MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2025-06-24
守护关基丨轨道交通综合监控系统(ISCS)工控安全解决方案
》》背景概述《《
地铁综合监控系统是由通信骨干网连接起来的大型SCADA系统,具有分布式、分层次部署的特性。地铁综合监控的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能两大部分。一方面,通过综合监控系统可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能;另一方面,通过综合监控系统还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。
目前地铁综合监控系统(ISCS)正逐步向智能化、智慧化发展。而有地铁综合监控系统(ISCS)工控系统的智能化建设极有可能引入信息安全风险,且地铁综合监控系统(ISCS)工控安全建设往往滞后于智能化、智慧化建设,无法应对日益增长的网络威胁,可能导致其遭受网络攻击而使生产停滞。因此需加快地铁综合监控系统(ISCS)工控安全建设,保障地铁综合监控系统(ISCS)工控系统安全稳定运行。
》》需求分析《《
01/ 标准合规性需求
地铁综合监控系统(ISCS)要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《工业控制系统信息安全防护指南》及地铁综合监控系统(ISCS)工控安全相关要求。
02/ 业务安全性需求
从地铁综合监控系统(ISCS)分为车站层、停车场/车辆段、控制中心等3个控制层,针对各个控制层进行需求分析:
车站层及停车场/车辆段
  1. 地铁综合监控系统(ISCS)车站层及停车场/车辆段内部,各类安全威胁不断涌入控制系统,而综合监控系统(ISCS)车站及停车场/车辆段缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,大大增大了网络入侵的风险,最终导致行车事故的发生。
  2. 各工控系统的上位机、服务器等主机工控系统上位机、服务器漏洞无处不在,对打补丁比较排斥,身份鉴别过于单一等情况;各主机也未部署对已知与未知病毒的防护措施;车站及停车场/车辆段存在误操作、非法攻击、勒索病毒感染等风险,综合监控系统(ISCS)车站及停车场/车辆段迫切需要对工控主机进行加固及病毒免疫等。
控制中心
  1. 控制中心层在建设初期主要考虑易用性和快速部署,因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
  2. 内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,极易产生网络入侵事件,最终导致安全生产事故的发生。
  3. 各工控系统的上位机、服务器等主机,可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况;同时主机无针对已知、未知病毒的防护措施,容易发生误操作、非法攻击、勒索病毒感染等安全事件,地铁综合监控系统(ISCS)迫切需要提升工控主机安全防御能力。
  4. 因此需加强边界安全、安全配置检查、日志审计、漏洞发现、运维审计、安全管理平台等防护能力。
》》解决方案《《
针对地铁综合监控系统(ISCS)的网络架构特点及相关标准规范要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。

地铁综合监控系统(ISCS)工控安全防护拓扑示意图

01/ 车站
  1. 在车站互联FEP等对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  2. 在车站采用工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
  3. 在车站等部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
02/ 停车场/车辆段
  1. 在电气火灾FEP等对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  2. 在停车场/车辆段采用工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
  3. 在停车场/车辆段等部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
03/ 控制中心
  1. 在互联网等对外接口采用防火墙进行逻辑隔离,并进行细粒度控制;在大屏、外系统FEP等对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  2. 在控制中心采用工业应用审计系统、入侵检测系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
  3. 在调度大厅、运行图编辑室、中央信号设备室工作站、服务器等部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及USB等外设接入,防止工业主机被破坏。
04/ 安全管理中心
在控制中心建设安全管理中心,实现安全配置检查、工控漏扫、运维安全管控、日志审计、安全管理等。对车辆运行全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

》》方案收益《《
01/ 满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》及工控安全相关政策、标准及监管要求。
02/ 构建地铁综合监控系统(ISCS)体系化安全
通过强化地铁综合监控系统(ISCS)区域内网络、主机及数据的安全防护,大大增强了综合监控系统的整体安全防护能力,确保强化地铁综合监控系统(ISCS)安全生产可持续运营,构建边界安全、物联设备安全的纵深防护体系。
03/ 提升地铁综合监控系统(ISCS)生产安全性
方案深度融合有地铁综合监控系统(ISCS)工控设施,降低地铁综合监控系统(ISCS)的安全运营风险,提高安全运维效率,为地铁综合监控系统(ISCS)智能化、智慧化建设提供可靠的安全保障。
04/ 促进地铁综合监控系统(ISCS)智能化发展
通过建设地铁综合监控系统(ISCS)工控安全防护体系,可解决地铁综合监控系统(ISCS)智能化建设过程中带来的信息安全风险,保障地铁综合监控系统(ISCS)工控设施、智能化系统安全及设备可靠运转的目标。

关闭
上一篇: 无

相关新闻