1. 行業(yè)需求

• 應(yīng)能夠滿(mǎn)足國(guó)家對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全建設(shè)要求，針對(duì)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)特點(diǎn)、重要性因素來(lái)構(gòu)架不同等級(jí)的安全防護(hù)體系。從安全技術(shù)體系和安全管理體系兩個(gè)層面保障軌道交通信號(hào)系統(tǒng)安全；

• 計(jì)算環(huán)境的需求：1）系統(tǒng)業(yè)務(wù)終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備的系統(tǒng)登錄需要強(qiáng)化身份認(rèn)證機(jī)制，尤其在進(jìn)行日常維護(hù)操作時(shí)要求可以防止惡意用戶(hù)非法進(jìn)入系統(tǒng)實(shí)施破壞。2）需要加強(qiáng)可信接入控制，要求可以防止區(qū)域內(nèi)外到業(yè)務(wù)系統(tǒng)的非法連接。3）加強(qiáng)對(duì)內(nèi)部移動(dòng)介質(zhì)使用的控制，需通過(guò)技術(shù)手段輔助管理辦法的方式。4）需要加強(qiáng)審計(jì)功能，對(duì)各種操作行為進(jìn)行記錄。

• 區(qū)域邊界的要求：需要加強(qiáng)系統(tǒng)內(nèi)不同區(qū)域邊界保護(hù)，交換信息時(shí)，需要在邊界處實(shí)施強(qiáng)的控制，對(duì)進(jìn)入?yún)^(qū)域的信息實(shí)施強(qiáng)制訪問(wèn)控制，同時(shí)需要對(duì)信息交換的行為進(jìn)行嚴(yán)格的主體身份認(rèn)證以及行為審計(jì)，以防止跨域的惡意攻擊行為，尤其在信號(hào)系統(tǒng)對(duì)外接口部分，包括但不限于ISCS,PIS,PSCADA等。

• 監(jiān)測(cè)審計(jì)的需求：需要對(duì)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)通信的流量進(jìn)行嚴(yán)格的控制，包括時(shí)間戳，源、目的IP，協(xié)議，端口和操作指令、內(nèi)容等。

• 安全集中管理的要求：需加強(qiáng)統(tǒng)一管理平臺(tái)的建設(shè)，通過(guò)采用由安全管理平臺(tái)統(tǒng)一管理的安全策略管理、安全審計(jì)管理等安全措施，對(duì)各層面的終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備的集中統(tǒng)一的配置和監(jiān)控，統(tǒng)一制定整個(gè)系統(tǒng)的安全策略，實(shí)現(xiàn)系統(tǒng)運(yùn)行狀態(tài)始終可控，以達(dá)到防內(nèi)為主，內(nèi)外兼防的目標(biāo)。

2. 解決方案

• 嚴(yán)格按照國(guó)家等級(jí)保護(hù)的需求進(jìn)行安全體系的建立，安全框架的構(gòu)建；

• 通過(guò)在關(guān)鍵主機(jī)和服務(wù)器上部署工控主機(jī)衛(wèi)士，利用白名單技術(shù)，采用主動(dòng)防御的方式來(lái)實(shí)現(xiàn)對(duì)惡意病毒木馬的隔離，保障信號(hào)系統(tǒng)的運(yùn)行安全和數(shù)據(jù)安全，同時(shí)避免由傳統(tǒng)的防病毒產(chǎn)品對(duì)信號(hào)系統(tǒng)（國(guó)家基礎(chǔ)設(shè)施系統(tǒng)）的不適用；

• 對(duì)主機(jī)和服務(wù)器的外設(shè)接口（USB,CDROM等）進(jìn)行讀寫(xiě)管控，可配置禁止所有移動(dòng)存儲(chǔ)設(shè)備、允許所有移動(dòng)存儲(chǔ)設(shè)備、允許特定移動(dòng)存儲(chǔ)設(shè)備，可配置USB讀寫(xiě)權(quán)限控制，封閉了惡意的程序、代碼通過(guò)“擺渡”的方式進(jìn)行傳播的途徑；

• 在信號(hào)系統(tǒng)與對(duì)外接口之間部署工業(yè)防火墻設(shè)備，利用傳統(tǒng)防火墻包過(guò)濾技術(shù)和工業(yè)防火墻對(duì)工業(yè)協(xié)議深度分析技術(shù)對(duì)各區(qū)域的訪問(wèn)行為進(jìn)行嚴(yán)格的控制，通過(guò)“白環(huán)境”思想，建立“白環(huán)境”對(duì)來(lái)自不同區(qū)域的惡意操作和入侵行為進(jìn)行阻止和防范；

• 在各級(jí)交換系統(tǒng)內(nèi)部署監(jiān)測(cè)和審計(jì)平臺(tái)，同樣利用“白環(huán)境”思想，建立“白環(huán)境”通信行為基線。通過(guò)對(duì)各級(jí)交換系統(tǒng)間的通信流量進(jìn)行深度分析，利用流量中的元素（時(shí)間、IP、協(xié)議、指令）來(lái)判斷各級(jí)操作的合法性；

• 結(jié)合信號(hào)系統(tǒng)業(yè)務(wù)特點(diǎn)，對(duì)各級(jí)維護(hù)人員進(jìn)行權(quán)限分析，通過(guò)部署堡壘機(jī)對(duì)維護(hù)人員進(jìn)行身份鑒別，保證每個(gè)維護(hù)人員的身份的合法性，保證每個(gè)維護(hù)操作指令的合法性；

• 通過(guò)部署統(tǒng)一管理平臺(tái)對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)使用情況、各主機(jī)和服務(wù)器的使用現(xiàn)狀、各安全裝備的使用現(xiàn)狀等進(jìn)行監(jiān)控， 同時(shí)利用采集的信息進(jìn)行內(nèi)部數(shù)據(jù)分析，聯(lián)動(dòng)工控主機(jī)衛(wèi)士、監(jiān)測(cè)與審計(jì)平臺(tái)、可信網(wǎng)關(guān)，根據(jù)實(shí)際需求輸出不同類(lèi)型、不同維度的分析報(bào)告。

3. 客戶(hù)價(jià)值

• 滿(mǎn)足國(guó)家等級(jí)保護(hù)政策需求、滿(mǎn)足工信部工業(yè)控制系統(tǒng)安全防護(hù)指南中的技術(shù)需求；

• 通過(guò)建設(shè)不同維度的安全產(chǎn)品，形成一個(gè)以安全管理平臺(tái)為中心的縱深防御的安全體系，真正做到“進(jìn)不來(lái)-拿不走-打不開(kāi)-改不了—賴(lài)不掉”。