“新基建”——城市轨道交通

发布时间 2020-03-26

城市轨道交通在为人们提供方便、快捷、绿色出行方式的同时,其安全性也是一直关注的重点。如今,随着“新基建”的提出,城市轨道交通将迎来怎样的变化呢?


2019年5月,公安部正式发布了GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,我国的网络安全建设进入“等保2.0”阶段,城市轨道交通作为市政大类的国家关键信息基础设施,也在监管机构监管范围内。



2019年8月2日,国家交通运输部发布的《城市轨道交通运营突发事件应急演练管理办法》中明确运营单位专项应急预案应涵盖网络安全的应急预案,针对网络安全事件应明确风险分析、应急指挥机构及职责、处置程序和措施等内容。


这说明,国家监管机构针对轨道交通行业的网络安全要求趋向网络安全加强建设、独立管理、明确责任、促进应急响应,要求网络安全建设与城市轨道交通基础建设需同步规划、同步建设、同步使用。


信号系统是地铁运输系统中保证行车安全、提高区间和车站通过能力的手动控制、自动控制及远程控制技术的总称,具有下达行车指令、办理列车进路、开放信号并指挥行车的基本功能。一旦信号系统的信息安全出现漏洞,将对城市轨道交通的稳定运行和旅客的人身安全造成重大影响。


鉴于目前的国际形势,我国的城市轨道交通信号系统信息安全方面还存在很多漏洞,因此需要从信号系统的信息安全核心技术研发、建立信号系统设备的安全管理制度构建城市轨道交通新基建网络安全防护保障体系。



澳门新萄京官方网站信号系统网络安全方案


为提升轨道交通各专业网络安全防护能力,澳门新萄京官方网站在充分理解信号系统的业务模型、网络结构和安全现状的基础上,深度融合轨道交通业务系统,构建了从网络边界隔离、流量行为检测、工作站终端防护到运维管理安全、脆弱性扫描的纵深防御技术体系。


保护网络安全的最终目的是为了生产安全,不能为了保护信息安全而使行车安全受到影响。因此在安全设计上,尽量维持原来的系统构造,不在原来的架构中串联安全网关类和安全防护类设备,避免信号系统数据传输时延、丢包等问题发生。


该方案中除边界防护设备防火墙外,均釆用旁路型安全设备,对信息安全进行监控,只监控报警、不进行阻断。在不破坏原有网络结构的情况下,安全技术方案能切实有效地保护系统安全,防止攻击者通过黑客技术对各专业实施威胁和破坏,保障城市轨道交通安全稳定运行。



网络边界控制


将信号系统划分为独立的安全域,通过在信号系统与外部互联系统边界、信号系统与线网网站边界部署工业防火墙,实现隔离与访问控制,能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口等信息实行访问控制规则,只允许信号系统和其他互联系统正常业务的连接和数据能够通过该网络边界,其他非法连接和数据均被禁止。


● 流量行为检测


在控制网站和设备集中站部署工业安全监测与审计产品,针对信号系统的安全网、非安全网和维护网的网络流量进行深度解析和全面分析,基于信号系统的业务模型判断网络流量的异常行为事件,并能够对安全事件进行实时监控、实时告警,同时对所有活动进行审计记录,生成完整日志文件便于事件追溯。同时针对控制网站网络流量进行实时检测和分析,及时发现针对信号系统的网络入侵行为并生成事件,能够针对不同的入侵事件给出实时告警。


● 工作站终端防护


信号系统全线工作站和服务器部署内网安全风险管理与审计系统App,监控工作站终端的进程运行情况和App安装情况,以白名单的技术方式,阻止恶意程序的实行和扩散;禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径;审计工作站终端的运行操作情况;并检测是否连接其他网络情况,彻底解决当前工作站随意接入外联网络、工作站App随意安装的问题。


● 运维管理加强


在控制网站维护网部署信息澳门新萄京官方网站,实现对信号系统部署的所有的安全防护设备进行统一管理和维护,统一的安全策略配置与实施、统一的日志存储与审计,提高全面的安全态势感知能力;监测信号系统网络的通信流量与安全事件,对信号系统网络内的安全威胁进行分析,消除安全孤岛,从整体视角进行安全事件分析、安全攻击溯源等,重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。


● 脆弱性扫描


为满足信号系统等保标准对目标系统的风险分析要求,需要定期针对信号系统各个子系统进行脆弱性扫描和威胁评估的可持续性运维模式。综合运用多种最新的漏洞扫描与检测技术,快速发现信号系统网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助用户在弱点全面评估的基础上实现安全自主掌控。



大家的特色


 全产品的合规性建设方案


结合等保咨询、风险评估、安全培训等,全面提升城市轨道交通网络抵御内、外部攻击的能力。信号系统的安全防护设计从网络边界、主机工作站、流量分析等需求方面考虑,从而能够满足信息安全等级保护三级测评的要求。


● 适应工业现场环境的产品配置


信号系统各业务系统的现场工作环境恶劣,大部分设备部署在地下机房、轨旁等位置,EMC干扰严重、温湿度环境苛刻、振动冲击环境恶劣,本方案所选用的网络安全产品具备工业级品质,关键网络安全设备采用低功耗无风扇设计,满足城市轨道交通相关标准要求并通过测试,稳定可靠且坚固耐用。


● 深度融合轨交业务系统


基于轨道交通各专业的业务流程进行设计,以保障业务安全为目标,将网络安全产品以对业务最小影响方式融入既有业务系统网络。例如串接到网络中的工业防火墙部署在各系统网络外部边界,同时具备Bypass功能,以保障故障情况下的业务可用性。内网风险管理与审计App通过进程控制、App安装控制、外设接入控制、网络连接控制,彻底解决终端安全问题,保障了App的兼容性和对业务系统的无影响性。


● 纵深防御体系更安全


以纵深防御理念为核心,在充分了解信号系统的网络结构和安全现状的基础上,构建了从边界防护、流量监测审计、工作站终端安全、综合安全监管到企业自测自评为一体的纵深防御技术体系,能切实有效地保护系统远离木马、蠕虫、黑客等各种威胁和攻击,保障城市轨道交通安全稳定运行。


目前,澳门新萄京官方网站已经为国内二十多个地铁城市网络安全建设服务,并针对性的推出了适合轨道交通行业应用需要的产品和解决方案,已拥有20多个运营企业、近百条地铁线路的信号系统、通信系统、综合监控系统、自动售检票系统、云平台以及信息化系统通过澳门新萄京官方网站澳门新萄京官方网站、安全审计系统、入侵检测系统、工业防火墙、内网风险安全管理和审计系统App强化了内部网络安全管理,加强了城市轨道交通安全有序运行。


随着新基建政策的实施,澳门新萄京官方网站将继续与城市轨道交通设计单位、运营单位和建设单位一起携手构建开放、协作、共享、互联的轨道交通网络安全新业态,保障网络安全与城市轨道交通信号系统同步规划、同步建设、同步使用。