不让地铁停在隧道中——某市地铁综合监控系统安全防护案例

发布时间 2018-10-15

设想一下

下班了,你坐地铁回家
开开心心的听着歌
突然
地铁停在了隧道中
灯光瞬间熄灭
火灾报警铃声响起
地铁门却打不开
这可不是什么法术
有可能是不法分子发动的网络攻击


2016年某市地铁综合监控系统建设接近尾声时,公安机关检查发现其未按等级保护要求建设,地铁业主非常重视,得知澳门浦京娱乐场不仅是网络安全行业的领航企业,而且已在地铁行业有较多成功经验,所以紧急召集澳门浦京娱乐场技术人员进行方案探讨和设计,澳门浦京娱乐场技术人员在深入探讨分析后,总结出其系统存在以下安全风险和安全需求。


(1)综合监控系统未进行安全域划分和域间访问控制,由于综合监控系统集成了诸多子系统,很容易出现因某一子系统的问题引起其它系统故障。

(2)缺少信息安全风险监控技术,不能及时了解发现入侵行为、病毒、网络访问异常、网络拥塞等问题,出现问题后需依靠人员经验排查。

(3)操作员站均为Windows系统,在运维和使用过程中允许使用U盘,通过U盘,很容易传染病毒、木马等威胁,且操作员站上未安装防病毒App,很可能发生因病毒导致的系统瘫痪或不能正常运行。

(4)第三方人员运维系统时无审计措施,出现问题后很难取证。


澳门浦京娱乐场方案部


2016年中下旬,安全设备与综合监控系统在仿真环境中进行测试联调。


在中央控制中心设置安全管理区域,划分独立VLAN,部署工控安全管理平台、工控漏洞扫描和安全配置核查,在综合监控系统与AFC\PIS\CLK\PA等其他系统的接口处部署工业防火墙,在中心的核心交换机上部署工控异常监测系统, 部署如下图所示:


1,工业控制信息安全管理平台

工控信息安全管理系统对所有安全信息进行统一管理,统一呈现。基于流发现异常和访问关系,关联日志发现潜在威胁,同时检测PSCADA、BAS的业务异常——在具体业务中,系统发出控制命令是特定的、有限的,将正确的数据包作为标准,就可以快速发现异常数据包。


2,工业防火墙


工业防火墙可以控制外部系统(如信号、AFC等)对综合监控系统,以及综合监控系统内部不同区域之间(如中央到车站)的访问控制,对数据包进行过滤,严格实行白名单机制,实现保护。工业防火墙还可以对工业控制协议进行深度解析,通过预设,自学习等方法识别非法或违规的工业控制指令及控制参数,并进行阻断,避免工业控制设备受到网络攻击。

工业防火墙对于网络中的工控协议MODBUS的安全防护如下:
 

3,工控异常检测系统

工控异常检测通过对系统中的应用层协议进行深度解析检验协议格式,并与规则策略对比验证内容合规性,可实现对应用系统的入侵检测和分析业务操作异常。能自动发现工业网络中的活动设备,设备开放的端口以及设备的网络连接,并通过预设、自学习等方法制定白名单策略,自动监视异常的违规业务。可对网络中传播的病毒、木马以及对系统已知漏洞的攻击行为进行检测。

在集成商仿真环境中工控异常检测系统有效检测出网络中的基于MODBUS协议的模拟攻击行为,实现告警。


4,漏洞扫描系统


漏洞扫描系统能够快速发现网络资产,准确识别资产属性,全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助安全人员在弱点全面评估的基础上实现安全自主掌控。

5,配置核查

安全基线配置核查系统是检查安全配置的自动化工具,可对主机设备、网络设备、安全设备、数据库、中间件等系统配置进行安全检查。检查内容应包括操作系统和网络设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等和安全相关配置,帮助安全人员对操作站主机进行定期检查和安全加固。配置检查结果如下:
 

通过该项目的建设,不仅对综合监控系统进行了安全防护,而且满足等级保护建设要求并通过等保测评,2017年地铁上半年已上线运行,目前运行稳定。

综合监控系统作为地铁四大系统之一,不仅所有的地铁都会建设此系统,而且目前也从原来只集成PSCADA、BAS等系统会扩展到集成信号系统。综合监控系统的网络安全问题在地铁系统中是非常突出的问题,澳门浦京娱乐场集团从2014年开始拓展工控安全业务研究时就针对地铁行业的系统进行安全防护研究及设计。截止目前已经为深圳、北京、广州、南京、武汉、西安、重庆、成都、长沙、厦门、上海、苏州、温州、柳州、南宁、杭州、宁波、郑州、乌鲁木齐、长春等各大城市的地铁系统如信号系统(CBTC)、综合监控系统(ISCS)、自动售检标系统(AFC)、通信系统、线网中心系统的安全提供防护建设等,持续不断地为人民安全出行保驾护航。