1. 行业需求
-
应能够满足国家对关键基础设施的安全建设要求,针对业务系统的业务特点、重要性因素来构架不同等级的安全防护体系。从安全技术体系和安全管理体系两个层面保障轨道交通信号系统安全;
-
计算环境的需求:1)系统业务终端、服务器和网络设备的系统登录需要强化身份认证机制,尤其在进行日常维护操作时要求可以防止恶意用户非法进入系统实施破坏。2)需要加强可信接入控制,要求可以防止区域内外到业务系统的非法连接。3)加强对内部移动介质使用的控制,需通过技术手段辅助管理办法的方式。4)需要加强审计功能,对各种操作行为进行记录。
-
区域边界的要求:需要加强系统内不同区域边界保护,交换信息时,需要在边界处实施强的控制,对进入区域的信息实施强制访问控制,同时需要对信息交换的行为进行严格的主体身份认证以及行为审计,以防止跨域的恶意攻击行为,尤其在信号系统对外接口部分,包括但不限于ISCS,PIS,PSCADA等。
-
监测审计的需求:需要对系统内部的网络通信的流量进行严格的控制,包括时间戳,源、目的IP,协议,端口和操作指令、内容等。
-
安全集中管理的要求:需加强统一管理平台的建设,通过采用由安全管理平台统一管理的安全策略管理、安全审计管理等安全措施,对各层面的终端、服务器、网络设备的集中统一的配置和监控,统一制定整个系统的安全策略,实现系统运行状态始终可控,以达到防内为主,内外兼防的目标。
2. 解决方案
-
严格按照国家等级保护的需求进行安全体系的建立,安全框架的构建;
-
通过在关键主机和服务器上部署工控主机卫士,利用白名单技术,采用主动防御的方式来实现对恶意病毒木马的隔离,保障信号系统的运行安全和数据安全,同时避免由传统的防病毒产品对信号系统(国家基础设施系统)的不适用;
-
对主机和服务器的外设接口(USB,CDROM等)进行读写管控,可配置禁止所有移动存储设备、允许所有移动存储设备、允许特定移动存储设备,可配置USB读写权限控制,封闭了恶意的程序、代码通过“摆渡”的方式进行传播的途径;
-
在信号系统与对外接口之间部署工业防火墙设备,利用传统防火墙包过滤技术和工业防火墙对工业协议深度分析技术对各区域的访问行为进行严格的控制,通过“白环境”思想,建立“白环境”对来自不同区域的恶意操作和入侵行为进行阻止和防范;
-
在各级交换系统内部署监测和审计平台,同样利用“白环境”思想,建立“白环境”通信行为基线。通过对各级交换系统间的通信流量进行深度分析,利用流量中的元素(时间、IP、协议、指令)来判断各级操作的合法性;
-
结合信号系统业务特点,对各级维护人员进行权限分析,通过部署堡垒机对维护人员进行身份鉴别,保证每个维护人员的身份的合法性,保证每个维护操作指令的合法性;
-
通过部署统一管理平台对网络设备、网络使用情况、各主机和服务器的使用现状、各安全装备的使用现状等进行监控, 同时利用采集的信息进行内部数据分析,联动工控主机卫士、监测与审计平台、可信网关,根据实际需求输出不同类型、不同维度的分析报告。
3. 客户价值
-
满足国家等级保护政策需求、满足工信部工业控制系统安全防护指南中的技术需求;
-
通过建设不同维度的安全产品,形成一个以安全管理平台为中心的纵深防御的安全体系,真正做到“进不来-拿不走-打不开-改不了—赖不掉”。