城市轨道交通信息系统网络安全建设

2018-01-15 17:51:00 作者:无 出处 : 论坛

  截止2017年上半年,全国开通城轨交通运营线路的城市增加至31个,累计运营里程4400公里。与此同时全国在建城轨交通的城市已增至53个,在建线路总规模5770公里!

  如果说高铁改变了人们差旅出行中对距离的认识,城轨的发展毫无疑问改变了人们对时间的观念。依赖其精确的运行,人们对出行时间的估算可做到误差不超过5分钟,城轨像一台巨大精密的节拍器,指引着城市的基本运转,像骨骼一样支撑其快速扩张。

  然而精密的系统更需要呵护,在层出不穷的网络安全新闻已经麻木人的神经,并被大众迅速遗忘时,相关企业和个人却在承受、并努力挽回着攻击造成的损失。

  对于城轨系统,每天承载几百上千万人出行的城市核心系统,网络安全事故是无法承受之重。

  城市轨道交通信息系统面临的安全威胁

  1、 防护手段不足

  缺乏系统级网络安全设计,安全设备使用不规范,缺乏灵活有效的区域隔离手段,甚至部分子网间使用网关计算机隔离,对新型未知威胁更是缺乏防范。

  2、 无线网络安全

  无线技术应用使网络边界变得模糊,轨道交通部分无线通信使用ISM频段,采用开放频段和标准协议,部分车站提供wifi便民服务,都导致整体网络易受攻击。

  3、 内部威胁防不胜防

  企业越来越多地采用无纸化办公,甚至大量的企业密级信息以电子文档的形式存储,通过U盘拷贝数据更是从物理上绕过了互联网出口的安全防护层,使病毒直达内网,因此内部监管、防护十分重要。

  4、 安全管理漏洞

  所谓三分技术七分管理,在复杂的多系统网络下,设备策略管理、运维人员操作管理、以及工作人员的安全意识等方面,都有较大提升空间。

  5、 互联网攻击威胁

  城市轨道交通信息网络接入互联网已成为必然,而黑客从互联网发起攻击的手段日趋多样,系统扫描、撞库攻击、DDoS攻击、钓鱼邮件、0day攻击、DNS劫持、HTTP劫持等漏洞、APT攻击新工具层出不穷。

  城市轨道交通信息系统网络安全建设思路

  根据网络安全法要求,以及轨道交通信息系统自身安全需求,系统的安全建设应将网络安全等级保护制度和行业自身特点有机结合,探索建立城轨系统“可信、可控、可管”的安全体系。

  整体的设计应依据“一个中心、三层防护”的思想进行展开。

  1、 第一层防护:计算环境安全

  计算环境安全指网络、主机等节点自身的安全设计,包括登录用户身份鉴别、用户对资源的访问控制、数据完整性保密性保护、程序可信执行保护、系统安全审计等内容,其中基础防护是统一的身份鉴别和基于身份的数据安全保护与审计控制:

  上流程图首先通过两级身份鉴别,专业的安全网关设备便可将用户身份和网络地址对应,并通过业务策略子系统依据用户身份进行防护。同时,在安全网关对用户的访问流量进行数据完整性、保密性检查,以及程序可信执行的检查。

  2、 第二层防护:区域边界安全

  区域边界安全解决城市轨道交通网中外部服务网、内部服务网、安全生产网各自的网络边界,以及三网内部依据不同信任等级、业务特点划分的各安全区域之间的网络边界防护。

  区域边界的核心内容,一是基于安全策略控制和已知威胁的防护,二是基于行为模式判断的未知威胁防护。

  安全策略,应基于多个维度,如五元组、应用类型、时间、位置信息、报文内容等全方位的访问控制。

  基于已知威胁的防护应充分考虑已知威胁特征库的升级问题,在内网建立升级服务器,实时全网更新最新的病毒和漏洞特征。

  对于传播能力更强的未知威胁,应基于文件行为判断。

  上图所示即为主流的行为检测系统——安全沙箱——的检测流程,通过还原报文数据,在虚拟机环境内对文件进行观测,实现对未知恶意文件的识别。安全沙箱面对恶意软件,可通过信誉扫描、实时行为分析、大数据关联等技术,分析和收集软件的静态及动态行为。

  通过行为模式库技术,安全沙箱可得出精确的检测结果,通过自身或多设备联动对“灰度”流量实时检测、阻断和报告呈现,有效避免未知威胁攻击的扩散和核心信息资产损失。

  3、 第三层防护:通信边界安全

  通信边界安全防护指在节点之间传输数据的安全设计,对于重要的业务系统、数据应采用加解密技术传输,实现数据完整性和保密性,并避免中间人攻击、网页劫持等特定网络攻击,因此宜在城规系统车站区域网络出口、车辆段办公区网络出口、停车场区域网络出口、数据中心核心交换区等网络关键节点之间跨区域传输,或特别敏感数据采用端到端加密。

  4、 一个中心区域:安全管理中心

  在三层防护设计思想下,应划分单独的安全域作为统一的安全管理中心,承载全网系统管理、安全管理、审计管理。

  控制中心部署日志系统,实现对全网多种日志格式的统一管理、审计。部署漏洞扫描系统实时发现系统漏洞。

  各区域安全网关、入侵检测、终端安全软件、用户认证平台,以及互联网出口部署的上网行为管理,均将所记录的用户访问日志、安全日志、用户认证日志等信息实时发送至日志系统进行统一分析和留存。

  部署堡垒机对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,对所有运维过程进行记录,确保运维可见可控可查。

  结语

  大量的城轨信息系统安全防护案例证明,华为能通过成熟的设计理念、业务场景的深刻理解,提供端到端完整的等级保护解决方案,并依靠领先的技术实力帮助客户有效防御APT、已知&未知威胁攻击,为城轨信息系统健康发展保驾护航。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。