行业: 交通
技术: 安全可信, 嵌入式
随着信息化与轨道交通自动化的深度融合,轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展,越来越多基于TCP/IP的通信协议和接口被采用,实现了各子系统的互联互通、资源共享,进一步提升了自动化水平。城市轨道交通信息化系统的集成化、智能化程度越来越高,业务运行过程对信息系统的依赖性日益增强,随之而来的网络安全面临的挑战也变得更大。信息系统一旦停滞,车辆调度、故障报警、安全运维等各个环节都无法正常进行,后果将不可想象。城市轨道交通系统每天承载上千万人的出行,一旦出现网络安全事故将直接影响人民的正常生活,造成的损失不可估量。因此,城市轨道交通的网络安全风险需引起高度重视。
城市轨道交通信号系统作为集行车指挥和列车运行控制的重要系统,所有的操作控制及指令控制行为都与列车间的发车、停靠等息息相关,一旦出现网络安全问题,将造成列车调度及运行瘫痪。
国家多个部门联合发布了《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》,将轨道交通纳入关键信息基础设施保护范围,并要求运营者履行相应安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改。
我国城轨交通虽已步入交通大国行列,但技术设备的自主化等方面,与国际先进水平相比仍存在一定差距,部分关键技术设备、核心零部件和设计软件受制于人的状况依然存在。 当今世界正处在百年未遇之大变局,我们面临的国内外发展环境纷繁复杂, 城轨交通产品技术乃至整个产业的安全成为头等大事。2020年3月中国城市轨道交通协会印发《中国城市轨道交通智慧城轨发展纲要》(以下简称:《纲要》),以此作为城轨交通行业今后一个时期(2020-2035年)制定智慧城轨发展的技术政策、技术规范、发展规划和实施计划指导性文件。《纲要》总结提出体制机制层面抓自主化,突破关键和核心技术,确保技术和产业的安全以及市场的主导地位。
结合行业现状和政策要求,基于国产硬件平台和操作系统的自主工控网络安全产品在轨道交通信号系统中有广阔的应用前景。
参考GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和T/CAMET 11001.3—2019《智慧城市轨道交通 信息技术架构及网络安全规范》第3部分:网络安全要求,对信号系统进行符合国家网络安全等级保护三级要求的建设。信号系统网络安全建设方案采用基于“白环境”的纵深防御安全防护技术体系,结合现场实际问题和等保2.0”一个中心、三重防护“为基础制定整体解决方案。
网络拓扑图及详细说明如下:
图1 全国产信号系统网络安全解决方案拓扑图
安全区域边界:
将信号系统作为一个整体进行安全防护,在信号系统与其它系统的接口处部署国产工业防火墙进行边界隔离,对Modbus TCP等工控专用协议进行深度识别和解析,保证只有经过授权的流量才能进入到信号系统内部;
在控制中心旁路部署国产入侵检测系统,通过开启病毒防护,入侵检测功能,及时发现信号系统网络边界中存在的病毒传播、网络扫描、入侵攻击等违反安全策略的行为和被攻击的迹象,进一步提高信号系统边界防护能力。
安全通信网络:
在信号系统控制中心、车辆段、停车场和设备集中站等关键节点部署国产工控安全监测与审计系统,基于工控协议深度解析技术,实时监测信号系统内部的异常流量和行为;利用网络全流量记录和分析技术,实时审计信号系统内部的网络会话,提高信号系统网络安全审计能力。
安全计算环境:
在信号系统内所有服务器和工作站上部署工控主机卫士,从身份鉴别、访问控制、病毒防范、外设管控、日志审计等几个方面构建主机安全业务环境。
安全管理中心:
在控制中心部署国产统一安全管理平台、国产安全运维管理系统、国产日志审计与分析系统、国产数据库审计系统,建成信号系统线路级安全管理中心:
通过安全运维管理系统提升运维人员的身份认证、权限管控与运维行为审计能力;
通过日志审计与分析系统提升日志采集和审计能力,保证审计日志保存12个月以上;
通过数据库审计系统对数据库所面临的风险进行多方位的评估,并对数据库所有操作进行审计,提供事后追查机制;
通过统一安全管理平台实现对系统中的网络安全设备运行状态监控和策略管理。
威努特能够提供全套基于飞腾硬件平台和麒麟操作系统的工控网络安全产品,飞腾制定的PSPA(Phytium Security Platform Architecture)处理器安全架构标准是国产CPU企业首次发布CPU层面的安全架构标准,从CPU层面实现了国产计算机系统自底向上的本质安全,PSPA 从十个方面定义了安全处理器中涉及的软硬件功能和属性,包括可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫等,涉及芯片的硬件设计、固件设计、量产等多个方面,对可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。同时威努特国产系列产品采用国产CPU,可以确保核心部件的长期可靠供应。
1、国产工业防火墙、工控安全监测与审计系统、入侵检测系统、数据库审计系统硬件参数
|
硬件参数 |
|
|
CPU |
FT-2000/4 |
|
RAM |
8GByte DDR4 RAM |
|
存储 |
16GByte Flash+1TByte监控级HDD |
|
以太网接口(电/光) |
6个/4个 |
2、国产统一安全管理平台、日志审计与分析系统硬件参数
|
硬件参数 |
|
|
CPU |
FT-2000+/64 |
|
RAM |
32GByte DDR4 RAM |
|
存储 |
4TByte监控级HDD |
|
以太网接口(电气) |
2个(可扩展16个千兆电口或8个万兆光口) |
3、国产安全运维管理系统硬件参数
|
硬件参数 |
|
|
CPU |
FT-1500A/16 |
|
RAM |
8GByte DDR4 RAM |
|
存储 |
1TByte监控级HDD |
|
以太网接口(电气) |
8个(可扩展12个千兆电口/光口或8个万兆光口) |
FT-1500A/16
FT-2000+/64
FT-2000/4
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。威努特拥有深厚的技术积累,积极参与制定28项网络安全国家、行业标准,申报95项发明专利、82项软件著作权、103项原创漏洞证明等核心知识产权。并多次受邀为建党100周年、新中国70周年庆典、中共十九大、全国两会、“一带一路”、G20等多项重大活动进行网络安保工作,得到了中央网信办、公安部、国安部、工信部、国防科工局等国家政府部门和客户的高度认可。