威努特工控安全---轨道交通信号系统网络安全防护方案

轨道交通信号系统网络安全防护方案

建设背景

城市轨道交通信号系统是保证列车运行安全，实现行车指挥和列车运行现代化，提高运输效率的关键系统设备。目前城市轨道交通信号系统大多数采用基于无线局域网的CBTC系统，CBTC系统的可用性、可靠性等均能满足当前城市轨道交通安全高效运营的需要，是实现轨道交通高安全、高速度和高密度的最佳技术之一。

随着计算机和网络技术的发展，特别是信息化与信号系统深度融合，CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与PIS网络、语音广播、ISCS系统等网络互联互通，有可能造成病毒、木马等威胁向CBTC系统扩散，信号系统安全问题日益突出。特别是车地无线通信的应用，攻击者可以通过无线方式进行入侵和攻击。一旦CBTC 系统的信息安全出现漏洞，将对城市轨道交通的生产运行和国家安全造成重大隐患。

建设目标

针对轨道交通信号系统存在的安全问题，依据工信部《工业控制系统信息安全防护指南》指导要求，结合信息安全等级保护（三级）符合性要求，轨道交通信号系统安全防护建设目标如下：

●完善轨道交通信号系统安全防护技术体系：梳理、分析轨道网络整体情况，从网

络层次划分、网络分区分域、网络边界划分、纵深防御等方面提供适用于轨道交

通信号系统的网络规划思路；

●完善轨道交通信号系统安全防护管理体系：梳理轨道交通信号系统安全防护方面

的组织机构、管理制度、人员管理、系统建设管理、资源保障、监督检查等方面

的信息，进行需求分析并提出解决思路，为轨道交通信号系统管理体系建设及整

改工作提供参考；

●完善轨道交通信号系统安全防护运维体系：梳理、分析轨道交通信号系统的运维

体系，从运维管理制度、操作流程的规范化、关键技术控制点等方面提供运维体

系建设及完善思路，挖掘运维平台潜在风险和盲区，为完善轨道交通运维平台提

供解决思路。

解决方案

威努特以实时高效为前提、安全可靠为目标、主动防御为手段，为城市轨道交通信息系统的安全防护提供完整解决方案，从网络边界防护、主机安全加固、操作安全审计、入侵检测防范、安全运维管理等方面建设安全防护体系，全面覆盖轨道交通信号系统各个环节。威努特同时具备完善的工控安全服务体系，为用户提供安全评估、安全设计、安全建设和安全运维的全过程一站式解决方案。

1）方案架构

轨道交通信号系统网络安全防护方案涵盖控制中心、试车线、车辆段、培训中心等轨道交通重要组成部分，安全防护产品包括威努特可信网关、工控主机卫士、监测审计平台、安全管理平台，方案架构图如下所示：

●边界防护：在控制中心ATS与其互联的系统间（PIS、ISCS、PA、SCADA等）、号

系统与外部系统互联处等网络边界位置部署威努特可信网关，实现基于白名单机

制的纵深边界安全防护，防范传统网络攻击及工业攻击带来的安全风险。

●安全审计与入侵防范：在信息系统各主要区域汇聚交换机旁路部署威努特安全监

测审计平台，实现基于工业协议深度解析的识别与防范，对网络中的攻击行为、数据流量、重要操作等进行监测审计，用于事后回溯和网络分析。

●主机安全加固：在轨道交通信息系统中所有工作站上部署威努特工控主机卫士，

充分利用应用程序白名单技术的高安全、高性能、高功效等特点，有效防范已知未知病毒的入侵和攻击，实现了统启动、加载和运行过程中的全生命周期的安全保证。

●安全运维中心：在轨道交通信息系统中部署威努特统一安全管理平台，对网络中

所有安全产品进行统一管理、统一策略调整下发、统一日志收集分析，对整体网络信息安全情况进行统一实时的监控，极大简化安全运维流程。

●安全管理体系：协助用户建立安全组织机构、安全管理制度、人员安全管理、安

全建设管理等方面的综合安全管理体系。

2）方案特点

●完全遵循国家等级保护与工控安全防护要求；

●技术与管理并重，注重整体集成；

●具备纵深防御能力，提供整体安全保障(IA)能力；

●多种安全产品有机结合，注重整体安全防范能力；

●支持多种应用系统平台，系统层次明确，各子系统协同工作；

●各类安全产品集中管理，简化运维。