工业互联网安全专题 > 解决方案

启明星辰轨道交通解决方案

作者:启明星辰 2020-10-30

概述

综合监控系统是构建在城市轨道交通通信骨干网上的大型SCADA系统,同时它有具有分层分布式大型监控系统的结构特性。一般由中央级综合监控系统,车站级综合监控系统以及将两级系统连接起来的骨干网三大部分组成。系统主要功能包括对机电设备的实时集中监控功能和各系统(如AFC系统、FAS系统、BAS系统、PSCADA系统、PIS系统等)之间协调联动功能两大部分。

风险

启明星辰依据对国内多个城市轨道交通运行线路建设和运营的信息安全现状的了解,经过深入的分析研究,总结出综合监控系统存在的风险如下:

● 大多数城市轨交建设和运营公司未设置自动化系统信息安全部门,未明确相关安全职责;

● 轨交建设和运营公司信息安全管理制度和流程不完善,缺乏必要的应急响应机制,需进一步提高信息安全事件应对能力;

● 轨交各自动化系统网络未进行安全域划分,区域间未设置访问控制措施。

● 缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排查。

● 城市轨道交通系统操作站一般采用Windows XP、Winows7等,服务器一般采用Solaris、Windows server2003等,系统运行后,操作站和服务器很少打补丁,存在系统漏洞;

● 城市轨道交通自动化系统运维和使用过程中,存在使用移动存储介质不规范问题,易引入病毒以及黑客攻击程序。

标准

《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)

《GB/T 22239-2008 信息系统安全等级保护基本要求》

方案         

1.png   

● 部署安全基线配置核查系统,对综合监控系统各类设备进行安全配置核查审计,对于安全配置较差的设备在保证生产的前提下进行安全配置变更;

● 部署操作站安全系统,对工作站和服务器中USB、光驱、无线、串口等进行管控,采用专用外设,禁止私人外设的接入;

● 部署工业入侵检测系统,能够及时检测中央、车站和车辆段综合监控系统网络中存在的各类入侵行为和异常行为,并进行告警和记录,深度监测工控通信协议的安全性。

● 部署漏洞扫描系统,及时发现工作站、服务器、网络设备及工控设备中存在的安全漏洞,定期更新漏洞库;

● 部署现场运维审计与管理系统和数据库审计系统,对服务器、数据库的远程访问行为进行审计,所有远程访问均经过认证,访问过程经过安全审计和记录,能够追本溯源;

● 部署通用防火墙和工业防火墙,可防止外部非法访问和入侵行为的发生,有效检测综合监控系统中各类工控通信协议的安全性;

●  部署防病毒装置,能够有效应对各类病毒、木马和蠕虫对操作系统的攻击和破坏;

● 工业控制信息安全管理系统,实现对综合监控系统所属资产的统一管理,实现对资产的集中管控和发现,当资产状态发生变更时能够及时掌握,避免因资产信息缺失而导致安全事件处置延误等问题发生。

上一篇 下一篇

服务热线

400-624-3900