解决方案
SOLUTION
地铁信号系统安全解决方案
背景介绍
城市轨道交通是现代化都市的重要基础设施,它安全、迅速、舒适、便利地在城市范围内运送乘客,最大限度的满足市民出行的需要。城市轨道交通信号系统通常由列车自动控制系统(Automatic Train Control,简称ATC)组成,ATC系统包括了列车自动监控系统(Automatic Train Supervision,简称ATS)、列车自动防护子系统(Automatic Train Protection,简称ATP)、列车自动运行系统(Automatic Train Operation,简称ATO)这三个子系统。三个子系统通过信息交换网络构成闭环系统,实现地面控制与车上控制结合、现地控制与中央控制结合,构成一个以安全设备为基础,集行车指挥、运行调整以及列车驾驶自动化等功能为一体的列车自动控制系统。
安全挑战
地铁信号系统采用标准化系统平台和应用开放标准的网络协议,其网络和数据存在如下安全隐患:
● 信号系统与常规的信息系统一样,会感染来自信息网络的恶意代码。
● 信号系统内缺少基于深度协议分析的异常检测和审计系统,当系统感染了恶意代码后,存在对底层执行系统发送非法指令的风险。
● 信号系统不同系统之间缺乏有效的访问控制措施。
● 信号系统操作站缺乏基线安全加固和防止恶意代码措施,存在高脆弱性。。
● 监测与审计技术不完备,需完善运维审计机制。
典型部署
监测审计
在集中站、控制中心、备用中心等交换机上旁路部署工控安全监测审计系统,对网络内传输的流量进行采集、分析和处理,结合特定的安全策略,对异常操作、攻击等行为进行事中告警、事后审计。
入侵检测
旁路部署入侵检测系统,对流量进行特征提取并与规则库进行匹配,快速有效识别出工业控制网络中存在的异常、攻击行为。
边界防护
在控制中心、备用中心等与互连系统接口间冗余部署工控防火墙,实现区域边界防护。
运维管控
在控制中心或车辆段部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求。
终端防护
在操作员站、工程师站上部署终端防护系统客户端实现终端安全加固、进程白名单管控和USB移动介质管控。
安全管理平台
在控制中心部署安全管理平台(含日志审计),对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。
客户价值
● 符合政策法规;
● 防止恶意病毒木马在信号系统中的工作站之间“串染”;
● 有效阻止工作站及相关服务器对信号系统的恶意攻击;
● 安全事件的事后审计和追溯事件源,协助管理员快速解决安全事件;
● 通过安全管理平台,有效提升工作效率,节省运维人力;
● 避免主机遭受恶意软件感染,避免其扩散,避免通过普通U盘感染主机;
● 及时发现产品漏洞主动防御;
● 各类针对网络和主机的攻击进行实时可视化展示;
● 管理操作人员对现场控制设备的各类行为,避免越权操作和误操作造成生产事故。
上一页
下一页
上一页
下一页
在线申请产品资料
版权所有 © 2021 杭州中电安科现代科技有限公司