1  项目背景介绍

随着信息化的发展，某地铁线路的业务开展也越来越依托于网络平台，但纵观当前的安全形势，各种安全事件层出不穷，而在某地铁线路信号系统的网络中，安全设备较少，前期购买的安全设备也渐渐不能满足其目前的网络安全需求，严重影响了系统的安全性和可靠性。通过对该项目信息化现状调研、分析，结合等级保护在在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、在安全管理人员、安全建设管理、安全运维管理等方面的要求，逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得单位信息系统安全管理水平明显提高，安全保护能力明显增强，有效保障信息化健康发展。

·    2017年6月1日正式生效的《中华人民共和国网络安全法》中明确规定 “国家实行网络安全等级保护制度”   ，并明确 “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

·     新发布的《信息安全技术 网络安全等级保护基本要求》标准（即等保2.0）中也明确定义了针对工业控制系统的安全要求，要求安全的工业控制系统解决方案需要具备相应的安全审计功能。

·   “中国制造2025”及工信部的《工业控制系统信息安全行动计划（2018-2020年）》均对工控信息安全提出了新的要求，工控系统的安全运营离不开坚实的工控安全保障。

2  项目目标与原则

本项目根据国家《信息安全等级保护管理办法》（公通字[2007]43号）、《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）和《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》的要求，依据信息安全等级保护制度的基本原则，通过确定信号系统的网络边界及在本系统的规划设计中，遵循信息系统安全等级保护相关标准规范，从技术和管理两个维度进行安全保障方案的设计，以确保本系统的安全保护能力符合相应等级的安全要求。

3  项目实施与应用情况详细介绍

1)    信号系统的边界隔离防护

该地铁运营控制中心的前端处理器 C-FEP连接MCS的以太网边界属于外部系统，需要进行边界防护，采用NGFW下一代防火墙，进行安全域隔离、网络防病毒和入侵防护功能。保证数据传输的安全性和实现网络的访问控制。系统采用冗余架构的方式部署，保证网络通讯的健壮性、稳定性和高可用性。

2)    西门子工控安全态势感知系统

在控制中心部署西门子工控安全态势感知系统，用于日志采集和集中的日志审计。通过主动、被动手段，实时不间断地采集用户网络中不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息进行集中化存储、备份、查询、审计等，实现全生命周期的日志管理。

西门子工控安全态势感知系统总体的系统架构如下图：

系统架构图

3)    基于主机防病毒   + 网络防火墙的恶意软件检测及预防

在windows终端上部署主机防病毒，提供基于黑名单和白名单的主机安全防护。它能够防护计算机和网络病毒、恶意软件、间谍软件、基于Web的威胁，甚至是混合型的攻击。同时在网络边界上部署下一代防火墙，使得恶意代码在通过网络进行传播时进一步得到限制。通过主机+网络两层防护使得信息安全能够产生联动效应，进一步降低恶意软件带来的威胁。

4)     等保体系认证与咨询

2019年5月13日，网络安全等级保护制度2.0标准正式发布，等保2.0标准在1.0标准的基础上，注重在全方位主动防、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

等保2.0结构示意图

5)     信号系统集成测试

地铁信号系统是整个地铁安全准点运行的核心控制系统，该地铁线路属于当地特别繁忙的地铁线路之一，对于整体系统的稳定度有非常高的要求，系统需要356天全年无故障运行，在等保项目实施期间，需要配合信号系统的超高可靠性要求，配合客户进行相关系统测试稳定度测试。确保系统运行正常。

4  效益分析

·  项目执行不对正常系统运行造成干扰

·  实现对全种类恶意代码的安全防护

·  安全方案实时不对现有系统造成变更

·  全国地铁客流量最大的安全项目（2022）

·  为地铁信号系统开发一套安全解决方案，其中包括防火墙、防病毒系统、补丁管理、用户管理，以及系统加固措施，工控安全态势感知系统

·  在地铁正常运营期间完成安全方案部署

·  为地铁信号系统提供持续安全防护

·  降低安全风险的同时保证了生产可用性

·  零信息安全事故/病毒感染