地鐵智慧車站運營管控平臺信息安全防護方案——為“智慧出行”保駕護航,實現智慧車站安全運營
方案概述
中國擁有全球規模最大的高鐵和地鐵線路網。車站是線路運行中的重要節點,是乘客輸送不可缺少的場所。因此,要使軌道交通穩定、安全、高效地運行,對車站進行智慧設計和安全防護至關重要。智慧車站運營管控平臺包括車站既有綜合監控系統、智能視頻分析系統、客流分析預測系統、實時定位系統、站務巡視系統、站務單兵系統、智慧消防系統等,并對車站既有系統進行升級。北京六方云信息技術有限公司依托實際案例,對智慧車站運營管控平臺可能面臨的安全風險進行研究,并針對性的提出切實落地的地鐵智慧車站運營管控平臺安全防護方案,在降低網絡安全風險隱患的同時,滿足網絡安全等級保護合規性要求。
方案背景
目前地鐵站管理依然依靠車站人員進行人工管理,需要耗費大量人力資源,管理效率不高,難以繼續提升。另外,對于特殊場景下,依靠既有設施、裝備進行應對時,對車站人員各項要求依然較高。因此需在地鐵站既有系統上增設智慧車站運營管控平臺,包括車站既有綜合監控系統、智能視頻分析系統、客流分析預測系統、實時定位系統、站務巡視系統、站務單兵系統、智慧消防系統等系統,并對車站既有系統進行升級。主要解決車站站務人員工作過程中的難點、痛點,實現全面提升乘客服務質量,提高車站管理工作效率,同時為運營分公司的安全運營生產提供決策支持。業務系統與軌道交通規章制度相配套,建立一套程序化、網絡化、可視化、標準化的智慧車站運營管控平臺,保障車站運行安全,提高車站運營效益,提高站務人員工作效率、降低運行成本,實現安全、高效率、低成本的運營目標。
在智慧車站運營管控平臺的建設應用中,信息安全風險隨之而來。運管平臺以站級ISCS為基礎,利用物聯網、視頻智能分析技術,實現車站態勢全息感知,將設備狀態與報警等自動化數據(生產網)和智能視頻、運營管理、設備維保、客運服務等信息化數據(管理網)深度融合,通過大數據、人工智能進行挖掘分析、綜合利用。運管平臺信息安全風險主要包括管理網的公網通信風險、運管平臺服務器及工作站主機安全風險、運管平臺與內部ISCS/PIS/CCTV數據接入風險等。因此針對地鐵智慧車站運營管控平臺可能存在的信息安全問題進行研究,輸出信息安全防護專題方案,在為運營管控平臺提供信息安全保障的同時,使運營管控平臺信息安全滿足政策合規性,達到等保二級防護水平。
方案簡介
在地鐵站既有系統上增設智慧車站運營管控平臺并針對性進行網絡安全建設,運營管控平臺包括車站既有綜合監控系統、智能視頻分析系統、客流分析預測系統、實時定位系統、站務巡視系統、站務單兵系統、智慧消防系統等系統,并對車站既有系統進行升級,實現全面提升乘客服務質量,提高車站管理工作效率,同時為運營分公司的安全運營生產提供決策支持。運管平臺以站級ISCS為基礎,利用物聯網、視頻智能分析技術,實現車站態勢全息感知,將設備狀態與報警等自動化數據(生產網)和智能視頻、運營管理、設備維保、客運服務等信息化數據(管理網)深度融合,通過大數據、人工智能進行挖掘分析、綜合利用。
對智慧車站運營管控平臺可能面臨的安全風險進行研究,依據“一個中心,三重防護”的安全理念,進行針對性的網絡安全建設,在邊界安全防護產品防火墻的應用上采用NAT技術,增強了網絡安全產品與業務系統的黏性,整體網絡安全建設完成后,提升了運營管控平臺的信息安全防護能力,同時使運營管控平臺信息安全滿足政策合規性,達到等保二級防護水平。
方案目標
(1)提高車站運營效益,提高站務人員工作效率、降低運行成本,實現安全、高效率、低成本的運營目標;
(2)提升運營管控平臺的信息安全防護能力,同時使運營管控平臺信息安全滿足政策合規性,達到等保二級防護水平。
方案實施概況
運管平臺以站級ISCS為基礎,利用物聯網、視頻智能分析技術,實現車站態勢全息感知,將設備狀態與報警等自動化數據(生產網)和智能視頻、運營管理、設備維保、客運服務等信息化數據(管理網)深度融合,通過大數據、人工智能進行挖掘分析、綜合利用。本方案針對智慧車站運營管控平臺的網絡安全建設,主要為提升運營管控平臺網絡安全防護能力,并達到等保二級防護水平。
1. 方案總體架構和主要內容
(1)方案總體架構
根據自動化、信息化數據流向、系統接口情況以及系統功能,將運管平臺系統劃分為三個安全域:工業互聯網接入區域、運管平臺核心區域、生產內網接入區域。
在不同區域邊界部署硬件防火墻,在不同系統之間制定訪問控制策略,實現安全域的訪問控制和區域隔離;
在運營平臺核心區域部署入侵檢測,對內部網絡安全狀況進行實時監測;
在運管平臺服務器、工作站需部署終端防護軟件系統,保障終端主機安全運行;
在每個智慧車站構建安全管理中心,由統一管理平臺、漏洞掃描系統、運維審計與管理系統以及日志審計系統組成,實現集中管理、統一運維、自檢自查等功能。
總體網絡架構如圖5-1所示:
圖5-1 總體網絡架構圖
(2)主要內容
本方案按照“一個中心、三重防護”的核心思想進行網絡安全方案設計及建設,主要應用產品包括防火墻、入侵檢測、統一監管平臺、漏洞掃描系統、運維審計與管理系統、日志審計系統及工業衛士軟件等,具體應用及防護情況如下:
安全區域邊界
將運管平臺系統劃分為三個安全域:工業互聯網接入區域、運管平臺核心區域、生產內網接入區域。在生產內網接入區域至運營平臺核心區域,工業互聯網接入區域至運營平臺核心區域的邊界部署硬件防火墻,不同系統之間制定訪問控制策略,實現安全域的訪問控制和區域隔離。
基于數據流進行梳理分析,智慧車站運營管控平臺需接入TIAS系統,該平臺功能上設計為站級TIAS系統的上位系統,即通過該平臺實現對TIAS中綜合監控部分的設備監控;網絡上,該系統需要在本站訪問TIAS服務器、FEP,并通過TIAS環網分別訪問主控、備控的TIAS實時服務器(機電)、FEP,以及實現兩個及以上車站的運營管控平臺網絡互通(僅限于一體機的部分業務虛擬節點),傳輸內容為常規綜合監控監控數據,不含視頻流。智能掃地機器人、站務單兵設備、手持移動終端、監控平板(均設置靜態IP)通過無線與車站公網連接,車站公網通過控制中心公網與控制中心OA系統的接口實現上述設備與車站OA系統的通信。
基于業務系統訪問需求進行分析,防火墻設備在進行邊界防護的同時需要起到網絡互聯互通作用,增強信息安全設備與業務系統的黏性。增加與TIAS系統連接的外接口地址(由TIAS系統提供),防火墻內部接口地址由運營管控平臺提供;通過防火墻路由模式實現內外接口通信,由于TIAS網絡中無運營管控平臺的IP網段,所以防火墻還需要做端口映射配置,用來對數據包目的地址進行轉換實現多個站之間的平臺一體機網絡互通。
安全通信網絡
智慧車站運營管控平臺的安全通信網絡保障通過入侵檢測系統的部署實現,入侵檢測通過旁路模式部署,通過交換機鏡像流量方式獲取數據源進行分析,根據業務需求,入侵檢測系統部署在運營平臺核心區域。
安全計算環境
智慧車站運營管控平臺的安全計算環境通過在終端安裝工業衛士實現,在運管平臺服務器、工作站需部署終端防護軟件系統,保障終端主機安全運行。工業衛士軟件是六方云基于“白+黑”技術開發的主機防護產品,一款專門解決工業互聯網中工業主機日益嚴重的信息安全問題,同時又完全適應工業互聯網環境的一款安全防護產品。能夠對工業互聯網中的工程師站、操作站、SCADA服務器、歷史服務器、OPC服務器、接口機等工業主機進行全面的安全防護。
本產品采用“白+黑”的防御策略,保證只有經過認證的軟件才可以運行,其他病毒、木馬、違規軟件都被阻止。通過完善相應的加固策略,提升安全級別,實現工控主機從啟動、加載、運行等過程全生命周期的安全保障。從而解決工業互聯網中日益嚴重的終端安全問題。同時對USB端口等接口進行全面管控,U盤等未授權設備無法接入終端計算機,有效防范通過USB接口發起的高級攻擊。
安全管理中心
智慧車站運營管控平臺的安全管理中心由統一監管平臺、漏洞掃描系統、運維審計與管理系統以及日志審計系統組成。其中,統一監管平臺實現對安全事件的處置分析和對主要安全設備、軟件的統一運維。漏洞掃描系統通過定期掃描的形式發現系統中存在的漏洞、問題。運維審計與管理系統對系統的運維操作進行審計和管理,規范運維過程。日志審計系統實現對日志的采集分析,滿足等保合規性要求。
2. 網絡、平臺或安全互聯架構
(1)網絡互聯架構
智慧車站運營管控平臺需接入TIAS系統,該平臺功能上設計為站級TIAS系統的上位系統,即通過該平臺實現對TIAS中綜合監控部分的設備監控;網絡上,該系統需要在本站訪問TIAS服務器、FEP,并通過TIAS環網分別訪問主控、備控的TIAS實時服務器(機電)、FEP,以及實現兩個車站的運營管控平臺網絡互通(僅限于一體機的部分業務虛擬節點),傳輸內容為常規綜合監控監控數據。接口界面如圖5-2所示:
圖5-2 與TIAS系統接口
智慧車站運營管控平臺包含了車站既有綜合監控系統、智能視頻分析系統、客流分析預測系統、實時定位系統、站務巡視系統、站務單兵系統、智慧消防系統等系統。其中,智能掃地機器人、站務單兵系統、車站信息管理系統、移動終端等設備需通過車站公網與OA網、施工調度管理系統進行連接。接口界面如圖5-3所示:
圖5-3 與OA系統接口
(2)安全風險
管理網風險
本系統到公網的出口是在管理網,站務巡檢系統手持終端數據等需要通過公網傳輸。管理網與外部互聯網連接,與運管平臺產生數據交互,存在互聯網邊界安全風險。
內部系統數據交互風險
運管平臺視頻分析系統從CCTV調取視頻,通過ISCS監控BAS系統部分設備,通過PIS系統發布電子乘務信息、電子廣告。運管平臺承載了自動化、信息化數據,流向比較復雜,存在橫向病毒感染和傳播風險。
綜上所述,一旦攻擊者通過管理網侵入生產網,傳播糯蟲病毒或惡意代碼,將可能影響運管系統服務器或工作站正常工作,進而影響運管平臺核心系統運行,并可能通過ISCS/BAS自動化數據流、PIS/CCTV信息化數據流侵入ISCS/PIS/CCTV生產內網,從而影響自控設備運行狀態數據采集及指令下發。
3. 安全及可靠性
(1)主動防御:本方案在方案設計過程中,采用主動防御的安全理念,參考網絡攻擊步驟(偵查跟蹤->武器構建->載荷投遞->漏洞利用->安裝植入->命令控制->目標達成),將攻擊過程劃分為事前、事中、事后三重維度并針對性進行網絡安全防護建設:
(2)事前預防:建立一份健全的資產清單以及管理權限,應用系統漏洞檢測、風險評估等技術手段對運營環境的風險特征進行描述整理,針對現有風險點可以預先采取技術加固等措施主動維護關鍵資產,從而最大程度地降低生命周期安全風險;
(3)事中檢測/阻斷:通過入侵檢測/入侵防御、行為基線檢查等技術手段對運營環境進行實時的持續監控和檢測,為及時察覺正在發生的事件,所應用防火墻等安全產品均具備一定的運營可見性,一旦發現異常事件將第一時間進行告警推送,并能夠快速阻斷風險事件的進一步擴散傳播;
(4)事后處置:在管理層面建立應急響應和恢復程序,在技術層面能夠針對已經發生的安全事件進行日志留存、攻擊取證,進而展開攻擊行為分析,從而判斷本次安全事件所利用的漏洞及攻擊路徑,并能夠提供專業的處置建議,預防攻擊的再次來襲。
下一步實施計劃
1. 計劃1
本期方案建設范圍僅覆蓋2個車站,通過本方案試點建設,后續將持續推廣,逐漸覆蓋該線路全部車站,建設線路級智慧車站運營管控平臺,并按照既有安全方案同步進行網絡安全建設。
2. 計劃2
為了更好的為“智慧出行”保駕護航,在智慧車站大范圍建設過程中,除基本網絡安全建設外,將針對性打造安全運營中心,應用大數據、人工智能等技術實現已知威脅和未知威脅的全面檢測,并提高網絡安全運維效率,降低運維成本。
方案創新點和實施效果
1. 方案先進性及創新點
為實現智慧城市軌道交通的發展目標,傳統地鐵業務場景正在逐漸應用新技術進行既有線路、既有系統以及既有車站的改造升級,例如智慧車站運營管控平臺建設、城軌云建設等;隨著等級保護2.0、關基保護條例等相關政策標準的推廣覆蓋,信息安全問題越發受到重視。依托實際案例,對智慧車站運營管控平臺可能面臨的安全風險進行研究,并針對性的提出切實落地的地鐵智慧車站運營管控平臺信息安全方案,在邊界防護處增強與業務系統的黏性,可以實現針對智慧車站運營管控平臺信息安全建設復制推廣以及參考的作用。
2. 實施效果
全面提升乘客服務質量,提高車站管理工作效率,同時為運營分公司的安全運營生產提供決策支持。建立程序化、網絡化、可視化、標準化的智慧車站運營管控平臺,保障車站運行安全,提高車站運營效益,提高站務人員工作效率、降低運行成本,實現安全、高效率、低成本的運營目標。
通過事前、事中、事后多層次立體防御體系的建立,實現對車站的安全預警和防護,保證車站運營安全,預防遭受網絡攻擊后帶來的經濟損失及社會不良影響。
便于復制推廣:從邊界、終端、管理等多維度出發進行網絡安全建設,可以實現針對智慧車站運營管控平臺安全建設的復制推廣。
政策合規:為運營管控平臺提供信息安全保障的同時,使運營管控平臺信息安全滿足政策合規性,達到等保二級防護水平。
單位基本信息
北京六方云信息技術有限公司是一家技術領先的“新安全”公司,六方云借助人工智能技術仿生人體免疫機制,針對工業客戶和政企客戶的安全需求,創造性地提出了“AI基因、威脅免疫”的“新時代、新安全”安全理念,采用+AI和AI+戰略,將人工智能技術應用于全系列產品,構建安全威脅免疫系統。在國家新基建戰略下,致力于提供關鍵信息基礎設施保護、工業互聯網安全的產品和解決方案,擁有保護工業客戶和政企客戶的“5+1”產品線:工控安全產品線、網絡安全產品線、云安全產品線、安全態勢感知產品線、人工智能安全產品線及安全服務。
六方云董事長任增強表示:工業互聯網安全、云安全、人工智能安全是“新安全”,是未來,而未來世界發展的主要推動力來自于技術。六方云堅持以吸引和團結有共同價值觀的人才為核心,持續不斷地耕耘攻堅,實現“以技術保障技術”,用最先進的技術解決國家與行業在高速發展中的安全問題,保障國家工業互聯網戰略、云安全戰略、以及新基建安全的實現,讓萬物安全互聯。
AII微信公眾號
AII頭條號