1. 行業需求
-
應能夠滿足國家對關鍵基礎設施的安全建設要求,針對業務系統的業務特點、重要性因素來構架不同等級的安全防護體系。從安全技術體系和安全管理體系兩個層面保障軌道交通信號系統安全;
-
計算環境的需求:1)系統業務終端、服務器和網絡設備的系統登錄需要強化身份認證機制,尤其在進行日常維護操作時要求可以防止惡意用戶非法進入系統實施破壞。2)需要加強可信接入控制,要求可以防止區域內外到業務系統的非法連接。3)加強對內部移動介質使用的控制,需通過技術手段輔助管理辦法的方式。4)需要加強審計功能,對各種操作行為進行記錄。
-
區域邊界的要求:需要加強系統內不同區域邊界保護,交換信息時,需要在邊界處實施強的控制,對進入區域的信息實施強制訪問控制,同時需要對信息交換的行為進行嚴格的主體身份認證以及行為審計,以防止跨域的惡意攻擊行為,尤其在信號系統對外接口部分,包括但不限于ISCS,PIS,PSCADA等。
-
監測審計的需求:需要對系統內部的網絡通信的流量進行嚴格的控制,包括時間戳,源、目的IP,協議,端口和操作指令、內容等。
-
安全集中管理的要求:需加強統一管理平臺的建設,通過采用由安全管理平臺統一管理的安全策略管理、安全審計管理等安全措施,對各層面的終端、服務器、網絡設備的集中統一的配置和監控,統一制定整個系統的安全策略,實現系統運行狀態始終可控,以達到防內為主,內外兼防的目標。
2. 解決方案
-
嚴格按照國家等級保護的需求進行安全體系的建立,安全框架的構建;
-
通過在關鍵主機和服務器上部署工控主機衛士,利用白名單技術,采用主動防御的方式來實現對惡意病毒木馬的隔離,保障信號系統的運行安全和數據安全,同時避免由傳統的防病毒產品對信號系統(國家基礎設施系統)的不適用;
-
對主機和服務器的外設接口(USB,CDROM等)進行讀寫管控,可配置禁止所有移動存儲設備、允許所有移動存儲設備、允許特定移動存儲設備,可配置USB讀寫權限控制,封閉了惡意的程序、代碼通過“擺渡”的方式進行傳播的途徑;
-
在信號系統與對外接口之間部署工業防火墻設備,利用傳統防火墻包過濾技術和工業防火墻對工業協議深度分析技術對各區域的訪問行為進行嚴格的控制,通過“白環境”思想,建立“白環境”對來自不同區域的惡意操作和入侵行為進行阻止和防范;
-
在各級交換系統內部署監測和審計平臺,同樣利用“白環境”思想,建立“白環境”通信行為基線。通過對各級交換系統間的通信流量進行深度分析,利用流量中的元素(時間、IP、協議、指令)來判斷各級操作的合法性;
-
結合信號系統業務特點,對各級維護人員進行權限分析,通過部署堡壘機對維護人員進行身份鑒別,保證每個維護人員的身份的合法性,保證每個維護操作指令的合法性;
-
通過部署統一管理平臺對網絡設備、網絡使用情況、各主機和服務器的使用現狀、各安全裝備的使用現狀等進行監控, 同時利用采集的信息進行內部數據分析,聯動工控主機衛士、監測與審計平臺、可信網關,根據實際需求輸出不同類型、不同維度的分析報告。
3. 客戶價值
-
滿足國家等級保護政策需求、滿足工信部工業控制系統安全防護指南中的技術需求;
-
通過建設不同維度的安全產品,形成一個以安全管理平臺為中心的縱深防御的安全體系,真正做到“進不來-拿不走-打不開-改不了—賴不掉”。