建設(shè)背景

綜合監(jiān)控系統(tǒng)（ISCS）必須保證與相關(guān)系統(tǒng)間信息迅速、準(zhǔn)確、可靠的傳送，必須保證實現(xiàn)被集成系統(tǒng)的全部功能。綜合監(jiān)控系統(tǒng)面向的對象為控制中心的電調(diào)、環(huán)調(diào)、維調(diào)和總調(diào)（值班主任）及車站的值班站長、值班員，還要面向維修中心和車輛段管理；綜合監(jiān)控系統(tǒng)應(yīng)能采集、處理集成與互聯(lián)系統(tǒng)的必要設(shè)備故障信息，以方便系統(tǒng)的維護和管理。但隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與綜合監(jiān)控系統(tǒng)深度融合，綜合監(jiān)控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語音廣播、視頻監(jiān)控等其他子系統(tǒng)互聯(lián)，甚至與公共網(wǎng)絡(luò)連接，造成病毒、木馬等威脅向綜合監(jiān)控系統(tǒng)擴散。一旦綜合監(jiān)控系統(tǒng)的信息安全出現(xiàn)漏洞，將對城市軌道交通的穩(wěn)定運行和旅客的人身安全造成重大影響。

建設(shè)目標(biāo)

綜合監(jiān)控系統(tǒng)作為城市軌道交通不可或缺的系統(tǒng)，其安全運行及其重要，本方案針對城市軌道交通綜合監(jiān)控系統(tǒng)，通過安全管理方案設(shè)計以及安全技術(shù)方案設(shè)計，提出一個基于縱深防御的分域安全防護與運維保障體系，同時基于信息安全等級保護對綜合監(jiān)控系統(tǒng)的要求，本方案在對綜合監(jiān)控系統(tǒng)的信息安全防護現(xiàn)狀進行分析的基礎(chǔ)上，能夠滿足信息系統(tǒng)等級保護（三級）基本要求以及綜合監(jiān)控系統(tǒng)的特殊安全需求：

1. 通過評估找出綜合監(jiān)控系統(tǒng)安全防護與等級保護要求的差距

2. 通過安全咨詢，滿足信息系統(tǒng)等級保護（三級）提出的安全管理要求

3. 通過技術(shù)防護方案的設(shè)計，滿足信息系統(tǒng)等級保護（三級）提出的安全技術(shù)要求

4. 通過運維方案，使綜合監(jiān)控系統(tǒng)持續(xù)符合檢查評估

綜合監(jiān)控系統(tǒng)安全防護現(xiàn)狀分析

（1）網(wǎng)絡(luò)邊界安全問題

綜合監(jiān)控系統(tǒng)的在網(wǎng)絡(luò)邊界的安全防護方面存在如下問題：

1. 綜合監(jiān)控系統(tǒng)集成的子系統(tǒng)較多（例如PSCADA、FAS、BAS等），各集成子系統(tǒng)的安全級別不一樣，綜合監(jiān)控系統(tǒng)缺乏與集成子系統(tǒng)的網(wǎng)絡(luò)隔離措施，各系統(tǒng)之間存在互相訪問的可能性；

2. 綜合監(jiān)控系統(tǒng)互聯(lián)的子系統(tǒng)較多（例如SIG、AFC、PIS等），各互聯(lián)子系統(tǒng)的安全級別不一樣，綜合監(jiān)控系統(tǒng)缺乏與互聯(lián)子系統(tǒng)的網(wǎng)絡(luò)隔離措施，各系統(tǒng)之間存在互相訪問的可能性；

3. 傳統(tǒng)信息安全產(chǎn)品不識別綜合監(jiān)控系統(tǒng)業(yè)務(wù)流量，缺少為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

4. 傳統(tǒng)信息安全產(chǎn)品不能對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，不能實現(xiàn)對應(yīng)用層協(xié)議命令級的控制；

綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)圖

（2）工作站、服務(wù)器安全問題

綜合監(jiān)控系統(tǒng)的工作站、服務(wù)器和相關(guān)控制設(shè)備存在如下安全問題：

1. 工作站和服務(wù)器采用通用的操作系統(tǒng)，操作系統(tǒng)的漏洞直接影響綜合監(jiān)控系統(tǒng)的安全運行；

2. 工作站和服務(wù)器的外設(shè)接口沒有統(tǒng)一的管理，尤其是USB接口，此類通用接口是惡意軟件傳播的主要途徑；

3. 工作站和服務(wù)器安裝的軟件沒有管理和控制，即時通信、游戲等非業(yè)務(wù)軟件可以隨意安裝；

4. 采用傳統(tǒng)防病毒軟件（部分工作站甚至無法安裝殺毒軟件），無法及時更新惡意代碼庫，且影響系統(tǒng)穩(wěn)定性；

5. 傳統(tǒng)防病毒軟件無法對進程的完整性進行檢測，并在檢測到完整性受到破壞后不具有恢復(fù)能力；

（3）操作異常安全問題

綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)的流量和操作等行為存在如下安全問題：

1. 無法查看綜合監(jiān)控網(wǎng)絡(luò)內(nèi)的流量情況，缺少對網(wǎng)絡(luò)流量的監(jiān)測與分析能力；

2. 無法識別針對綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的入侵滲透、惡意代碼傳播等網(wǎng)絡(luò)攻擊行為；

3. 缺乏對非授權(quán)設(shè)備接入綜合監(jiān)控網(wǎng)絡(luò)的行為進行識別和檢查的能力；

4. 缺乏對業(yè)務(wù)流量進行安全審計的能力，發(fā)生安全事件后無法快速追蹤和溯源；

5. 缺乏對綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)的威脅評估和風(fēng)險識別能力；

（4）運維管理安全問題

綜合監(jiān)控系統(tǒng)的管理與運維方面，不同運營公司的管理情況參差不齊，主要存在如下方面的問題：

1. 未設(shè)立專門的信息安全崗位，信息安全的管理和維護由業(yè)務(wù)部門按照自己的理解進行管理和維護，缺少統(tǒng)一的管理運維工具。

2. 信息安全制度不完善，在制度執(zhí)行過程中普遍存在不到位或不嚴(yán)格的情況。

3. 在日常運行維護過程中普遍存在諸如介質(zhì)未采用有效的手段進行管理和防護，容易造成病毒入侵和敏感信息泄露的風(fēng)險。

4. 存在賬號共享、弱口令、未定期更改密碼的問題，綜合監(jiān)控系統(tǒng)的用戶權(quán)限普遍缺乏定期回顧檢查，容易造成越權(quán)、權(quán)限濫用導(dǎo)致的安全事故。

5. 安全防護應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問題，缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容，無法在真正的事故中及時響應(yīng)和恢復(fù)系統(tǒng)并最終影響到企業(yè)生產(chǎn)。

6. 綜合監(jiān)控系統(tǒng)的部署、策略配置等主要依賴廠商或系統(tǒng)集成商，對第三方人員缺乏嚴(yán)格的管控制度，容易造成敏感信息泄密或誤操作的風(fēng)險。

7. 工控系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)缺乏，大多數(shù)地鐵公司并未開展過綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的專項教育和培訓(xùn)。工控網(wǎng)絡(luò)安全的意識相對比較薄弱，對系統(tǒng)性的信息安全了解不夠。

8. 由于設(shè)備和服務(wù)器眾多，賬號管理混亂，授權(quán)不清、各種越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生。據(jù)資料統(tǒng)計，在對網(wǎng)絡(luò)造成嚴(yán)重?fù)p害的案例中，有 70％是組織里的內(nèi)部人員所為。

安全技術(shù)方案設(shè)計

安全體系技術(shù)層面設(shè)計主要是依據(jù)信息系統(tǒng)等級保護（三級）中的技術(shù)要求而設(shè)計。分別從以下方面進行設(shè)計：

（1）安全區(qū)域邊界

為滿足等級保護建設(shè)對訪問控制、邊界完整性檢查、惡意代碼防范等基本安全要求，在系統(tǒng)與互聯(lián)接口之間部署工業(yè)防火墻，通過部署工業(yè)防火墻來實現(xiàn)隔離與訪問控制，工業(yè)防火墻能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對應(yīng)請求的服務(wù)類型）等信息執(zhí)行訪問控制規(guī)則，允許ISCS系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過該平臺，禁止其他應(yīng)用的連接請求，以保障ISCS系統(tǒng)的安全性。

部署位置：在控制中心、車輛段、停車場及車站的ISCS系統(tǒng)與其他外部系統(tǒng)的網(wǎng)絡(luò)邊界部署硬件工業(yè)防火墻；

安全策略：在ISCS系統(tǒng)與互聯(lián)子系統(tǒng)接口處，通過工業(yè)防火墻來實現(xiàn)隔離與訪問控制，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對應(yīng)請求的服務(wù)類型）、時間、用戶名等信息執(zhí)行訪問控制規(guī)則，具體的訪問控制規(guī)則包括：

1. 允許ISCS系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過該平臺；

2. 其他訪問均被禁止；

工業(yè)防火墻部署示意圖——OCC

工業(yè)防火墻部署示意圖——車站

（2）安全通信網(wǎng)絡(luò)

為滿足等級保護建設(shè)對網(wǎng)絡(luò)安全的安全審計、入侵防范等基本安全要求，本方案通過在控制中心、車輛段和車站的ISCS系統(tǒng)骨干網(wǎng)交換機等關(guān)鍵業(yè)務(wù)節(jié)點旁路部署監(jiān)測審計設(shè)備，審計網(wǎng)絡(luò)數(shù)據(jù)流量。

工業(yè)安全審計系統(tǒng)部署示意圖——OCC

通過接收鏡像的網(wǎng)絡(luò)流量，分析ISCS系統(tǒng)網(wǎng)絡(luò)內(nèi)是否存在異常流量、違規(guī)操作等行為，同時基于網(wǎng)絡(luò)流量、協(xié)議和應(yīng)用進行全方位的審計記錄，以便發(fā)生安全事件后能夠快速對事件進行分析溯源。

部署位置：在控制中心的ISCS骨干網(wǎng)交換機處部署監(jiān)測與審計系統(tǒng)；

安全策略：在ISCS綜合監(jiān)控系統(tǒng)核心交換機處通過監(jiān)測審計通過交換機的業(yè)務(wù)。具體規(guī)則包括：

1. 檢測網(wǎng)絡(luò)攻擊事件：采用細(xì)粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效檢測各種攻擊和欺騙；

2. 審計、查詢策略：能夠完整記錄多種協(xié)議的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等信息，并按照相應(yīng)的協(xié)議格式進行回放，清楚再現(xiàn)入侵者的攻擊過程。同時必須對重要安全事件提供多種報警機制；

3. 網(wǎng)絡(luò)異常策略：在檢測過程中綜合運用多種檢測手段，在檢測的各個部分使用合適的檢測方式，采取基于行為的檢測，對數(shù)據(jù)包的特征進行分析，有效發(fā)現(xiàn)網(wǎng)絡(luò)中異

（3）安全計算環(huán)境

為滿足等級保護建設(shè)對主機的惡意代碼防范、入侵防范等基本安全要求，在系統(tǒng)中所有終端上安裝工控主機衛(wèi)士軟件，通過文件級白名單的方式從根本上扼制惡意代碼的運行，代替終端防病毒軟件。

主機防護系統(tǒng)集中監(jiān)管平臺部署示意圖——OCC

工控主機衛(wèi)士是專門針對工業(yè)控制系統(tǒng)的主機（服務(wù)器、操作員站等）進行安全防護與管理的軟件。該軟件基于“白名單”安全防護機制，充分利用應(yīng)用程序白名單技術(shù)的高安全、高性能、高功效等特點，實現(xiàn)了計算機系統(tǒng)啟動、加載和運行過程中的全生命周期的安全保證。

“白名單”，是指規(guī)則中設(shè)置的允許使用的名單列表，其意義是“好的”、“被允許的”；“應(yīng)用程序白名單”是一組應(yīng)用程序名單列表，在此列表中的應(yīng)用程序是允許在系統(tǒng)中運行，未在白名單列表中的程序?qū)⒈蛔柚惯\行或安裝。

工控主機衛(wèi)士提供嚴(yán)格的USB存儲設(shè)備管理。U盤、USB硬盤等存儲設(shè)備在接入工控主機使用前，必須先經(jīng)過使用授權(quán)。授權(quán)級別包括：讀寫、只讀、只寫，共三種權(quán)限。未經(jīng)授權(quán)的USB存儲設(shè)備不能使用，經(jīng)過授權(quán)的設(shè)備，也不能進行超越其權(quán)限的操作。通過授權(quán)管理，工控主機衛(wèi)士能夠有效防止文件泄密。同時，工控主機衛(wèi)士還會審計USB存儲設(shè)備的文件操作行為，為事后追責(zé)提供依據(jù)。

部署位置：在控制中心、車輛段、車站等處綜合監(jiān)控系統(tǒng)的工作站上安裝工控主機衛(wèi)士軟件。

安全策略：在所有工作站和服務(wù)器上安裝工控主機衛(wèi)士軟件，能夠有效防范針對工控系統(tǒng)的惡意軟件以及U盤等外設(shè)的管控，并執(zhí)行以下的安全策略：

1. 按照工作站的業(yè)務(wù)類型建立白名單；并對照所有的工作站所有的業(yè)務(wù)操作需要，確保白名單的完整性；

2. 白名單在導(dǎo)出備份時，需確保白名單的完整性；

（4）風(fēng)險評估系統(tǒng)

風(fēng)險評估系統(tǒng)旨在提升綜合監(jiān)控系統(tǒng)整體安全風(fēng)險自評能力，形成定期風(fēng)險評估的可持續(xù)性安全運維模式。

1)  統(tǒng)一安全管理

根據(jù)綜合監(jiān)控系統(tǒng)資產(chǎn)的安全特性出發(fā)，分析綜合監(jiān)控系統(tǒng)的威脅來源與自身脆弱性，歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險，并給出實施綜合監(jiān)控系統(tǒng)風(fēng)險評估的指導(dǎo)性建議，促進我國工業(yè)控制系統(tǒng)信息安全檢查工作。以實現(xiàn)以下風(fēng)險評估目標(biāo)：

部署位置：控制中心中央級綜合監(jiān)控系統(tǒng)核心交換機旁路部署風(fēng)險評估系統(tǒng)。

風(fēng)險評估系統(tǒng)部署示意圖——OCC 

（5）運維管理

綜合監(jiān)控系統(tǒng)的安全防護設(shè)計，從網(wǎng)絡(luò)邊界安全、主機終端安全、流量行為安全等不同維度部署了相應(yīng)的防護設(shè)備和軟件進行縱深防御，那么多種技術(shù)類型的防護效果如何，安全產(chǎn)品是否形成安全防護的合力，構(gòu)成縱深防護的整體，需要對綜合監(jiān)控系統(tǒng)的整體運維管理提供技術(shù)支撐。

1)  統(tǒng)一安全管理

為滿足等級保護建設(shè)對監(jiān)控管理和安全管理中心的基本安全要求，本方案在控制中心核心交換機上旁路部署安全管理平臺，其他工業(yè)安全審計系統(tǒng)和工業(yè)防火墻的管理口就近接入綜合監(jiān)控系統(tǒng)骨干網(wǎng)中，這樣方便運營方對綜合監(jiān)控系統(tǒng)部署的所有的安全防護設(shè)備進行統(tǒng)一管理和維護，以及提高全面的安全態(tài)勢感知能力。

2)  安全運維管理

實現(xiàn)綜合監(jiān)控系統(tǒng)的遠(yuǎn)程維護審計、統(tǒng)一維護賬戶管控等功能，在控制中核心交換機上旁路部署堡壘機，系統(tǒng)通過邏輯上將人和目標(biāo)設(shè)備分離，建立“人→自然人賬號（用戶賬號）→授權(quán)→設(shè)備賬號（目標(biāo)設(shè)備賬號）→目標(biāo)設(shè)備”的管理模式。在此模式下，通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接，實現(xiàn)集中精細(xì)化運維操作管控與審計。

部署位置

控制中心中央級綜合監(jiān)控系統(tǒng)核心交換機旁路部署安全集中監(jiān)管平臺。

控制中心中央級綜合監(jiān)控系統(tǒng)核心交換機旁路部署堡壘機。

安全集中監(jiān)管平臺部署示意圖——OCC

堡壘機部署示意圖——OCC

本方案設(shè)計的技術(shù)防護方案部分主要是以安全產(chǎn)品的部署來消除等保測評中的高風(fēng)險項，而對于物理安全的要求，需要通過機房建設(shè)等相關(guān)措施滿足；對于網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和運維管理其他方面的要求，則通過安全配置等措施來實現(xiàn)。