2023地鐵信號系統(tǒng)等級保護（三級）實施方案

——PAGE411———PAGE412—地鐵信號系統(tǒng)等級保護（三級）實施方案——基于CBTC系統(tǒng)的工控防護解決方案目錄TOC\o"1-2"\h\u31405一、項目概況 321738項目背景 420453項目簡介 429263項目目標 532686二、項目實施概況 511692項目總體架構和主要內容 617810安全架構 827573安全及可靠性 830075三、項目創(chuàng)新點和實施效果 921131項目先進性及創(chuàng)新點 916225實施效果 9引言：企業(yè)概況XXX，項目建設的政策、業(yè)務創(chuàng)新等驅動因素等用專家。工業(yè)網(wǎng)絡安全場景化應用認知和落地能力業(yè)界領先。隨著計算機和網(wǎng)絡技術的發(fā)展，特別是信息化與信號系統(tǒng)深度融合，CBTCPIS網(wǎng)CBTCCBTC系統(tǒng)的信息安全出現(xiàn)漏洞，將對城市軌道交通的穩(wěn)定運行和旅客的人身安全造成重大影響。GB/T22239CBTC和標準，建設滿足信息系統(tǒng)安全等級（三級）要求的防護方案。一、項目概況是針對Y（三級項目背景目前基于無線局域網(wǎng)的CBTCCBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，PIS網(wǎng)絡、語音廣播等公共網(wǎng)絡連接，造成病毒、木馬等威脅向CBTCCBTC系統(tǒng)的信息安全出現(xiàn)漏洞，將對城市軌道交通的生產(chǎn)運行和國家安全造成重大隱患。YGB/T22239-2008《信息安全技術技術架構和標準，按信息系統(tǒng)安全等級（三級）要求建設、實施。目前Y（TY要求，將Y市某號線信號系統(tǒng)信息安全保護等級定為三級（S33。項目簡介本方案針對Y（三級部署建議與選型建議。項目目標依據(jù)工信部《工業(yè)控制系統(tǒng)信息安全防護指南》指導要求，結合信息安全等級保護（三級）符合性要求，軌道交通信號系統(tǒng)安全防護建設目標如下：完善軌道交通信號系統(tǒng)安全防護技術體系：梳理、分析軌道網(wǎng)絡整體情況，從網(wǎng)絡層次劃分、網(wǎng)絡分區(qū)分域、網(wǎng)絡邊界劃分、縱深防御等方面提供適用于軌道交通信號系統(tǒng)的網(wǎng)絡規(guī)劃思路；完善軌道交通信號系統(tǒng)安全防護管理體系：完善軌道交通信號系統(tǒng)安全防護運維體系：風險和盲區(qū)，為完善軌道交通運維平臺提供解決思路。Y市某號線信號系統(tǒng)進行細致的分析，并結合等級保護（三級基本要求以及信號系統(tǒng)的特殊安全需求提出一個基于縱深防御的分域安全防護Y級保護三級測評工作。二、項目實施概況統(tǒng)領性描述。結合等級保護（三級）Y市項目總體架構和主要內容為提升成熟軌道交通各子系統(tǒng)網(wǎng)絡安全防護能力，長揚科技在充分了解CBTC、ISCS、、PIS等系統(tǒng)的網(wǎng)絡結構和安全現(xiàn)狀的基礎上，深度融合軌定運行網(wǎng)絡邊界安全防護CBTC、ISCS、PIS等系系統(tǒng)之間存在互聯(lián)接口，但缺乏可靠的技術隔離手（PISISCS等智能保護平臺)IPMACIP地址、MAC地址、應用協(xié)議及應用數(shù)據(jù)，包括生產(chǎn)數(shù)據(jù)上傳和調度指令的下發(fā)；支持FTPHTTPModbus/TCPOPC、IEC-104、MMS、DNP3等并且能夠對各類數(shù)據(jù)包進行快速有針對性的捕獲與深網(wǎng)絡。在控制中心ATS與各區(qū)域邊界位置部署工業(yè)防火墻。實現(xiàn)隔離與訪問控制，（服務類型、時間、用戶名等信息執(zhí)行訪問控制規(guī)則識別工控網(wǎng)絡中已知的安全威脅。網(wǎng)絡流量安全絡安全，發(fā)現(xiàn)異常行為及病毒木馬。主機安全防護端口狀態(tài)，以白統(tǒng)一安全管理用戶最大化的了解自身工業(yè)控制網(wǎng)絡，以及提高全面的安全態(tài)勢感知能力。信號系統(tǒng)網(wǎng)絡安全部署示意圖如下所示：安全架構

圖1信號系統(tǒng)網(wǎng)絡安全部署示意圖S7，Modbus/TCP，Profinet，Ethernet/IP在配置方式上，采用WEB配置IP理進行顛覆式的功能改進，幫助用戶最大化的了解自身工業(yè)控制網(wǎng)絡。安全及可靠性本項目不僅僅是Y市軌道交通信號系統(tǒng)信息安全防護試點項目，更是為軌22239-200827001安全管理指南，使建成后的等級保護體系：1、資產(chǎn)安全以資產(chǎn)安全為核心，資產(chǎn)管理包括安全設備管理、工控設備管檢測出資產(chǎn)的異常行為。2、區(qū)域防護借鑒了縱深防御的思想，形成以邊界監(jiān)測、區(qū)域監(jiān)測、終端監(jiān)測的防護體系。三、項目創(chuàng)新點和實施效果項目先進性及創(chuàng)新點全系列的工控安全產(chǎn)品提供全系列工控安全產(chǎn)品，可以滿足不同工控系統(tǒng)信息安全防護項目的需要。一鍵式部署產(chǎn)品采用EB配置，不需要串口線、CLI，方便現(xiàn)場實施部署，所有黑名單調整安全規(guī)則及保護策略之間的沖突，簡化部署過程硬件平臺安全硬2)MTBF3)網(wǎng)端口，并支持千兆以太網(wǎng)。實施效果層面生產(chǎn)網(wǎng)邊界，實現(xiàn)網(wǎng)絡接口安全；通過區(qū)域隔離，結合黑\白名單的訪問控日常維護管理。完善了Y市軌道交通信號系統(tǒng)信息安全保護體系，為等保測評的順利通過提供了安全保障。入侵檢測：SQLDoS、Stuxnet等各類黑客攻擊和惡意流量進行實時檢測及報警，發(fā)現(xiàn)APT攻擊和工業(yè)工業(yè)協(xié)議深度解析：目前已經(jīng)支持的工控協(xié)議深度解析是OPC，S7，Modbus/TCP，Profinet，Ethernet/IP等