案例精选丨轨交综合监控系统等级保护三级建设项目

  • A+
所属分类:云安全

案例精选丨轨交综合监控系统等级保护三级建设项目

项目背景



2010年12月,《上海市城市轨道交通近期建设规划(2010-2015)》正式获国家发改委批复,包括7个项目,线路总长约220公里,车站共计130座。威努特作为城市轨道交通网络安全建设经验最为丰富的工控安全厂商,成功中标本项目综合监控系统等级保护三级建设项目。


项目过程



在项目建设过程中,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》(等级保护2.0)正式发布并施行。本项目原设计方案无法满足等级保护2.0中第三级的相关要求,因此需要对等级保护方案进行升级。


案例精选丨轨交综合监控系统等级保护三级建设项目
图1 等级保护2.0与1.0的区别差异

案例精选丨轨交综合监控系统等级保护三级建设项目
图2 等级保护2.0通用要求升级

案例精选丨轨交综合监控系统等级保护三级建设项目
图3 等级保护2.0新增工控扩展要求

威努特作为工控安全专业厂商,早在等级保护2.0初期阶段就进行了深入研究,在等级保护2.0正式施行后,及时与本项目业主、设计院、集成商积极沟通,详细介绍等级保护2.0的相关要求及与等级保护1.0的区别差异,并提交符合等级保护2.0标准第三级要求的升级方案。

上海申通地铁业主对于本项目综合监控系统等级保护建设非常重视,响应国家要求以及上海市的本地化要求,提出本项目的等级保护测评分数要超过75分的建设目标。

技术方案



威努特积极组织业主、设计院、项目部、监理单位、集成商、测评机构等相关单位对本项目等级保护方案升级进行深入讨论,最终形成符合“一个中心、三重防护”的纵深防御技术方案。


案例精选丨轨交综合监控系统等级保护三级建设项目


安全区域边界:


1)将综合监控系统与外部互联系统划分为不同安全域,同时在综合监控系统内部将控制中心车站、车辆段、停车场划分为安全子域,在安全域边界部署工业防火墙;


威努特工业防火墙所有接口均支持bypass,从硬件设计上保证对综合监控系统“零影响”;支持综合监控系统所用工业控制协议的深度解析,在建立访问控制白名单的同时建立综合监控系统业务白名单,保证只有符合业务逻辑的指令和消息才能在网络上传输,为综合监控系统构筑安全“白环境”防护体系;


2)在综合监控系统控制中心与互联系统边界交换机旁路部署入侵检测系统,接收镜像的网络流量,分析是否存在针对综合监控系统的恶意攻击、入侵行为,同时基于恶意攻击、入侵事件的不同级别给出不同告警。


安全通信网络


在综合监控系统控制中心、车站、车辆段、停车场等不同安全子域的交换机处旁路部署工控安全监测与审计系统。

威努特工控安全监测与审计系统采用专业“单向”设计,从硬件设计上保证对综合监控系统“零影响”,基于对工业控制协议(如Modbus TCP、 OPC、Siemens S7、DNP3、IEC104、Ethernet/IP、MMS、PROFINET和FINS等)的通信报文进行深度解析,能够实时检测综合监控系统中的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警;同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为综合监控系统的安全事故调查提供坚实的基础。

安全计算环境

在全线工作站、服务器部署工控主机卫士。

工控主机卫士采用与传统防病毒软件的“黑名单”相反的轻量级“白名单”机制,可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序在工控主机上的感染、执行和扩散;工控主机卫士可以通过对底层驱动的接管,对工控主机外设端口进行管控,避免因移动存储介质的随意使用感染恶意代码。同时,对工控主机卫士还可以对于工控主机的账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等进行配置加固,提升工控主机的安全基线。

安全管理中心

  • 统一安全管理


在控制中心建设安全管理中心,部署统一安全管理平台,对综合监控系统中部署的工业防火墙、工控安全监测与审计系统、工控主机卫士等进行集中管理,对这些设备的运行状态、网络拓扑进行统一监控,对设备安全策略、升级包进行统一管理,提升网络安全运维工作效率,提高综合监控系统全面的安全态势感知能力。


  • 安全运维管理


安全管理中心部署安全运维管理系统(堡垒机),统一对综合监控系统设备的所有运营和维护操作进行授权和管理,制定严格的资源访问策略,并且采用强身份认证手段,全面保障综合监控系统资源的安全;同时,安全运维管理系统能够详细记录用户对资源的访问及操作,满足对用户行为审计的需求。

  • 日志审计与分析


在安全管理中心部署日志审计与分析系统,采集综合监控系统中主机设备、网络设备、安全设备、操作系统、数据库、业务系统的日志信息,对采集到的不同类型的信息进行标准化处理和实时关联分析,协助安全管理人员从海量日志中迅速准确地识别安全事故,大幅降低了日志分析和管理对安全管理人员的技术能力要求,提高了工作效率,提高全面的安全管理、风险管理能力。

  • 工控漏洞扫描


威努特针对本项目提供工控漏洞扫描服务,定期对综合监控系统安全防护措施以及存在的漏洞情况进行全面扫描,提升业主网络安全风险把控能力,定期核查与等级保护三级的防护差距,形成定期漏洞扫描、风险评估的可持续性安全运维模式。


用户价值



  • 建立主动防御体系,保障城市轨道交通正常运行


本方案以主动防御为指导思想,以白名单技术为基础,采用工业防火墙、工控主机卫士、工控安全监测与审计系统、入侵检测系统、统一安全管理平台等网络安全设备,建立主动防御网络安全防护体系,解决综合监控系统面临的网络安全风险,保障城市轨道交通正常稳定运行。

  • 全面合规,高分通过等级保护测评


本方案满足等级保护“一个中心、三重防护”的纵深防御要求,解决了综合监控系统在区域边界、通信网络、计算环境等方面存在的安全风险,同时建设了符合等级保护2.0要求的安全管理中心,重点解决了等级保护测评中的高风险项,并提供了完善的安全管理和运维方案,解决方案全面合规,在测评过程中取得了超过80分的优异成绩。

结 语



威努特深耕城市轨道交通行业等级保护安全建设工作,已获得100多个中标项目,累计交付设备4000+台套,涉及信号系统、综合监控系统、AFC系统、通信系统(PIS+CCTV)、电力监控系统(PSCADA)等多个专业子系统,对于轨道交通业务系统、业务场景、网络安全建设有着深入的理解。威努特期待在城市轨道交通各专业系统安全防护领域,与更多业界同仁不断探讨,持续深入。

案例精选丨轨交综合监控系统等级保护三级建设项目
威努特简介
案例精选丨轨交综合监控系统等级保护三级建设项目


北京威努特技术有限公司(简称:威努特)成立于2014年,专注于工控安全领域,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务。凭借持续的研发创新能力和丰富的实战经验入选全球六家荣获国际自动化协会ISASecure认证企业之一和亚太地区唯一全球网络安全联盟(GCA)创始成员。

威努特秉承首创的工业网络“白环境” 技术理念,迄今为国内及“一带一路”沿线国家的2000多家客户实现了业务的安全合规运行,已成为最受客户信赖的工控安全领军企业。同时,作为中国工控安全国家队,积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,致力于为国家关键信息基础设施保驾护航。


威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

案例精选丨轨交综合监控系统等级保护三级建设项目
案例精选丨轨交综合监控系统等级保护三级建设项目
案例精选丨轨交综合监控系统等级保护三级建设项目
案例精选丨轨交综合监控系统等级保护三级建设项目

案例精选丨轨交综合监控系统等级保护三级建设项目

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):案例精选丨轨交综合监控系统等级保护三级建设项目

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: