1.  项目背景介绍

随着信息化的发展，地铁信号系统的业务开展也越来越依托于网络平台，但纵观当前的安全形势，各种安全事件层出不穷，而在广州地铁五号线信号系统的网络中，安全设备较少，前期购买的安全设备也渐渐不能满足地铁信号系统目前的网络安全需求，严重影响了地铁信号系统的安全性和可靠性。通过对地铁信号系统信息化现状调研、分析，结合等级保护在在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、在安全管理人员、安全建设管理、安全运维管理等方面的要求，逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得单位信息系统安全管理水平明显提高，安全保护能力明显增强，有效保障信息化健康发展。

·   2017年6月1日正式生效的《中华人民共和国网络安全法》中明确规定 “国家实行网络安全等级保护制度” ，并明确 “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

·   新发布的《信息安全技术 网络安全等级保护基本要求》标准（即等保2.0）中也明确定义了针对工业控制系统的安全要求，要求安全的工业控制系统解决方案需要具备相应的安全审计功能。

·   “中国制造2025”及工信部的《工业控制系统信息安全行动计划（2018-2020年）》均对工控信息安全提出了新的要求，工控系统的安全运营离不开坚实的工控安全保障。

2.  项目目标与原则

本项目根据国家《信息安全等级保护管理办法》（公通字[2007]43号）、《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）和《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》的要求，依据信息安全等级保护制度的基本原则，通过确定信号系统的网络边界及在本系统的规划设计中，遵循信息系统安全等级保护相关标准规范，从技术和管理两个维度进行安全保障方案的设计，以确保本系统的安全保护能力符合相应等级的安全要求。

3.  项目实施与应用

（1）信号系统的边界隔离防护

地铁某线路运营控制中心的前端处理器 C-FEP连接MCS的以太网边界属于外部系统，需要进行边界防护，采用FortiGate 101F NGFW下一代防火墙，进行安全域隔离、网络防病毒和入侵防护功能。保证数据传输的安全性和实现网络的访问控制。系统采用冗余架构的方式部署，保证网络通讯的健壮性、稳定性和高可用性。

（2）西门子工控安全态势感知系统（SSM）

在控制中心部署西门子工控安全态势感知系统SSM，用于日志采集和集中的日志审计。通过主动、被动手段，实时不间断地采集用户网络中不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息进行集中化存储、备份、查询、审计等，实现全生命周期的日志管理。

西门子工控安全态势感知系统（SSM）总体的系统架构如下图：

SSM系统架构图

（3）基于主机Trend Micro OfficeScan + 网络防火墙的恶意软件检测及预防

在windows终端上部署Trend Micro OfficeScan，提供基于黑名单和白名单的主机安全防护。它能够防护计算机和网络病毒、恶意软件、间谍软件、基于Web的威胁，甚至是混合型的攻击。同时在网络边界上部署NGFW，使得恶意代码在通过网络进行传播时进一步得到限制。通过主机+网络两层防护使得信息安全能够产生联动效应，进一步降低恶意软件带来的威胁。

（4）工控多引擎恶意代码扫描工作站（Scanning Station）（备选）

离线部署工控多引擎恶意代码扫描工作站（Scanning Station）, 型号为Scanning Station v3.0，提供针对可移动存储介质的多引擎恶意代码扫描，同时把扫描结果通过前端防火墙上传到SSM服务器，SSM服务器根据查杀结果通知安装在上位机上的日志采集代理检测及管控可移动存储介质及U盘。

对于不可拆解无法取出硬盘的的计算机工作站等，可通过工控多引擎恶意代码扫描设备多引擎查杀USB，型号为便携式病毒扫描设备，查杀计算机或工作站，实现上位机、服务器及新接入到系统中的设备的病毒查杀。

Scanning Station使用场景示意图

（5）等保体系认证与咨询

2019年5月13日，网络安全等级保护制度2.0标准正式发布，等保2.0标准在1.0标准的基础上，注重在全方位主动防、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

等保2.0结构示意图

（6）信号系统集成测试

地铁信号系统是整个地铁安全准点运行的核心控制系统，对于整体系统的稳定度有非常高的要求，系统需要356天全年无故障运行，在等保项目实施期间，需要配合信号系统的超高可靠性要求，配合客户进行相关系统测试稳定度测试。确保系统运行正常。

4.  效益分析

√  项目执行不对正常系统运行造成干扰；

√  实现对全种类恶意代码的安全防护；

√  安全方案实时不对现有系统造成变更；

√  全国地铁客流量最大的地铁集团安全项目（2022）；

√  为地铁信号系统开发一套安全解决方案，其中包括防火墙、防病毒系统、补丁管理、用户管理，以及系统加固措施，工控安全态势感知系统SSM；

√  在地铁正常运营期间完成安全方案部署；

√  为地铁信号系统提供持续安全防护；

√  降低安全风险的同时保证了生产可用性；

√  零信息安全事故/病毒感染。

传统地铁信号系统，尤其是部分历史悠久的地铁信号系统由于建设时间较早，系统较为陈旧，近年来，一直受到黑客的多种攻击。加之老旧系统与现代安全设备及软件之间存在不兼容性，在确保系统稳定运行与采用先进的安全技术持续进行升级及维护之间无法找到优秀的兼容点。通过成功实施西门子为地铁信号系统定制化后的解决方案，使地铁信号系统在满足国家等保三级要求的同时，也能维持系统的兼容稳定，同时融入先进的现代化信息安全技术，在技术与制度上共同努力，进一步增强地铁信号系统的安全和可靠性。

西门子在工业控制领域的产品及方案非常丰富，从离散控制、过程控制到运动控制，几乎都能找到成套的解决方案，这就意味着对OT系统有着深入的了解和实践经验，这些都有助于OT安全的实施和部署，可以快速的搭建测试环境；可以预见和规避一些风险；可以方便的获得内部专家的支持。