【信息安全等級保護資訊網】專注網絡安全等級保護,歡迎您的光臨!
等級保護咨詢電話:400-1021-996
信息安全等級保護資訊網
安徽等級保護測評各行業解決方案
解決方案
解決方案 您的位置:首頁>解決方案 >
等保2.0:城市軌道交通信號系統網絡安全保護解決方案
時間:2021-08-17閱讀量:864來源:陶偉關鍵詞:城市軌道交通信號系統 返回列表

沒有網絡安全就沒有國家安全。國家《網絡安全法》于2017年6月1日正式施行,所有網絡運營者和關鍵信息基礎設施運營者均有義務按照網絡安全等級保護制度的要求對系統進行安全保護。隨著2019年5月13日《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》標準的正式發布,國家網絡安全等級保護工作正式進入2.0時代。從1.0到2.0,我國等級保護制度走過了十幾年,等級保護2.0是網絡安全的一次重大升級,等級保護對象范圍在傳統系統的基礎上擴大了云計算、移動互聯、物聯網、大數據等,對等級保護制度提出了新的要求。

城市軌道交通作為大容量公共交通工具,其安全性直接關系到廣大乘客的生命安全。其中城市軌道交通信號系統,越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與綜合監控系統網絡、乘客信息系統網絡、語音廣播等網絡連接,給信號系統帶來一定的安全隱患,信號系統安全問題日益突出。

因此城市軌道交通信號系統的信息安全問題,越來越受到國家的重視,成為城市軌道交通行業迫切需要解決的問題。為此,中國城市軌道交通協會相關部門明確提出要求:信號系統應符合國家安全部門對信息系統等級保護要求,軌道交通信號系統的安全等級保護建設作為信號系統集成項目強制性的實施內容。

01信號系統安全現狀與隱患分析

一是信號系統在重要網段和其他網段之間缺乏可靠的技術隔離手段,缺乏有效的區域隔離,在各個安全域的網絡邊界沒有部署訪問控制設備,因此缺乏安全域之間的訪問控制功能,缺乏對進出網絡的信息內容進行過濾功能,不能實現對應用層協議命令級的控制;

二是網絡中存在的非法接入和安全威脅缺乏檢查、定位和阻斷的能力,對系統中存在的風險攻擊沒有采取及時有限的管控措施,存在風險隱患;

三是系統運維人員對信號系統的內部設備運維隨意接入等不嚴格的管理措施,容易造成網絡風暴、ARP攻擊、拒絕式服務攻擊等。另外現有的安全策略(只有用戶名和弱口令)也不能管控人員的登陸;

四是不合規的外部設備所攜帶的病毒容易造成信號系統中的終端設備被攻擊,使得信號系統中的控制設備所下達的某些指令發生改變,容易導致列車發生嚴重的安全事故;

五是城市軌道交通系統中的一些核心系統雖然已國產化,但是核心控制模塊或核心硬件芯片仍從國外引進,有可能存在漏洞,甚至留有后門。

02信號系統總體安全防護設計

⑴構建分域的控制體系

信號系統信息安全防護,在總體架構上將按照劃分安全區域進行保護思路進行,將信號系統從結構上劃分為不同的安全區域,以安全區域為單位進行安全防御技術措施的建設,各個安全區域內部還根據安全需求進行防護和安全審計措施,從而構成了分域的安全控制體系。

⑵構建縱深的防御體系

城市軌道交通信號系統安全防護技術應分別從網絡安全、主機安全、應用安全、數據安全等方面采取安全措施,實現信號系統業務應用的可用性、完整性和保密性保護,并在此基礎上充分考慮各種技術的組合和功能的互補性,提升了多重安全措施的綜合防護能力,從外到內形成一個縱深的安全防御體系,保障信息系統整體的安全保護能力。

⑶安全技術體系框架

安全技術體系是根據等級保護三級的基本要求,通過對保護對象形成三重防護,即指以信息系統的安全計算節點為中心構成安全計算環境、安全區域邊界及安全通信網絡為一體的立體防護體系。信息安全技術體系模型見下圖:

03信號系統安全防護措施

網絡通信安全是通過邊界防護來保證網絡安全,信號系統采用專網傳輸,通信網絡的安全程度比較高,通過網絡邊界的安全控制,可以對進入和流出應用環境的信息流進行安全檢查,既可以保證應用系統中的敏感信息不會泄漏出去,也可以防止應用系統遭受外界的惡意攻擊和破壞;

主機安全是應用安全和數據安全的根本,通過在操作系統核心層、系統層設置以強制訪問控制為主體的系統安全機制,形成了一個嚴密牢固的防護層,通過對用戶行為的控制,可以有效防止非授權用戶訪問和授權用戶越權訪問,確保信息和信息系統的機密性和完整性安全,從而為應用系統的正常運行和免遭惡意破壞提供支撐和保障;

數據安全承載了主機操作系統和上層應用系統的安全,是整個系統安全的支持保障,保證重要數據的正常流動以及防止業務數據非法訪問和篡改;

應用安全通過對應用服務的封裝,不僅實現了對應用系統訪問控制,而且增強了應用系統運行環境的隔離性,使得應用系統不受非授權進程的惡意干擾,保護了信息的保密性和完整性。

城市軌道交通信號系統安全防護措施,以實時高效為前提、安全可靠為目標,主動防御為手段,從邊界防護、入侵防御、運維審計、漏洞掃描、白名單主動防御、集中監管幾個方面建設安全防護體系,全面保障軌道交通信號系統網絡安全、主機安全、應用安全、數據安全等。具體安全防護示意圖如下:

⑴可靠的邊界防護

工控系統安全防護網關是實現信號系統網絡邊界隔離的首選,工控系統安全防護網關部署在網絡邊界,防止非法用戶訪問信號系統網絡上的資源和非法由內向外傳遞內部信息,防止非法和惡意的網絡行為破壞信號系統中心網絡。

⑵實時網絡攻擊行為捕獲

針對工控系統網絡病毒、蠕蟲,黑客攻擊行為的增多,入侵防御系統在監測網絡流量的基礎上,集成對這些信息的控制和實時響應功能,為用戶提供安全檢測、流量分析、修正分析、和及時準確的告警功能,幫助安全管理員更好地進行風險分析、全球風險信息預警、系統和網絡脆弱性分析,構建安全可靠的信息網絡。

在城市軌道交通信號系統網絡中,入侵防御系統主要旁路部署在信號系統網絡核心交換機上,對各場景工控網絡內的通信流量做實時入侵攻擊的檢測和攻擊報警。也可以直路部署在信號系統關鍵業務服務器區域前,對訪問信號系統關鍵業務的通信流量做實時入侵攻擊的阻斷和攻擊報警。

⑶詳細的運維審計

從管理角度來看,綜合運維安全審計系統是企業內部運維管理制度和規范的技術化落實平臺。通過統一運維入口、統一身份認證、統一資源管理、統一權限管理和統一過程審計等一系列手段,將制度落于實處;通過技術手段硬性規范了運維操作的流程,控制人為風險,提高IT系統整體可用性。

綜合運維安全審計系統以邏輯網關或旁路部署的方式部署在核心區,所有的運維操作都不能繞過綜合運維安全審計系統。所有運維操作都必須在信息中心運維區連接到綜合運維安全審計系統進行,且通過網絡控制只有在信息中心運維區才能訪問綜合運維安全審計系統。

⑷網絡脆弱點掃描

漏洞掃描管理系統是基于網絡的漏洞偵測和安全評估工具,它能夠按照所定義的策略掃描網絡系統的端口,偵測這些端口所提供的網絡服務的漏洞,并向系統管理員提供詳細的漏洞評估報告,從而幫助管理員進行漏洞的彌補,提高網絡系統整體的安全性。

⑸工控集中監管與審計

工控集中監管與審計系統能夠實現對工業控制系統進行統一安全管理,實現信號系統網絡及各類設備的可用性與性能監控、安全事件的分析審計預警、安全風險與態勢的度量和評估、工控網絡信息流行為的合規性分析等。

04總結

網絡安全等級保護制度2.0國家標準的發布,是具有里程碑意義的一件大事,標志著國家網絡安全等級保護工作步入新時代。在城市軌道交通信號系統信息安全防護的過程中,一方面重點分析面臨的安全隱患,從技術方面提升安全防護能力,另一方面,一定要強調信號系統信息安全管理意識,從管理入手去杜絕安全隱患,建立起針對信號系統的工控安全管理體系,全面提升信號系統的安全防護水平。

Copyright ? 2020-2021 信息安全等級保護資訊網 All Rights Reserved. 備案號碼:皖ICP備19012162號-3
本站文章內容部分來源于網絡轉載,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表本站立場,轉載目的在于傳遞更多信息。如有侵權,請聯系刪除。
色婷婷亚洲婷婷五月小说专区