1.  項目背景介紹

隨著(zhù)信息化的發(fā)展，地鐵信號系統的業(yè)務(wù)開(kāi)展也越來(lái)越依托于網(wǎng)絡(luò )平臺，但縱觀(guān)當前的安全形勢，各種安全事件層出不窮，而在廣州地鐵五號線(xiàn)信號系統的網(wǎng)絡(luò )中，安全設備較少，前期購買(mǎi)的安全設備也漸漸不能滿(mǎn)足地鐵信號系統目前的網(wǎng)絡(luò )安全需求，嚴重影響了地鐵信號系統的安全性和可靠性。通過(guò)對地鐵信號系統信息化現狀調研、分析，結合等級保護在在安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、在安全管理人員、安全建設管理、安全運維管理等方面的要求，逐步完善信息安全組織、落實(shí)安全責任制，開(kāi)展管理制度建設、技術(shù)措施建設，落實(shí)等級保護制度的各項要求，使得單位信息系統安全管理水平明顯提高，安全保護能力明顯增強，有效保障信息化健康發(fā)展。

·   2017年6月1日正式生效的《中華人民共和國網(wǎng)絡(luò )安全法》中明確規定 “國家實(shí)行網(wǎng)絡(luò )安全等級保護制度” ，并明確 “國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！?/p>

·   新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》標準（即等保2.0）中也明確定義了針對工業(yè)控制系統的安全要求，要求安全的工業(yè)控制系統解決方案需要具備相應的安全審計功能。

·   “中國制造2025”及工信部的《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》均對工控信息安全提出了新的要求，工控系統的安全運營(yíng)離不開(kāi)堅實(shí)的工控安全保障。

2.  項目目標與原則

本項目根據國家《信息安全等級保護管理辦法》（公通字[2007]43號）、《中華人民共和國計算機信息系統安全保護條例》（國務(wù)院令第147號）和《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護實(shí)施指南》的要求，依據信息安全等級保護制度的基本原則，通過(guò)確定信號系統的網(wǎng)絡(luò )邊界及在本系統的規劃設計中，遵循信息系統安全等級保護相關(guān)標準規范，從技術(shù)和管理兩個(gè)維度進(jìn)行安全保障方案的設計，以確保本系統的安全保護能力符合相應等級的安全要求。

3.  項目實(shí)施與應用

（1）信號系統的邊界隔離防護

地鐵某線(xiàn)路運營(yíng)控制中心的前端處理器 C-FEP連接MCS的以太網(wǎng)邊界屬于外部系統，需要進(jìn)行邊界防護，采用FortiGate 101F NGFW下一代防火墻，進(jìn)行安全域隔離、網(wǎng)絡(luò )防病毒和入侵防護功能。保證數據傳輸的安全性和實(shí)現網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制。系統采用冗余架構的方式部署，保證網(wǎng)絡(luò )通訊的健壯性、穩定性和高可用性。

（2）西門(mén)子工控安全態(tài)勢感知系統（SSM）

在控制中心部署西門(mén)子工控安全態(tài)勢感知系統SSM，用于日志采集和集中的日志審計。通過(guò)主動(dòng)、被動(dòng)手段，實(shí)時(shí)不間斷地采集用戶(hù)網(wǎng)絡(luò )中不同廠(chǎng)商的安全設備、網(wǎng)絡(luò )設備、主機、操作系統、以及各種應用系統產(chǎn)生的海量日志信息，并將這些信息進(jìn)行集中化存儲、備份、查詢(xún)、審計等，實(shí)現全生命周期的日志管理。

西門(mén)子工控安全態(tài)勢感知系統（SSM）總體的系統架構如下圖：

SSM系統架構圖

（3）基于主機Trend Micro OfficeScan + 網(wǎng)絡(luò )防火墻的惡意軟件檢測及預防

在windows終端上部署Trend Micro OfficeScan，提供基于黑名單和白名單的主機安全防護。它能夠防護計算機和網(wǎng)絡(luò )病毒、惡意軟件、間諜軟件、基于Web的威脅，甚至是混合型的攻擊。同時(shí)在網(wǎng)絡(luò )邊界上部署NGFW，使得惡意代碼在通過(guò)網(wǎng)絡(luò )進(jìn)行傳播時(shí)進(jìn)一步得到限制。通過(guò)主機+網(wǎng)絡(luò )兩層防護使得信息安全能夠產(chǎn)生聯(lián)動(dòng)效應，進(jìn)一步降低惡意軟件帶來(lái)的威脅。

（4）工控多引擎惡意代碼掃描工作站（Scanning Station）（備選）

離線(xiàn)部署工控多引擎惡意代碼掃描工作站（Scanning Station）, 型號為Scanning Station v3.0，提供針對可移動(dòng)存儲介質(zhì)的多引擎惡意代碼掃描，同時(shí)把掃描結果通過(guò)前端防火墻上傳到SSM服務(wù)器，SSM服務(wù)器根據查殺結果通知安裝在上位機上的日志采集代理檢測及管控可移動(dòng)存儲介質(zhì)及U盤(pán)。

對于不可拆解無(wú)法取出硬盤(pán)的的計算機工作站等，可通過(guò)工控多引擎惡意代碼掃描設備多引擎查殺USB，型號為便攜式病毒掃描設備，查殺計算機或工作站，實(shí)現上位機、服務(wù)器及新接入到系統中的設備的病毒查殺。

Scanning Station使用場(chǎng)景示意圖

（5）等保體系認證與咨詢(xún)

2019年5月13日，網(wǎng)絡(luò )安全等級保護制度2.0標準正式發(fā)布，等保2.0標準在1.0標準的基礎上，注重在全方位主動(dòng)防、安全可信、動(dòng)態(tài)感知和全面審計，實(shí)現了對傳統信息系統、基礎信息網(wǎng)絡(luò )、云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統等保護對象的全覆蓋。

等保2.0結構示意圖

（6）信號系統集成測試

地鐵信號系統是整個(gè)地鐵安全準點(diǎn)運行的核心控制系統，對于整體系統的穩定度有非常高的要求，系統需要356天全年無(wú)故障運行，在等保項目實(shí)施期間，需要配合信號系統的超高可靠性要求，配合客戶(hù)進(jìn)行相關(guān)系統測試穩定度測試。確保系統運行正常。

4.  效益分析

√  項目執行不對正常系統運行造成干擾；

√  實(shí)現對全種類(lèi)惡意代碼的安全防護；

√  安全方案實(shí)時(shí)不對現有系統造成變更；

√  全國地鐵客流量最大的地鐵集團安全項目（2022）；

√  為地鐵信號系統開(kāi)發(fā)一套安全解決方案，其中包括防火墻、防病毒系統、補丁管理、用戶(hù)管理，以及系統加固措施，工控安全態(tài)勢感知系統SSM；

√  在地鐵正常運營(yíng)期間完成安全方案部署；

√  為地鐵信號系統提供持續安全防護；

√  降低安全風(fēng)險的同時(shí)保證了生產(chǎn)可用性；

√  零信息安全事故/病毒感染。

傳統地鐵信號系統，尤其是部分歷史悠久的地鐵信號系統由于建設時(shí)間較早，系統較為陳舊，近年來(lái)，一直受到黑客的多種攻擊。加之老舊系統與現代安全設備及軟件之間存在不兼容性，在確保系統穩定運行與采用先進(jìn)的安全技術(shù)持續進(jìn)行升級及維護之間無(wú)法找到優(yōu)秀的兼容點(diǎn)。通過(guò)成功實(shí)施西門(mén)子為地鐵信號系統定制化后的解決方案，使地鐵信號系統在滿(mǎn)足國家等保三級要求的同時(shí)，也能維持系統的兼容穩定，同時(shí)融入先進(jìn)的現代化信息安全技術(shù)，在技術(shù)與制度上共同努力，進(jìn)一步增強地鐵信號系統的安全和可靠性。

西門(mén)子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富，從離散控制、過(guò)程控制到運動(dòng)控制，幾乎都能找到成套的解決方案，這就意味著(zhù)對OT系統有著(zhù)深入的了解和實(shí)踐經(jīng)驗，這些都有助于OT安全的實(shí)施和部署，可以快速的搭建測試環(huán)境；可以預見(jiàn)和規避一些風(fēng)險；可以方便的獲得內部專(zhuān)家的支持。