1 項目概況

1.1 項目背景

隨著國家兩化融合、互聯網+戰略的實施，各種新技術如工業控制、云計算、大數據的廣泛應用，如何在新技術應用的基礎上，充分保障京滬高鐵業務系統網絡安全、數據安全、應用安全，是在新技術領域下需要考慮和落實的信息化工作內容。2017年6月，《網絡安全法》正式頒布實施，對網絡安全等級保護的落實提出了具體要求，并對國家關鍵基礎設施的安全保障進行強調，在滿足等級保護安全防護要求的基礎上，必須重點防護。地鐵業務開展離不開網絡和信息化網絡，當前國內外網絡的安全事故歷歷在目，各類的網絡安全都會為國家安全、人民公共安全造成重大的影響和損失。

1.2 項目簡介

基于日趨嚴重的網絡安全威脅態勢以及城市軌道交通越來越高的網絡安全管控要求，在滿足城市軌道交通車地5G安全建設需求和國家相關法律法規要求下，對車地5G無線通信與乘客信息系統（PIS）、LTE等外部接口通信進行安全加固：在車載5G與車載AP、PIS、LTE系統等之間串聯部署車載工業防火墻，實現車載5G邊界之間網絡邊界管控，以及車地無線通信承載的車載視頻監控、車載PIS、車載LTE等不同業務的邏輯隔離。

1.3 項目目標

地鐵綜合監控系統是由通信骨干網連接起來的大型SCADA系統，具有分布式、分層次部署的特性。地鐵綜合監控的主要功能包括對機電設備的實時集中監控功能和各系統之間協調聯動功能。

一方面，通過綜合監控系統可實現對電力設備、火災報警信息及其設備、車站環控設備、區間環控設備、環境參數、屏蔽門設備、防淹門設備、電扶梯設備、照明設備、門禁設備、自動售檢票設備、廣播和閉路電視設備、乘客信息顯示系統的播出信息和時鐘信息等進行實時集中監視和控制的基本功能；另一方面，通過綜合監控系統還可實現晚間非運營情況下、日間正常運營情況下、緊急突發情況下和重要設備故障情況下各相關系統設備之間協調互動等高級功能。

2 項目實施

2.1 安全防護措施

2.1.1 總體架構

地鐵綜合監控系統由控制中心系統、各車站級控制系統、車輛段控制系統、培訓管理系統、設備護及網絡管理系統等組成，各系統通過冗余環網連接。針對本項目綜合監控系統安全防護體系建設，主要集中在控制中心、各車站、車輛段、停車場以及主所/區間所等系統防護。

綜合監控系統安全設備部署示意圖如圖1所示。

圖1 綜合監控系統安全設備部署示意圖

2.1.2 邊界安全防護

在綜合監控系統與集成、互聯接口系統之間部署兩臺工控防火墻（雙機熱備）。避免綜合監控系統與集成、互聯接口系統之間進行互聯時違規訪問現象的發生，實現網絡邊界防護。

2.1.3 網絡監測與審計

在各車站、車輛段、控制中心的交換機上分別旁路部署一臺監測審計的引擎，在控制中心部署一套工控安全監測與審計管理系統（與管理平臺整合為一套系統）。

管理系統負責監測引擎告警的管理及其數據的收集、記錄、審計；監測引擎負責工控協議（DDE、OPC、S7、Modbus、IEC 104等常用工業協議）解析、異常流量分析、告警數據推送。從而對生產控制系統中存在的異常流量、誤操作、違規操作進行實時告警、記錄、審計，提供事后追溯、定位問題的有力證據，并幫助維護人員快速定位事故點，縮短系統恢復時間。

2.1.4 終端主機防護

在控制中心部署一套終端安全防護系統，在各車站、車輛段、控制中心的操作員站上安裝終端防護客戶端，實現對工業主機的進程白名單管理，有效抵御未知病毒、木馬、惡意程序、非法入侵等針對終端的攻擊，實現安全防護。

2.1.5 安全運維管理

在控制中心的交換機上旁路部署一臺運維堡壘機，針對運維人員在管理區遠程運維生產區的設備時，進行集中賬號管理、登錄認證、用戶授權和操作審計。實現對運維人員的操作行為審計及對違規操作、非法訪問等行為的有效監督，為事后追溯提供依據。

2.1.6 風險評估及漏洞管控

在控制中心旁路部署一套風險評估及漏掃掃描系統，在綜合監控系統上線前、系統維護及新購設備安裝前，對系統或設備進行配置檢查、漏洞掃描，確保在系統上線前發現已知的風險或漏洞，將系統的安全威脅與挑戰降到最低。

2.1.7 集中監控，安全預警

在控制中心部署安全管理平臺，收集安全設備的告警信息、日志信息、審計數據，基于機器學習和大數據分析，實現安全態勢預警、基線核查、日志分析等功能。

2.2 工控安全設備部署方案

2.2.1 控制中心安全設備部署

在控制中心部署運維堡壘機、終端安全防護系統服務端、網絡安全管理平臺、風險評估及漏洞掃描系統、工控防火墻、工控監測審計等安全設備，以滿足控制中心綜合監控系統符合等級保護三級的防護和管理要求。

通過部署工控防火墻，實現控制中心與其他區域的邊界防護功能。

通過部署工控網絡安全管理平臺，實現安全設備的統一管理，集中展現工控現場資產動態；通過日志集中搜集，實現工控網絡中告警事件的關聯分析，便于問題定位。安全管理平臺可與綜合監控系統的網管系統深度集成實現統籌管理。

通過部署風險評估及漏掃管理平臺，可實現基于等保合規性自檢、漏掃、風險評估、配置核查等日常安全運維及配置的輔助管理功能。

2.2.2 車站安全設備部署

在各車站部署一臺工控安全監測與審計系統的監測引擎、一套終端安全管理系統客戶端、兩臺工控防火墻等安全設備，以滿足車站綜合監控系統符合等級保護三級的防護和管理要求。

通過部署監測引擎，對流經車站綜合監控系統網絡交換機的數據流量進行實時解析，和監測與審計系統下發的黑名單、白名單、關鍵事件等智能匹配，確定每條報文歸屬類型，并將審計結果上傳至位于控制中心的監測與審計系統做進一步的展現及白名單自學習。通過部署工控防火墻，實現車站與集成、互聯接口的邊界防護功能。

2.2.3 車輛段安全設備部署

在車輛段的主干網交換機上旁路部署一臺監測引擎及兩臺工控防火墻。

監測引擎部署目的與車站部署監測引擎相同。防火墻實現與互聯、集成接口系統的邏輯隔離與防護。

2.3 安全管理機構

地鐵公司安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式。

2.4 信息安全領導小組職責

信息安全領導小組主要負責批準地鐵公司安全策略、分配安全責任并協調安全策略能夠實施，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領導小組的主要責任如下：

（1）確定網絡與信息安全工作的總體方向、目標、總體原則和安全工作方法。

（2）審查并批準政府的信息安全策略和安全責任。

（3）分配和指導安全管理總體職責與工作。

（4）在網絡與信息面臨重大安全風險時，監督控制可能發生的重大變化。

（5）對安全管理的重大更改事項（例如：組織機構調整、關鍵人事變動、信息系統更改等）進行決策。

（6）指揮、協調、督促、審查重大安全事件的處理，并協調改進措施。

（7）審核網絡安全建設和管理的重要活動，如重要安全項目建設、重要的安全管理措施出臺等。

（8）定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

2.5 信息安全工作組職責

信息安全工作組是信息安全工作的日常執行機構，內設專職的安全管理組織和崗位，負責日常具體安全工作的落實、組織和協調。信息安全工作組的主要職責如下：

（1）貫徹執行和解釋信息安全領導小組的決議。

（2）貫徹執行和解釋國家主管機構下發的信息安全策略。

（3）負責組織和協調各類信息安全規劃、方案、實施、測試和驗收評審會議。

（4）負責落實和執行各類信息安全具體工作，并對具體落實情況進行總結和匯報。

（5）負責內外部組織和機構的溝通、協調和合作工作。

（6）負責制定所有信息安全相關的管理制度和規范。負責針對信息安全相關的管理制度和規范具體落實工作進行監督、檢查、考核、指導及審批，例如現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

2.6 安全管理制度

地鐵公司網絡安全管理制度應建立一套集合信息安全方針、安全策略、安全管理制度、安全技術規范以及流程的信息安全管理制度體系。安全制度體系 架構如圖2所示。

圖2 安全制度體系架構

2.7 人員安全管理

可以通過人員錄用、調動、離崗、考核、培訓教育和第三方人員安全幾個方面，落實信息安全等級保護三級基本要求的內容，其中內部人員的管理歸納形成人力資源安全管理的具體要求，外部人員的管理歸納形成第三方人員安全管理的具體要求。人員管理架構如圖3所示。

圖3 人員管理架構

2.7.1 內部人員安全管理

人力資源安全管理主要是指針對內部人員的安全管理，從人員的錄用、調用、離崗和考核等各個方面提出針對信息安全的相關管理要求，具體管理要求包括：

（1）錄用前

· 人員在錄用過程中要簽署保密協議。

· 應當進行嚴格的安全背景審核和權限審查。

· 關鍵崗位人員應當進行特殊的安全審核、權限管理和保密管理，簽署安全協議。

（2）工作期間

· 所有人員應根據安全管理制度規范和約束安全操作行為。

· 定期對各個崗位的人員進行不同側面的安全認知和安全技能考核，作為是否適合當前崗位的參考。

· 對安全責任和懲戒措施進行書面規定并告知相關人員，對違反違背安全策略和規定的人員進行懲戒。

（3）調離崗

應嚴格規范人員離崗過程，及時終止離崗員工的所有訪問權限，取回各種身份證件、鑰匙。

2.7.2 外部人員安全管理

外部人員通常是指軟件開發商、硬件供應商、系統集成商、設備維護商、服務提供商、實習生、臨時工等非內部人員。外部人員在訪問時可以分成物理訪問和信息訪問，具體如下：

· 物理訪問：如對辦公室、機房的物理訪問。

· 信息訪問：如對信息系統、主機、網絡設備、數據庫的訪問。

對于實際訪問的外部人員，按照訪問的時間長短和訪問的性質，可以分為臨時來訪的外部人員和非臨時來訪的外部人員兩種，具體如下：

· 臨時來訪的外部人員，指因業務洽談、參觀、交流、提供短期和不頻繁的技術支持服務而臨時來訪的外部組織或個人。

· 非臨時來訪的外部人員，指因從事合作開發、參與項目工程、提供技術支持、售后服務、服務外包或顧問服務等，辦公和工作的外部組織或個人。

對于這兩種訪問，應規定不同的安全管理要求，負責接待的部門和接待人對外部人員來訪的安全負責，并對訪問機房等敏感區域持謹慎態度。

2.8 系統建設管理

地鐵公司需把等級保護作為信息系統安全建設的指導性文件，整個信息系統安全建設完全遵循《信息系統安全保護等級實施指南》這一國家標準。信息系統建設整個階段嚴格按照等級保護基本要求進行。為了規范信息系統建設，地鐵公司需要建立相應的系統建設流程，以規范信息系統建設的整個過程，建設流程主要包括系統定級、規劃、設計、開發、部署、交付驗收。整個信息系統安全建設管理通過以下管理制度和規范來落實：

· 《信息系統安全建設管理流程》

· 《信息系統定級規范》

· 《安全產品配置規范》

· 《安全產品運維規范》

· 《信息系統建設安全管理辦法》

2.9 系統運維管理

系統運維管理從環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置以及應急預案管理等多個方面進行制度建設，形成完善的管理機制。

3 案例亮點

（1）合規性

滿足《網絡安全法》框架下關鍵信息基礎設施保護制度要求、網絡安全等級保護制度要求以及防護指南等政策的相關要求。

（2）技術與管理并重

安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。

（3）可視化

實現工控網絡資產的可視化管理，動態識別非法接入設備，直觀展示工控網絡安全威脅。

（4）全面防護

從網絡、終端、通信、數據、運維、管理等多個層面提供完整的安全防護與管理手段，實現工控網絡全面的安全保護。

（5）最小干擾

所有安全組件均采用非侵入式安全監測與防護工作方式，可確保將設備對工控網絡的干擾降低到最低。

（6）多工業協議支持

支持常見工控協議：S7、Modbus、OPC、IEC61850、IEC 101/102/103/104、DLT645、BacNet、CDT、CIP、DNP3、MMS、PROFINET、EIP等50多種工業協議的深度解析。解析深度可以達到功能碼、寄存器、讀寫屬性，甚至讀寫數據的閾值，同時還支持私有協議的定制開發。