建设背景

综合监控系统(ISCS)必须保证与相关系统间信息迅速、准确、可靠的传送，必须保证实现被集成系统的全部功能。综合监控系统面向的对象为控制中心的电调、环调、维调和总调(值班主任)及车站的值班站长、值班员，还要面向维修中心和车辆段管理；综合监控系统应能采集、处理集成与互联系统的必要设备故障信息，以方便系统的维护和管理。但随着计算机和网络技术的发展，特别是信息化与综合监控系统深度融合，综合监控系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与PIS网络、语音广播、视频监控等其他子系统互联，甚至与公共网络连接，造成病毒、木马等威胁向综合监控系统扩散。一旦综合监控系统的信息安全出现漏洞，将对城市轨道交通的稳定运行和旅客的人身安全造成重大影响。

建设目标

综合监控系统作为城市轨道交通不可或缺的系统，其安全运行及其重要，本方案针对城市轨道交通综合监控系统，通过安全管理方案设计以及安全技术方案设计，提出一个基于纵深防御的分域安全防护与运维保障体系，同时基于信息安全等级保护对综合监控系统的要求，本方案在对综合监控系统的信息安全防护现状进行分析的基础上，能够满足信息系统等级保护(三级)基本要求以及综合监控系统的特殊安全需求：

1. 通过评估找出综合监控系统安全防护与等级保护要求的差距

2. 通过安全咨询，满足信息系统等级保护(三级)提出的安全管理要求

3. 通过技术防护方案的设计，满足信息系统等级保护(三级)提出的安全技术要求

4. 通过运维方案，使综合监控系统持续符合检查评估

综合监控系统安全防护现状分析

(1)网络边界安全问题

综合监控系统的在网络边界的安全防护方面存在如下问题：

1. 综合监控系统集成的子系统较多(例如PSCADA、FAS、BAS等)，各集成子系统的安全级别不一样，综合监控系统缺乏与集成子系统的网络隔离措施，各系统之间存在互相访问的可能性；

2. 综合监控系统互联的子系统较多(例如SIG、AFC、PIS等)，各互联子系统的安全级别不一样，综合监控系统缺乏与互联子系统的网络隔离措施，各系统之间存在互相访问的可能性；

3. 传统信息安全产品不识别综合监控系统业务流量，缺少为数据流提供明确的允许/拒绝访问的能力；

4. 传统信息安全产品不能对进出网络的信息内容进行过滤，不能实现对应用层协议命令级的控制；

综合监控系统网络架构图

(2)工作站、服务器安全问题

综合监控系统的工作站、服务器和相关控制设备存在如下安全问题：

1. 工作站和服务器采用通用的操作系统，操作系统的漏洞直接影响综合监控系统的安全运行；

2. 工作站和服务器的外设接口没有统一的管理，尤其是USB接口，此类通用接口是恶意软件传播的主要途径；

3. 工作站和服务器安装的软件没有管理和控制，即时通信、游戏等非业务软件可以随意安装；

4. 采用传统防病毒软件(部分工作站甚至无法安装杀毒软件)，无法及时更新恶意代码库，且影响系统稳定性；

5. 传统防病毒软件无法对进程的完整性进行检测，并在检测到完整性受到破坏后不具有恢复能力；

(3)操作异常安全问题

综合监控系统网络内的流量和操作等行为存在如下安全问题：

1. 无法查看综合监控网络内的流量情况，缺少对网络流量的监测与分析能力；

2. 无法识别针对综合监控系统网络内部的入侵渗透、恶意代码传播等网络攻击行为；

3. 缺乏对非授权设备接入综合监控网络的行为进行识别和检查的能力；

4. 缺乏对业务流量进行安全审计的能力，发生安全事件后无法快速追踪和溯源；

5. 缺乏对综合监控系统网络的威胁评估和风险识别能力；

(4)运维管理安全问题

综合监控系统的管理与运维方面，不同运营公司的管理情况参差不齐，主要存在如下方面的问题：

1. 未设立专门的信息安全岗位，信息安全的管理和维护由业务部门按照自己的理解进行管理和维护，缺少统一的管理运维工具。

2. 信息安全制度不完善，在制度执行过程中普遍存在不到位或不严格的情况。

3. 在日常运行维护过程中普遍存在诸如介质未采用有效的手段进行管理和防护，容易造成病毒入侵和敏感信息泄露的风险。

4. 存在账号共享、弱口令、未定期更改密码的问题，综合监控系统的用户权限普遍缺乏定期回顾检查，容易造成越权、权限滥用导致的安全事故。

5. 安全防护应急预案存在事故预想不全面、内容不完整、相关要求缺乏可操作性等问题，缺少演练、培训和更新的相关内容，无法在真正的事故中及时响应和恢复系统并最终影响到企业生产。

6. 综合监控系统的部署、策略配置等主要依赖厂商或系统集成商，对第三方人员缺乏严格的管控制度，容易造成敏感信息泄密或误操作的风险。

7. 工控系统网络安全培训缺乏，大多数地铁公司并未开展过综合监控系统网络安全的专项教育和培训。工控网络安全的意识相对比较薄弱，对系统性的信息安全了解不够。

8. 由于设备和服务器众多，账号管理混乱，授权不清、各种越权访问、误操作、滥用、恶意破坏等情况时有发生。据资料统计，在对网络造成严重损害的案例中，有 70％是组织里的内部人员所为。

安全技术方案设计

安全体系技术层面设计主要是依据信息系统等级保护(三级)中的技术要求而设计。分别从以下方面进行设计：

(1)安全区域边界

为满足等级保护建设对访问控制、边界完整性检查、恶意代码防范等基本安全要求，在系统与互联接口之间部署工业防火墙，通过部署工业防火墙来实现隔离与访问控制，工业防火墙能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口(对应请求的服务类型)等信息执行访问控制规则，允许ISCS系统和其他互联系统正常业务数据穿过该平台，禁止其他应用的连接请求，以保障ISCS系统的安全性。

部署位置：在控制中心、车辆段、停车场及车站的ISCS系统与其他外部系统的网络边界部署硬件工业防火墙；

安全策略：在ISCS系统与互联子系统接口处，通过工业防火墙来实现隔离与访问控制，能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口(对应请求的服务类型)、时间、用户名等信息执行访问控制规则，具体的访问控制规则包括：

1. 允许ISCS系统和其他互联系统正常业务数据穿过该平台；

2. 其他访问均被禁止；

工业防火墙部署示意图——OCC

工业防火墙部署示意图——车站

(2)安全通信网络

为满足等级保护建设对网络安全的安全审计、入侵防范等基本安全要求，本方案通过在控制中心、车辆段和车站的ISCS系统骨干网交换机等关键业务节点旁路部署监测审计设备，审计网络数据流量。

工业安全审计系统部署示意图——OCC

通过接收镜像的网络流量，分析ISCS系统网络内是否存在异常流量、违规操作等行为，同时基于网络流量、协议和应用进行全方位的审计记录，以便发生安全事件后能够快速对事件进行分析溯源。

部署位置：在控制中心的ISCS骨干网交换机处部署监测与审计系统；

安全策略：在ISCS综合监控系统核心交换机处通过监测审计通过交换机的业务。具体规则包括：

1. 检测网络攻击事件：采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效检测各种攻击和欺骗；

2. 审计、查询策略：能够完整记录多种协议的内容。记录内容包括，攻击源IP、攻击类型、攻击目标、攻击时间等信息，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程。同时必须对重要安全事件提供多种报警机制；

3. 网络异常策略：在检测过程中综合运用多种检测手段，在检测的各个部分使用合适的检测方式，采取基于行为的检测，对数据包的特征进行分析，有效发现网络中异

(3)安全计算环境

为满足等级保护建设对主机的恶意代码防范、入侵防范等基本安全要求，在系统中所有终端上安装工控主机卫士软件，通过文件级白名单的方式从根本上扼制恶意代码的运行，代替终端防病毒软件。

主机防护系统集中监管平台部署示意图——OCC

工控主机卫士是专门针对工业控制系统的主机(服务器、操作员站等)进行安全防护与管理的软件。该软件基于“白名单”安全防护机制，充分利用应用程序白名单技术的高安全、高性能、高功效等特点，实现了计算机系统启动、加载和运行过程中的全生命周期的安全保证。

“白名单”，是指规则中设置的允许使用的名单列表，其意义是“好的”、“被允许的”；“应用程序白名单”是一组应用程序名单列表，在此列表中的应用程序是允许在系统中运行，未在白名单列表中的程序将被阻止运行或安装。

工控主机卫士提供严格的USB存储设备管理。U盘、USB硬盘等存储设备在接入工控主机使用前，必须先经过使用授权。授权级别包括：读写、只读、只写，共三种权限。未经授权的USB存储设备不能使用，经过授权的设备，也不能进行超越其权限的操作。通过授权管理，工控主机卫士能够有效防止文件泄密。同时，工控主机卫士还会审计USB存储设备的文件操作行为，为事后追责提供依据。

部署位置：在控制中心、车辆段、车站等处综合监控系统的工作站上安装工控主机卫士软件。

安全策略：在所有工作站和服务器上安装工控主机卫士软件，能够有效防范针对工控系统的恶意软件以及U盘等外设的管控，并执行以下的安全策略：

1. 按照工作站的业务类型建立白名单；并对照所有的工作站所有的业务操作需要，确保白名单的完整性；

2. 白名单在导出备份时，需确保白名单的完整性；

(4)风险评估系统

风险评估系统旨在提升综合监控系统整体安全风险自评能力，形成定期风险评估的可持续性安全运维模式。

1)  统一安全管理

根据综合监控系统资产的安全特性出发，分析综合监控系统的威胁来源与自身脆弱性，归纳出工业控制系统面临的信息安全风险，并给出实施综合监控系统风险评估的指导性建议，促进我国工业控制系统信息安全检查工作。以实现以下风险评估目标：

部署位置：控制中心中央级综合监控系统核心交换机旁路部署风险评估系统。

风险评估系统部署示意图——OCC

(5)运维管理

综合监控系统的安全防护设计，从网络边界安全、主机终端安全、流量行为安全等不同维度部署了相应的防护设备和软件进行纵深防御，那么多种技术类型的防护效果如何，安全产品是否形成安全防护的合力，构成纵深防护的整体，需要对综合监控系统的整体运维管理提供技术支撑。

1)  统一安全管理

为满足等级保护建设对监控管理和安全管理中心的基本安全要求，本方案在控制中心核心交换机上旁路部署安全管理平台，其他工业安全审计系统和工业防火墙的管理口就近接入综合监控系统骨干网中，这样方便运营方对综合监控系统部署的所有的安全防护设备进行统一管理和维护，以及提高全面的安全态势感知能力。

2)  安全运维管理

实现综合监控系统的远程维护审计、统一维护账户管控等功能，在控制中核心交换机上旁路部署堡垒机，系统通过逻辑上将人和目标设备分离，建立“人→自然人账号(用户账号)→授权→设备账号(目标设备账号)→目标设备”的管理模式。在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计。

部署位置

控制中心中央级综合监控系统核心交换机旁路部署安全集中监管平台。

控制中心中央级综合监控系统核心交换机旁路部署堡垒机。

安全集中监管平台部署示意图——OCC

堡垒机部署示意图——OCC

本方案设计的技术防护方案部分主要是以安全产品的部署来消除等保测评中的高风险项，而对于物理安全的要求，需要通过机房建设等相关措施满足；对于网络安全、主机安全、应用安全、数据安全和运维管理其他方面的要求，则通过安全配置等措施来实现。

参考资料:《城市轨道交通综合监控系统工程技术标准 GBT 50636-2018》；《地铁设计规范GB50157-2013》；等级保护系统相关设计资料；图片来源网络，侵删；未经允许，严禁转载；

码字不易，请点“在看”

轨道建设

“分享和转发，是更大的支持”