建設(shè)背景

綜合監(jiān)控系統(tǒng)（ISCS）必須保證與相關(guān)系統(tǒng)間信息迅速、準(zhǔn)確、可靠的傳送，必須保證實(shí)現(xiàn)被集成系統(tǒng)的全部功能。綜合監(jiān)控系統(tǒng)面向的對(duì)象為控制中心的電調(diào)、環(huán)調(diào)、維調(diào)和總調(diào)（值班主任）及車(chē)站的值班站長(zhǎng)、值班員，還要面向維修中心和車(chē)輛段管理；綜合監(jiān)控系統(tǒng)應(yīng)能采集、處理集成與互聯(lián)系統(tǒng)的必要設(shè)備故障信息，以方便系統(tǒng)的維護(hù)和管理。但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與綜合監(jiān)控系統(tǒng)深度融合，綜合監(jiān)控系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語(yǔ)音廣播、視頻監(jiān)控等其他子系統(tǒng)互聯(lián)，甚至與公共網(wǎng)絡(luò)連接，造成病毒、木馬等威脅向綜合監(jiān)控系統(tǒng)擴(kuò)散。一旦綜合監(jiān)控系統(tǒng)的信息安全出現(xiàn)漏洞，將對(duì)城市軌道交通的穩(wěn)定運(yùn)行和旅客的人身安全造成重大影響。

建設(shè)目標(biāo)

綜合監(jiān)控系統(tǒng)作為城市軌道交通不可或缺的系統(tǒng)，其安全運(yùn)行及其重要，本方案針對(duì)城市軌道交通綜合監(jiān)控系統(tǒng)，通過(guò)安全管理方案設(shè)計(jì)以及安全技術(shù)方案設(shè)計(jì)，提出一個(gè)基于縱深防御的分域安全防護(hù)與運(yùn)維保障體系，同時(shí)基于信息安全等級(jí)保護(hù)對(duì)綜合監(jiān)控系統(tǒng)的要求，本方案在對(duì)綜合監(jiān)控系統(tǒng)的信息安全防護(hù)現(xiàn)狀進(jìn)行分析的基礎(chǔ)上，能夠滿足信息系統(tǒng)等級(jí)保護(hù)（三級(jí)）基本要求以及綜合監(jiān)控系統(tǒng)的特殊安全需求：

1. 通過(guò)評(píng)估找出綜合監(jiān)控系統(tǒng)安全防護(hù)與等級(jí)保護(hù)要求的差距

2. 通過(guò)安全咨詢，滿足信息系統(tǒng)等級(jí)保護(hù)（三級(jí)）提出的安全管理要求

3. 通過(guò)技術(shù)防護(hù)方案的設(shè)計(jì)，滿足信息系統(tǒng)等級(jí)保護(hù)（三級(jí)）提出的安全技術(shù)要求

4. 通過(guò)運(yùn)維方案，使綜合監(jiān)控系統(tǒng)持續(xù)符合檢查評(píng)估

綜合監(jiān)控系統(tǒng)安全防護(hù)現(xiàn)狀分析

（1）網(wǎng)絡(luò)邊界安全問(wèn)題

綜合監(jiān)控系統(tǒng)的在網(wǎng)絡(luò)邊界的安全防護(hù)方面存在如下問(wèn)題：

1. 綜合監(jiān)控系統(tǒng)集成的子系統(tǒng)較多（例如PSCADA、FAS、BAS等），各集成子系統(tǒng)的安全級(jí)別不一樣，綜合監(jiān)控系統(tǒng)缺乏與集成子系統(tǒng)的網(wǎng)絡(luò)隔離措施，各系統(tǒng)之間存在互相訪問(wèn)的可能性；

2. 綜合監(jiān)控系統(tǒng)互聯(lián)的子系統(tǒng)較多（例如SIG、AFC、PIS等），各互聯(lián)子系統(tǒng)的安全級(jí)別不一樣，綜合監(jiān)控系統(tǒng)缺乏與互聯(lián)子系統(tǒng)的網(wǎng)絡(luò)隔離措施，各系統(tǒng)之間存在互相訪問(wèn)的可能性；

3. 傳統(tǒng)信息安全產(chǎn)品不識(shí)別綜合監(jiān)控系統(tǒng)業(yè)務(wù)流量，缺少為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；

4. 傳統(tǒng)信息安全產(chǎn)品不能對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，不能實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議命令級(jí)的控制；

綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)圖

（2）工作站、服務(wù)器安全問(wèn)題

綜合監(jiān)控系統(tǒng)的工作站、服務(wù)器和相關(guān)控制設(shè)備存在如下安全問(wèn)題：

1. 工作站和服務(wù)器采用通用的操作系統(tǒng)，操作系統(tǒng)的漏洞直接影響綜合監(jiān)控系統(tǒng)的安全運(yùn)行；

2. 工作站和服務(wù)器的外設(shè)接口沒(méi)有統(tǒng)一的管理，尤其是USB接口，此類通用接口是惡意軟件傳播的主要途徑；

3. 工作站和服務(wù)器安裝的軟件沒(méi)有管理和控制，即時(shí)通信、游戲等非業(yè)務(wù)軟件可以隨意安裝；

4. 采用傳統(tǒng)防病毒軟件（部分工作站甚至無(wú)法安裝殺毒軟件），無(wú)法及時(shí)更新惡意代碼庫(kù)，且影響系統(tǒng)穩(wěn)定性；

5. 傳統(tǒng)防病毒軟件無(wú)法對(duì)進(jìn)程的完整性進(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后不具有恢復(fù)能力；

（3）操作異常安全問(wèn)題

綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)的流量和操作等行為存在如下安全問(wèn)題：

1. 無(wú)法查看綜合監(jiān)控網(wǎng)絡(luò)內(nèi)的流量情況，缺少對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)與分析能力；

2. 無(wú)法識(shí)別針對(duì)綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的入侵滲透、惡意代碼傳播等網(wǎng)絡(luò)攻擊行為；

3. 缺乏對(duì)非授權(quán)設(shè)備接入綜合監(jiān)控網(wǎng)絡(luò)的行為進(jìn)行識(shí)別和檢查的能力；

4. 缺乏對(duì)業(yè)務(wù)流量進(jìn)行安全審計(jì)的能力，發(fā)生安全事件后無(wú)法快速追蹤和溯源；

5. 缺乏對(duì)綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)的威脅評(píng)估和風(fēng)險(xiǎn)識(shí)別能力；

（4）運(yùn)維管理安全問(wèn)題

綜合監(jiān)控系統(tǒng)的管理與運(yùn)維方面，不同運(yùn)營(yíng)公司的管理情況參差不齊，主要存在如下方面的問(wèn)題：

1. 未設(shè)立專門(mén)的信息安全崗位，信息安全的管理和維護(hù)由業(yè)務(wù)部門(mén)按照自己的理解進(jìn)行管理和維護(hù)，缺少統(tǒng)一的管理運(yùn)維工具。

2. 信息安全制度不完善，在制度執(zhí)行過(guò)程中普遍存在不到位或不嚴(yán)格的情況。

3. 在日常運(yùn)行維護(hù)過(guò)程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護(hù)，容易造成病毒入侵和敏感信息泄露的風(fēng)險(xiǎn)。

4. 存在賬號(hào)共享、弱口令、未定期更改密碼的問(wèn)題，綜合監(jiān)控系統(tǒng)的用戶權(quán)限普遍缺乏定期回顧檢查，容易造成越權(quán)、權(quán)限濫用導(dǎo)致的安全事故。

5. 安全防護(hù)應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問(wèn)題，缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容，無(wú)法在真正的事故中及時(shí)響應(yīng)和恢復(fù)系統(tǒng)并最終影響到企業(yè)生產(chǎn)。

6. 綜合監(jiān)控系統(tǒng)的部署、策略配置等主要依賴廠商或系統(tǒng)集成商，對(duì)第三方人員缺乏嚴(yán)格的管控制度，容易造成敏感信息泄密或誤操作的風(fēng)險(xiǎn)。

7. 工控系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)缺乏，大多數(shù)地鐵公司并未開(kāi)展過(guò)綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的專項(xiàng)教育和培訓(xùn)。工控網(wǎng)絡(luò)安全的意識(shí)相對(duì)比較薄弱，對(duì)系統(tǒng)性的信息安全了解不夠。

8. 由于設(shè)備和服務(wù)器眾多，賬號(hào)管理混亂，授權(quán)不清、各種越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生。據(jù)資料統(tǒng)計(jì)，在對(duì)網(wǎng)絡(luò)造成嚴(yán)重?fù)p害的案例中，有 70％是組織里的內(nèi)部人員所為。

安全技術(shù)方案設(shè)計(jì)

安全體系技術(shù)層面設(shè)計(jì)主要是依據(jù)信息系統(tǒng)等級(jí)保護(hù)（三級(jí)）中的技術(shù)要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：

（1）安全區(qū)域邊界

為滿足等級(jí)保護(hù)建設(shè)對(duì)訪問(wèn)控制、邊界完整性檢查、惡意代碼防范等基本安全要求，在系統(tǒng)與互聯(lián)接口之間部署工業(yè)防火墻，通過(guò)部署工業(yè)防火墻來(lái)實(shí)現(xiàn)隔離與訪問(wèn)控制，工業(yè)防火墻能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對(duì)應(yīng)請(qǐng)求的服務(wù)類型）等信息執(zhí)行訪問(wèn)控制規(guī)則，允許ISCS系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過(guò)該平臺(tái)，禁止其他應(yīng)用的連接請(qǐng)求，以保障ISCS系統(tǒng)的安全性。

部署位置：在控制中心、車(chē)輛段、停車(chē)場(chǎng)及車(chē)站的ISCS系統(tǒng)與其他外部系統(tǒng)的網(wǎng)絡(luò)邊界部署硬件工業(yè)防火墻；

安全策略：在ISCS系統(tǒng)與互聯(lián)子系統(tǒng)接口處，通過(guò)工業(yè)防火墻來(lái)實(shí)現(xiàn)隔離與訪問(wèn)控制，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對(duì)應(yīng)請(qǐng)求的服務(wù)類型）、時(shí)間、用戶名等信息執(zhí)行訪問(wèn)控制規(guī)則，具體的訪問(wèn)控制規(guī)則包括：

1. 允許ISCS系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務(wù)數(shù)據(jù)穿過(guò)該平臺(tái)；

2. 其他訪問(wèn)均被禁止；

工業(yè)防火墻部署示意圖——OCC

工業(yè)防火墻部署示意圖——車(chē)站

（2）安全通信網(wǎng)絡(luò)

為滿足等級(jí)保護(hù)建設(shè)對(duì)網(wǎng)絡(luò)安全的安全審計(jì)、入侵防范等基本安全要求，本方案通過(guò)在控制中心、車(chē)輛段和車(chē)站的ISCS系統(tǒng)骨干網(wǎng)交換機(jī)等關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)旁路部署監(jiān)測(cè)審計(jì)設(shè)備，審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流量。

工業(yè)安全審計(jì)系統(tǒng)部署示意圖——OCC

通過(guò)接收鏡像的網(wǎng)絡(luò)流量，分析ISCS系統(tǒng)網(wǎng)絡(luò)內(nèi)是否存在異常流量、違規(guī)操作等行為，同時(shí)基于網(wǎng)絡(luò)流量、協(xié)議和應(yīng)用進(jìn)行全方位的審計(jì)記錄，以便發(fā)生安全事件后能夠快速對(duì)事件進(jìn)行分析溯源。

部署位置：在控制中心的ISCS骨干網(wǎng)交換機(jī)處部署監(jiān)測(cè)與審計(jì)系統(tǒng)；

安全策略：在ISCS綜合監(jiān)控系統(tǒng)核心交換機(jī)處通過(guò)監(jiān)測(cè)審計(jì)通過(guò)交換機(jī)的業(yè)務(wù)。具體規(guī)則包括：

1. 檢測(cè)網(wǎng)絡(luò)攻擊事件：采用細(xì)粒度檢測(cè)技術(shù)，協(xié)議分析技術(shù)，誤用檢測(cè)技術(shù)，協(xié)議異常檢測(cè)，可有效檢測(cè)各種攻擊和欺騙；

2. 審計(jì)、查詢策略：能夠完整記錄多種協(xié)議的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等信息，并按照相應(yīng)的協(xié)議格式進(jìn)行回放，清楚再現(xiàn)入侵者的攻擊過(guò)程。同時(shí)必須對(duì)重要安全事件提供多種報(bào)警機(jī)制；

3. 網(wǎng)絡(luò)異常策略：在檢測(cè)過(guò)程中綜合運(yùn)用多種檢測(cè)手段，在檢測(cè)的各個(gè)部分使用合適的檢測(cè)方式，采取基于行為的檢測(cè)，對(duì)數(shù)據(jù)包的特征進(jìn)行分析，有效發(fā)現(xiàn)網(wǎng)絡(luò)中異

（3）安全計(jì)算環(huán)境

為滿足等級(jí)保護(hù)建設(shè)對(duì)主機(jī)的惡意代碼防范、入侵防范等基本安全要求，在系統(tǒng)中所有終端上安裝工控主機(jī)衛(wèi)士軟件，通過(guò)文件級(jí)白名單的方式從根本上扼制惡意代碼的運(yùn)行，代替終端防病毒軟件。

主機(jī)防護(hù)系統(tǒng)集中監(jiān)管平臺(tái)部署示意圖——OCC

工控主機(jī)衛(wèi)士是專門(mén)針對(duì)工業(yè)控制系統(tǒng)的主機(jī)（服務(wù)器、操作員站等）進(jìn)行安全防護(hù)與管理的軟件。該軟件基于“白名單”安全防護(hù)機(jī)制，充分利用應(yīng)用程序白名單技術(shù)的高安全、高性能、高功效等特點(diǎn)，實(shí)現(xiàn)了計(jì)算機(jī)系統(tǒng)啟動(dòng)、加載和運(yùn)行過(guò)程中的全生命周期的安全保證。

“白名單”，是指規(guī)則中設(shè)置的允許使用的名單列表，其意義是“好的”、“被允許的”；“應(yīng)用程序白名單”是一組應(yīng)用程序名單列表，在此列表中的應(yīng)用程序是允許在系統(tǒng)中運(yùn)行，未在白名單列表中的程序?qū)⒈蛔柚惯\(yùn)行或安裝。

工控主機(jī)衛(wèi)士提供嚴(yán)格的USB存儲(chǔ)設(shè)備管理。U盤(pán)、USB硬盤(pán)等存儲(chǔ)設(shè)備在接入工控主機(jī)使用前，必須先經(jīng)過(guò)使用授權(quán)。授權(quán)級(jí)別包括：讀寫(xiě)、只讀、只寫(xiě)，共三種權(quán)限。未經(jīng)授權(quán)的USB存儲(chǔ)設(shè)備不能使用，經(jīng)過(guò)授權(quán)的設(shè)備，也不能進(jìn)行超越其權(quán)限的操作。通過(guò)授權(quán)管理，工控主機(jī)衛(wèi)士能夠有效防止文件泄密。同時(shí)，工控主機(jī)衛(wèi)士還會(huì)審計(jì)USB存儲(chǔ)設(shè)備的文件操作行為，為事后追責(zé)提供依據(jù)。

部署位置：在控制中心、車(chē)輛段、車(chē)站等處綜合監(jiān)控系統(tǒng)的工作站上安裝工控主機(jī)衛(wèi)士軟件。

安全策略：在所有工作站和服務(wù)器上安裝工控主機(jī)衛(wèi)士軟件，能夠有效防范針對(duì)工控系統(tǒng)的惡意軟件以及U盤(pán)等外設(shè)的管控，并執(zhí)行以下的安全策略：

1. 按照工作站的業(yè)務(wù)類型建立白名單；并對(duì)照所有的工作站所有的業(yè)務(wù)操作需要，確保白名單的完整性；

2. 白名單在導(dǎo)出備份時(shí)，需確保白名單的完整性；

（4）風(fēng)險(xiǎn)評(píng)估系統(tǒng)

風(fēng)險(xiǎn)評(píng)估系統(tǒng)旨在提升綜合監(jiān)控系統(tǒng)整體安全風(fēng)險(xiǎn)自評(píng)能力，形成定期風(fēng)險(xiǎn)評(píng)估的可持續(xù)性安全運(yùn)維模式。

1)  統(tǒng)一安全管理

根據(jù)綜合監(jiān)控系統(tǒng)資產(chǎn)的安全特性出發(fā)，分析綜合監(jiān)控系統(tǒng)的威脅來(lái)源與自身脆弱性，歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，并給出實(shí)施綜合監(jiān)控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指導(dǎo)性建議，促進(jìn)我國(guó)工業(yè)控制系統(tǒng)信息安全檢查工作。以實(shí)現(xiàn)以下風(fēng)險(xiǎn)評(píng)估目標(biāo)：

部署位置：控制中心中央級(jí)綜合監(jiān)控系統(tǒng)核心交換機(jī)旁路部署風(fēng)險(xiǎn)評(píng)估系統(tǒng)。

風(fēng)險(xiǎn)評(píng)估系統(tǒng)部署示意圖——OCC 

（5）運(yùn)維管理

綜合監(jiān)控系統(tǒng)的安全防護(hù)設(shè)計(jì)，從網(wǎng)絡(luò)邊界安全、主機(jī)終端安全、流量行為安全等不同維度部署了相應(yīng)的防護(hù)設(shè)備和軟件進(jìn)行縱深防御，那么多種技術(shù)類型的防護(hù)效果如何，安全產(chǎn)品是否形成安全防護(hù)的合力，構(gòu)成縱深防護(hù)的整體，需要對(duì)綜合監(jiān)控系統(tǒng)的整體運(yùn)維管理提供技術(shù)支撐。

1)  統(tǒng)一安全管理

為滿足等級(jí)保護(hù)建設(shè)對(duì)監(jiān)控管理和安全管理中心的基本安全要求，本方案在控制中心核心交換機(jī)上旁路部署安全管理平臺(tái)，其他工業(yè)安全審計(jì)系統(tǒng)和工業(yè)防火墻的管理口就近接入綜合監(jiān)控系統(tǒng)骨干網(wǎng)中，這樣方便運(yùn)營(yíng)方對(duì)綜合監(jiān)控系統(tǒng)部署的所有的安全防護(hù)設(shè)備進(jìn)行統(tǒng)一管理和維護(hù)，以及提高全面的安全態(tài)勢(shì)感知能力。

2)  安全運(yùn)維管理

實(shí)現(xiàn)綜合監(jiān)控系統(tǒng)的遠(yuǎn)程維護(hù)審計(jì)、統(tǒng)一維護(hù)賬戶管控等功能，在控制中核心交換機(jī)上旁路部署堡壘機(jī)，系統(tǒng)通過(guò)邏輯上將人和目標(biāo)設(shè)備分離，建立“人→自然人賬號(hào)（用戶賬號(hào)）→授權(quán)→設(shè)備賬號(hào)（目標(biāo)設(shè)備賬號(hào)）→目標(biāo)設(shè)備”的管理模式。在此模式下，通過(guò)基于唯一身份標(biāo)識(shí)的集中賬號(hào)與訪問(wèn)控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接，實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)。

部署位置

控制中心中央級(jí)綜合監(jiān)控系統(tǒng)核心交換機(jī)旁路部署安全集中監(jiān)管平臺(tái)。

控制中心中央級(jí)綜合監(jiān)控系統(tǒng)核心交換機(jī)旁路部署堡壘機(jī)。

安全集中監(jiān)管平臺(tái)部署示意圖——OCC

堡壘機(jī)部署示意圖——OCC

本方案設(shè)計(jì)的技術(shù)防護(hù)方案部分主要是以安全產(chǎn)品的部署來(lái)消除等保測(cè)評(píng)中的高風(fēng)險(xiǎn)項(xiàng)，而對(duì)于物理安全的要求，需要通過(guò)機(jī)房建設(shè)等相關(guān)措施滿足；對(duì)于網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和運(yùn)維管理其他方面的要求，則通過(guò)安全配置等措施來(lái)實(shí)現(xiàn)。