安全防护依据

● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

● 《交通运输部网络安全管理办法》(交科技发〔2020〕125号)

● 《“十四五”交通领域科技创新规划》(交科技发〔2022〕31号)

● 《关于加快智慧港口和智慧航道建设的意见》(交水发〔2023〕164号)

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● JT/T 904-2023《交通运输行业网络安全等级保护定级指南》

● JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》

● JT/T 1417-2022《交通运输行业网络安全等级保护基本要求》

● JT/T 1275-2019《交通运输行业信息系统风险评估指南》

安全防护原则
典型部署

● 在现场控制层与管理调度层间、安全管理中心与各安全域间部署工业防火墙,做好横向分区、纵向分域,实现逻辑隔离,避免域间非法访问控制造成网络安全风险。

● 在管理调度层部署入侵检测系统,实现网络威胁入侵检测,及时发现网络异常情况,并对僵尸主机监控定位,实现网络运行状态的实时监控; 

● 在现场控制网络各核心控制系统旁路镜像部署工控安全审计系统、监控网络内的生产流量,及时发现网络当中的异常流量、违规操作、误操作、指令异常、非法连接等现象。

● 在各工业终端主机上部署主机安全卫士、保证主机安全,避免发生终端安全事件,实现终端进程的可信管理;交换机旁部署USB安全隔离装置,对U盘进行统一授权管理,防止恶意病毒程序通过U盘的方式进入网内;

● 在管理调度层集中部署日志审计系统,收集安全设备日志,对网内安全事件进行收集整理;

● 在管理调度层集中部署漏洞扫描系统,负责发现网内设备漏洞,给管理人员提供决策。

● 在管理调度层集中部署账号集中管理与审计系统,实现对调度层网络中工程师运维过程的账号权限分配与管理,以及对运维过程的记录与分析;

● 单独组建安全管理网络,对网络中所有安全设备进行集中管理,并对生产网络的安全态势进行集中监控与分析,通过安全管理平台进行统一显示。