1 项目概况

1.1 项目背景

随着国家两化融合、互联网+战略的实施，各种新技术如工业控制、云计算、大数据的广泛应用，如何在新技术应用的基础上，充分保障京沪高铁业务系统网络安全、数据安全、应用安全，是在新技术领域下需要考虑和落实的信息化工作内容。2017年6月，《网络安全法》正式颁布实施，对网络安全等级保护的落实提出了具体要求，并对国家关键基础设施的安全保障进行强调，在满足等级保护安全防护要求的基础上，必须重点防护。地铁业务开展离不开网络和信息化网络，当前国内外网络的安全事故历历在目，各类的网络安全都会为国家安全、人民公共安全造成重大的影响和损失。

1.2 项目简介

基于日趋严重的网络安全威胁态势以及城市轨道交通越来越高的网络安全管控要求，在满足城市轨道交通车地5G安全建设需求和国家相关法律法规要求下，对车地5G无线通信与乘客信息系统（PIS）、LTE等外部接口通信进行安全加固：在车载5G与车载AP、PIS、LTE系统等之间串联部署车载工业防火墙，实现车载5G边界之间网络边界管控，以及车地无线通信承载的车载视频监控、车载PIS、车载LTE等不同业务的逻辑隔离。

1.3 项目目标

地铁综合监控系统是由通信骨干网连接起来的大型SCADA系统，具有分布式、分层次部署的特性。地铁综合监控的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能。

一方面，通过综合监控系统可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能；另一方面，通过综合监控系统还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。

2 项目实施

2.1 安全防护措施

2.1.1 总体架构

地铁综合监控系统由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备护及网络管理系统等组成，各系统通过冗余环网连接。针对本项目综合监控系统安全防护体系建设，主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。

综合监控系统安全设备部署示意图如图1所示。

图1 综合监控系统安全设备部署示意图

2.1.2 边界安全防护

在综合监控系统与集成、互联接口系统之间部署两台工控防火墙（双机热备）。避免综合监控系统与集成、互联接口系统之间进行互联时违规访问现象的发生，实现网络边界防护。

2.1.3 网络监测与审计

在各车站、车辆段、控制中心的交换机上分别旁路部署一台监测审计的引擎，在控制中心部署一套工控安全监测与审计管理系统（与管理平台整合为一套系统）。

管理系统负责监测引擎告警的管理及其数据的收集、记录、审计；监测引擎负责工控协议（DDE、OPC、S7、Modbus、IEC 104等常用工业协议）解析、异常流量分析、告警数据推送。从而对生产控制系统中存在的异常流量、误操作、违规操作进行实时告警、记录、审计，提供事后追溯、定位问题的有力证据，并帮助维护人员快速定位事故点，缩短系统恢复时间。

2.1.4 终端主机防护

在控制中心部署一套终端安全防护系统，在各车站、车辆段、控制中心的操作员站上安装终端防护客户端，实现对工业主机的进程白名单管理，有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击，实现安全防护。

2.1.5 安全运维管理

在控制中心的交换机上旁路部署一台运维堡垒机，针对运维人员在管理区远程运维生产区的设备时，进行集中账号管理、登录认证、用户授权和操作审计。实现对运维人员的操作行为审计及对违规操作、非法访问等行为的有效监督，为事后追溯提供依据。

2.1.6 风险评估及漏洞管控

在控制中心旁路部署一套风险评估及漏扫扫描系统，在综合监控系统上线前、系统维护及新购设备安装前，对系统或设备进行配置检查、漏洞扫描，确保在系统上线前发现已知的风险或漏洞，将系统的安全威胁与挑战降到最低。

2.1.7 集中监控，安全预警

在控制中心部署安全管理平台，收集安全设备的告警信息、日志信息、审计数据，基于机器学习和大数据分析，实现安全态势预警、基线核查、日志分析等功能。

2.2 工控安全设备部署方案

2.2.1 控制中心安全设备部署

在控制中心部署运维堡垒机、终端安全防护系统服务端、网络安全管理平台、风险评估及漏洞扫描系统、工控防火墙、工控监测审计等安全设备，以满足控制中心综合监控系统符合等级保护三级的防护和管理要求。

通过部署工控防火墙，实现控制中心与其他区域的边界防护功能。

通过部署工控网络安全管理平台，实现安全设备的统一管理，集中展现工控现场资产动态；通过日志集中搜集，实现工控网络中告警事件的关联分析，便于问题定位。安全管理平台可与综合监控系统的网管系统深度集成实现统筹管理。

通过部署风险评估及漏扫管理平台，可实现基于等保合规性自检、漏扫、风险评估、配置核查等日常安全运维及配置的辅助管理功能。

2.2.2 车站安全设备部署

在各车站部署一台工控安全监测与审计系统的监测引擎、一套终端安全管理系统客户端、两台工控防火墙等安全设备，以满足车站综合监控系统符合等级保护三级的防护和管理要求。

通过部署监测引擎，对流经车站综合监控系统网络交换机的数据流量进行实时解析，和监测与审计系统下发的黑名单、白名单、关键事件等智能匹配，确定每条报文归属类型，并将审计结果上传至位于控制中心的监测与审计系统做进一步的展现及白名单自学习。通过部署工控防火墙，实现车站与集成、互联接口的边界防护功能。

2.2.3 车辆段安全设备部署

在车辆段的主干网交换机上旁路部署一台监测引擎及两台工控防火墙。

监测引擎部署目的与车站部署监测引擎相同。防火墙实现与互联、集成接口系统的逻辑隔离与防护。

2.3 安全管理机构

地铁公司安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。

2.4 信息安全领导小组职责

信息安全领导小组主要负责批准地铁公司安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：

（1）确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法。

（2）审查并批准政府的信息安全策略和安全责任。

（3）分配和指导安全管理总体职责与工作。

（4）在网络与信息面临重大安全风险时，监督控制可能发生的重大变化。

（5）对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策。

（6）指挥、协调、督促、审查重大安全事件的处理，并协调改进措施。

（7）审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等。

（8）定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

2.5 信息安全工作组职责

信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：

（1）贯彻执行和解释信息安全领导小组的决议。

（2）贯彻执行和解释国家主管机构下发的信息安全策略。

（3）负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议。

（4）负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报。

（5）负责内外部组织和机构的沟通、协调和合作工作。

（6）负责制定所有信息安全相关的管理制度和规范。负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

2.6 安全管理制度

地铁公司网络安全管理制度应建立一套集合信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的信息安全管理制度体系。安全制度体系 架构如图2所示。

图2 安全制度体系架构

2.7 人员安全管理

可以通过人员录用、调动、离岗、考核、培训教育和第三方人员安全几个方面，落实信息安全等级保护三级基本要求的内容，其中内部人员的管理归纳形成人力资源安全管理的具体要求，外部人员的管理归纳形成第三方人员安全管理的具体要求。人员管理架构如图3所示。

图3 人员管理架构

2.7.1 内部人员安全管理

人力资源安全管理主要是指针对内部人员的安全管理，从人员的录用、调用、离岗和考核等各个方面提出针对信息安全的相关管理要求，具体管理要求包括：

（1）录用前

· 人员在录用过程中要签署保密协议。

· 应当进行严格的安全背景审核和权限审查。

· 关键岗位人员应当进行特殊的安全审核、权限管理和保密管理，签署安全协议。

（2）工作期间

· 所有人员应根据安全管理制度规范和约束安全操作行为。

· 定期对各个岗位的人员进行不同侧面的安全认知和安全技能考核，作为是否适合当前岗位的参考。

· 对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。

（3）调离岗

应严格规范人员离岗过程，及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙。

2.7.2 外部人员安全管理

外部人员通常是指软件开发商、硬件供应商、系统集成商、设备维护商、服务提供商、实习生、临时工等非内部人员。外部人员在访问时可以分成物理访问和信息访问，具体如下：

· 物理访问：如对办公室、机房的物理访问。

· 信息访问：如对信息系统、主机、网络设备、数据库的访问。

对于实际访问的外部人员，按照访问的时间长短和访问的性质，可以分为临时来访的外部人员和非临时来访的外部人员两种，具体如下：

· 临时来访的外部人员，指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的外部组织或个人。

· 非临时来访的外部人员，指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等，办公和工作的外部组织或个人。

对于这两种访问，应规定不同的安全管理要求，负责接待的部门和接待人对外部人员来访的安全负责，并对访问机房等敏感区域持谨慎态度。

2.8 系统建设管理

地铁公司需把等级保护作为信息系统安全建设的指导性文件，整个信息系统安全建设完全遵循《信息系统安全保护等级实施指南》这一国家标准。信息系统建设整个阶段严格按照等级保护基本要求进行。为了规范信息系统建设，地铁公司需要建立相应的系统建设流程，以规范信息系统建设的整个过程，建设流程主要包括系统定级、规划、设计、开发、部署、交付验收。整个信息系统安全建设管理通过以下管理制度和规范来落实：

· 《信息系统安全建设管理流程》

· 《信息系统定级规范》

· 《安全产品配置规范》

· 《安全产品运维规范》

· 《信息系统建设安全管理办法》

2.9 系统运维管理

系统运维管理从环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置以及应急预案管理等多个方面进行制度建设，形成完善的管理机制。

3 案例亮点

（1）合规性

满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求以及防护指南等政策的相关要求。

（2）技术与管理并重

安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

（3）可视化

实现工控网络资产的可视化管理，动态识别非法接入设备，直观展示工控网络安全威胁。

（4）全面防护

从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段，实现工控网络全面的安全保护。

（5）最小干扰

所有安全组件均采用非侵入式安全监测与防护工作方式，可确保将设备对工控网络的干扰降低到最低。

（6）多工业协议支持

支持常见工控协议：S7、Modbus、OPC、IEC61850、IEC 101/102/103/104、DLT645、BacNet、CDT、CIP、DNP3、MMS、PROFINET、EIP等50多种工业协议的深度解析。解析深度可以达到功能码、寄存器、读写属性，甚至读写数据的阈值，同时还支持私有协议的定制开发。