• 长扬科技新闻
  • 佳音不断 |长扬科技地铁信号系统等级保护(三级)方案成年度行业典范

    2020.11.06

    当前,互联网创新发展与新工业革命正处于历史交汇期,互联网从消费领域向生产领域、从虚拟经济向实体经济快速延伸,工业经济由数字化向网络化、智能化深度拓展,工业互联网正成为推动互联网、大数据、人工智能和实体经济融合发展的突破口。

     

    如此不平凡的时代背景下,大批勇于探索的行业佼佼者迎难而上,也随即诞生了一个个凝聚着智慧与创新的应用案例。

     

    在2020工业互联网大会“工业互联网成果发布”论坛上,长扬科技所打造的地铁信号系统等级保护(三级)实施方案被评选为2019工业互联网应用案例。

     

    长扬科技: 地铁信号系统等级保护(三级)实施方案


    随着计算机和网络技术的发展,特别是信息化与信号系统深度融合,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与PIS网络、语音广播等其他子系统互联,甚至与公共网络连接,造成病毒、木马等威胁向CBTC系统扩散。一旦CBTC系统的信息安全出现漏洞,将对城市轨道交通的稳定运行和旅客的人身安全造成重大影响。

     

    本项目以“安全分区、网络专用、三网隔离、分级防护”为原则,以GB/T 22239为标准,在技术层面实现地铁基于CBTC的信号系统内各子系统统一技术架构和标准,建设满足信息系统安全等级(三级)要求的防护方案。


    总体架构&主要内容

    网络边界安全防护:长扬科技通过在控制中心ATS网络与互联系统间(PIS、ISCS、PA等)接口的网络边界位置,部署工业网闸,该产品采用专用的安全通道进行内外网信息交换,业务数据通过物理隔离、协议隔离、内容隔离等措施使外网网络数据及有害数据信息无法进入内网。

     

    该产品同时也采用双重全防护机制,白名单的防护机制保护客户业务系统免于遭受各种已知安全风险及未知安全隐患,内嵌的防病毒、入侵检测引擎为用户提供第二层保护,识别已发现的各种病毒和入侵时示警并记录日志。

     

    在控制中心ATS与各区域边界位置部署工业防火墙。实现隔离与访问控制,根据数据包的源地址、目的地址、传输层协议、应用层协议、端口(对应请求的服务类型)、时间、用户名等信息执行访问控制规则识别工控网络中已知的安全威胁。

     

    网络流量安全:长扬科技通过在关键位置控制中心、车辆段、停车场和设备集中站的维护网接入交换机处旁路部署网络工业网络监测审计系统,对全网数据流量、网络数据智能学习生成白名单规则,结合黑名单规则统一规则部署进行协议级审计,实时监控控制网络安全,发现异常行为及病毒木马。

     

    主机安全防护:长扬科技通过在控制中心、车站、车辆段、停车场等处的工作站和服务器部署工控主机卫士终端安全防护产品,开启主机白名单安全防护,监控工控主机的进程状态、网络接口状态、USB端口状态,以白名单的技术方式,切断病毒和木马的传播与破坏路径,彻底解决主机不能安装杀毒软件或病毒库升级后影响程序运行的问题。

     

    统一安全管理:长扬科技通过在控制中心部署统一安全管理平台,统一管控所有工控网络安全设备与安全防护手段,将系统的工控网络安全现状实时、全面地进行监控。对于保护终端所产生的安全事件和平台系统事件进行行为关联性追踪,找到引起当前结果事件的源头事件,为分析从源头事件到结果事件的整个过程提供依据。

     

    专业的工业控制网络拓扑构建和管理工具,帮助用户最大化的了解自身工业控制网络,以及提高全面的安全态势感知能力。

     

    信号系统网络安全部署示意图如下所示:

     

    实施效果

    本项目实现了项目目标需求,解决了网络系统风险管理与入侵防护;在网络层面生产网边界,实现网络接口安全;通过区域隔离,结合黑\白名单的访问控制实现恶意代码防范。对系统运用的多项先进技术,系统整体性能和安全性进行日常维护管理。完善了轨道交通信号系统信息安全保护体系,为等保测评的顺利通过提供了安全保障。


    先进性及创新点

    提供全系列工控安全产品,可以满足不同工控系统信息安全防护项目的需要。


    产品采用WEB配置,不需要串口线、CLI,方便现场实施部署,所有黑名单规则、白名单规则可以统一调入到规则库,进行一键式部署,方便快捷,可自动调整安全规则及保护策略之间的冲突,简化部署过程。


    硬件方面适应工控系统冗余、时延、可靠性、环境等各方面的要求:

    1)  硬件设计支持硬件加密。在现场能够实现多种灵活的安装方式,包括导轨安装、机柜安装等。

    2)  可以在各种行业需要的环境下运行,扩展性强,无风扇全封闭设计,达到工业级的可靠性和稳定性MTBF标准和工业级宽温标准。

    3)  支持多电源冗余和端口故障时的自动硬件旁路转换。端口设计上采用与数据网分离的管理网端口,并支持千兆以太网。

     

    新闻中心

    热门动态

    下一条: 长扬科技再次中标工信部多个工业互联网创新发展工程项目

    
    长扬科技官方微信

    010-82194186

    长扬科技官方微信

    Copyright © 长扬科技(北京)有限公司 All rights reserved | 京ICP备18008714号-1