轨道交通通信信号安全防护方案-新华三

0Confidential保密解决方案领导者•致力于新IT解决方案和产品的研发、生产、咨询、销售及服务•提供大互联、大安全、大数据、云计算和IT咨询服务在内的一站式、全方位IT解决方案40,000,000台+设备在线运行7,100件+专利申请10,000名+员工100个+国家和地区5Confidential保密年，安全产品全球销售11亿●国内销售前三●防火墙、入侵防御系统、负载均衡连续7年入围中国移动、中国电信、中国联通三大运营商●积极跟进安全趋势发展，针对新IT时代特点，推出”大安全”战略及解决方案●广泛服务于政府、金融、企业、教育、运营商等各行业客户，保障公安部、工商银行、平安保险、中国互联网络信息中心、中国移动、中国电信等高端应用新华三安全产品市场地位6Confidential保密新华三安全线里程碑华三成立，发布F100/F1000系列防火墙，正式进入专业安全领域发布V100/V1000全系列VPN设备国内首创全系列Secblade安全插卡国内第一台IPS产品发布业界首款全千兆UTM发布业界最高端的40G防火墙F5000-A5发布新一代千兆系列防火墙F1000-NG发布业界最高性能40GbpsSecblade安全插卡发布业界最高端M9000分布式综合安全网关发布新一代NGFW、ACG、LB产品发布华三大安全解决方案发布业界最高性能320G的Secblade安全插卡发布2004-2007安全渗透网络2008-2013应需而安2003华三成立安全起航2014-20152004-200520032008-20092006-20072011-20122009-201020152013-2014新华三持续13年投入网络安全，是国内最专业的硬件厂商，并在云安全和大数据安全全局发展。大安全战略系列IPS/ACG产品发布第二代Secblade万兆插卡发布2016H3C成立安全产品线，将网络安全作为公司四大战略之一进行发展。在合肥成立网络安全分公司2016成立安全分公司产品线运作7Confidential保密大类，120款信息安全产品知识产权国内前三政府、金融、能源、运营商及大企业等大量应用案例870+件专利信息安全领域拥有者，全部自主可控500+人的研发、攻防及服务咨询专业团队储备新华三安全8Confidential保密新华三重点参与国家信息安全顶层设计国家信息安全标准委员会信息安全机构核心成员云安全、大数据领域标准牵头单位，承接其中3项标准编写下一代互联网IPv6试点CNVD技术组成员单位、CNNVD技术支撑单位中国网络空间安全协会理事会员中国可信计算联盟副理事会成员公安部《云计算安全等级保护标准与测评要求》公安部《大数据等级保护标准与测评要求》国家信息中心《政务云等级保护基本要求及实施指南》9Confidential保密防火墙堡垒机数据库审计下一代防火墙/UTM/VPN系列M9000多业务网关华三天机安全一体化交付平台F100系列U200系列F1000系列F50X0系列NFV虚拟化安全安全刀片SecBladeLite/III/IVVMSG虚拟安全网关F10X0系列T1000/5000/9000系列ACG1000/2000/8000系列L1000/5000/9000系列W1000/2000系列安全管理网络层安全应用层安全始终如一，自主创新，打造国内最强安全产品线拥有全球最快的防火墙，单模块业务处理能力320G网闸10Confidential保密日，一名黑客攻击了波兰Lodz的城市铁路系统，导致4节车厢出轨，12名乘客受伤，酿成严重事故。波兰城铁出轨事件深圳地铁事件上海地铁事件2008年11月8日，北京火车站售票系统瘫痪，不得已采用手写无座票的方式进行应急处理，直到5小时后系统才恢复。2012年10月8日，北京地铁5号线站点内信息显示屏出现异常，全部显示“王鹏你妹”四个字。2012年11月20日，深圳地铁信号系统受干扰。列车上乘客所使用的便携式WIFI设备的无线信号，干扰到正常车-地间的无线通信，引起数据包延时传输或堵塞，导致列车紧急制动。2012年3月，上海申通地铁的车站信息发布系统和运行调度系统无线网络受攻击。北京火车站售票系统瘫痪事件北京地铁信息显示屏显示异常事件轨道交通安全事件12Confidential保密国家政策2017年6月《网络安全法》正式施行2016年11月3日，工信部正式发布《工业控制系统信息安全防护指南》2016年10月GB/T33007-2016《工业通信网络和系统安全建立工业自动化和控制系统安全程序》《防护要求》《管理要求》《评估指南》《风险与脆弱性检测要求》等国家标准颁布实施。2014年2月27日中央网络安全和信息化领导小组成立，国家主席习近平担任组长并进行了第一次会议。会议中明确提出要加强国家基础设施的网络安全，增强网络管理力度2012年国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》明确提出要“保障工业控制系统安全”2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》2011年1月14日国家标准化委员会出台了《工业控制网络风险评估规范》13Confidential保密工信部《工业控制系统信息安全防护指南》15Confidential保密基于通信的列车控制系统（CBTC）的主要系统17Confidential保密基于通信的列车控制系统（CBTC）系统典型配置18Confidential保密安全防护措施现状分析采用了防火墙和网闸风险点：控制系统控制系统采用大量的私有协议。传统保护无效FEP前置机转码隔离风险点：恶意代码承载在现有网络上穿透FEP控制系统无线加密采用WEP和IEEE802.11采用静态密钥风险点：商用协议容易被攻击和破解19Confidential保密轨道交通信号系统网络安全风险分析网络结构的安全风险•CBTC数据传输加密方式易被破解和攻击•无线接入网络多采用静态密钥，缺少密钥管理•无认证，加密，审计产品终端操作系统的安全风险•CBTC系统设备的操作系统漏洞•实时嵌入系统终端的操作系统漏洞风险安全管理滞后的风险•尚未建立健全统一的安全管理体系，尚未制定统一遵循的信息安全管理•尚未建立轨道交通列车控制系统与调度系统信息安全机构20Confidential保密新华三智能工业安全防护技术安全隔离与信息交换技术A系统B系统专用安全防护装置基于“白名单”的防范技术工业协议深度解析技术信息安全防护技术26Confidential保密新华三智能工业安全平台基于已知漏洞防御保护功能，通过将已知漏洞库中的已知策略与网络中的数据和行为进行提取、匹配、判断，对所有异常数据和行为进行阻断和告警，消除已知漏洞危害黑名单防御机制0将IP地址与MAC地址进行绑定，防止内部IP地址被非法盗用，增强网络安全IP-MAC地址绑定白名单防御机制对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警，消除未知漏洞危害27Confidential保密边界保护系统区域保护系统终端保护系统针对边界保护设计的系统，系统将会布置在工控系统的边界，主要防御来自工控网外的威胁针对区域保护设计的系统，布置在工控网内部区域边界，防御来自工控网外以及内部其他区域的威胁针对保护各个终端设计的系统，系统将会布置在各个节点，防御来自外部、内部其它区域及终端的威胁新华三智能工业保护平台是一款集合多种智能引擎、并针对工控系统而设计的防御系统平台，此平台可以通过各种方法快速识别出系统中的非法操作、异常行为以及外部攻击，在第一时间执行告警和阻断机器学习引擎模式匹配引擎深度包解析引擎28Confidential保密网络安全状况智能关联分析网络行为机器学习技术工业控制网络协议深度包解析同时支持白名单，黑名单机制全封闭、无风扇设计等级保护风险评估专业级漏洞库服务-CNVD国家工控漏洞库可靠的冗余电源，性能稳定可靠新华三工业智能防火墙产品特点29Confidential保密轨旁设备车载数据通信网络车地双向通信网络（LTEWlan）轨旁通信网络接入层汇聚层核心层车载终端接入上联系统结构安全访问控制入侵防范边界完整性恶意代码防范网络设备防护/网络行为审计日志审计终端冗余访问控制32Confidential保密安全产品等级保护实施工作流程一、信息安全风险评估IT设备安全评估应用安全评估安全管理评估IT设备安全加固应用系统安全加固建立信息安全管理体系(ISMS)实施和运行安全管理体系监视和评审保持和改进物理安全网络安全终端安全应用安全数据安全建立SOC综合安全审计综合安全管理趋势分析关联分析、协调响应更新和总结安全服务与培训持续改进二、建立信息安全管理体系三、健全安全技术防护体系四、建立安全管理中心SOC五、持续改进以及优化安全服务33Confidential保密信号系统与其他系统互联关系信号系统综合监控系统乘客信息系统无线列调系统时钟系统信号系统非安全网与综合监控系统、乘客信息系统、无线列调系统和时钟系统互联，单向/双向数据流。安全网络非安全网络34Confidential保密信号系统安全域划分信号系统综合监控系统乘客信息系统无