轨道交通是国家关键基础设施,同时也是城市的重要交通运力,轨道交通控制系统都采用SCADA。与大多数行业不同的是,恶劣的网络安全攻击的潜在后果主要是金融或隐私驱动的,对公共交通系统的攻击有可能是致命的。恐怖分子或网络犯罪分子可能会劫持易受攻击的轨道交通SCADA系统,导致出轨或碰撞。而轨道交通综合监控系统(ISCS)是一个高度集成的综合自动化监控系统,随着病毒攻击、黑客攻击、木马等泛滥,系统及软件漏洞层出不穷,这些威胁直接影响了ISCS的安全稳定运行。
匡安轨道交通行业解决方案基于等级保护2.0的“一个中心、三重防护”思想设计。
按照“一个中心,三重防护”基本思路,对地铁控制系统进行防护重点实现“统一管理、边界防护(水平分域、垂直分区),主机防护,网络监测”,统一管理是对控制系统内部的进行统一管理及监测;边界防护通过水平分域、垂直分区,对各分区分域之间进行边界重点管控;主机防护是通过接口管控及系统加固等实现计算机运行环境安全;网络监测是对控制系统内部进行实时流量监测,分析并发现网络中的异常行为,如下图所示。
为保障控制系统内部安全,防止来着其他区域的网络入侵及其他干扰,通过网络隔离措施对控制系统进行分区分域,即在各综合监控系统与中央综合监控中心、综合监控系统与设备区之间部署工业防火墙将控制系统划分为中央监控区、控制区及设备区,通过工业协议深度解析实现边界访问控制和安全隔离,通过最小化规则规避来自外部系统的非法/违规数据访问。
(1)运维管控
通过部署主站运维网关及便携式运维网关,对系统内部的运维资产、运维用户进行统一管理、细化运维过程细粒度监管,实现运维事前事中的管控及事后追溯,保障运维过程安全。
(2)设备接口管控
通过部署设备接口安全管控系统,接入终端主机(工程师站、操作员站等)、上位主机部署的USB接口管控装置,并接入局域网各交换机,实现对控制系统设备接口(USB接口、网络接口)的统一集中管控。
(3)统一安全管理
通过部署匡安工业安全管理平台,接入控制系统内部的网络安全设备,对设备进行统一管理、统一策略调整下发、统一日志收集分析、统一实时的监控,简化安全管理流程。
在现场设备层测量仪表仪器的上位主机及数控机床、生产管理层服务器及工作站部署USB接口管控装置,并接入设备接口安全管控系统,阻断违规外联行为。
对系统内的各终端主机计算环境进行安全防护,通过部署工控工业主机卫士,通过扫描上位机程序和进程,构建白名单安全基线,阻止非工作程序在主机上的操作运行,并进行阻断与拦截。
对系统内的各终端主机外设接口进行安全防护,通过部署USB接口管控装置,从根源上杜绝违规外联、非授权接入的问题。
以镜像引流方式旁路部署工控监测与审计系统,通过基于工业协议深度解析各区域网络流量,智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为,并进行统计和分析。
安全效益:有效防范管理性违章,提升内控水平。通过对工控系统网络的安全防护及运维管控,并从风险发生根源阻断接入风险行为,全面提升生产网络整体的安全性,提高安全生产管理水平、管理效率。
管理效益:有效防范管理性违章,同时符合国家、行业相关要求。
匡安微信公众号
