1、用户介绍
国内某市地铁集团有限公司是市政府国有资产监督管理委员会直管的国有独资大型企业。主要业务涵盖地铁工程建设、轨道运营、物业开发、投融资、资源经营与物业管理、工程勘察设计等。
2、安全风险
● 各站点以及NOCC监控中心网络边界缺少访问控制设备和威胁检测设备;
● 电力SCADA系统网络中缺少针对ORACLE、SQL等数据库应用的安全审计系统;
● 系统网络中缺少针对工程师站运维过程的授权管理与审计手段;
● 各站点缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能。
3、解决方案
车站级安全防护:
● 以车站控制网络为单位,在每个车站接入通信环网前,通过部署工业防火墙,实现各车间控制网络之间的安全隔离;
● 在每个站点的管理网交换机上部署1台USB安全隔离装置,实现本站点操作终端的USB接口安全使用及权限管理;
● 各工作站终端部署工控主机安全卫士,实现进程可控;
● 25个站点安全审计功能采用服务端+数采探针端的部署模式,在每个站点的管理层交换机通过镜像口旁路部署工控安全审计系统数据采集探针,每4个探针汇聚到一台工控安全审计服务器,实现对各站点操作行为、异常流量、非法接入、网络威胁等行为的安全审计。
控制中心NOCC安全防护:
● 综合监控环网进入控制中心前部署工业防火墙,实现不同安全区域之间的安全隔离;
● 在原有综合监控交换机下面新增2台交换机,SCADA系统中心设备在该交换机进行汇聚,并要求该交换机支持多口镜像功能;
● 汇聚交换机上旁路部署1台账号集中管理与审计系统(堡垒机)、1台USB隔离装置来实现身份鉴别、应用系统登录和操作记录的审计以及USB移动存储管控的功能;
● 各工作站终端部署工控主机安全卫士,实现进程可控;
● 汇聚交换机上通过镜像口旁路部署1台工业入侵检测系统IDS、1台工业防火墙FW、1台日志审计系统,实现SCADA系统网络边界防护、入侵防范、访问控制,以及对SCADA系统中的日志审计功能;
● 在控制中心NOCC单独增加一台安全管理平台终端,用于对网络中的所有安全设备的运维管理,以及对审计、检测数据的安全分析与展示。
4、客户价值
● 满足监管要求
通过安全建设整改,满足地方公安网监部门对地铁业务系统等级保护安全防护的基本要求,并能够通过测评机构的测评检查。
● 提升防护能力
通过前期的风险评估或测评机构提交的问题整改清单,对存在的问题逐项进行安全加固,提升业务系统的安全防护能力,能够抵御一般的网络入侵攻击事件。
● 降低运维成本
通过部署账号集中管理与审计系统和安全管理平台,能够实现对信息资产的统一管理与状态监控,并对工程师运维过程进行账号权限管理与身份认证,提高运维效率,降低运维风险。