啟明星辰軌道交通解決方案
作者:啟明星辰
2020-10-30
概述
綜合監控系統是構建在城市軌道交通通信骨干網上的大型SCADA系統�����,同時它有具有分層分布式大型監控系統的結構特性����。一般由中央級綜合監控系統����,車站級綜合監控系統以及將兩級系統連接起來的骨干網三大部分組成�����。系統主要功能包括對機電設備的實時集中監控功能和各系統(如AFC系統����、FAS系統����、BAS系統�����、PSCADA系統����、PIS系統等)之間協調聯動功能兩大部分���。
風險
啟明星辰依據對國內多個城市軌道交通運行線路建設和運營的信息安全現狀的了解�,經過深入的分析研究��,總結出綜合監控系統存在的風險如下:
● 大多數城市軌交建設和運營公司未設置自動化系統信息安全部門�,未明確相關安全職責����;
● 軌交建設和運營公司信息安全管理制度和流程不完善����,缺乏必要的應急響應機制����,需進一步提高信息安全事件應對能力��;
● 軌交各自動化系統網絡未進行安全域劃分�����,區域間未設置訪問控制措施����。
● 缺少信息安全風險監控技術����,不能及時發現信息安全問題��,出現問題后靠人員經驗排查�����。
● 城市軌道交通系統操作站一般采用Windows XP��、Winows7等���,服務器一般采用Solaris���、Windows server2003等����,系統運行后�����,操作站和服務器很少打補丁�,存在系統漏洞��;
● 城市軌道交通自動化系統運維和使用過程中�����,存在使用移動存儲介質不規范問題�,易引入病毒以及黑客攻擊程序�����。
標準
《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)
《GB/T 22239-2008 信息系統安全等級保護基本要求》
方案
● 部署安全基線配置核查系統����,對綜合監控系統各類設備進行安全配置核查審計����,對于安全配置較差的設備在保證生產的前提下進行安全配置變更����;
● 部署操作站安全系統���,對工作站和服務器中USB��、光驅�、無線����、串口等進行管控����,采用專用外設���,禁止私人外設的接入�;
● 部署工業入侵檢測系統����,能夠及時檢測中央����、車站和車輛段綜合監控系統網絡中存在的各類入侵行為和異常行為�����,并進行告警和記錄�����,深度監測工控通信協議的安全性�����。
● 部署漏洞掃描系統����,及時發現工作站�����、服務器�、網絡設備及工控設備中存在的安全漏洞�,定期更新漏洞庫�����;
● 部署現場運維審計與管理系統和數據庫審計系統���,對服務器�����、數據庫的遠程訪問行為進行審計��,所有遠程訪問均經過認證�,訪問過程經過安全審計和記錄�,能夠追本溯源�����;
● 部署通用防火墻和工業防火墻�����,可防止外部非法訪問和入侵行為的發生����,有效檢測綜合監控系統中各類工控通信協議的安全性��;
● 部署防病毒裝置���,能夠有效應對各類病毒��、木馬和蠕蟲對操作系統的攻擊和破壞���;
● 工業控制信息安全管理系統����,實現對綜合監控系統所屬資產的統一管理���,實現對資產的集中管控和發現���,當資產狀態發生變更時能夠及時掌握�����,避免因資產信息缺失而導致安全事件處置延誤等問題發生��。
京公網安備11010802024551號