北京地铁16号线PIS安全专题技术方案(二级)

系统安全方案
1、用户需求
本系统设计符合GBT 22239-2008 信息安全技术信息系统安全等级保护基本要求中所规定的安全防护等级2级的要求。

系统具有防病毒功能，可由中心统一升级病毒库。

2、编制依据
《GBT 22239-2008 信息安全技术信息系统安全等级保护基本要求》
3、系统安全分析
3.1安全目标
地铁PIS系统的安全建设总体目标是：系统采用S-MIS架构，安全保护等级高于《计算机信息系统安全保护等级划分准则》（GB17859-1999）中第三级即安全标记保护级的要求。

本系统着重加强网络安全和应用系统安全建设，针对可能遇到的各种安全威胁和风险，采取行之有效的安全措施，保障系统中信息的保密性、完整性和可用性。

确保系统能够安全、稳定、可靠地运行。

根据招标要求，我们认为地铁PIS系统系统安全的具体目标包括：
（1）确保互连接口处的网络访问控制与隔离
与其他单位之间的网络连接使用高强度安全设备进行隔离。

网络之间通过防火墙进行网络隔离与网络级访问控制。

此外，在与各单位之间进行信息交换时，还应进行高强度的网络访问控制，严格限制用户的访问资源范围。

（2）确保移动接入系统的访问控制
对于内部移动用户和移动列车，应保证具有防止非法用户（节点）进入网络、抗攻击和抗信息在传输过程中被窃取、失密等安全功能。

（3）网络防病毒
采用网络防病毒的方式，构建起一套完整的防病毒体系。

（4）加强对重要信息数据及其相关重点服务器的保护
在物理环境安全、安全运营管理和数据安全保密等方面采取有效的技术手段，保证重要
信息的安全。

如在关键的服务器上配备主机入侵检测系统、主机脆弱性扫描系统、设置合理的备份和恢复系统、以及完善的机房监控和管理系统等。

（5）实现多级的访问控制
对网络中的计算机进行基于地址的粗粒度访问控制或基于用户及文件的细粒度访问控制。

访问控制措施对内部、外部访问者同样有效。

（6）建立网络安全评估体系
采用网络安全分析系统，定期评估网络的安全性，以便及时发现网络或系统漏洞，并制订提高网络安全强度的策略。

（7）完善安全管理机制
建立完善的安全管理机构及安全管理制度，实现安全管理培训制度化，制定有效措施保证系统安全措施的执行，强化安全管理。

3.2安全风险分析
北京地铁16号线PIS系统是一个面向公众提供信息服务的信息系统，使用对象包括地铁运维人员、其它信息发布单位（广告客户）、乘客等。

其主要存在以下安全风险和安全威胁：
线路传输过程中数据被非法窃取和篡改
通过无线网络传输是PIS的关键应用，需要足够的安全性。

相对于有线网络，无线的方式更容易受到攻击、窃听等。

车载无线单元与AP之间在传递数据前，必须建立授权并关联关系。

同时应采用如下几种方法提高无线网络的安全性：
●应采用定向天线，并在满足需求的前提下，尽量减少电波覆盖的范围；
●对无线接入设备实施基于802.1x的安全认证，如LEAP；
●无线设备对传输的信息提供基于128位的WEP加密；
●把不同类型的数据经由不同的VLAN进行传输；
●在网络层建议建立VPN隧道，进一步提高经由无线传输信息的保密性、完整性和
有效性。

操作系统和应用平台的安全隐患
本系统采用的操作系统和应用平台许多为国外的系统，难免存在已经公开的漏洞和未发现的后门等，这些都可能被攻击者利用。

协议的开放性带来的安全威胁
TCP/IP作为网络互联和信息交互的主要协议，目前是大多数网络和信息系统均采用的协议标准，该系统也不例外。

TCP/IP协议族是完全公开的，为大家所熟知，并且在局域网中，存在任一用户都可以通过运行网络监测或嗅探软件获得局域网内其它用户收发的全部信息的可能，从而造成涉密信息的泄露。

非授权操作和访问威胁
网络为PIS中心与车站两级管理人员的运营管理提供了便利，但与此同时大量原来以文件、图表、音视频等电子数据存放的信息将分布存放在若干服务器和计算机上，并且通过网络可以进行访问和信息共享，增加了信息非法使用的机会。

尤其对关键信息，其接触和访问和发布对象应为指定人员，并且要求操作和访问的权限应与业务要求一致，防止非授权或越权的操作和访问。

病毒威胁
病毒是一类特殊的安全威胁，它以多形态和新技术的面目出现，可能从任意一台联网计算机进入网络，同时病毒在网络上传播的速度是普通单机上的20倍，因而存在巨大的破坏性，严重威胁着网络和信息的安全。

特别是病毒对涉密信息系统的攻击，除造成系统和信息的被破坏外，还将造成政府秘密信息的泄露和涉密业务系统被非法控制的严重威胁。

管理和人为因素引入的安全威胁
有效的安全管理工作应作到：安全保密体系统一规划，安全保密目标明确、措施得力；安全规章完备并有监督机制保证。

有效的安全管理需要技术和管理两手抓，并且应相互补充和完善。

根据以往的经验教训来看，在影响信息安全的各种因素中，人为因素造成的安全威胁往往比其它因素更大。

如不使用密码机进行涉密通信或存贮保护、将个人身份卡随便放置、保卫工作的松懈造成的失窃等，都极有可能给别有用心的人造成可乘之机。

3.3安全策略
根据上述安全目标和风险分析，制定下述安全策略：
综合应用加密、认证、访问控制、审计管理技术，网络安全技术，防病毒等技术，保证对涉密信息在出、入、存、传、管的各环节，均能够使非授权者进不来、读不懂、取不走、用不了。

遵循系统安全性与可用性兼容原则，并做到软件环境平台，业务软件开发，安全保密保障和业务应用的安全保密分离。

4、本系统采取安全措施
4.1保证防护等级2级的措施
本系统设计符合GBT 22239-2008 信息安全技术信息系统安全等级保护基本要求中所规定的安全防护等级2级的要求。

主要采取如下措施：
1、所有操作终端、播放控制器等主机操作系统均采用用户名、密码登录方式；
2、所有应用系统均有权限控制措施，只要具备权限的操作着才能使用，且所有操作均有日
志记录，做到谁操作、谁负责；
3、所有服务器、操作终端在交付前均通过漏洞扫描，不存在已知的安全漏洞；
4、所有交换机、路由器等网络设备均由原厂商提供升级服务；
5、数据库定期备份，遇到系统崩溃等事故时，可以快速恢复数据。

6、在户外设备均采取防雨、防雷、防火、防盗措施。

4.2入侵防御系统
本系统采用H3C SecPath T1000-C IPS（Intrusion Prevention System）作为安全防护系统，其集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

SecPath T1000-C IPS主要由以下特点：
4.2.1强大的入侵抵御能力
SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。

配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

4.2.2专业的病毒查杀
SecPath T1000-C IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

4.2.3零时差的应用保护
H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。

同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

4.2.4带宽滥用控制
SecPath T1000-C IPS能帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

4.2.5网络基础设施保护
SecPath T1000-C IPS具有强大的攻击防护和流量模型自学习能力，当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击，保证关键业务的通畅。

4.2.6灵活的组网模式
透明模式，即插即用，支持在线或IDS旁路方式部署；融合了丰富的网络特性，可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网。

4.2.7便捷的管理方式
支持本地和分布式管理。

在单台或小规模部署时，通过IPS内置的Web界面进行图形化管理；在大规模部署时，可通过H3C 安全管理中心SecCenter对分布部署的IPS进行统一监控、分析与策略管理。

4.2.8高性能高可靠性
领先的多核架构及分布式搜索检测引擎，确保SecPath IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。

通过掉电保护（PFC）、二层回退、双机热备等高可靠性设计，保证IPS在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。