智慧交通行業(yè)-工業(yè)互聯(lián)網(wǎng)安全解決方案

智慧交通行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決方案目錄1. 工業(yè)互聯(lián)網(wǎng)安全概述 41.1 工業(yè)互聯(lián)網(wǎng)概述 41.2 工業(yè)互聯(lián)網(wǎng)安全架構(gòu) 41.3 工業(yè)互聯(lián)網(wǎng)典型安全問(wèn)題 52. 智慧交通行業(yè)典型安全解決方案 82.1 案例一：城市軌道交通信息系統(tǒng)安全解決方案 83.1.1 概述 83.1.2 典型安全問(wèn)題 83.1.3 解決方案 83.1.4 典型部署 93.1.5 小結(jié) 102.2 案例二：某市地鐵綜合監(jiān)控系統(tǒng)安全解決方案 103.2.1 案例概述 103.2.2 典型安全需求 113.2.3 安全解決方案 113.2.4 小結(jié) 162.3 案例三：公車(chē)管家系統(tǒng)安全解決方案 16 案例概述 17 典型安全需求 17 安全解決方案 18 方案特點(diǎn) 20 小結(jié) 202.4 案例四：軌道交通信息系統(tǒng)安全解決方案 203.4.1 概述 213.4.2 典型安全需求 213.4.3 解決方案 213.4.4 典型部署 223.4.5 小結(jié) 243. 結(jié)束語(yǔ) 25前言2025工業(yè)互聯(lián)網(wǎng)安全概述工業(yè)互聯(lián)網(wǎng)概述工業(yè)互聯(lián)網(wǎng)安全架構(gòu)圖1工業(yè)互聯(lián)網(wǎng)安全體系1設(shè)備安全操作系統(tǒng)安全、相關(guān)應(yīng)用軟件安全以及功能安全等。網(wǎng)絡(luò)安全是指工廠內(nèi)有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)的安全，以及工廠外與用戶、協(xié)作企業(yè)等實(shí)現(xiàn)互聯(lián)的公共網(wǎng)絡(luò)安全。控制安全PLC、DCS、SCADA等。應(yīng)用安全各類(lèi)移動(dòng)應(yīng)用；數(shù)據(jù)安全部數(shù)據(jù)（如用戶數(shù)據(jù)）等各類(lèi)數(shù)據(jù)的安全。工業(yè)互聯(lián)網(wǎng)典型安全問(wèn)題IT的安全威脅，也面臨以物理攻擊為主的信息通信技術(shù)（ICT）的安全威脅。未來(lái)工業(yè)互聯(lián)網(wǎng)安全主要面臨以下幾方面的問(wèn)題：（如無(wú)人工廠、自動(dòng)駕駛。上述因素導(dǎo)致一些安全端到端生產(chǎn)模式下的網(wǎng)絡(luò)安全問(wèn)題。（IPIT控制安全問(wèn)題OT性要求高，諸如認(rèn)證、授權(quán)和加密等需要附加開(kāi)銷(xiāo)的信息安全功能被舍棄。OTOT層，從工廠外滲透到工廠內(nèi)。遺憾的是，目前缺乏有效的應(yīng)對(duì)APT（Advanced3PersistentThreat，高級(jí)持續(xù)性威脅）攻擊檢測(cè)和防護(hù)手段。令業(yè)界最為擔(dān)心的是控制安全問(wèn)題最接近物理實(shí)體安全。從某種意義上，物理空間的損害成為現(xiàn)實(shí)。應(yīng)用安全問(wèn)題求多樣，因此對(duì)工業(yè)應(yīng)用的業(yè)務(wù)隔離能力、網(wǎng)絡(luò)安全保障能力要求都將提高。數(shù)據(jù)安全問(wèn)題OT傳遞造成影響，對(duì)重要工業(yè)數(shù)據(jù)以及用戶數(shù)據(jù)保護(hù)的難度也陡然增大。決的問(wèn)題，其中終端設(shè)備安全、生產(chǎn)控制系統(tǒng)安全和數(shù)據(jù)安全尤為急迫。智慧交通行業(yè)典型安全解決方案置優(yōu)化，為社會(huì)提供更安全、更高效、更便捷、更舒適的交通運(yùn)輸服務(wù)。本案例匯編包括三個(gè)智能交通行業(yè)的典型安全解決方案。案例一：城市軌道交通信息系統(tǒng)安全解決方案概述防護(hù)，特別是信號(hào)系統(tǒng)的全面防護(hù)。典型安全問(wèn)題統(tǒng)未部署任何安全措施；無(wú)法識(shí)別工業(yè)專(zhuān)有協(xié)議；運(yùn)維人員缺乏必要的權(quán)限管理、監(jiān)控審計(jì)措施；信號(hào)系統(tǒng)各環(huán)節(jié)各自為戰(zhàn)，缺乏統(tǒng)一的安全管理。解決方案對(duì)關(guān)鍵主機(jī)和服務(wù)器進(jìn)行安全防護(hù)和移動(dòng)存儲(chǔ)介質(zhì)管理阻止各類(lèi)已信號(hào)系統(tǒng)外的非授權(quán)訪問(wèn)，有效抑制病毒、木馬在信號(hào)系統(tǒng)網(wǎng)絡(luò)中的傳播和擴(kuò)散，13保障列車(chē)運(yùn)行安全；為工業(yè)控制網(wǎng)絡(luò)安全事件調(diào)查提供依據(jù)；每個(gè)維護(hù)人員的身份及操作指令的合法性；安全日志進(jìn)行匯總分析。典型部署圖7工控網(wǎng)絡(luò)安全部署拓?fù)浼軜?gòu)U盤(pán)保證主機(jī)間數(shù)據(jù)交換安全；在信號(hào)系統(tǒng)與對(duì)外接口之間部署工業(yè)防火墻，運(yùn)用“白名單+智能學(xué)出信號(hào)系統(tǒng)；（IP作的合法性；險(xiǎn)的目的；在控制中心、車(chē)輛段部署統(tǒng)一管理平臺(tái)，對(duì)工控主機(jī)衛(wèi)士、監(jiān)測(cè)審計(jì)平臺(tái)、小結(jié)本解決方案具備如下特點(diǎn)：中的技術(shù)需求；深防御的安全體系，真正做到“進(jìn)不來(lái)-拿不走-打不開(kāi)-案例二：某市地鐵綜合監(jiān)控系統(tǒng)安全解決方案地鐵綜合監(jiān)控系統(tǒng)(IntegratedSupervisoryandControlSystem)簡(jiǎn)稱(chēng)案例概述X（X的信息安全防護(hù)進(jìn)行了優(yōu)先考慮。典型安全需求極主動(dòng)措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。PSCADABASPSCADABAS的安全工作。警和告警，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。防范工作，特別是針對(duì)當(dāng)前發(fā)生頻率較高的攻擊做好預(yù)警和防范工作。信息存入后臺(tái)數(shù)據(jù)庫(kù)，并可生成事件處理和分析報(bào)告。安全解決方案安全防護(hù)方案以某市地鐵X號(hào)線一期工程綜合監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖進(jìn)行說(shuō)明：圖8綜合安全監(jiān)控系統(tǒng)架構(gòu)圖中：署在中央綜合監(jiān)控系統(tǒng)；工控信息安全管理系統(tǒng)與安全基線配置核查部署在停車(chē)場(chǎng)綜合監(jiān)控系統(tǒng)。需要說(shuō)明的是：停車(chē)場(chǎng)綜合監(jiān)控系統(tǒng)維護(hù)管理服務(wù)器具備windows環(huán)境，web該系統(tǒng)，從而實(shí)現(xiàn)工控信息安全管理與安全基線配置核查工作。工控信息安全管理系統(tǒng)合監(jiān)控維護(hù)管理服務(wù)器上。務(wù)器等資產(chǎn)管理、風(fēng)險(xiǎn)管理、事件管理、網(wǎng)管等功能。17圖9工控信息安全管理系統(tǒng)部署圖工控異常檢測(cè)系統(tǒng)PSCADABAS業(yè)務(wù)異常和入侵行為。圖10工控異常檢測(cè)系統(tǒng)部署圖工業(yè)防火墻工業(yè)防火墻為硬件設(shè)備，部署在中央綜合監(jiān)控系統(tǒng)管理服務(wù)、TCC數(shù)據(jù)接口區(qū)域網(wǎng)絡(luò)邊界處，串接在管理服務(wù)、TCC等上層數(shù)據(jù)接口與中央綜合OPCMODBUS深度協(xié)議解析。圖工控防火墻部署圖工控運(yùn)維審計(jì)系統(tǒng)X號(hào)線綜合監(jiān)控系統(tǒng)中的PLC維護(hù)完畢后帶回中心進(jìn)行數(shù)據(jù)同步。行存儲(chǔ)備份。19圖12工控運(yùn)維審計(jì)系統(tǒng)部署圖漏洞掃描系統(tǒng)理。圖13工控漏洞掃描系統(tǒng)部署圖安全基線配置核查系統(tǒng)安全基線配置核查系統(tǒng)具有通過(guò)遠(yuǎn)程方式或本地方式對(duì)IT資產(chǎn)進(jìn)行安全配置核圖14工控安全基線配置核查系統(tǒng)部署圖小結(jié)目的實(shí)施經(jīng)驗(yàn)可以為其他地鐵綜合監(jiān)控系統(tǒng)的安全防護(hù)作為參考。案例三：公車(chē)管家系統(tǒng)安全解決方案公車(chē)管家系統(tǒng)是基于運(yùn)營(yíng)商的車(chē)聯(lián)網(wǎng)“云-管-端”架構(gòu)設(shè)計(jì)的車(chē)輛管理系統(tǒng)，TSP平臺(tái)為政府和企事業(yè)單位提供車(chē)輛監(jiān)控等車(chē)聯(lián)網(wǎng)服務(wù)，實(shí)現(xiàn)清案例概述公車(chē)管家系統(tǒng)由多形態(tài)車(chē)載智能終端（OBD模塊、智能后視鏡、車(chē)機(jī)）營(yíng)商通信網(wǎng)絡(luò)（TD-LTE無(wú)線網(wǎng)）和TSP平臺(tái)（公車(chē)管家業(yè)務(wù)管理系統(tǒng)）分組成。車(chē)載智能終端收集車(chē)輛信息（GPS信息、速度信息、車(chē)輛狀態(tài)信息、故通過(guò)無(wú)線網(wǎng)絡(luò)傳送至TSP平臺(tái)，平臺(tái)分析處理后實(shí)時(shí)掌握車(chē)輛狀態(tài)，同時(shí)可以對(duì)車(chē)載智能終端絡(luò)數(shù)據(jù)傳輸?shù)陌踩孕枰M(jìn)行重點(diǎn)考慮。TSP平臺(tái)TSP平臺(tái)運(yùn)營(yíng)商通信網(wǎng)絡(luò)車(chē)載智能終端圖15公車(chē)管家系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖典型安全需求基于公車(chē)管家系統(tǒng)的系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)特點(diǎn)，其存在的主要安全需求如下：或侵害用戶權(quán)益。因此保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性是系統(tǒng)最主要的安全需求。的完整性和偽造信息的鑒別進(jìn)行有效保障。機(jī)制是系統(tǒng)安全運(yùn)行的必要保障。安全解決方案TSP6所示。T平臺(tái)T平臺(tái)業(yè)務(wù)加密網(wǎng)關(guān)移動(dòng)通信網(wǎng)絡(luò)4G遠(yuǎn)程管理終端車(chē)載智能安全終端業(yè)務(wù)數(shù)據(jù)管理數(shù)據(jù)密鑰管理系統(tǒng)圖16公車(chē)管家密碼安全系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖23TSPTSPTD-LTE管理數(shù)據(jù)的傳輸。PCSSL隧道，滿足用戶安全的查詢、管理系統(tǒng)信息的使用需求。公車(chē)管家密碼安全系統(tǒng)公車(chē)管家密碼安全系統(tǒng)終TF端模安塊全或套USB件Key車(chē)載SSL智VPNSSL能網(wǎng)VPN終關(guān)網(wǎng)端軟關(guān)或件PC業(yè)務(wù)類(lèi)軟件服務(wù)管應(yīng)用器理USB終TF端模安塊全或套USB件Key車(chē)載SSL智VPNSSL能網(wǎng)VPN終關(guān)網(wǎng)端軟關(guān)或件PC業(yè)務(wù)類(lèi)軟件服務(wù)管應(yīng)用器理USB服密終KEY務(wù)碼端軟機(jī)件應(yīng)用服務(wù)器SSLVPN客戶端網(wǎng)關(guān)類(lèi)軟件圖17公車(chē)管家密碼安全系統(tǒng)組成圖系統(tǒng)通過(guò)基于獨(dú)立硬件實(shí)現(xiàn)的符合國(guó)家商密標(biāo)準(zhǔn)的安全隧道實(shí)現(xiàn)對(duì)系統(tǒng)業(yè)TSPPCTSPTSP方案特點(diǎn)獨(dú)立硬件加密，安全穩(wěn)定國(guó)家商密認(rèn)證，自主可靠系統(tǒng)使用的密鑰格式、密碼算法和密碼協(xié)議符合國(guó)家商密標(biāo)準(zhǔn)，安全設(shè)備取得國(guó)家密碼管理局認(rèn)證的商用密碼產(chǎn)品型號(hào)。在線設(shè)備管控，實(shí)施快捷命周期管理，還支持對(duì)終端設(shè)備進(jìn)行實(shí)時(shí)在線安全管控。協(xié)議策略配置，靈活透明樣化使用需求。小結(jié)能夠有效提升系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性。案例四：軌道交通信息系統(tǒng)安全解決方案防護(hù)措施。25概述組成。ISCS主要由中央級(jí)系統(tǒng)、車(chē)站級(jí)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、仿真培訓(xùn)系統(tǒng)、設(shè)備維護(hù)管理系統(tǒng)等構(gòu)成，自動(dòng)售檢票系統(tǒng)（AFC）CBTC典型安全需求（ISCS、CBTC）缺乏防護(hù)措施，還未能形成有效防護(hù)體系。信息系統(tǒng)的安全防護(hù)還處在分散防護(hù)階段，缺少整體安全運(yùn)營(yíng)平臺(tái)。基于業(yè)務(wù)特點(diǎn)，主機(jī)操作系統(tǒng)和殺毒軟件不能及時(shí)升級(jí)，操作系統(tǒng)漏軟件不能有效應(yīng)對(duì)。U盤(pán)擺渡等方式進(jìn)行信息安全攻擊。CBTCWIFI信仍存在一定的安全風(fēng)險(xiǎn)。需要對(duì)運(yùn)維人員的身份進(jìn)行認(rèn)證管理，缺少對(duì)操作行為進(jìn)行審計(jì)。解決方案ISCS系統(tǒng)主機(jī)、服務(wù)器、AFC系統(tǒng)的中央計(jì)算機(jī)LCCSCSLE的主機(jī)進(jìn)行安全加固。ISCS、CBTC與其它系統(tǒng)邊界處進(jìn)行網(wǎng)絡(luò)隔離。ISCS系統(tǒng)、AFC系統(tǒng)、CBTC動(dòng)存儲(chǔ)設(shè)備，進(jìn)行安全防護(hù)，消除此處隱患。ISCS系統(tǒng)、AFCCBTC系統(tǒng)網(wǎng)絡(luò)進(jìn)行協(xié)議審計(jì)、流量審計(jì)，掌握網(wǎng)絡(luò)安全信息。WIFI通信被惡意入侵。研判、拓展的安全業(yè)務(wù)閉環(huán)，完成威脅處置。定期檢查：定期對(duì)封閉網(wǎng)絡(luò)的安全運(yùn)營(yíng)狀況進(jìn)行檢查。典型部署綜合監(jiān)控系統(tǒng)信息安全部署方案：圖18 ISCS安全方案部署示意圖AFC全加固，部署白名單工業(yè)主機(jī)安全防護(hù)軟件。行網(wǎng)絡(luò)隔離，部署工業(yè)安全網(wǎng)關(guān)。署工業(yè)安全網(wǎng)關(guān)。AFCU27專(zhuān)用，避免病毒通過(guò)U盤(pán)引入。制的工業(yè)安全審計(jì)設(shè)備，進(jìn)行協(xié)議審計(jì)、流量審計(jì)，掌握監(jiān)控網(wǎng)安全信息。WIFI通信被惡意入侵。安全運(yùn)營(yíng)：部署工業(yè)安全運(yùn)營(yíng)中心，對(duì)綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)流量進(jìn)行分析和整體安全運(yùn)營(yíng)。查。信號(hào)系統(tǒng)信息安全部署方案：圖19 CBTC安全方案部署示意圖CBTC白名單