某市地鐵綜合監控系統安全防護項目
作者:啟明星辰
2020-11-02
項目背景需求
本項目是某市地鐵綜合監控系統按照等級保護三級要求進行建設�����,主要在中心級對車站和中心的網絡通訊做入侵檢測�,綜合監控和其他系統之間做訪問控制�,輔助以漏洞檢查和安全配置基線檢查的檢查手段���,最終將設備的日志和安全報警以工控安全管理系統統一呈現和管理���。
綜合監控系統信息安全風險如下:
(1)地鐵自動化系統未進行安全域劃分�,區域間和系統間未設置訪問控制措施���。
(2)缺少信息安全風險監控技術�����,不能及時了解發現入侵行為�����、病毒��、網絡訪問異常���、網絡擁塞等問題����,出現問題后靠人員經驗排查�。
(3)系統運行后�����,操作站和服務器很少打補丁�����,存在系統漏洞����,系統安全配置較薄弱�����,防病毒軟件安裝不全面���。
(4)防病毒軟件的安裝不全面��,即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫���。
(5)工程師站缺少身份認證和接入控制�����,且權限很大�����。工程師站登陸過程缺少身份認證���,且工程師站對操作站����、PLC等進行組態時均缺乏身份認證�����,存在任意工程師站可以對操作站����、現場設備直接組態的可能性�。
(6)在地鐵自動化系統運維和使用過程中����,存在隨意使用U盤�、光盤��、移動硬盤等移動存儲介質現象���,有可能傳染病毒�����、木馬等威脅進生產系統���。
(7)第三方人員運維生產系統無審計措施��。
(8)上線前進行信息安全測試的需求�。
防護方案及涉及安全產品
在中央控制中心設置安全管理區域�����,劃分獨立VLAN�,部署工控安全管理平臺����、工控漏洞掃描和安全配置核查���,在綜合監控系統與AFC\PIS\CLK\PA等其他系統的接口出部署工業防火墻����,在中心的核心交換機上部署工控異常監測系統���, 部署如下圖所示:
(1)工業控制信息安全管理平臺
工控信息安全管理系統對所有安全信息進行統一管理�����,統一呈現����?��;诹靼l現異常和訪問關系���,關聯日志發現潛在威脅���,同時檢測PSCADA�、BAS的業務異?��!诰唧w業務中�,系統發出控制命令是特定的����、有限的�,將正確的數據包作為標準���,就可以快速發現異常數據包���。
(2)工業防火墻
工業防火墻可以控制外部系統(如信號�����,AFC等)對綜合監控系統��,以及綜合監控系統內部不同區域之間(如中央到車站)的訪問控制��,對數據包進行過濾���,嚴格執行白名單機制�,實現保護�。工業防火墻還可以對工業控制協議進行深度解析�,通過預設�����,自學習等方法識別非法或違規的工業控制指令及控制參數��,并進行阻斷����,避免工業控制設備受到網絡攻擊����。
工業防火墻對于網絡中的工控協議MODBUS的安全防護如下:
(3)工控異常檢測系統
工控異常檢測通過對系統中的應用層協議進行深度解析檢驗協議格式�����,并與規則策略對比驗證內容合規性�,可實現對應用系統的入侵檢測和分析業務操作異常����。能自動發現工業網絡中的活動設備�,設備開放的端口以及設備的網絡連接���,并通過預設�����,自學習等方法制定白名單策略�,自動監視異常的違規業務�����?����?蓪W絡中傳播的病毒�、木馬以及對系統已知漏洞的攻擊行為進行檢測�����。
在集成商仿真環境中工控異常檢測系統有效檢測出網絡中的基于Modbus協議的模擬攻擊行為����,實現告警��。
(4)漏洞掃描系統
漏洞掃描系統能夠快速發現網絡資產��,準確識別資產屬性�����,全面掃描安全漏洞����,清晰定性安全風險���,給出修復建議和預防措施����,并對風險控制策略進行有效審核���,從而幫助安全人員在弱點全面評估的基礎上實現安全自主掌控����。
(5)配置核查
安全基線配置核查系統是檢查安全配置的自動化工具�,可對主機設備��、網絡設備����、安全設備�、數據庫����、中間件等系統配置進行安全檢查��。檢查內容應包括操作系統和網絡設備����、數據庫和中間件等的賬號���、口令�����、授權���、日志安全要求��、不必要的服務��、啟動項����、注冊表����、會話設置等和安全相關配置����。幫助安全人員對操作站主機進行定期檢查和安全加固���。配置檢查結果如下:
本項目中防護方案中涉及安全產品如下表:
產品名稱 | 數量 |
工業防火墻 | 4臺 |
工控異常監測系統 | 1臺 |
工控信息安全管理平臺 | 1套 |
工控漏洞掃描系統 | 1套 |
工控安全基線檢查系統 | 1臺 |
項目效果
該項目是綜合監控系統按照等級保護三級建設�����,我司已在集成商的仿真環境進行集成測試��,17年上半年上線運行�。
綜合監控系統是地鐵四大系統之一����,90%的地鐵控制系統均有此系統�����,可以跟業主�����、集成商���、設計院溝通此項目方向��。
京公網安備11010802024551號