地鐵交通信息系統(tǒng)安全解決方案

1、第 PAGE7 頁 共 NUMPAGES7 頁地鐵交通信息系統(tǒng)安全解決方案地鐵 交通信息系統(tǒng)安全解決方案軌道交通是城市重要的公共交通工具，信息系統(tǒng)安全關系到乘客人身安全和地鐵設備安全；因此，需要按照國家政策、標準要求，實施完善的、整體的安全防護措施。概述軌道交通信息系統(tǒng)主要由綜合監(jiān)控系統(tǒng)（ISCS）和信號系統(tǒng)（CBTC）組成。ISCS 主要由中央級系統(tǒng)、車站級系統(tǒng)、網(wǎng)絡管理系統(tǒng)、仿真培訓系統(tǒng)、設備維護管理系統(tǒng)等構成，自動售檢票系統(tǒng)（AFC）是綜合監(jiān)控系統(tǒng)的重要組成部分。CBTC 系統(tǒng)通過無線通信媒體來實現(xiàn)列車和地面設備的雙向通信，用以代替軌道電路作為媒體來實現(xiàn)列車運行控制。典型安全需求（1）目

2、前，軌道交通行業(yè)的信息安全主要側重于 IT 網(wǎng)絡安全防護，軌道交通的業(yè)務系統(tǒng)（ISCS、CBTC）缺乏防護措施，還未能形成有效防護體系。（2）信息系統(tǒng)的安全防護還處在分散防護階段，缺少整體安全運營平臺。（3）基于業(yè)務特點，主機操作系統(tǒng)和殺毒軟件不能及時升級，操作系統(tǒng)漏洞、病毒、木馬對綜合監(jiān)控系統(tǒng)和信號系統(tǒng)的主機造成威脅，基于黑名單的殺毒軟件不能有效應對。（4）雖然綜合監(jiān)控系統(tǒng)和信號系統(tǒng)為封閉網(wǎng)絡，但黑客仍可以借助應用軟件漏洞，通過 U 盤擺渡等方式進行信息安全攻擊。（5）目前的 CBTC 系統(tǒng)在車載和地面間通信部分主要采用 WIFI 通信，應用層采用專有算法進行加密，但由于各廠家加密實現(xiàn)代碼可

3、能存在缺陷，車地通信仍存在一定的安全風險。（6）需要對運維人員的身份進行認證管理，缺少對操作行為進行審計。解決方案（1）主機安全加固：在 ISCS 系統(tǒng)主機、服務器、AFC 系統(tǒng)的中央計算機系統(tǒng) LCC、各車站計算機系統(tǒng) SC、各車站終端設備 SLE 的主機進行安全加固。（2）網(wǎng)絡邊界隔離：在 ISCS、CBTC 與其它系統(tǒng)邊界處進行網(wǎng)絡隔離。（3）移動介質防護：針對 ISCS 系統(tǒng)、AFC 系統(tǒng)、CBTC 中使用專用的移動存儲設備，進行安全防護，消除此處隱患。（4）網(wǎng)絡安全審計：對 ISCS 系統(tǒng)、AFC 系統(tǒng)和 CBTC 系統(tǒng)網(wǎng)絡進行協(xié)議（5）審計、流量審計，掌握網(wǎng)絡安全信息。（6）無線入

4、侵防御：采用無線入侵防御系統(tǒng)，監(jiān)控非法無線熱點和可能的非法無線入侵。防止車地 WIFI 通信被惡意入侵。（7）安全運營：建設工業(yè)安全運營中心，遵循發(fā)現(xiàn)、阻斷、取證、溯源、研判、拓展的安全業(yè)務閉環(huán)，完成威脅處置。（8）定期檢查：定期對封閉網(wǎng)絡的安全運營狀況進行檢查。典型部署1.綜合監(jiān)控系統(tǒng)信息安全部署方案：圖 18 ISCS 安全方案部署示意圖（1）主機安全加固：在綜合監(jiān)控系統(tǒng)、AFC 系統(tǒng)的主機、服務器上進行安全加固，部署白名單工業(yè)主機安全防護軟件。（2）縱向分層隔離：中央綜合監(jiān)控系統(tǒng)與車站級綜合監(jiān)控系統(tǒng)的邊界處進行網(wǎng)絡隔離，部署工業(yè)安全網(wǎng)關。（3）橫向分區(qū)隔離：在綜合監(jiān)控系統(tǒng)與其它系統(tǒng)邊界處

5、進行網(wǎng)絡隔離，部署工業(yè)安全網(wǎng)關。（4）移動介質防護：針對綜合監(jiān)控系統(tǒng)、AFC 中使用專用安全 U 盤，專網(wǎng)27 專用，避免病毒通過 U 盤引入。（5）網(wǎng)絡安全審計：在綜合監(jiān)控網(wǎng)絡核心交換機處，部署基于鏡像流量機制的工業(yè)安全審計設備，進行協(xié)議審計、流量審計，掌握監(jiān)控網(wǎng)安全信息。（6）無線入侵防御：部署無線入侵防御系統(tǒng)，監(jiān)控非法無線熱點和可能的非法無線入侵，防止車地 WIFI 通信被惡意入侵。（7）安全運營：部署工業(yè)安全運營中心，對綜合監(jiān)控系統(tǒng)網(wǎng)絡流量進行分析，收集各安全設備的日志，結合定期導入的專業(yè)威脅情報大數(shù)據(jù)，進行威脅分析和整體安全運營。（8）定期檢查：配備臨檢工具箱，定期對封閉網(wǎng)絡的安全運

6、營狀況進行檢查。2.信號系統(tǒng)信息安全部署方案：圖 19 CBTC 安全方案部署示意圖（1）主機安全加固：在 CBTC 主機、服務器的主機上進行安全加固，部署白名單工業(yè)主機安全防護軟件。（2）移動介質防護：針對 CBTC 中使用專用安全 U 盤，專網(wǎng)專用，避免病毒通過 U 盤引入。（3）網(wǎng)絡安全隔離：在 CBTC 與其它系統(tǒng)邊界處進行網(wǎng)絡隔離，部署工業(yè)安全網(wǎng)關。（4）網(wǎng)絡安全審計：在 CBTC 網(wǎng)絡核心交換機處，部署基于鏡像流量機制 的工業(yè)安全審計設備，進行協(xié)議審計、流量審計，掌握監(jiān)控網(wǎng)安全信息。（5）無線入侵防御：部署無線入侵防御系統(tǒng)，監(jiān)控非法無線熱點和可能的非法無線入侵，防止車地 WIFI 通信被惡意入侵。（6）安全運營：部署工業(yè)安全運營中心，對信號系統(tǒng)網(wǎng)絡流量進行分析， 收集各安全設備的日志，結合定期導入的專業(yè)威脅情報大數(shù)據(jù)，進行威脅分析和整體安全運營。（7）定期檢查：配備臨檢工具箱，定期對封閉網(wǎng)絡的安全運營狀況進行檢查。小結軌道交通信息系統(tǒng)安全以網(wǎng)絡安全