《地铁交通信息系统安全解决方案.docx》由会员分享,可在线阅读,更多相关《地铁交通信息系统安全解决方案.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、地铁交通信息系统安全解决方案 地铁 交通信息系统平安解决方案轨道交通是城市重要的公共交通工具,信息系统平安关系到乘客人身平安和地铁设备平安;因此,须要根据国家政策、标准要求,实施完善的、整体的平安防护措施。概述轨道交通信息系统主要由综合监控系统(ISCS)和信号系统(CBTC)组成。ISCS 主要由中心级系统、车站级系统、网络管理系统、仿真培训系统、设备维护管理系统等构成,自动售检票系统(AFC)是综合监控系统的重要组成部分。CBTC 系统通过无线通信媒体来实现列车和地面设备的双向通信,用以代替轨道电路作为媒体来实现列车运行限制。典型平安需求(1)目前,轨道交通行业的信息平安主要侧重于 IT
2、网络平安防护,轨道交通的业务系统(ISCS、CBTC)缺乏防护措施,还未能形成有效防护体系。(2)信息系统的平安防护还处在分散防护阶段,缺少整体平安运营平台。(3)基于业务特点,主机操作系统和杀毒软件不能刚好升级,操作系统漏洞、病毒、木马对综合监控系统和信号系统的主机造成威逼,基于黑名单的杀毒软件不能有效应对。(4)虽然综合监控系统和信号系统为封闭网络,但黑客仍可以借助应用软件漏洞,通过 U 盘摆渡等方式进行信息平安攻击。(5)目前的 CBTC 系统在车载和地面间通信部分主要采纳 WIFI 通信,应用层采纳专有算法进行加密,但由于各厂家加密实现代码可能存在缺陷,车地通信仍存在肯定的平安风险。(
3、6)须要对运维人员的身份进行认证管理,缺少对操作行为进行审计。解决方案(1)主机平安加固:在 ISCS 系统主机、服务器、AFC 系统的中心计算机系统 LCC、各车站计算机系统 SC、各车站终端设备 SLE 的主机进行平安加固。(2)网络边界隔离:在 ISCS、CBTC 与其它系统边界处进行网络隔离。(3)移动介质防护:针对 ISCS 系统、AFC 系统、CBTC 中运用专用的移 动存储设备,进行平安防护,消退此处隐患。(4)网络平安审计:对 ISCS 系统、AFC 系统和 CBTC 系统网络进行协议(5)审计、流量审计,驾驭网络平安信息。(6)无线入侵防卫:采纳无线入侵防卫系统,监控非法无线
4、热点和可能的非法无线入侵。防止车地 WIFI 通信被恶意入侵。(7)平安运营:建设工业平安运营中心,遵循发觉、阻断、取证、溯源、研判、拓展的平安业务闭环,完成威逼处置。(8)定期检查:定期对封闭网络的平安运营状况进行检查。典型部署1. 综合监控系统信息平安部署方案:图 18 ISCS 平安方案部署示意图(1)主机平安加固:在综合监控系统、AFC 系统的主机、服务器上进行平安加固,部署白名单工业主机平安防护软件。(2)纵向分层隔离:中心综合监控系统与车站级综合监控系统的边界处进行网络隔离,部署工业平安网关。(3)横向分区隔离:在综合监控系统与其它系统边界处进行网络隔离,部署工业平安网关。(4)移
5、动介质防护:针对综合监控系统、AFC 中运用专用平安 U 盘,专网 27 专用,避开病毒通过 U 盘引入。(5)网络平安审计:在综合监控网络核心交换机处,部署基于镜像流量机制的工业平安审计设备,进行协议审计、流量审计,驾驭监控网平安信息。(6)无线入侵防卫:部署无线入侵防卫系统,监控非法无线热点和可能的非法无线入侵,防止车地 WIFI 通信被恶意入侵。(7)平安运营:部署工业平安运营中心,对综合监控系统网络流量进行分析,收集各平安设备的日志,结合定期导入的专业威逼情报大数据,进行威逼分析和整体平安运营。(8)定期检查:配备临检工具箱,定期对封闭网络的平安运营状况进行检查。2. 信号系统信息平安
6、部署方案: 图 19 CBTC 平安方案部署示意图(1)主机平安加固:在 CBTC 主机、服务器的主机上进行平安加固,部署白名单工业主机平安防护软件。(2)移动介质防护:针对 CBTC 中运用专用平安 U 盘,专网专用,避开病毒通过 U 盘引入。(3)网络平安隔离:在 CBTC 与其它系统边界处进行网络隔离,部署工业平安网关。(4)网络平安审计:在 CBTC 网络核心交换机处,部署基于镜像流量机制 的工业平安审计设备,进行协议审计、流量审计,驾驭监控网平安信息。(5)无线入侵防卫:部署无线入侵防卫系统,监控非法无线热点和可能的非法无线入侵,防止车地 WIFI 通信被恶意入侵。(6)平安运营:部署工业平安运营中心,对信号系统网络流量进行分析, 收集各平安设备的日志,结合定期导入的专业威逼情报大数据,进行威逼分析和整体平安运营。(7)定期检查:配备临检工具箱,定期对封闭网络的平安运营状况进行检查。小结轨道交通信息系统平安以网络平安法、等级爱护制度为依据,以保障平安运营为目标,通过对主机、限制器、网络及网络设备进行平安配置,结合部署平安防护设备,形成涵盖综合监控系统和信号系统的完整防护体系,从信息平安角度, 确保轨道交通平安运营。