安盟信息发布轨道交通综合监控系统安全防护方案

　　随着信息化与轨道交通自动化的深度融合，轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，从而实现了自管理信息层延伸至现场设备的一致性识别、通讯和控制。

　　>;>;综合监控系统

　　综合监控系统(ISCS)是一个高度集成的综合自动化监控系统，其目的主要是通过集成和互联多个弱电/机电系统形成统一的监控层硬件平台和软件平台，从而实现对主要机电设备的集中监控和管理功能，实现对列车运行情况和客流统计数据的关联监视功能，最终实现相关各系统之间的信息共享和协调互动功能。

　　然而精密的系统更需要呵护，在层出不穷的网络安全新闻已经麻木人的神经，并被大众迅速遗忘时，相关企业和个人却在承受、并努力挽回着攻击造成的损失。

　　1、缺乏内置的安全处置，使得协议应用时相对脆弱。在轨道交通系统越来越开放的同时，也削弱了其控制系统与外界的隔离和安全保护，越来越多的病毒、木马向控制网络不断扩散，轨道交通控制系统的安全隐患问题日益严峻。

　　2、设备部署环境较为苛刻

　　这些严苛的环境条件包括如极端的温度、EMC、EMI等，对传统IT网络安全设备造成的损坏也许比黑客刻意程序工具的攻击更加严重。因此，确保工业网络免受黑客的攻击，确保这些设备能够在这些严苛工业环境下持续、稳定地运行。

　　建设依据

　　《中华人民共和国网络安全法》;

　　《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008

　　《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)

　　轨道交通综合监控系统安全防护方案

　　在控制中心出口处部署工业安全隔离装置，采用“2+1”的系统架构，形成两个网络高度隔离。

　　在信号系统与对外接口之间部署工业防火墙，运用“白名单+智能学习”技术建立工控网络安全通信模型，阻断一切非法访问，仅允许可信的流量进出信号系统。

　　在网络对于各网络节点进行检测审计措施，实时监控网络中针对信号系统的攻击和破坏行为，并进行记录为工业网络的突发事件提供调查依据;

　　在各级交换系统内旁路部署监测审计平台，对各级交换系统间的通信流量进行深度分析，利用流量中的元素(时间、IP、协议、指令)来判断各级操作的合法性;

　　在控制中心、车辆段部署统一管理平台，对工控主机卫士、监测审计平台、工业防火墙进行集中管理，并根据实际需求输出不同类型、不同维度的分析报告。强大的一体化安全管控功能界面， 多视角、多层次的管理与态势感知视图。

　　在控制中心和车辆段网络旁路部署工控堡垒机，通过严格的权限控制和操作行为审计，加强对信号系统维护人员的行为管理，从而达到消隐患、避风险的目的;

　　>;>;典型用户

　　目前，该方案已经成功应用于福建省高速监控中心、广州市铁路局、南京市城际快线、内蒙古交通厅、太原市铁路局、武汉市铁路局、杭徽高速公路、呼和浩特市机场等相关单位，大量的城市轨道交通信息安全防护案例证明，安盟信息能通过成熟的设计理念、业务场景的深刻理解，提供端到端完整的等级保护解决方案，为城轨信息系统健康发展保驾护航。