安全防护依据

● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

● 《交通运输部网络安全管理办法》(交科技发〔2020〕125号)

● 《“十四五”交通领域科技创新规划》(交科技发〔2022〕31号)

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● JT/T 904-2023《交通运输行业网络安全等级保护定级指南》

● JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》

● JT/T 1417-2022《交通运输行业网络安全等级保护基本要求》

● JT/T 1275-2019《交通运输行业信息系统风险评估指南》

安全防护原则
典型部署

● 以车站控制网络为单位,在每个车站接入通信环网前,网管系统、维修系统和培训系统,通过部署工业防火墙/网闸,实现各车间控制网络之间的安全隔离;

● 在每个车站或车辆段、停车场控制网络的FEP位置冗余部署工业防火墙,实现综合监控系统与其他系统的安全隔离;

● 在每个车站或车辆段、停车场控制网络中部署USB安全隔离装置,实现对上位主机的USB接口安全使用进行有效管理,对通过USB接口临时接入生产网络的移动存储设备进行病毒查杀;

● 各主机终端部署工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性;

● 在每个车站或车辆段、停车场控制网络的核心交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络中网络威胁、违规操作、异常流程等网络攻击行为的实时监控与分析,并可以与集控中心的工控行为追溯系统共享数据;

● 在控制中心网络边界部署入侵检测系统,通过准确监测网络异常流量,自动应对各类攻击流量,及时发现安全威胁;

● 在控制中心部署一套日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;

● 在控制中心集中部署漏洞扫描系统,负责发现网内设备漏洞,给管理人员提供决策。

● 在控制中心集中部署账号集中管理与审计系统(堡垒机),实现对综合系统内所有网络设备运维过程进行统一的身份认证与账号授权管理;

● 在控制中心部署统一安全管理平台,对工控网络中的安全产品进行集中管理、配置和维护,便于综合分析、及时定位问题。