【軌道交通解決方案】

發布時間:2017-01-16

1. 行业需求

  • 应能够满足国家对关键基础设施的安全建設要求,针对业务系统的业务特点、重要性因素来构架不同等级的安全防护体系。从安全技术体系和安全管理体系两个层面保障軌道交通信号系统安全;

  • 計算環境的需求:1)系統業務終端、服務器和網絡設備的系統登錄需要強化身份認證機制,尤其在進行日常維護操作時要求可以防止惡意用戶非法進入系統實施破壞。2)需要加強可信接入控制,要求可以防止區域內外到業務系統的非法連接。3)加強對內部移動介質使用的控制,需通過技術手段輔助管理辦法的方式。4)需要加強審計功能,對各種操作行爲進行記錄。

  • 區域邊界的要求:需要加強系統內不同區域邊界保護,交換信息時,需要在邊界處實施強的控制,對進入區域的信息實施強制訪問控制,同時需要對信息交換的行爲進行嚴格的主體身份認證以及行爲審計,以防止跨域的惡意攻擊行爲,尤其在信號系統對外接口部分,包括但不限于ISCS,PIS,PSCADA等。

  • 監測審計的需求:需要對系統內部的網絡通信的流量進行嚴格的控制,包括時間戳,源、目的IP,協議,端口和操作指令、內容等。

  • 安全集中管理的要求:需加強統一管理平台的建設,通過采用由安全管理平台統一管理的安全策略管理、安全審計管理等安全措施,對各層面的終端、服務器、網絡設備的集中統一的配置和監控,統一制定整個系統的安全策略,實現系統運行狀態始終可控,以達到防內爲主,內外兼防的目標。

2. 解決方案

  • 嚴格按照國家等級保護的需求進行安全體系的建立,安全框架的構建;

  • 通过在关键主机和服务器上部署工控主機衛士,利用白名单技术,采用主动防御的方式来实现对恶意病毒木马的隔离,保障信号系统的运行安全和数据安全,同时避免由传统的防病毒产品对信号系统(国家基础设施系统)的不适用;

  • 對主機和服務器的外設接口(USB,CDROM等)進行讀寫管控,可配置禁止所有移動存儲設備、允許所有移動存儲設備、允許特定移動存儲設備,可配置USB讀寫權限控制,封閉了惡意的程序、代碼通過“擺渡”的方式進行傳播的途徑;

  • 在信号系统与对外接口之间部署工業防火牆设备,利用传统防火墙包过滤技术和工業防火牆对工业协议深度分析技术对各区域的访问行为进行严格的控制,通过“白环境”思想,建立“白环境”对来自不同区域的恶意操作和入侵行为进行阻止和防范;

  • 在各級交換系統內部署監測和審計平台,同樣利用“白環境”思想,建立“白環境”通信行爲基線。通過對各級交換系統間的通信流量進行深度分析,利用流量中的元素(時間、IP、協議、指令)來判斷各級操作的合法性;

  • 結合信號系統業務特點,對各級維護人員進行權限分析,通過部署堡壘機對維護人員進行身份鑒別,保證每個維護人員的身份的合法性,保證每個維護操作指令的合法性;

  • 通过部署统一管理平台对网络设备、网络使用情况、各主机和服务器的使用现状、各安全装备的使用现状等进行监控, 同时利用采集的信息进行内部数据分析,联动工控主機衛士、监测与审计平台、可信网关,根据实际需求输出不同类型、不同维度的分析报告。

gj0101.jpg

3. 客户价值

  • 滿足國家等級保護政策需求、滿足工信部工業控制系統安全防護指南中的技術需求;

  • 通过建设不同维度的安全産品,形成一个以安全管理平台为中心的纵深防御的安全体系,真正做到“进不来-拿不走-打不开-改不了—赖不掉”。

利盈国际网址官方二維碼

扫一扫关注我们利盈国际网址官方网站 来了解我们更多资讯

地址:北京市海澱區上地三街9號嘉華大廈F座901室
郵箱:support@hhhhhof.vip
微信公衆號:winicssec_bj
4000-680-620 24小時服務熱線
Copyright 2016 Winicssec All Rights Reserved 版權所有 京ICP备14062383号-1