其他行业
卷烟厂工控网络安全等保体系建设项目石油石化
中石油某石化分公司工控系统隐患治理石油石化
中石化某油田工控安全项目案例石油石化
中石油某石化公司工控安全项目其他行业
工业领域数据安全成功案例其他行业
企业生产安全成功案例其他行业
工业控制系统安全防护成功案例市政管网
国家管网集团某管道公司工控安全项目市政管网
西部管道局某工控网络安全项目智慧矿山
某集团有色金属开采智能化网络安全建设智慧矿山
某集团煤业三大矿工业控制网络安全市政管网
山西某天然气有限公司系统风险评估服务项目智能制造
山西某钢铁工控网络安全改造项目轨道交通
某铁路安全等保项目轨道交通
某市地铁5号线AFC系统网络安全建设项目-
▍客户背景
某市轨道交通5号线一期工程的AFC系统是一个计程、计时的自动收费系统。系统采用自动、半自动售票,以自动售票为主,人工售票为辅,自动检票,使用非接触式IC卡、二维码作为车票媒体。系统主要由线路中央计算机系统LCC、各车站计算机系统SC、各车站终端设备SLE、车票、维修系统、培训系统、模拟测试系统、传输系统和其他辅助配套设备及相关接口等组成 ,是轨道交通生产运营过程中最重要的业务系统之一。
本方案以AFC系统为核心,从实战化、体系化、常态化的角度发出,通过对通信网络、区域边界、计算环境的安全防护和安全管理中心的建设,构建一个具有纵深的网络安全立体防控系统,助力轨道交通行业发展,为广大人民群众的出行便利提供安全可靠的支撑。
▍安全需求
1) 网络安全潜在的风险
◆ 在重要网段与其他网段之间缺乏可靠的技术隔离手段,缺乏有效的区域隔离;
◆ 未在网络边界部署访问控制设备,缺乏访问控制功能;
◆ 缺少为数据流提供明确的允许/拒绝访问的能力;
◆ 不能对进出网络的信息内容进行过滤,不能实现对应用层协议命令级的控制;
◆ 缺少防止地址欺骗的技术手段;
◆ 缺乏对非授权设备私自联到内部网络的行为进行检查、定位和阻断的能力;
◆ 无法有效的检测到网络攻击行为,并对攻击源IP、攻击类型等信息进行记录;
◆ 无法在网络边界处对恶意代码进行检测和清除,更新恶意代码库不及时;
2) 主机安全潜在的风险◆ 缺乏有效的安全审计功能;
◆ 采用传统网络防病毒软件(部分主机甚至无法安装杀毒软件),无法及时更新恶意代码库,且影响系统稳定性;
◆ 无法对重要程序的完整性进行检测,并在检测到完整性受到破坏后不具有恢复能力;
3) 应用安全潜在的风险◆ 缺乏有效的安全审计功能;
◆ 没有采用校验技术保证通信过程中数据的完整性;
◆ 在通信过程中的整个报文或会话过程未进行加密;
◆ 缺乏有效的软件容错能力;
4)数据安全潜在的风险:◆ 未采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性。
▍方案亮点及客户价值
该项目的实施,满足对城市轨道交通网络安全系统功能安全产品/系统的研发、集成、销售、应用、咨询、评估等需求,将提高我国对安全重大技术的自主创新能力,引领网络安全保障学科和技术的发展。
▍解决方案
澳门新莆京游戏网站经过与业主的深入技术沟通和充分的现场调研,针对客户的详细安全需求,逐条分析并提出对现有安全措施提升、优化的定制解决方案:
1. 在中心网络边界部署工控防火墙。通过工控防火墙将LCC系统与ACC、城市一卡通等外部系统进行安全隔离;提供LCC系统与城市一卡通等外部系统网络边界处端口级的访问控制功能,并对LCC系统应用层协议进行内容过滤,防止重要网段的地址欺骗;检查外部用户的非法联接内部网络及内部网络用户私自外联,并能定位及有效阻止内、外部用户非法联接。
2. 在中心核心交换机镜像口旁路部署入侵检测系统。入侵检测系统抓取核心交换机的数据包,检测病毒、蠕虫、木马、间谍软件、可疑代码、扫描等网络威胁攻击,一旦发现攻击及时上报至统一安全管理中心。
3. 在中心部署工控安全审计系统。工控安全审计系统系统主要用于监视并记录对综合监控系统数据流量各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标系统的用户操作的监控和审计。
4. 在中心、车站、培训及模拟中心等处的服务器和工作站上部署白名单主机防护系统。白名单主机防护系统可由安全管理中心统一管理,进行权限推送,在受控情况下完成日常软件和配置变更操作,防止木马、病毒等未授权软件的运行。
5. 在中心部署工控安全检查工具。工控安全检查工具可对整个AFC进行全面的漏洞扫描和安全风险评估。支持将扫描的漏洞结果导入工控集中监管与审计系统。
6. 在中心设立安全管理中心。将所有安全设备通过安全专用交换机接入工控安全监管与分析平台,实现5号线一期工程AFC系统的全面统一的安全集中监管,安全设备采集到的信息可以按既定策略发送至管理平台,同时可以在安全管理平台对设备状态进行集中监管,对设备进行集中运维,安全管理平台应设置严格的账户权限,由专业的安全管理员进行管理。
▍用户价值
针对本系统的结构和特点,通过采用一整套的工控系统信息安全解决方案,以建立纵深防御策略为主要思想,确保通讯网络中即使某一点发生网络安全事故,系统也能正常运行,同时现场操作人员能够快速定位异常并进行处理为着力点,在保证建立立体化防护的同时,以”实战化,体系化,常态化”为新理念,以”动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”为新举措,构建一个网络安全综合防控系统,并达成以下目标:
1、区域隔离:工控防火墙能够过滤两个区域网络间的通信,意味着网络故障会被控制在最初发生的区域内,而不会影响到其它部分;
2、深度检查:通过工控安全审计系统面向应用层对特有的工业通讯协议进行内容深度检查,告别病毒库升级缺陷;
3、通信管控:通信规则是可以通过中央管理平台进行在线组态和测试的;
4、数据审计:完善的安全审计平台,对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为;
5、威胁检查:部署于网络边界的威胁检测系统能够快速准确发现入侵监控系统的病毒和恶意代码,并实施清除并报警。
6、实时报警:所有部署的工控信息安全防护产品都能由管理平台统一进行实时监控,任何非法的(没有被组态允许的)访问,都会在管理平台产生实时报警信息,从而故障问题会在原始发生区域被迅速的发现和解决。
-
关键词:
- 5号
- 系统
- 安全
- 网络
- 进行
- 工控
- 审计
- 部署
- 平台
- 管理
下一条:
