某地铁信号系统网络清静计划



1.  行业痛点


现在地铁信号系统大多接纳CBTC手艺实现列车和地面装备的双向通讯,使用通讯手艺实现“车地通讯”并实时地转达“列车定位”信息。通过车载装备、轨旁通讯装备实现列车与车站或控制中心之间的信息交流,完成速率控制。但随着盘算机和网络手艺的生长,特殊是信息化与信号系统深度融合,CBTC系统产品越来越多地接纳通用协议、通用硬件和通用软件,接纳以太网与综合监控、PIS网络、语音广播等其他营业系统互联,造成病毒、木马等威胁向CBTC系统扩散。一旦CBTC系统受到网络攻击,将对都会轨道交通的稳固运行和游客的人身清静带来重大威胁。 


凭证前期对该项目的需求调研和危害评估,总结该项目网络清静建设的痛点如下:


? 信号系统与其他营业系统如综合监控系统、AFC系统、PIS系统等之间保存互联接口,接纳标准Modbus协议举行通讯,数据接纳明文传输。但未接纳任何会见控制或手艺隔离手段举行区域隔离,无法对收支网络的信息内容举行过滤,不可实现对应用层协议下令级的控制;

? 信号系统受网络结构及运营模式影响,投入使用后装备、系统补丁、误差库、病毒库无法接纳自动模式举行自动更新,装备易泛起重大缺陷受到网络攻击;
? 地铁信号系统网络内缺乏对非授权装备私自联到内部网络的行为举行检查、定位和阻断的能力;缺乏检测网络攻击行为及恶意代码的手段,无法对攻击源IP、攻击类型等信息举行纪录、并回溯;
? 没有自力的信息清静部分或者信息清静岗位,清静战略和清静管理制度不完善。


2.  解决计划


尊龙凯时 - 人生就是搏!

 
1)界线防护


接纳工业级防火墙实现区域界线会见控制。在信号系统和其它系统(如PIS系统和综合监控系统)互联的界线(A,B网)各安排一台防火墙,通过界线安排防火墙设置会见控制战略,实现对信号系统和其它系统间的通讯举行会见控制,仅允许特定的数据传输,榨取所有非须要的网络通讯。会见控制战略可基于古板五元组、协议、资产、时间等多元组;同时对信号系统与其他营业系统通讯接纳的modbus协议实现指令级会见控制。


2)入侵检测


釆用入侵检测系统对网络中的流量举行监测。


在主干环网交流机上旁路安排入侵检测系统,检测可能爆发的入侵行为并报警。入侵检测通过对系统中的应用层协议举行深度剖析,并与规则战略比照,实现对应用系统的入侵检测和营业操作异常剖析。


3)营业审计


通过安排数据库审计系统,运维审计系统,日志审计系统(包括在清静管理平台中),对信号系统举行清静审计。
数据库审计系统,对中心数据库举行网络审计,审计内容包括数据库用户的登录和对数据库的增、删、改、查等操作。

运维审计系统对维护事情站的维护操作举行审计,审计内容包括维护事情站对网络装备,ATS服务器,ATC维护机的远程操作,可举行操作回放。


4)终端清静管理


在信号系统各事情站上清静主机清静防护软件,对事情站举行清静防护,防护内容包括清静基线管理,网络ACL控制,外设控制,U盘管控,不法外联阻断,病毒查杀等。对全线事情站举行集中统一管理,集中设置清静战略,集中展示全线事情站的清静状态。


5)集中清静管理


清静管理平台可对网络中所有的事情站主机,服务器主机,网络装备,清静装备举行状态、资源监控,自动天生资产列表、实现资产管理,动态天生网络拓扑,实现全网装备性能监控,日志管理等。


3.  计划效果与价值


包管信号系统的最低时延要求,接纳旁路清静监测为主,以清静系统自响应为原则来构建防护系统;例如:IDS与FW的联动;建设信号系统种种控制装备,实现信号系统整体的清静管控。包管信号网络的高清静性。通过威胁检测、清静预警、清静加固、清静审计、应急响应等,建设清静事务事前、事中、事后的清静维护管理,确保信号系统的一连清静,知足一连性按需防御的清静需求。?



地铁云平台网络清静计划



1.  行业痛点


地铁营业系统作为国家要害信息基础设施,一直以来其网络都是相对自力和关闭的,地铁内部的各个营业系统之间的网络都是自力建设。近年来为了推动地区的轨道交通的生长,提升行业的服务质量,部分地区的地铁建设方通过引进云盘算手艺来改变古板的地铁营业建设模式,将各大专业(营业系统),诸如:AFC系统、ISCS系统、SIG系统等等都集中在一个云数据中心,将车站级的数据要求降低甚至作废,提高全局的资源使用率,镌汰营业建设历程中过多的对车站的投入,同时通过集中的管理中心对全局的各系统个资产举行管理,提高管理效率。


地铁云平台面临的清静问题主要有:


? 云平台自身的清静问题

云平台的底层架构是通过虚拟化手艺实现资源共享挪用,可是共享需要包管用户资源间的隔离,现在大大都云平台保存VENOM(毒液)误差,通过该误差能让攻击者越过虚拟化手艺的限制,会见并监视控制宿主机,并通过宿主机的权限来会见控制其他虚拟主机。因此需要提供面向虚拟机、存储等虚拟工具的清静掩护战略。


? 差别专业的清静控制与管理

虽然将各专业的盘算都集中到了云中心,可是部分专业的现场级的数据收罗组件都是安排在车站的,在现在的手艺配景下,无法实现现场级装备的虚拟化,且接纳TCP/IP协议作为数据传输协议,且各营业系统如ISCS与AFC、SIG等专业都是接纳的工业控制协议:TCP/MODBUS,应用层协议依赖古板的网络剖析手艺是无法举行剖析的。


? 云端数据的清静传输与交流

地铁云平台将所有数据都集中到云端加工、存储,站段数据向云端传输需要云平台向各营业系统开放响应的接口,这种中心级的数据交流需要包管各营业系统的数据清静传输与交流。


2.  解决计划
 

尊龙凯时 - 人生就是搏!



1)云平台网络清静界线防护系统


建设外部服务网、内部管理网、清静生产网三个清静域间防护系统;各清静域内部营业系统清静界线;带外管理网区域界线;车站/车辆段节点清静域界线;区域界线实现以下几方面的防护步伐:界线隔离及会见控制、清静审计、抗DDoS攻击、入侵检测及防御、未知威胁检测、通讯链路加密、负载平衡、Web清静防护。


2)云平台网络清静防护支持系统


云平台网络清静防护支持系统旨在建设云平台清静管理中心,云平台清静管理中心定位于云清静系统中的上层管理平台系统,可以整合云中种种清静监控资源、收罗情形中全量的清静监测信息,形成面向云盘算集中清静监测、综合清静剖析和统一运维支持的清静运维管理,肩负云上态势感知的功效。


3.  计划效果与价值


该计划以清静生产网、内部管理网以及外部服务网为基础,实现区域化的清静治理。荟萃云手艺资源动态调理的优势,将清静能力以资源池的形态举行交付,各专网、系统按需提出需求,由云清静管理中心举行分派;最终实现跨专业、跨网络的统一清静管理,解决了资源使用缺乏,清静安排繁琐、倒运于统一管理的问题。




某市地铁自动售检票系统网络清静计划



1.  行业痛点


AFC系统是轨道交通营业系统的主要组成部分之一,AFC系统在都会轨道交通中饰演自动化票务管理的角色,它的清静性、可靠性及保密性极高。AFC系统结构条理现在通常划分为5个条理,划分为票卡、车站终端装备、车站控制中心、线路控制中心(或多线路控制中心)以及清分整理中心。随着AFC互联网售票等新营业架构的兴起,古板的AFC系统面临了新的清静危害,怎样包管AFC系统运行的数据清静和营业稳固性是在AFC系统建设历程中必需思量的问题。


凭证尊龙凯官网入口对现场的需求调研和危害评估,总结痛点如下:


? 未举行清静域划分,区域间未设置会见控制步伐;
? 缺少网络监控手段,不可实时发明网络清静问题;
? 缺少网络审计手段,泛起问题后靠职员履历排查;
? 系统运行后,操作站和服务器很少打补丁,保存系统误差,系统清静设置较薄弱,防病毒软件装置不周全;
? 缺少身份认证和接入控制,且权限很大;
? 保存使用移动存储介质不规范问题,易引入病毒以及黑客攻击程序;
? 第三方职员运维生产系统无审计步伐;
? 上线前未举行网络清静测试;

? 缺少对网络清静的全局监控,头疼医头,脚疼医脚。


2.  解决计划


尊龙凯时 - 人生就是搏!

      

? 界线防护隔离
在控制中心、车站与各系统互联界线安排防火墙,实现冗余。通过防火墙实现AFC系统与地铁运营非直接相关系统的会见控制,对数据包举行过滤,同时阻止系统受到病毒入侵、不法入侵及未授权职员的不法会见,严酷执行基于营业的会见控制机制。
? 终端清静管理
在控制中心、车站、车辆段安排杀毒软件、终端管理对终端装备举行病毒防护、历程白名单、移动存储介质管理。
? 内部监测审计
在控制中心焦点交流处旁路安排入侵检查、网络清静监测审计、运维审计,对网络操作行为举行细粒度审计的合规性管理。通过对被授权职员和系统的网络行为举行剖析、剖析、纪录、汇报,以资助用户事前妄想预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,增强内外部网络行为羁系、增进焦点资产的正常运营。
? 应用清静网关

在线路中心界线安排应用清静网关对数据举行2-7层的周全检查和剖析,深度识别、管控和审计近千种常见应用。应用清静网关支持详细、清晰、易用的日志特征,可以周全纪录审计网络行为、使用流量、会见营业、所用终端系统及装备类型平台等信息。


3.  计划价值


尊龙凯官网入口自动售检票等保清静解决计划,乐成的解决了自动售检票系统清静问题。计划对轨道交通自动售检票系统举行实时在线的监测、预警、防护、评估和控制,构建轨道交通讯息清静一体化平台,切合国家《网络清静法》条例划定,切合等保2.0的清静建设指导建议,为轨道交通工业控制系统正常运行提供周全稳固的清静包管。?




某市地铁综合监控系统网络清静计划



1.  行业配景


近年来,海内地铁综合监控系统的信息化建设泛起快速稳步的生长,随着信息化与轨道交通自动化的深度融合,轨道交通自动化与控制网络也向着漫衍式、智能化的偏向迅速生长,越来越多基于TCP/IP的通讯协媾和接口被接纳,从而实现了自管理信息层延伸至现场装备的一致性识别、通讯和控制。实现了各子系统的互联互通,资源共享和自动化水平。随着地铁综合监控系统的集成化、智能化水平越来越高,运行线路包括的信息点越来越多,与之而来的网络管理和清静面临的挑战也变得更大。


凭证尊龙凯官网入口对现场的需求调研和危害评估,总结痛点如下:


? 综合监控系统的集成化越来越高,与各系统互联接口仅在应用层面举行会见控制,系统底层没有会见控制步伐,很容易绕过应用层的控制步伐,直接对变电站/所的供电系统进操作,对环控系统的PLC控制器举行操作。而与互联系统间通过通讯处置惩罚机FEP举行接口通讯,仅思量功效实现,未对通讯处置惩罚机上的通用操作系统举行清静加固,导致通讯处置惩罚机容易成为攻击靶标并陷落为网络攻击的跳板。
? 综合监控系统事情站一样平常接纳Windows系统,上线后基本不会对操作系统举行升级,系统上线前没有关闭掉多余的系统服务,以及系统的密码战略等举行清静加固等问题,系统清静设置薄弱,容易遭受攻击。

? 地铁建设和运营公司未设置网络清静管理部分,未明确建设运营相关部分的清静职责和手艺要求。同时普遍缺乏网络清静人才。


因此怎样应对地铁综合监控系统面临的清静危害,是我们在新形势下迫切需要解决的现实问题。

2.  解决计划


尊龙凯官网入口公司通过对轨道交通多年的研究,已经为北京、上海、深圳、成都、广州等都会地铁建设提供了网络清静服务,现在与80%以上已开通地铁都会建设了合作关系,通过100多个清静项目形成了独吞的行业熟悉与履历,团结等保2.0的要求提出“界线防护隔离、内部监测审计、终端清静管理、集中管控预警” 的建设思绪,建设“展望、防御、检测、响应”立体式的清静防护系统,实现清静威胁快速检测与有用防御。

 

尊龙凯时 - 人生就是搏!


? 界线防护隔离

在控制中心、车站、车辆段与各系统互联界线安排防火墙,实现冗余。通过防火墙实现综合监控系统与地铁运营非直接相关系统的会见控制,对数据包举行过滤,同时阻止系统受到病毒入侵、不法入侵及未授权职员的不法会见,严酷执行基于营业的会见控制机制。


? 内部监测审计

在控制中心、车站、车辆段安排焦点交流处旁路安排入侵检查、网络审计,对网络操作行为举行细粒度审计的合规性管理。通过对被授权职员和系统的网络行为举行剖析、剖析、纪录、汇报,以资助用户事前妄想预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,增强内外部网络行为羁系、增进焦点资产的正常运营。


? 终端清静管理

在控制中心、车站、车辆段安排杀毒软件、终端管理、网络准入系统对终端装备举行病毒防护、历程白名单、移动存储介质、客户端接入举行管理。


? 集中管控预警

在控制中心安排态势感知系统、误差扫描和设置核查系统,对漫衍在控制中心、车辆段、停车场和各车站的防火墙、入侵检测系统、网络审计系统和主机防护软件举行集中管控。统一设置清静战略、补丁升级和病毒库更新等清静事项。对综合监控系统的网络链路、网络装备、清静装备、服务器、事情站举行集中监测。网络、存储和剖析全线的清静日志,对有潜在威胁的清静事务举行识别和报警,按期天生清静报表。


在控制中心安排运维清静网关对综合监控系统的网管子系统和维护子系统的远程运维操作举行认证、授权、监控和审计,实现对网管和运维职员的双因素认证。


3.  计划价值


尊龙凯官网入口综合监控解决计划,是现在针对综合监控系统清静较量周全的解决计划,计划对综合监控系统举行实时在线的监测、预警、防护、评估和控制,构建轨道交通讯息清静一体化平台,同时也知足执律例则要求,为轨道交通工业控制系统正常运行提供周全的网络空间信息清静包管。