概述:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。城市轨道交通作为可能影响国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护
一、综合监控系统安全需求
1、监控中心按等保3级应部署堡垒机、日志审计、病毒查杀系统、安全管理/态势平台,满足等保3级要求;
2、车辆段/车站,一般按等保二级,具备恶意代码终端安全/防病毒系统和入侵检测功能,建议部署工业终端安全卫士、工业入侵检测系统;
3、综合监控网络运行有较多的工业系统专用协议,建议部署工业入侵检测系统、工业监测审计系统和工业防火墙。
二、信息系统安全需求
1、边界:信号系统内部和外部区域之间新增工业防火墙设备,满足等级保护边界防护、访问控制、入侵检测、远程安全访问、恶意代码防护等要求。
2、在核心交换机旁路部署入侵检测系统,通过端口镜像把2台核心的所有流量镜像到工业入侵检测系统上,满足等级保护安全审计及恶意代码检测、入侵检测、数据防泄露检测等要求。
3、在核心交换机旁路部署工业安全评估系统,通过定期的漏洞扫描对信号系统、应用系统、数据库、网络设备等进行安全漏洞扫描,满足等级保护漏洞检测,恶意威胁检测等要求。
4、在核心交换机旁路部署工业监测审计系统包含数据库审计功能,内置DPI引擎,通过白名单+黑名单技术满足等级保护规定的协议审计、网络行为审计、数据库审计等要求。
5、部署安全运维管理系统(堡垒机)统一身份认证,安全操作审计,满足等级保护身份鉴别、操作审计等要求。
6、部署日志审计系统,满足等级保护规定要求,保存日志大于6个月的需求。
|
做好域间隔离按控制中心、车站/车辆段,以及不同系统之间构建安全域,并从外层到内层形成纵深防防护机制; |
|
做好数据安全保护重要业务数据和运维管理数据保护、访问控制、剩余信息保护、数据库敏感操作审计; |
|
|
强化边界保护形成在物理链路层,网络层、应用自下而上的防护策略;其中网络边界又包括无线网络边界和有线网络边界,均需建立防护体系; |
|
终端安全防护操作PC、服务器、数据库服务器等终端的脆弱性评估、安全配置核查、操作系统加固、数据库加固、主机管理和病毒防范; |
|
|
做好应用安全Web业务系统安全防护、身份与访问管理、高级持续性威胁防护;加强接口安全测试; |
|
加强运营安全建立运营体系和管理体系,做好资产管理和事件管理。 |
|
|
网间纵深防护按外部服务网、内部服务网和生产网构建安全域,并从外层到内容(即云的南北向)形成纵深防防护机制,以多层安全保护措施实现南北向边界防护; |
|
网内域间隔离分别在外部服务网络,内部服务网和安全生产网的安全域内(即云的东西向)按应用系统需要定制应用安全区,在安全域的应用安全区之间实现东西向边界防护 |
|
|
强化边界保护在外部服务网,内部服务器网和安全生产网安全域边界,应在物理链路层,网络层、应用自下而上的防护策略 |
|
物理安全云计算数据中心物理设备安全与环境安全 |
|
|
数据安全用户数据隔离、访问控制、剩余信息保护、数据库审计系统 |
|
应用安全Web业务系统安全防护、身份与访问管理、高级持续性威胁防护 |
|
|
基础环境安全操作系统加固、数据库加固、安全补丁、主机防病毒 |
|
网络通信安全有线网络与无线网络的通信安全 |
微博
微信公众号
