• <input id="zdukh"></input>
  • <b id="zdukh"><bdo id="zdukh"></bdo></b>
      <b id="zdukh"><bdo id="zdukh"></bdo></b>
    1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

      <wbr id="zdukh"><table id="zdukh"></table></wbr>

      1. <input id="zdukh"></input>
        <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
        <sub id="zdukh"></sub>
        公務員期刊網 論文中心 正文

        軌道交通監(jiān)控系統(tǒng)信息安全建設方案

        前言:想要寫出一篇引人入勝的文章?我們特意為您整理了軌道交通監(jiān)控系統(tǒng)信息安全建設方案范文,希望能給你帶來靈感和參考,敬請閱讀。

        軌道交通監(jiān)控系統(tǒng)信息安全建設方案

        摘要:隨著城市軌道交通的高速發(fā)展,各類安全問題也日益突出,其中城市軌道交通綜合監(jiān)控系統(tǒng)由于需要處理大量外部接口數據,所面臨的安全風險尤為突出。詳細介紹了基于三級等保的信息安全管理體系,并在此基礎上提出了綜合監(jiān)控系統(tǒng)信息安全建設的要求及目標,并從技術方案和管理方案兩個層面入手,詳細闡述了綜合監(jiān)控系統(tǒng)安全防護的設計及建設方案。

        關鍵詞:城市軌道交通;綜合監(jiān)控系統(tǒng);安全防護;三級等保

        進入21世紀后,大型城市在城市空間結構的優(yōu)化、城市交通擁擠狀況的緩解、城市環(huán)境保護等諸多方面均面臨著不少的挑戰(zhàn)和難題,而城市軌道交通的高速發(fā)展為解決上述問題提供了一條有益的途徑。但與城市軌道交通高速發(fā)展相伴而生的各種安全問題及安全風險也日漸突顯。其中,綜合監(jiān)控系統(tǒng)集成和互聯了軌道交通眾多信息化系統(tǒng),往往面臨較之傳統(tǒng)信息化系統(tǒng)更為嚴峻的網絡安全問題。因此對于城市軌道交通綜合監(jiān)控系統(tǒng)的建設,要從系統(tǒng)規(guī)劃、設計、實施、上線、生產、運維到廢棄的整個漫長生命周期的各個階段考慮網絡安全問題,要在綜合監(jiān)控系統(tǒng)建設的同時,同步做好系統(tǒng)的信息安全建設工作。

        1綜合監(jiān)控信息安全建設目標

        綜合監(jiān)控系統(tǒng)的信息安全建設目標,應結合相應的政策法規(guī)、國家標準、行業(yè)成功經驗及項目建設面臨的實際安全風險出發(fā)。綜合上述視角,要真正做到綜合監(jiān)控系統(tǒng)的網絡安全,應按照《計算機信息系統(tǒng)安全保護等級劃分準則》中相關要求,將等級保護建設的思路作為最佳實踐,以組織制度保障結合有效的技術措施:建立健全綜合監(jiān)控系統(tǒng)的信息安全管理制度和信息安全管理機構,完善信息安全管理體制;建立綜合監(jiān)控系統(tǒng)信息安全縱深防御技術體系,從網絡結構到內部流量行為、再到主機本體的全方位技術防護措施,提供三級等級保護要求的相應軟硬件及完整的信息安全設計,從而保障綜合監(jiān)控系統(tǒng)平穩(wěn)、安全、高效運行。

        2基于三級等保的信息安全管理體系

        根據GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、GB/T22240-2008《信息安全技術信息系統(tǒng)安全等級保護定級指南》、GB/T28448-2012《信息安全技術信息系統(tǒng)安全等級保護測評要求》等相關標準,將等級保護分為技術和管理兩大模塊,其中技術部分包含:網絡安全、主機安全、應用安全、數據安全及備份恢復、運維管理共五個方面;管理部分包含:安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、物理環(huán)境管理五個方面。如圖1所示。信息安全管理以多個子策略構成了三層結構的完備體系,采用自頂向下的樹型結構,頂部把握原則方向等宏觀層面,向下逐步過渡到具體措施等微觀層面。在信息安全管理樹型結構中,樹頂代表了信息安全管理體系的最高綱領,是對整個安全管理體系的必要性、基本原則及宏觀策略的闡述,以凝練的語言描述了信息安全在技術和管理兩個方面的內容。樹干部分代表了一系列的管理規(guī)定和技術規(guī)范,是對最高綱領的分解和進一步闡述,側重于具體要求的實現方法及途徑,并總結在技術和管理方面的共性問題,以更好的指導安全工作;樹根部分代表了操作層面,基于樹頂和樹干的相關策略要求,在樹根層面要與實際的網絡和應用環(huán)境相結合,以閉環(huán)、動態(tài)作為基本的管理原則,編制具體的細則、流程,具備最直觀的可操作性。

        3綜合監(jiān)控安全防護技術方案設計

        3.1防護總體思路

        為滿足綜合監(jiān)控系統(tǒng)信息安全防護建設中的若干需求,采用某品牌的工業(yè)防火墻、工業(yè)審計系統(tǒng)、入侵防御系統(tǒng)、工業(yè)漏掃系統(tǒng)、統(tǒng)一運維管理平臺、數據庫審計系統(tǒng)、工業(yè)監(jiān)管平臺系統(tǒng)等硬件設備及工業(yè)衛(wèi)士軟件產品分別在控制中心、車站、車輛段等節(jié)點及設備維護系統(tǒng)、仿真測試平臺、培訓系統(tǒng)等系統(tǒng)按需部署安全防護措施,達到等保合規(guī)并解決安全隱患的方案效果。根據需求背景和等保技術防護思想,通過技術手段實現的防護主要包含如下幾個層面:1)安全區(qū)域邊界:通過安全設備及網絡設備合理劃分安全域,實施訪問控制及攻擊防護滿足等保中網絡安全的部分要求;2)安全通信網絡:通過旁路監(jiān)聽與智能分析技術,對系統(tǒng)的控制、采集請求,數據庫存取、系統(tǒng)運維等關鍵行為進行審計,對攻擊及時預警,滿足等保中網絡安全部分關于安全審計的相關要求;3)安全計算環(huán)境:通過符合工業(yè)特色的終端安全防護軟件對綜合監(jiān)控系統(tǒng)中使用的計算終端進行保護,防止誤中病毒等情況的出現,配合系統(tǒng)自身的安全性有關設計,滿足等級保護中關于主機安全、應用安全及數據安全的相關需求;4)安全管理中心:通過綜合的安全管理平臺,實現對安全產品日志的統(tǒng)一采集、分析及主要防護設備的統(tǒng)一運維,形成綜合監(jiān)控系統(tǒng)中的安全運營中心,統(tǒng)一維護日常的信息安全防護,對安全事件的應急處置、攻擊行為的發(fā)現提供技術支撐。

        3.2安全區(qū)域邊界

        (1)控制中心邊界防護在控制中心端,應劃分為辦公自動化系統(tǒng)互聯區(qū)域、線網中心互聯區(qū)域、培訓系統(tǒng)區(qū)域、仿真測試系統(tǒng)區(qū)域、綜合監(jiān)控系統(tǒng)和子系統(tǒng)互聯區(qū)域。根據所隔離區(qū)域間的流量特征和防護需求,辦公自動化系統(tǒng)系統(tǒng)區(qū)域應采用具備訪問控制功能的入侵防御系統(tǒng)進行隔離,其他區(qū)域間采用工業(yè)防火墻進行隔離。具體部署位置為包括:線網中心外部系統(tǒng)與中心綜合監(jiān)控連接處、前置通訊機與中心綜合監(jiān)控系統(tǒng)接口處、網管系統(tǒng)交換機上聯處、仿真測試系統(tǒng)交換機上聯處,如圖2所示。(2)車站邊界防護在車站端,應劃分為綜合監(jiān)控系統(tǒng)內部區(qū)域和系統(tǒng)互聯區(qū)域,根據所隔離區(qū)域間的流量特征和防護需求,區(qū)域間采用工業(yè)防火墻進行隔離,具體部署位置為通訊前置機與監(jiān)控系統(tǒng)內網之間,如圖3所示。(3)車輛段邊界防護在車輛段,應劃分為培訓系統(tǒng)安全域、設備維護系統(tǒng)安全域、綜合監(jiān)控系統(tǒng)內部區(qū)域和系統(tǒng)互聯區(qū)域,根據所隔離區(qū)域間的流量特征和防護需求,區(qū)域間采用工業(yè)防火墻進行隔離,具體部署位置為設備維護系統(tǒng)交換機上聯處、培訓系統(tǒng)交換機上聯處、前置通訊機與監(jiān)控系統(tǒng)內網之間,如圖4所示。

        3.3安全通信網絡

        (1)控制中心網絡風險分析控制中心的安全通信網絡保障通過工業(yè)審計系統(tǒng)和數據庫審計系統(tǒng)的部署實現,工業(yè)審計通過旁路模式部署,通過交換機鏡像流量方式獲取數據源進行分析,根據業(yè)務需求,工業(yè)審計系統(tǒng)分別部署在控制中心主交換機、軟件測試平臺內部及網絡管理系統(tǒng)內部,見圖2。其中,部署在控制中心骨干網絡的工業(yè)審計采用雙機部署保障對風險的不間斷識別;網絡管理系統(tǒng)與軟件測試平臺安全域內部的工業(yè)審計采用單機部署。此外,數據庫審計系統(tǒng)通過旁路部署的方式,部署在網絡管理系統(tǒng)安全域內,通過該系統(tǒng)對數據庫所面臨的風險進行多方位的評估,還可以通過審計功能對數據庫所有操作進行審計,提供事后追查機制。(2)車站網絡風險分析車站的安全通信網絡保障通過工業(yè)審計系統(tǒng)的部署實現,工業(yè)審計采用旁路模式部署,通過鏡像流量進行分析,采用雙機保障對風險的不間斷識別,見圖3。(3)車輛段網絡風險分析車輛段的安全通信網絡保障通過工業(yè)審計系統(tǒng)的部署實現,工業(yè)審計通過旁路模式部署,通過交換機鏡像流量方式獲取數據源進行分析,根據業(yè)務需求,工業(yè)審計系統(tǒng)分別部署在車輛段主交換機、培訓系統(tǒng)內部及設備維護系統(tǒng)內部,見圖4。其中,部署在車輛段主干網絡的工業(yè)審計采用雙機部署保障對風險的不間斷識別;設備維護系統(tǒng)與培訓系統(tǒng)安全域內部的工業(yè)審計采用單級部署。

        3.4安全計算環(huán)境

        在控制中心、車輛段及車站對工業(yè)終端及工業(yè)終端承載的應用業(yè)務、核心數據的防護通過在終端部署工業(yè)衛(wèi)士軟件實現,需要在控制中心、車輛段、車站的各類工作站、值班站、服務器上部署工業(yè)衛(wèi)士。工業(yè)衛(wèi)士采用輕量級的軟件“白名單”機制,僅允許運行受信任的PE文件,完善相應的加固策略,提升安全級別,有效阻止病毒、木馬等惡意軟件的執(zhí)行和被利用,實現工控主機從啟動、加載、運行等過程全生命周期的安全保障。同時對USB端口等接口進行全面管控,U盤等未授權設備無法接入終端計算機,有效防范通過USB接口發(fā)起的高級攻擊。綜合監(jiān)控系統(tǒng)在控制中心網絡管理系統(tǒng)機房中設置了信息安全管理中心,可以利用其對全部信息安全設備進行整體而全面的管控。

        3.5安全管理中心

        安全管理中心在網絡管理系統(tǒng)中部署,由工業(yè)監(jiān)管平臺,工業(yè)漏洞掃描系統(tǒng)、統(tǒng)一運維管理平臺等系統(tǒng)組成。其中,工業(yè)監(jiān)管平臺(信息安全管理平臺設備及軟件)負責對日志的采集分析、對資產、風險的管理,對安全事件的處置分析和對主要安全設備、軟件的統(tǒng)一運維。工業(yè)漏洞掃描系統(tǒng)通過定期掃描的形式發(fā)掘系統(tǒng)中存在的漏洞、問題。統(tǒng)一運維管理平臺為運維堡壘機系統(tǒng),對系統(tǒng)的運維操作進行審計和管理。

        4結束語

        本文針對綜合監(jiān)控系統(tǒng)進行了符合等級保護(三級)要求的建設方案設計。方案根據等級保護(三級)的要求設計了基于綜合監(jiān)控系統(tǒng)內生特性的安全防護體系,對控制中心、車站、車輛段、培訓中心、網管中心、維護管理系統(tǒng)等從網絡邊界安全、網絡通信安全、主機安全及綜合安全運維方面,進行了合理的安全部署設計和安全服務咨詢設想,為今后軌道交通綜合監(jiān)控項目安全防護建設提供了參考。

        參考文獻

        [1]青嵐昊.城市軌道交通信息網絡安全設計[J].鐵路通信信號工程技術,2011(4):53-55,64

        [2]阿曼江•阿不都外力.計算機網絡信息安全及其防護措施[J].新疆職業(yè)大學學報,2012(3):70-72

        [3]于力.防火墻與計算機安全研究[J].軟件導刊,2010(2):127-129

        [4]張冬.信息安全中等級保護三級系統(tǒng)應用設計[J].信息與電腦,2016(21):145-146

        作者:林曉偉 單位:國電南瑞科技股份有限公司

        无码人妻一二三区久久免费_亚洲一区二区国产?变态?另类_国产精品一区免视频播放_日韩乱码人妻无码中文视频
      2. <input id="zdukh"></input>
      3. <b id="zdukh"><bdo id="zdukh"></bdo></b>
          <b id="zdukh"><bdo id="zdukh"></bdo></b>
        1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

          <wbr id="zdukh"><table id="zdukh"></table></wbr>

          1. <input id="zdukh"></input>
            <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
            <sub id="zdukh"></sub>
            鹤山市| 莲花县| 定陶县| 阳城县| 梨树县| 翼城县| 麻城市| 富川| 射阳县| 靖安县| 左权县| 九江市| 顺昌县| 柳江县| 黑水县| 宜城市| 仲巴县| 金山区| 巴南区| 遂溪县| 天峻县| 汪清县| 开原市| 内黄县| 芦山县| 景德镇市| 望江县| 阳春市| 汉川市| 灌阳县| 岳阳市| 永修县| 出国| 钟祥市| 新民市| 阿拉善右旗| 年辖:市辖区| 柳林县| 扶风县| 策勒县| 同仁县| http://444 http://444 http://444