號系統的信息安全出現漏洞,將對城市軌道交通的穩定運行和旅客的人身安全造成重大影響。


鑒于目前的國際形勢,我國的城市軌道交通信號系統信息安全方面還存在很多漏洞,因此需要從信號系統的信息安全核心技術研發、建立信號系統設備的安全管理制度構建城市軌道交通新基建網絡安全防護保障體系。



啟明星辰信號系統網絡安全方案


為提升軌道交通各專業網絡安全防護能力,啟明星辰在充分理解信號系統的業務模型、網絡結構和安全現狀的基礎上,深度融合軌道交通業務系統,構建了從網絡邊界隔離、流量行為檢測、工作站終端防護到運維管理安全、脆弱性掃描的縱深防御技術體系。


保護網絡安全的最終目的是為了生產安全,不能為了保護信息安全而使行車安全受到影響。因此在安全設計上,盡量維持原來的系統構造,不在原來的架構中串聯安全網關類和安全防護類設備,避免信號系統數據傳輸時延、丟包等問題發生。


該方案中除邊界防護設備防火墻外,均釆用旁路型安全設備,對信息安全進行監控,只監控報警、不進行阻斷。在不破壞原有網絡結構的情況下,安全技術方案能切實有效地保護系統安全,防止攻擊者通過黑客技術對各專業實施威脅和破壞,保障城市軌道交通安全穩定運行。



網絡邊界控制


將信號系統劃分為獨立的安全域,通過在信號系統與外部互聯系統邊界、信號系統與線網中心邊界部署工業防火墻,實現隔離與訪問控制,能夠根據數據包的源地址、目的地址、傳輸層協議、應用層協議、端口等信息執行訪問控制規則,只允許信號系統和其他互聯系統正常業務的連接和數據能夠通過該網絡邊界,其他非法連接和數據均被禁止。


● 流量行為檢測


在控制中心和設備集中站部署工業安全監測與審計產品,針對信號系統的安全網、非安全網和維護網的網絡流量進行深度解析和全面分析,基于信號系統的業務模型判斷網絡流量的異常行為事件,并能夠對安全事件進行實時監控、實時告警,同時對所有活動進行審計記錄,生成完整日志文件便于事件追溯。同時針對控制中心網絡流量進行實時檢測和分析,及時發現針對信號系統的網絡入侵行為并生成事件,能夠針對不同的入侵事件給出實時告警。


● 工作站終端防護


信號系統全線工作站和服務器部署內網安全風險管理與審計系統軟件,監控工作站終端的進程運行情況和軟件安裝情況,以白名單的技術方式,阻止惡意程序的執行和擴散;禁止非法USB設備的接入,從而切斷病毒和木馬的傳播與破壞路徑;審計工作站終端的運行操作情況;并檢測是否連接其他網絡情況,徹底解決當前工作站隨意接入外聯網絡、工作站軟件隨意安裝的問題。


● 運維管理加強


在控制中心維護網部署信息安全運營中心,實現對信號系統部署的所有的安全防護設備進行統一管理和維護,統一的安全策略配置與實施、統一的日志存儲與審計,提高全面的安全態勢感知能力;監測信號系統網絡的通信流量與安全事件,對信號系統網絡內的安全威脅進行分析,消除安全孤島,從整體視角進行安全事件分析、安全攻擊溯源等,重點解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問題。


● 脆弱性掃描


為滿足信號系統等保標準對目標系統的風險分析要求,需要定期針對信號系統各個子系統進行脆弱性掃描和威脅評估的可持續性運維模式。綜合運用多種最新的漏洞掃描與檢測技術,快速發現信號系統網絡資產,準確識別資產屬性、全面掃描安全漏洞,清晰定性安全風險,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助用戶在弱點全面評估的基礎上實現安全自主掌控。



我們的特色


 全產品的合規性建設方案


結合等保咨詢、風險評估、安全培訓等,全面提升城市軌道交通網絡抵御內、外部攻擊的能力。信號系統的安全防護設計從網絡邊界、主機工作站、流量分析等需求方面考慮,從而能夠滿足信息安全等級保護三級測評的要求。


● 適應工業現場環境的產品配置


信號系統各業務系統的現場工作環境惡劣,大部分設備部署在地下機房、軌旁等位置,EMC干擾嚴重、溫濕度環境苛刻、振動沖擊環境惡劣,本方案所選用的網絡安全產品具備工業級品質,關鍵網絡安全設備采用低功耗無風扇設計,滿足城市軌道交通相關標準要求并通過測試,穩定可靠且堅固耐用。


● 深度融合軌交業務系統


基于軌道交通各專業的業務流程進行設計,以保障業務安全為目標,將網絡安全產品以對業務最小影響方式融入既有業務系統網絡。例如串接到網絡中的工業防火墻部署在各系統網絡外部邊界,同時具備Bypass功能,以保障故障情況下的業務可用性。內網風險管理與審計軟件通過進程控制、軟件安裝控制、外設接入控制、網絡連接控制,徹底解決終端安全問題,保障了軟件的兼容性和對業務系統的無影響性。


● 縱深防御體系更安全


以縱深防御理念為核心,在充分了解信號系統的網絡結構和安全現狀的基礎上,構建了從邊界防護、流量監測審計、工作站終端安全、綜合安全監管到企業自測自評為一體的縱深防御技術體系,能切實有效地保護系統遠離木馬、蠕蟲、黑客等各種威脅和攻擊,保障城市軌道交通安全穩定運行。


目前,啟明星辰已經為國內二十多個地鐵城市網絡安全建設服務,并針對性的推出了適合軌道交通行業應用需要的產品和解決方案,已擁有20多個運營公司、近百條地鐵線路的信號系統、通信系統、綜合監控系統、自動售檢票系統、云平臺以及信息化系統通過啟明星辰安全運營中心、安全審計系統、入侵檢測系統、工業防火墻、內網風險安全管理和審計系統軟件強化了內部網絡安全管理,加強了城市軌道交通安全有序運行。


隨著新基建政策的實施,啟明星辰將繼續與城市軌道交通設計單位、運營單位和建設單位一起攜手構建開放、協作、共享、互聯的軌道交通網絡安全新業態,保障網絡安全與城市軌道交通信號系統同步規劃、同步建設、同步使用。