<delect id="b06od"></delect>
                <delect id="b06od"><noframes id="b06od">
                <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                  <delect id="b06od"></delect><delect id="b06od"></delect>
                    <label id="b06od"></label><label id="b06od"></label>

                          安全資訊

                          城市軌道交通信號系統信息安全等級保護策略分析和探討

                          城市軌道交通信號系統從2015年前后陸續開始在新建線路中按照信息系統安全等級保護(暫定3級)的要求推進相應等級保護工作,并在正式運營前通過等級保護測評。2017年《網絡安全法》頒布實施后,國內城市軌道交通領域又迅速將目光轉向既有線信號系統信息安全等級保護,并進行了廣泛的分析和探討。本文結合當前國內城市軌道交通線路建設和運營的實際情況,對軌道交通信號系統信息安全等級保護策略進行分析和探討。

                          1.系統概述

                          城市軌道交通信號系統是保證列車運行安全,控制列車運營間隔,提高列車運行效率的先進控制系統,一般由列車自動控制系統(ATC)、計算機聯鎖系統(CI)、數據通信系統(DCS)以及外圍信號設備組成。

                          信號系統的網絡由有線網絡、無線網絡兩部分組成。有線網絡部分包括骨干網和接入網,骨干網主要由工業以太網交換機組成,接入網主要由交換機和光電轉換器組成;無線網絡部分包括軌旁無線網絡和車載無線網絡,軌旁無線網絡由軌旁無線接入點AP、功分器及定向天線等組成,車載無線網絡主要由車載調制解調器及天線組成。

                          2. 信息安全現狀分析

                          對于城市軌道交通信號系統來說,其所面臨的信息安全威脅,主要集中在以下幾個方面:

                          (1)外部黑客攻擊:通信、信號、綜合監控、AFC等軌道交通系統大多都是關系民生的重要工業控制系統,極容易成為黑客攻擊的目標。其中,信號系統更是直接關系列車運行安全的工業控制系統。雖然它一般不直接與互聯網相連,但其擁有網絡形式的外部接口,并與綜合監控、通信等外部系統之間進行數據交換,存在被黑客攻擊的可能,并且一旦成功就可能引發極為惡劣的社會影響。

                          (2)來自內部員工的威脅:與信號系統有直接接觸的內部人員包括控制中心調度員、車站值班員、車輛段/場調度員、計劃管理員、維護管理員、司機等。由于信號系統通常缺乏嚴格的網絡準入和控制機制,內部通訊時身份鑒別和認證機制不夠嚴密,同時也缺乏對系統最高權限的限制,這使得內部人員有意識的惡意行為成為系統重大的信息安全威脅。此外,在系統運行過程中,通常存在多個用戶操作同一臺設備的情況,加上事后有效追查工具的缺乏,也讓責任劃分和威脅追蹤變得更加困難。

                          (3)來自外部單位人員的威脅:軌道交通建設過程中,信號系統設備一般由施工單位和設備廠家分別完成其安裝和調試;軌道交通運營過程中,運營單位可能將部分非核心維保業務外包給第三方。如何有效地管控施工單位、設備廠商和第三方運維人員的操作行為,并進行嚴格的審計,這也是信號系統必須面對的一個關鍵問題。

                          (4)惡意代碼的廣泛傳播:以病毒為代表的惡意代碼,可通過移動存儲設備、外來運維的電腦、無線系統等進入信號系統,當病毒侵入網絡后,自動收集有用信息,如關鍵業務指令、網絡中傳輸的明文口令等,或是探測網內計算機的漏洞,向網內計算機傳播。這也是當前影響信號系統網絡安全的主要因素之一。

                          3. 等級保護策略

                          基于信號系統的特殊性,信號系統等級保護整體方案應保持信號系統既有功能和架構不受影響,采用的技術手段要考慮實施的可行性,并兼顧軌道交通建設、運營、維護等各方的需求,在增加安全防護措施的同時盡量減少新增故障點的可能。

                          此外,信息安全問題從來都不是單純的技術問題。如果把防范黑客入侵和病毒感染簡單理解為信息安全問題的全部,這也是片面且不準確的。因此,信號系統等級保護整體方案必須把技術措施和管理措施結合起來,這樣才能更有效地保障和提升系統的整體安全性。

                          3.1 安全域劃分

                          安全域的劃分應以業務角度為主,輔以安全角度,并充分參照信號系統現有網絡結構和管理現狀。由于信號系統是單獨的業務系統,因此,首先就要將整個信號系統作為一個安全域,從結構上與綜合監控系統、時鐘系統等外部系統劃分為不同的安全區域。

                          3.2 技術防護策略

                          從信息安全等級保護技術要求來講,一個信息系統的安全由物理安全、網絡安全、主機安全、應用安全、數據安全與備份恢復五個方面組成。

                          3.2.1 物理安全

                          信號系統的物理安全涉及到整個系統的配套部件、設備和設施的安全性能、所處環境安全以及整個系統可靠運行等方面,是系統安全運行的基本保障。信號系統的實際建設和運行過程中,物理安全方面對系統設備的電磁兼容、電磁屏蔽及接地等方面的要求已經有成熟的解決方案;同時,機房其他相關要求則由機房管理來覆蓋。

                          3.2.2 網絡安全

                          數據通信網絡是信號系統進行信息交互的通道,通信網絡安全設計通過對通信雙方進行可信鑒別驗證,建立安全通道,對通信數據包的保密性和完整性實施保護,確保其在傳輸過程中不會被非授權竊聽、篡改和破壞,使得數據在傳輸過程中的安全得到保障。在區域邊界對進入和流出應用環境的信息流進行安全檢查和訪問控制,確保不會有違背系統安全策略的信息流經過邊界。

                          3.2.3 主機安全

                          主機計算環境,即信號系統的運行環境,包括信號系統正常運行所必須的終端、服務器、網絡設備以及業務應用系統等。主機計算環境安全是信號系統安全的根本。主機安全就是通過終端、服務器、操作系統、上層應用系統和數據庫的安全機制和策略,保障信號系統業務處理過程的安全。通過在操作系統核心層和系統層設置以強制訪問控制為主體的系統安全機制和策略,建立可信、無隱蔽通道的安全保護環境,形成嚴密的安全保護環境,通過對用戶行為的控制,可以有效防止非授權用戶訪問和授權用戶越權訪問,確保信息和信息系統的保密性和完整性,從而為信號系統的正常運行和免遭惡意破壞提供支撐和保障。

                          3.2.4 應用安全和數據安全

                          在應用和數據安全方面,應從身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面進行安全防護。以軟件自身功能實現為主,部署使用終端安全防護、主機監控與審計為輔,完成達到信息系統安全等級保護三級的具體要求。同時,通過安全防護技術和管理體系建立信號系統數據保護基線,確保數據安全的完整性、保密性、可靠性。

                          3.2 系統安全管理

                          信號系統的安全管理是對信號系統生命周期全過程實施符合安全等級責任要求的科學管理,即從安全管理機構建設、安全方針和安全管理制度的制定,以及對資產安全、人員安全、物理和環境安全、通信和操作安全、系統建設、信息安全事件、業務連續性等方面建立日常管理規程,從管理的角度確保信號系統的安全。該部分工作主要由軌道交通建設和運營管理單位結合軌道交通信息系統特點和信號系統獨有的特性具體推進和落實。

                          3.3 安全運維管理

                          信號系統的安全運維體系是降低信號系統運行風險、確保系統安全穩定運行的必要保障,即通過建設運維支撐平臺為信號系統的日常運行維護提供技術支持;通過確定安全運維組織為信號系統的安全運行維護提供相匹配的組織和人員保障;通過建立與信號系統相適應的運維制度、程序文件、操作規程為信號系統的安全運行維護提供規范保障;通過進行備份與恢復、定期安全評估、緊急應急響應、實時安全監控以及日常運行維護操作等安全運維活動為信號系統安全運行提供可靠保障。該部分工作由軌道交通運營維護單位在系統廠商配合下完成。

                          4.結語

                          以上等級保護策略在尚未開建和在建線路上實施相對容易,但是,如果要在已開通運營的既有線路上實施上述策略則還應充分考慮以下幾點:

                          (1)目前國內鮮有相應成功案例可供參考,方案實施存在一定的風險性;

                          (2)根據實際情況對既有系統方案進行重新設計,且設計、安裝、調試等整體耗時相對較長;

                          (3)所有現場安裝和調試工作只能在夜間非運營時段進行,且須在次日運營開始前退回原系統方案(包括軟件、硬件及其接口等)并完成相應測試和驗證,直至所有安裝和調試工作完成;

                          (4)信號系統接口較多,安裝和調試過程中,新老接口頻繁倒接、數據更新等可能導致PIS、PA等外部系統不可用;

                          (5)現場安裝和調試過程中,系統軟件、硬件需要在新舊版本之間來回更換,須加強版本管理和過程控制,否則極易影響次日正常運營。

                           

                          參考文獻:

                          [1] 劉建.城市軌道交通信號系統信息安全設計方案[J].鐵道通信信號,2017(5):85.

                          [2] GB/T 22239-2008.信息安全技術信息系統安全等級保護基本要求[S].

                          [3] GB/T 25058-2010.信息安全技術信息系統安全等級保護實施指南[S].


                          服務熱線

                          400-1021-996

                          產品和特性

                          價格和優惠

                          安徽靈狐網絡公眾號

                          微信公眾號

                          国产精品免费_一级毛片一级毛片_天堂一区人妻无码_色资源站
                                      <delect id="b06od"></delect>
                                        <delect id="b06od"><noframes id="b06od">
                                        <label id="b06od"><div id="b06od"><del id="b06od"></del></div></label>
                                          <delect id="b06od"></delect><delect id="b06od"></delect>
                                            <label id="b06od"></label><label id="b06od"></label>