案例精选 | 牢筑地铁关基设施安全，助力某地铁集团PSCADA系统安全改造试点示范先行 - 新鲜讯息

一、项目背景

某市地铁5号线是某市城市轨道交通路网中首条贯穿城市中心、连接南北郊区的快速轨道交通干线。全线共25座车站级变电所，1个控制中心，1个备用中心，该线曾荣获中国建设工程鲁班奖等荣誉称号。

威努特作为城市轨道交通网络安全建设经验最丰富的工控安全厂商，依据《中华人民共和国网络安全法》、《关键信息基础设施保护条例》和等保2.0标准体系等法律法规、政策标准的相关要求，对某市地铁集团第一个生产类电力监控系统（PSCADA）进行网络安全改造，确保系统能够顺利通过等保三级测评，满足法律、法规的相关要求。

二、项目需求

经过对某市地铁线路的评估调研以及和业主深入的沟通，本次项目建设重点应满足以下需求：

1.项目建设应符合等级保护第三级要求，通过等保三级测评并提供测评报告；

2.PSCADA系统属于典型工业应用场景，应采用工控安全产品；

3.尽量不更改业务系统原有架构，串联设备故障情况下应确保业务可用；

4.控制中心和备用中心安全管理设备应支持热备切换，保证高可用性；

5.项目建设不能影响正常行车，需在夜间停电后施工。

三、改造过程

本项目PSCADA系统网络安全改造，总共利用天窗点17个，其中安装实施12个，初测2个，整改2个，整改复查1个，改造用时2个月。具体改造实施过程如下：

表格 1本项目实施过程关键点

表格 2本项目实施过程中相关配合部门

四、技术方案

本项目依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》，基于威努特多款白名单安全防护产品，并结合“一个中心、三重防护”的纵深防御思想，构建一套覆盖全面、重点突出、安全合规、持续运行的纵深安全防御体系。

图 1.PSCADA系统安全改造整体等保三级拓扑图

安全区域边界

在主备控制中心与车站网络之间、车站变电所PSCADA系统与综合监控系统之间冗余部署工业防火墙，进行边界隔离和访问控制。工业防火墙对PSCADA系统DNP 3.0协议深度解析，建立访问控制白名单和PSCADA系统DNP 3.0协议白名单，构筑安全“白环境”边界隔离和控制防护体系。工业防火墙所有电口均支持Bypass，从硬件设计上保证对业务系统“零”影响。

图 2.工业防火墙工业协议白名单配置展示

安全通信网络

在主备控制中心核心网络旁路部署高级威胁检测系统，接收核心网络交换机镜像流量，采用情报检测、入侵检测、行为检测、人工智能检测、病毒检测、基因检测和沙箱检测等技术，对已知和未知威胁流量进行深度包检测和分析，及时发现潜在的高风险威胁；

图 3.高级威胁检测系统威胁情报检测展示

图 4.高级威胁检测系统人工智能检测展示

在主备控制中心核心网络旁路部署工控安全监测与审计系统，基于对PSCADA系统DNP 3.0协议的深度解析，实时监测网络内是否存在网络攻击、用户违规操作、非法设备接入等，结合“白名单+智能学习”机制实现PSCADA系统指令级审计，构筑安全“白环境”通信网络防护体系。

图 5工控安全监测与审计系统工业协议白名单展示

安全计算环境

在PSCADA系统所有工作站部署工控主机卫士，设置程序白名单、网络白名单、外设管控、漏洞安全防护、强制访问控制等功能，锁定、切断恶意代码传播，强化主机层面网络和文件访问控制策略等，构建可信任的工作站级终端安全防护“白环境”。

图 6.工控主机卫士程序白名单展示

安全管理中心

在业务系统主备控制中心冗余的前提下，构建支持热备冗余安全管理中心，保证信息安全系统高可用性。通过主备控制中心旁路部署的统一安全管理平台，对PSCADA系统中部署的工业防火墙、高级威胁检测系统、工控安全监测与审计系统、工控主机卫士等进行集中管理；同时统一安全管理平台具备基于资产的风险分析功能，有效帮助业主提高PSCADA系统全面的安全态势感知能力。

图 7.统一安全管理平台系统授权管理展示

在主备控制中心旁路部署日志审计与分析系统，通过采集系统中主机设备、网络设备、安全设备、操作系统、数据库、业务系统的日志信息，对采集到的不同类型的信息进行标准化处理和实时关联分析，协助安全管理人员从海量日志中迅速准确地识别安全事故，提高全面的安全管理、风险管理能力，同时也满足网络安全法对于安全日志留存6个月以上的要求。

图 8.日志审计与分析系统采集相关设备日志展示

在主备控制中心旁路部署安全运维管理系统，统一对PSCADA系统下的所有资源设备运营和维护操作进行授权和管理，有效管控地铁运维人员、施工单位、设备厂商和第三方运维人员的操作行为。提供身份鉴别与认证机制，对不同身份用户操作进行严格的审计，从而提高PSCADA系统持续的安全运维能力。

图 9安全运维管理系统用户管理展示

在主备控制中心旁路部署数据库审计系统，通过对地铁运维人员、施工单位、设备厂商和第三方运维人员和系统的网络行为进行解析、分析、记录、汇报，实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源的目的，从而达成加强内外部网络行为监管、促进核心数据库相关业务的正常运营目标。

图 10.数据库审计系统用户行为轨迹展示

最后再提供漏洞扫描服务，定期对PSCADA系统安全防护措施的有效性进行全面扫描，并对识别出的漏洞给出修复建议，提升业主网络安全风险把控能力。

建设完成后部分状态图：

图 11.建设完成后的部分效果图展示

五、本项目改造关键注意事项总结

图 12本项目改造关键注意事项点展示客户价值

六、客户价值

1、安全合规：采用2021版测评模板和扣分算法通过等保三级测评，得分：73.68分；

2、对PSCADA系统“零”影响：除工业防火墙外，其余设备旁路部署；工业防火墙所有端口均支持Bypass功能，保证设备故障情况下业务可用性；

3、主备安全管理中心，支持热备冗余，保证信息安全系统高可用性。

结语

威努特深耕城市轨道交通行业网络安全和等级保护建设工作，轨交行业客户数量突破300家，累计交付设备10000+台套，涉及信号系统、综合监控系统、AFC系统、专业通信系统（PIS、CCTV、OA、ISP、CCAS）、公安通信系统（CCTV、FRIES）、电力监控系统（PSCADA）、列车控制和管理系统（TCMS）等多个专业子系统，对于轨道交通业务系统、业务场景、网络安全建设有着深入的理解。威努特期待在城市轨道交通各专业系统安全防护领域，与更多业界同仁不断探讨，持续深入。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询陈女士 15611262709

稿件合作微信:shushu12121