安全資訊

建設背景

綜合監控系統（ISCS）必須保證與相關(guān)系統間信息迅速、準確、可靠的傳送，必須保證實(shí)現被集成系統的全部功能。綜合監控系統面向的對象為控制中心的電調、環(huán)調、維調和總調（值班主任）及車(chē)站的值班站長(cháng)、值班員，還要面向維修中心和車(chē)輛段管理；綜合監控系統應能采集、處理集成與互聯(lián)系統的必要設備故障信息，以方便系統的維護和管理。但隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與綜合監控系統深度融合，綜合監控系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò )、語(yǔ)音廣播、視頻監控等其他子系統互聯(lián)，甚至與公共網(wǎng)絡(luò )連接，造成病毒、木馬等威脅向綜合監控系統擴散。一旦綜合監控系統的信息安全出現漏洞，將對城市軌道交通的穩定運行和旅客的人身安全造成重大影響。

建設目標

綜合監控系統作為城市軌道交通不可或缺的系統，其安全運行及其重要，本方案針對城市軌道交通綜合監控系統，通過(guò)安全管理方案設計以及安全技術(shù)方案設計，提出一個(gè)基于縱深防御的分域安全防護與運維保障體系，同時(shí)基于信息安全等級保護對綜合監控系統的要求，本方案在對綜合監控系統的信息安全防護現狀進(jìn)行分析的基礎上，能夠滿(mǎn)足信息系統等級保護（三級）基本要求以及綜合監控系統的特殊安全需求：

1. 通過(guò)評估找出綜合監控系統安全防護與等級保護要求的差距

2. 通過(guò)安全咨詢(xún)，滿(mǎn)足信息系統等級保護（三級）提出的安全管理要求

3. 通過(guò)技術(shù)防護方案的設計，滿(mǎn)足信息系統等級保護（三級）提出的安全技術(shù)要求

4. 通過(guò)運維方案，使綜合監控系統持續符合檢查評估

綜合監控系統安全防護現狀分析

（1）網(wǎng)絡(luò )邊界安全問(wèn)題

綜合監控系統的在網(wǎng)絡(luò )邊界的安全防護方面存在如下問(wèn)題：

1. 綜合監控系統集成的子系統較多（例如PSCADA、FAS、BAS等），各集成子系統的安全級別不一樣，綜合監控系統缺乏與集成子系統的網(wǎng)絡(luò )隔離措施，各系統之間存在互相訪(fǎng)問(wèn)的可能性；

2. 綜合監控系統互聯(lián)的子系統較多（例如SIG、AFC、PIS等），各互聯(lián)子系統的安全級別不一樣，綜合監控系統缺乏與互聯(lián)子系統的網(wǎng)絡(luò )隔離措施，各系統之間存在互相訪(fǎng)問(wèn)的可能性；

3. 傳統信息安全產(chǎn)品不識別綜合監控系統業(yè)務(wù)流量，缺少為數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力；

4. 傳統信息安全產(chǎn)品不能對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，不能實(shí)現對應用層協(xié)議命令級的控制；

綜合監控系統網(wǎng)絡(luò )架構圖

（2）工作站、服務(wù)器安全問(wèn)題

綜合監控系統的工作站、服務(wù)器和相關(guān)控制設備存在如下安全問(wèn)題：

1. 工作站和服務(wù)器采用通用的操作系統，操作系統的漏洞直接影響綜合監控系統的安全運行；

2. 工作站和服務(wù)器的外設接口沒(méi)有統一的管理，尤其是USB接口，此類(lèi)通用接口是惡意軟件傳播的主要途徑；

3. 工作站和服務(wù)器安裝的軟件沒(méi)有管理和控制，即時(shí)通信、游戲等非業(yè)務(wù)軟件可以隨意安裝；

4. 采用傳統防病毒軟件（部分工作站甚至無(wú)法安裝殺毒軟件），無(wú)法及時(shí)更新惡意代碼庫，且影響系統穩定性；

5. 傳統防病毒軟件無(wú)法對進(jìn)程的完整性進(jìn)行檢測，并在檢測到完整性受到破壞后不具有恢復能力；

（3）操作異常安全問(wèn)題

綜合監控系統網(wǎng)絡(luò )內的流量和操作等行為存在如下安全問(wèn)題：

1. 無(wú)法查看綜合監控網(wǎng)絡(luò )內的流量情況，缺少對網(wǎng)絡(luò )流量的監測與分析能力；

2. 無(wú)法識別針對綜合監控系統網(wǎng)絡(luò )內部的入侵滲透、惡意代碼傳播等網(wǎng)絡(luò )攻擊行為；

3. 缺乏對非授權設備接入綜合監控網(wǎng)絡(luò )的行為進(jìn)行識別和檢查的能力；

4. 缺乏對業(yè)務(wù)流量進(jìn)行安全審計的能力，發(fā)生安全事件后無(wú)法快速追蹤和溯源；

5. 缺乏對綜合監控系統網(wǎng)絡(luò )的威脅評估和風(fēng)險識別能力；

（4）運維管理安全問(wèn)題

綜合監控系統的管理與運維方面，不同運營(yíng)公司的管理情況參差不齊，主要存在如下方面的問(wèn)題：

1. 未設立專(zhuān)門(mén)的信息安全崗位，信息安全的管理和維護由業(yè)務(wù)部門(mén)按照自己的理解進(jìn)行管理和維護，缺少統一的管理運維工具。

2. 信息安全制度不完善，在制度執行過(guò)程中普遍存在不到位或不嚴格的情況。

3. 在日常運行維護過(guò)程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護，容易造成病毒入侵和敏感信息泄露的風(fēng)險。

4. 存在賬號共享、弱口令、未定期更改密碼的問(wèn)題，綜合監控系統的用戶(hù)權限普遍缺乏定期回顧檢查，容易造成越權、權限濫用導致的安全事故。

5. 安全防護應急預案存在事故預想不全面、內容不完整、相關(guān)要求缺乏可操作性等問(wèn)題，缺少演練、培訓和更新的相關(guān)內容，無(wú)法在真正的事故中及時(shí)響應和恢復系統并最終影響到企業(yè)生產(chǎn)。

6. 綜合監控系統的部署、策略配置等主要依賴(lài)廠(chǎng)商或系統集成商，對第三方人員缺乏嚴格的管控制度，容易造成敏感信息泄密或誤操作的風(fēng)險。

7. 工控系統網(wǎng)絡(luò )安全培訓缺乏，大多數地鐵公司并未開(kāi)展過(guò)綜合監控系統網(wǎng)絡(luò )安全的專(zhuān)項教育和培訓。工控網(wǎng)絡(luò )安全的意識相對比較薄弱，對系統性的信息安全了解不夠。

8. 由于設備和服務(wù)器眾多，賬號管理混亂，授權不清、各種越權訪(fǎng)問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生。據資料統計，在對網(wǎng)絡(luò )造成嚴重損害的案例中，有 70％是組織里的內部人員所為。

安全技術(shù)方案設計

安全體系技術(shù)層面設計主要是依據信息系統等級保護（三級）中的技術(shù)要求而設計。分別從以下方面進(jìn)行設計：

（1）安全區域邊界

為滿(mǎn)足等級保護建設對訪(fǎng)問(wèn)控制、邊界完整性檢查、惡意代碼防范等基本安全要求，在系統與互聯(lián)接口之間部署工業(yè)防火墻，通過(guò)部署工業(yè)防火墻來(lái)實(shí)現隔離與訪(fǎng)問(wèn)控制，工業(yè)防火墻能夠根據數據包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務(wù)類(lèi)型）等信息執行訪(fǎng)問(wèn)控制規則，允許ISCS系統和其他互聯(lián)系統正常業(yè)務(wù)數據穿過(guò)該平臺，禁止其他應用的連接請求，以保障ISCS系統的安全性。

部署位置：在控制中心、車(chē)輛段、停車(chē)場(chǎng)及車(chē)站的ISCS系統與其他外部系統的網(wǎng)絡(luò )邊界部署硬件工業(yè)防火墻；

安全策略：在ISCS系統與互聯(lián)子系統接口處，通過(guò)工業(yè)防火墻來(lái)實(shí)現隔離與訪(fǎng)問(wèn)控制，能夠根據數據包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務(wù)類(lèi)型）、時(shí)間、用戶(hù)名等信息執行訪(fǎng)問(wèn)控制規則，具體的訪(fǎng)問(wèn)控制規則包括：

1. 允許ISCS系統和其他互聯(lián)系統正常業(yè)務(wù)數據穿過(guò)該平臺；

2. 其他訪(fǎng)問(wèn)均被禁止；

工業(yè)防火墻部署示意圖——OCC

工業(yè)防火墻部署示意圖——車(chē)站

（2）安全通信網(wǎng)絡(luò )

為滿(mǎn)足等級保護建設對網(wǎng)絡(luò )安全的安全審計、入侵防范等基本安全要求，本方案通過(guò)在控制中心、車(chē)輛段和車(chē)站的ISCS系統骨干網(wǎng)交換機等關(guān)鍵業(yè)務(wù)節點(diǎn)旁路部署監測審計設備，審計網(wǎng)絡(luò )數據流量。

工業(yè)安全審計系統部署示意圖——OCC

通過(guò)接收鏡像的網(wǎng)絡(luò )流量，分析ISCS系統網(wǎng)絡(luò )內是否存在異常流量、違規操作等行為，同時(shí)基于網(wǎng)絡(luò )流量、協(xié)議和應用進(jìn)行全方位的審計記錄，以便發(fā)生安全事件后能夠快速對事件進(jìn)行分析溯源。

部署位置：在控制中心的ISCS骨干網(wǎng)交換機處部署監測與審計系統；

安全策略：在ISCS綜合監控系統核心交換機處通過(guò)監測審計通過(guò)交換機的業(yè)務(wù)。具體規則包括：

1. 檢測網(wǎng)絡(luò )攻擊事件：采用細粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效檢測各種攻擊和欺騙；

2. 審計、查詢(xún)策略：能夠完整記錄多種協(xié)議的內容。記錄內容包括，攻擊源IP、攻擊類(lèi)型、攻擊目標、攻擊時(shí)間等信息，并按照相應的協(xié)議格式進(jìn)行回放，清楚再現入侵者的攻擊過(guò)程。同時(shí)必須對重要安全事件提供多種報警機制；

3. 網(wǎng)絡(luò )異常策略：在檢測過(guò)程中綜合運用多種檢測手段，在檢測的各個(gè)部分使用合適的檢測方式，采取基于行為的檢測，對數據包的特征進(jìn)行分析，有效發(fā)現網(wǎng)絡(luò )中異

（3）安全計算環(huán)境

為滿(mǎn)足等級保護建設對主機的惡意代碼防范、入侵防范等基本安全要求，在系統中所有終端上安裝工控主機衛士軟件，通過(guò)文件級白名單的方式從根本上扼制惡意代碼的運行，代替終端防病毒軟件。

主機防護系統集中監管平臺部署示意圖——OCC

工控主機衛士是專(zhuān)門(mén)針對工業(yè)控制系統的主機（服務(wù)器、操作員站等）進(jìn)行安全防護與管理的軟件。該軟件基于“白名單”安全防護機制，充分利用應用程序白名單技術(shù)的高安全、高性能、高功效等特點(diǎn)，實(shí)現了計算機系統啟動(dòng)、加載和運行過(guò)程中的全生命周期的安全保證。

“白名單”，是指規則中設置的允許使用的名單列表，其意義是“好的”、“被允許的”；“應用程序白名單”是一組應用程序名單列表，在此列表中的應用程序是允許在系統中運行，未在白名單列表中的程序將被阻止運行或安裝。

工控主機衛士提供嚴格的USB存儲設備管理。U盤(pán)、USB硬盤(pán)等存儲設備在接入工控主機使用前，必須先經(jīng)過(guò)使用授權。授權級別包括：讀寫(xiě)、只讀、只寫(xiě)，共三種權限。未經(jīng)授權的USB存儲設備不能使用，經(jīng)過(guò)授權的設備，也不能進(jìn)行超越其權限的操作。通過(guò)授權管理，工控主機衛士能夠有效防止文件泄密。同時(shí)，工控主機衛士還會(huì )審計USB存儲設備的文件操作行為，為事后追責提供依據。

部署位置：在控制中心、車(chē)輛段、車(chē)站等處綜合監控系統的工作站上安裝工控主機衛士軟件。

安全策略：在所有工作站和服務(wù)器上安裝工控主機衛士軟件，能夠有效防范針對工控系統的惡意軟件以及U盤(pán)等外設的管控，并執行以下的安全策略：

1. 按照工作站的業(yè)務(wù)類(lèi)型建立白名單；并對照所有的工作站所有的業(yè)務(wù)操作需要，確保白名單的完整性；

2. 白名單在導出備份時(shí)，需確保白名單的完整性；

（4）風(fēng)險評估系統

風(fēng)險評估系統旨在提升綜合監控系統整體安全風(fēng)險自評能力，形成定期風(fēng)險評估的可持續性安全運維模式。

1)  統一安全管理

根據綜合監控系統資產(chǎn)的安全特性出發(fā)，分析綜合監控系統的威脅來(lái)源與自身脆弱性，歸納出工業(yè)控制系統面臨的信息安全風(fēng)險，并給出實(shí)施綜合監控系統風(fēng)險評估的指導性建議，促進(jìn)我國工業(yè)控制系統信息安全檢查工作。以實(shí)現以下風(fēng)險評估目標：

部署位置：控制中心中央級綜合監控系統核心交換機旁路部署風(fēng)險評估系統。

風(fēng)險評估系統部署示意圖——OCC 

（5）運維管理

綜合監控系統的安全防護設計，從網(wǎng)絡(luò )邊界安全、主機終端安全、流量行為安全等不同維度部署了相應的防護設備和軟件進(jìn)行縱深防御，那么多種技術(shù)類(lèi)型的防護效果如何，安全產(chǎn)品是否形成安全防護的合力，構成縱深防護的整體，需要對綜合監控系統的整體運維管理提供技術(shù)支撐。

1)  統一安全管理

為滿(mǎn)足等級保護建設對監控管理和安全管理中心的基本安全要求，本方案在控制中心核心交換機上旁路部署安全管理平臺，其他工業(yè)安全審計系統和工業(yè)防火墻的管理口就近接入綜合監控系統骨干網(wǎng)中，這樣方便運營(yíng)方對綜合監控系統部署的所有的安全防護設備進(jìn)行統一管理和維護，以及提高全面的安全態(tài)勢感知能力。

2)  安全運維管理

實(shí)現綜合監控系統的遠程維護審計、統一維護賬戶(hù)管控等功能，在控制中核心交換機上旁路部署堡壘機，系統通過(guò)邏輯上將人和目標設備分離，建立“人→自然人賬號（用戶(hù)賬號）→授權→設備賬號（目標設備賬號）→目標設備”的管理模式。在此模式下，通過(guò)基于唯一身份標識的集中賬號與訪(fǎng)問(wèn)控制策略，與各服務(wù)器、網(wǎng)絡(luò )設備等無(wú)縫連接，實(shí)現集中精細化運維操作管控與審計。

部署位置

控制中心中央級綜合監控系統核心交換機旁路部署安全集中監管平臺。

控制中心中央級綜合監控系統核心交換機旁路部署堡壘機。

安全集中監管平臺部署示意圖——OCC

堡壘機部署示意圖——OCC

本方案設計的技術(shù)防護方案部分主要是以安全產(chǎn)品的部署來(lái)消除等保測評中的高風(fēng)險項，而對于物理安全的要求，需要通過(guò)機房建設等相關(guān)措施滿(mǎn)足；對于網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全和運維管理其他方面的要求，則通過(guò)安全配置等措施來(lái)實(shí)現。