某市地铁综合监控系统网络安全方案

　　1. 行业背景

　　近年来，国内地铁综合监控系统的信息化建设呈现快速稳步的发展，随着信息化与轨道交通自动化的深度融合，轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，从而实现了自管理信息层延伸至现场设备的一致性识别、通讯和控制。实现了各子系统的互联互通，资源共享和自动化水平。随着地铁综合监控系统的集成化、智能化程度越来越高，运行线路包含的信息点越来越多，与之而来的网络管理和安全面临的挑战也变得更大。

　　根据启明星辰对现场的需求调研和风险评估，总结痛点如下：

　　 综合监控系统的集成化越来越高，与各系统互联接口仅在应用层面进行访问控制，系统底层没有访问控制措施，很容易绕过应用层的控制措施，直接对变电站/所的供电系统进操作，对环控系统的PLC控制器进行操作。而与互联系统间通过通信处理机FEP进行接口通信，仅考虑功能实现，未对通信处理机上的通用操作系统进行安全加固，导致通信处理机容易成为攻击靶标并沦陷为网络攻击的跳板。

　　 综合监控系统工作站一般采用Windows系统，上线后基本不会对操作系统进行升级，系统上线前没有关闭掉多余的系统服务，以及系统的密码策略等进行安全加固等问题，系统安全配置薄弱，容易遭受攻击。

　　 地铁建设和运营公司未设置网络安全管理部门，未明确建设运营相关部门的安全职责和技能要求。同时普遍缺乏网络安全人才。

　　因此如何应对地铁综合监控系统面临的安全风险，是我们在新形势下迫切需要解决的现实问题。

　　2. 解决方案

　　启明星辰公司通过对轨道交通多年的研究，已经为北京、上海、深圳、成都、广州等城市地铁建设提供了网络安全服务，目前与80%以上已开通地铁城市建立了合作关系，通过100多个安全项目形成了独有的行业认识与经验，结合等保2.0的要求提出“边界防护隔离、内部监测审计、终端安全管理、集中管控预警” 的建设思路，建立“预测、防御、检测、响应”立体式的安全防护体系，实现安全威胁快速检测与有效防御。

　　 边界防护隔离

　　在控制中心、车站、车辆段与各系统互联边界部署防火墙，实现冗余。通过防火墙实现综合监控系统与地铁运营非直接相关系统的访问控制，对数据包进行过滤，同时避免系统受到病毒入侵、非法入侵及未授权人员的非法访问，严格执行基于业务的访问控制机制。

　　 内部监测审计

　　在控制中心、车站、车辆段部署核心交换处旁路部署入侵检查、网络审计，对网络操作行为进行细粒度审计的合规性管理。通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产的正常运营。

　　 终端安全管理

　　在控制中心、车站、车辆段部署杀毒软件、终端管理、网络准入系统对终端设备进行病毒防护、进程白名单、移动存储介质、客户端接入进行管理。

　　 集中管控预警

　　在控制中心部署态势感知系统、漏洞扫描和配置核查系统，对分布在控制中心、车辆段、停车场和各车站的防火墙、入侵检测系统、网络审计系统和主机防护软件进行集中管控。统一设置安全策略、补丁升级和病毒库更新等安全事项。对综合监控系统的网络链路、网络设备、安全设备、服务器、工作站进行集中监测。收集、存储和分析全线的安全日志，对有潜在威胁的安全事件进行识别和报警，定期生成安全报表。

　　在控制中心部署运维安全网关对综合监控系统的网管子系统和维护子系统的远程运维操作进行认证、授权、监控和审计，实现对网管和运维人员的双因素认证。

　　3. 方案价值

　　启明星辰综合监控解决方案，是目前针对综合监控系统安全比较全面的解决方案，方案对综合监控系统进行实时在线的监测、预警、防护、评估和控制，构建轨道交通信息安全一体化平台，同时也满足法律法规要求，为轨道交通工业控制系统正常运行提供全面的网络空间信息安全保障。

　　责任编辑：广汉