軌道交通是國家關鍵基礎設施,同時也是城市的重要交通運力,軌道交通控制系統都采用SCADA。與大多數行業不同的是,惡劣的網絡安全攻擊的潛在后果主要是金融或隱私驅動的,對公共交通系統的攻擊有可能是致命的。恐怖分子或網絡犯罪分子可能會劫持易受攻擊的軌道交通SCADA系統,導致出軌或碰撞。而軌道交通綜合監控系統(ISCS)是一個高度集成的綜合自動化監控系統,隨著病毒攻擊、黑客攻擊、木馬等泛濫,系統及軟件漏洞層出不窮,這些威脅直接影響了ISCS的安全穩定運行。
匡安軌道交通行業解決方案基于等級保護2.0的“一個中心、三重防護”思想設計。
按照“一個中心,三重防護”基本思路,對地鐵控制系統進行防護重點實現“統一管理、邊界防護(水平分域、垂直分區),主機防護,網絡監測”,統一管理是對控制系統內部的進行統一管理及監測;邊界防護通過水平分域、垂直分區,對各分區分域之間進行邊界重點管控;主機防護是通過接口管控及系統加固等實現計算機運行環境安全;網絡監測是對控制系統內部進行實時流量監測,分析并發現網絡中的異常行為,如下圖所示。
為保障控制系統內部安全,防止來著其他區域的網絡入侵及其他干擾,通過網絡隔離措施對控制系統進行分區分域,即在各綜合監控系統與中央綜合監控中心、綜合監控系統與設備區之間部署工業防火墻將控制系統劃分為中央監控區、控制區及設備區,通過工業協議深度解析實現邊界訪問控制和安全隔離,通過最小化規則規避來自外部系統的非法/違規數據訪問。
(1)運維管控
通過部署主站運維網關及便攜式運維網關,對系統內部的運維資產、運維用戶進行統一管理、細化運維過程細粒度監管,實現運維事前事中的管控及事后追溯,保障運維過程安全。
(2)設備接口管控
通過部署設備接口安全管控系統,接入終端主機(工程師站、操作員站等)、上位主機部署的USB接口管控裝置,并接入局域網各交換機,實現對控制系統設備接口(USB接口、網絡接口)的統一集中管控。
(3)統一安全管理
通過部署匡安工業安全管理平臺,接入控制系統內部的網絡安全設備,對設備進行統一管理、統一策略調整下發、統一日志收集分析、統一實時的監控,簡化安全管理流程。
在現場設備層測量儀表儀器的上位主機及數控機床、生產管理層服務器及工作站部署USB接口管控裝置,并接入設備接口安全管控系統,阻斷違規外聯行為。
對系統內的各終端主機計算環境進行安全防護,通過部署工控工業主機衛士,通過掃描上位機程序和進程,構建白名單安全基線,阻止非工作程序在主機上的操作運行,并進行阻斷與攔截。
對系統內的各終端主機外設接口進行安全防護,通過部署USB接口管控裝置,從根源上杜絕違規外聯、非授權接入的問題。
以鏡像引流方式旁路部署工控監測與審計系統,通過基于工業協議深度解析各區域網絡流量,智能監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,并進行統計和分析。
安全效益:有效防范管理性違章,提升內控水平。通過對工控系統網絡的安全防護及運維管控,并從風險發生根源阻斷接入風險行為,全面提升生產網絡整體的安全性,提高安全生產管理水平、管理效率。
管理效益:有效防范管理性違章,同時符合國家、行業相關要求。
匡安微信公眾號
