项目配景需求
本项目是某市地铁综合监控系统凭证品级�;�;;;�;�;と兑缶傩薪ㄉ�,�,,�,�,,�,主要在中心级对车站和中心的网络通讯做入侵检测�,�,,�,�,,�,综合监控和其他系统之间做会见控制�,�,,�,�,,�,辅助以误差检查和清静设置基线检查的检查手段�,�,,�,�,,�,最终将装备的日志和清静报警以工控清静治理系一切一泛起和治理。。�。�。�。�。
综合监控系统信息清静危害如下:
(1)地铁自动化系统未举行清静域划分�,�,,�,�,,�,区域间和系统间未设置会见控制步伐。。�。�。�。�。
(2)缺少信息清静危害监控手艺�,�,,�,�,,�,不可实时相识发明入侵行为、病毒、网络会见异常、网络拥塞等问题�,�,,�,�,,�,泛起问题后靠职员履历排查。。�。�。�。�。
(3)系统运行后�,�,,�,�,,�,操作站和效劳器很少打补丁�,�,,�,�,,�,保存系统误差�,�,,�,�,,�,系统清静设置较薄弱�,�,,�,�,,�,防病毒软件装置不周全。。�。�。�。�。
(4)防病毒软件的装置不周全�,�,,�,�,,�,纵然装置后也不实时更新防恶意代码软件版本和恶意代码库。。�。�。�。�。
(5)工程师站缺少身份认证和接入控制�,�,,�,�,,�,且权限很大。。�。�。�。�。工程师站上岸历程缺少身份认证�,�,,�,�,,�,且工程师站对操作站、PLC等举行组态时均缺乏身份认证�,�,,�,�,,�,保存恣意工程师站可以对操作站、现场装备直接组态的可能性。。�。�。�。�。
(6)在地铁自动化系统运维和使用历程中�,�,,�,�,,�,保存随意使用U盘、光盘、移动硬盘等移动存储介质征象�,�,,�,�,,�,有可能熏染病毒、木马等威胁进生产系统。。�。�。�。�。
(7)第三方职员运维生产系统无审计步伐。。�。�。�。�。
(8)上线前举行信息清静测试的需求。。�。�。�。�。
防护计划及涉及清静产品
在中央控制中心设置清静治理区域�,�,,�,�,,�,划分自力VLAN�,�,,�,�,,�,安排工控清静治理平台、工控误差扫描和清静设置核查�,�,,�,�,,�,在综合监控系统与AFC\PIS\CLK\PA等其他系统的接口出安排工业防火墙�,�,,�,�,,�,在中心的焦点交流机上安排工控异常监测系统�,�,,�,�,,�, 安排如下图所示:
(1)工业控制信息清静治理平台
工控信息清静治理系统对所有清静信息举行统一治理�,�,,�,�,,�,统一泛起。。�。�。�。��;�;;;�;�;诹鞣⒚饕斐:突峒叵�,�,,�,�,,�,关联日志发明潜在威胁�,�,,�,�,,�,同时检测PSCADA、BAS的营业异常——在详细营业中�,�,,�,�,,�,系统发出控制下令是特定的、有限的�,�,,�,�,,�,将准确的数据包作为标准�,�,,�,�,,�,就可以快速发明异常数据包。。�。�。�。�。
(2)工业防火墙
工业防火墙可以控制外部系统(如信号�,�,,�,�,,�,AFC等)对综合监控系统�,�,,�,�,,�,以及综合监控系统内部差别区域之间(如中央到车站)的会见控制�,�,,�,�,,�,对数据包举行过滤�,�,,�,�,,�,严酷执行白名单机制�,�,,�,�,,�,实现�;�;;;�;�;ぁ!�。�。�。�。工业防火墙还可以对工业控制协议举行深度剖析�,�,,�,�,,�,通过预设�,�,,�,�,,�,自学习等要领识别不法或违规的工业控制指令及控制参数�,�,,�,�,,�,并举行阻断�,�,,�,�,,�,阻止工业控制装备受到网络攻击。。�。�。�。�。
工业防火墙关于网络中的工控协议MODBUS的清静防护如下:
(3)工控异常检测系统
工控异常检测通过对系统中的应用层协议举行深度剖析磨练协议名堂�,�,,�,�,,�,并与规则战略比照验证内容合规性�,�,,�,�,,�,可实现对应用系统的入侵检测和剖析营业操作异常。。�。�。�。�。能自动发明工业网络中的活动装备�,�,,�,�,,�,装备开放的端口以及装备的网络毗连�,�,,�,�,,�,并通过预设�,�,,�,�,,�,自学习等要领制订白名单战略�,�,,�,�,,�,自动监视异常的违规营业。。�。�。�。��??�?�?�?�?啥酝缰腥霾サ牟《尽⒛韭硪约岸韵低骋阎蟛畹墓セ餍形傩屑觳狻!�。�。�。�。
在集成商仿真情形中工控异常检测系统有用检测出网络中的基于Modbus协议的模拟攻击行为�,�,,�,�,,�,实现告警。。�。�。�。�。
(4)误差扫描系统
误差扫描系统能够快速发明网络资产�,�,,�,�,,�,准确识别资产属性�,�,,�,�,,�,周全扫描清静误差�,�,,�,�,,�,清晰定性清静危害�,�,,�,�,,�,给出修复建媾和预防步伐�,�,,�,�,,�,并对危害控制战略举行有用审核�,�,,�,�,,�,从而资助清静职员在弱点周全评估的基础上实现清静自主掌控。。�。�。�。�。
(5)设置核查
清静基线设置核查系统是检查清静设置的自动化工具�,�,,�,�,,�,可对主机装备、网络装备、清静装备、数据库、中心件等系统设置举行清静检查。。�。�。�。�。检查内容应包括操作系统和网络装备、数据库和中心件等的账号、口令、授权、日志清静要求、不须要的效劳、启动项、注册表、会话设置等和清静相关设置。。�。�。�。�。资助清静职员对操作站主机举行按期检查和清静加固。。�。�。�。�。设置检查效果如下:
本项目中防护计划中涉及清静产品如下表:
产品名称
| 数目
|
工业防火墙
| 4台
|
工控异常监测系统
| 1台
|
工控信息清静治理平台
| 1套
|
工控误差扫描系统
| 1套
|
工控清静基线检查系统
| 1台
|
项目效果
该项目是综合监控系统凭证品级�;�;;;�;�;と督ㄉ�,�,,�,�,,�,我司已在集成商的仿真情形举行集成测试�,�,,�,�,,�,17年上半年上线运行。。�。�。�。�。
综合监控系统是地铁四大系统之一�,�,,�,�,,�,90%的地铁控制系统均有此系统�,�,,�,�,,�,可以跟业主、集成商、设计院相同此项目偏向。。�。�。�。�。
京公网安备11010802024551号