《地铁综合监控系统安全解决方案.doc》由会员分享,可在线阅读,更多相关《地铁综合监控系统安全解决方案.doc(7页珍藏版)》请在三一办公上搜索。
1、地铁综合监控系统( Integrated Supervisory and Control System)简称 ISCS,是根据轨道交通线路特点和技术发展情况量身定制的大型综合自动化系统,通过综合监控系统可实现城市轨道交通信息互通、资源共享,并能够提升自动化水平和提高城市轨道交通运营的安全性、可靠性和响应性,最终达到减员增效的目的。概述某市地铁 X 号线综合监控系统主要由中央级综合监控系统、车站级综合监控系统、车辆段综合监控系统和其他辅助功能子系统(例如培训管理系统、集中告警系统、软件测试平台和网管系统等)等多个部分组成。通过综合监控骨干传输网将以上各部分联接起来,形成一个有机整体。由于综合监控
2、系统是地铁线路运营的核心系统,其信息安全状况直接影响整个线路的运营安全,因此,某市在既有线路安全运营的经验基础上,在地铁 X 号线在建设之初就将综合监控系统的信息安全防护进行了优先考虑。典型安全需求综合监控系统的安全防护措施主要针对中央网络。能够对业务访问关系进行检测、能够对上报的事件进行关联分析,识别出重要报警,同时,对不重要的报警进行智能过滤,此外,分析报表采用对比分析的方法。监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解监测事件等,及时协调和组织各级安全管理机构进行处
3、理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。监测综合监控系统中央网络,着重检测中央网络的 PSCADA 和 BAS 业务, 能够基于业务主要协议发现 PSCADA 和 BAS 的业务异常。同时,能够检测到其他系统的网络异常。可以掌握综合监控系统各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作。实时监控各种安全设备、控制设备和网络设备的运行状态和网络运行拓扑状态,为网络安全管理人员提供统一的运行状态信息,并根据确定的规则,提供预警和告警,保证网络和业务系统的安全、可靠运行。通过所掌握的全网安全运行动态
4、,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。根据安全事件生成的事件通知单的处理过程进行管理,将所有事件响应过程信息存入后台数据库,并可生成事件处理和分析报告。 安全解决方案安全防护方案以某市地铁 X 号线一期工程综合监控系统结构示意图进行说明: 图 8 综合安全监控系统架构图工控信息安全产品分别部署在中心综合监控系统与停车场综合监控系统,其中:工业防火墙、工控异常检测系统、工控漏洞扫描系统、移动运维审计系统部署在中央综合监控系统;工控信息安全管理系统与安全基线配置核查部署在停车场综合监控系统。需要说明的是:停车场综合监控系统维护管理服务器
5、具备 windows 环境,工控信息安全管理平台与安全基线配置核查系统都可以安装在这台服务器上,只要网络可达,即可以从中央综合监管系统任何工作站通过 web 访问的方式访问该系统,从而实现工控信息安全管理与安全基线配置核查工作。(1) 工控信息安全管理系统工控信息安全管理系统与安全基线配置核查系统为软件,都安装在停车场综合监控维护管理服务器上。工控信息安全管理系统可对某市地铁综合监控网络中的网络设备、主机及服务器等资产管理、风险管理、事件管理、网管等功能。 17图 9 工控信息安全管理系统部署图(2) 工控异常检测系统工控异常检测系统为硬件设备,部署在中央综合监控系统的核心交换机上, 通过在交
6、换机上做端口镜像配置,将中央级综合监控的网络流量镜像给工控异常检测设备进行分析,检测中央网络的 PSCADA 和 BAS 业务异常和入侵行为。图 10 工控异常检测系统部署图(3) 工业防火墙工业防火墙为硬件设备,部署在中央综合监控系统管理服务、TCC 等上层数据接口区域网络边界处,串接在管理服务、TCC 等上层数据接口与中央综合监控系统核心交换机之间进行访问控制,对工控协议包括 OPC 和 MODBUS 深度协议解析。图 11 工控防火墙部署图(4) 工控运维审计系统工控运维审计为移动设备,当某市地铁 X 号线综合监控系统中的 PLC 工控设备或工作站、服务器、网络设备需要进行维护操作时,将
7、设备携带至现场使用, 维护完毕后带回中心进行数据同步。工控运维审计系统,能够全程记录现场运维人员对设备的操作行为,用于事前警示与事后定责。可以避免运维设备自身感染的恶意代码扩散到脆弱的工业控制系统。可以对上传下载数据进行管理,避免上传数据感染病毒,存储备份下载的配置数据。移动运维审计与管理系统可以在运维的过程中,将设备配置数据进行存储备份。19图 12 工控运维审计系统部署图(5) 漏洞扫描系统漏洞扫描系统为硬件设备,部署在中央综合监控系统与核心交换机相连,对综合监控系统中的工控设备、工作站、服务器、网络设备等进行脆弱性扫描和管理。图 13 工控漏洞扫描系统部署图(6) 安全基线配置核查系统安
8、全基线配置核查系统为软件,安装在停车场综合监控维护管理服务器上。安全基线配置核查系统具有通过远程方式或本地方式对IT 资产进行安全配置核查的能力,能够核查信息系统中的主机操作系统、数据库、网络设备、安全设备等,确保各类 IT 自查符合预设的配置规范要求。系统具有友好的人机界面和丰富的报表系统,实现了配置安全检查工作的智能化、自动化。图 14 工控安全基线配置核查系统部署图小结从该项目的实施可以看出,地铁综合监控系统仍然以保障安全运营为首要目的,所以在安全建设方面是仍以业务影响最小化需求,目前在边界防护、入侵监测和安全审计方面是保障安全的第一步,以满足等级保护技术要求为基础。该项目的实施经验可以为其他地铁综合监控系统的安全防护作为参考。
