▍行业背景
铁路供电远动系统(SCADA)是重要数据采集与监视系统,具备数据采集、牵引供电与电力同屏调度等重要功能,并且与CTC、PDMS等重要系统有诸多接口及数据交换。这也为牵引供电系统的业务系统和各类网络设备、终端设备带来了越来越多的不安全因素,带来的网络风险也成为了铁路安全运营最大的最致命的风险隐患。
◆ 铁路信息系统众多且系统间的数据交互频繁,如SCADA系统在主控站(调度中心)需与辅助监控系统、调度运行管理系统等子系统进行通讯,一旦防护不当会导致恶意攻击从其他系统直接渗透到SCADA系统,而且入侵、病毒等风险很容易在工控网络中蔓延;
◆ 铁路SCADA系统中的业务数据以明文、无认证、无授权的形式通讯,缺乏必要的安全措施。
◆ 铁路SCADA系统部署的数据服务器、各类工程师站、操作员站,这些主机系统以及配备的基础软件自身都存在着大量的不可忽视的安全风险,如主机系统自身存在的中高危漏洞,默认开放的服务及端口、系统默认账号及弱口令问题等等;
◆ 缺乏有效入侵监测、安全审计等措施,无法事后追踪溯源;
◆ 缺乏统一的安全管理中心,可能导致无法及时处理安全隐患。
▍解决方案
风险评估:
建设前期进行工控网络安全风险的评估,全面了解智能变电站生产控制系统存在的各类风险,并输出风险评估报告。
防护方案:
◆ 在调度中心的复示管理区部署单向隔离网闸,来实现单向物理隔离,保证数据单向安全传输;
◆ 针对SCADA系统中的相关应用服务器、工作站等主机系统安装部署主机安全卫士,实现白名单为主的终端防护;
◆ 在SCADA系统中的相关应用服务器、工作站等汇聚交换机上部署USB安全隔离系统,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全;
◆ 在调度中心与其他外部系统之间,调度中心与被控站之间部署工控防火墙;
◆ 在调度中心汇聚交换机上分别部署工控安全审计系统、入侵检测、帐号管理及运维审计系统(堡垒机),实现对工控系统网络中的通信数据进行合规性检查,对异常行为、非法入侵行为进行识别、告警,辅助安全运维人员进行处置并对设备厂家运维行为进行安全审计;
◆ 新建安全管理中心
◆ 在安全管理中心部署日志审计与分析系统可以通过syslog、SNMP等方式、收集全网中各系统产品的告警日志,进行日志的集中存储、范式化与安全分析与展示。
在安全管理中心部署工控信息安全监管与分析平台,实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能;
◆ 通过在安全管理中心边界部署工业防火墙实现不同级别安全域之间的隔离与防护。
▍应用价值
满足行业合规性要求
充分满足铁路行业信息系统网络安全建设现状和未来业务发展需求,严格遵循《铁路网络安全等级保护基本要求安全通用要求》等行业及国家相关的等级保护建设要求。
主动防御体系
本项目应用了基于工业控制系统的防护手段,构建了安全可控为目标、监控审计为特征的新一代主动防御体系,提高工控系统整体安全性。
贴合场景的解决方案
针对客户痛点和安全建设需求,提供贴合实际场景的铁路供电远动系统网络安全解决方案,依托于多年的网络安全建设经验,为客户降低成本、提高效率、提升品牌形象和口碑,最终满足等保合规需求。
构建闭环管理体系
通过打造可视化的安全管理中心,实现对铁路供电远动系统生产控制系统安全“感知、研判、通报、处置、追溯、恢复、检查”流程的闭环管理。
