日本三级在线视频-91丨九色丨蝌蚪丨老版-欧美18av-欧美精品91爱爱-国产视频久久久久-国产欧美视频一区-亚洲色欲天天天堂色欲网-国产91免费看-久久久国产99久久国产久-插嫩嫩学生妹p-www亚洲综合-曰韩无码二三区中文字幕-色偷偷激情日本亚洲一区二区-欧美在线视频免费播放-夜夜操网站

長(zhǎng)揚(yáng)科技是北京國(guó)資委和經(jīng)信委投資、指導(dǎo)下的創(chuàng)新型高新技術(shù)企業(yè)，匯集中國(guó)工業(yè)網(wǎng)絡(luò)安全人才最集中最精英的企業(yè)，是中國(guó)工業(yè)網(wǎng)絡(luò)事業(yè)的第一批踐行者。公司聚焦工業(yè)網(wǎng)絡(luò)安全及安全大數(shù)據(jù)領(lǐng)域，為客戶持續(xù)提供覆蓋工控系統(tǒng)整個(gè)生命周期的網(wǎng)絡(luò)安全解決方案和安全服務(wù)，致力于成為工業(yè)互聯(lián)網(wǎng)安全行業(yè)應(yīng)用專家。

公司產(chǎn)品及解決方案主要應(yīng)用于工業(yè)控制網(wǎng)絡(luò)、物聯(lián)網(wǎng)及關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)領(lǐng)域，在石油化工、煤炭、電力、軌道交通、高鐵、公共安全、軍隊(duì)軍工、智能制造及政府教育等行業(yè)做了大量的工業(yè)網(wǎng)絡(luò)安全行業(yè)研究和實(shí)踐，對(duì)于工業(yè)網(wǎng)絡(luò)安全場(chǎng)景化應(yīng)用認(rèn)知和落地能力業(yè)界領(lǐng)先。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與信號(hào)系統(tǒng)深度融合，CBTC系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語(yǔ)音廣播等其他子系統(tǒng)互聯(lián)，甚至與公共網(wǎng)絡(luò)連接，造成病毒、木馬等威脅向CBTC系統(tǒng)擴(kuò)散。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞，將對(duì)城市軌道交通的穩(wěn)定運(yùn)行和旅客的人身安全造成重大影響。

本項(xiàng)目以“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級(jí)防護(hù)”為原則，以GB/T 22239為標(biāo)準(zhǔn)，在技術(shù)層面實(shí)現(xiàn)地鐵基于CBTC的信號(hào)系統(tǒng)內(nèi)各子系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標(biāo)準(zhǔn)，建設(shè)滿足信息系統(tǒng)安全等級(jí)（三級(jí)）要求的防護(hù)方案。

一、 項(xiàng)目概況

地鐵信號(hào)系統(tǒng)是保證列車安全、準(zhǔn)點(diǎn)、高密度運(yùn)行的重要技術(shù)裝備。本方案是針對(duì)Y市某號(hào)線信號(hào)系統(tǒng)的符合等級(jí)保護(hù)（三級(jí)）要求的安全防護(hù)建設(shè)方案。

1. 項(xiàng)目背景

目前基于無(wú)線局域網(wǎng)的CBTC系統(tǒng)的可用性、可靠性等均能滿足當(dāng)前城市軌道交通安全高效運(yùn)營(yíng)的需要，是實(shí)現(xiàn)軌道交通高安全、高速度和高密度的最佳技術(shù)之一。但CBTC系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語(yǔ)音廣播等公共網(wǎng)絡(luò)連接，造成病毒、木馬等威脅向CBTC系統(tǒng)擴(kuò)散，信號(hào)系統(tǒng)安全問(wèn)題日益突出。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞，將對(duì)城市軌道交通的生產(chǎn)運(yùn)行和國(guó)家安全造成重大隱患。

Y市地鐵運(yùn)營(yíng)公司在《軌道交通信息安全技術(shù)架構(gòu)》中提出信息安全建設(shè)的總體目標(biāo)為：全面防護(hù)、保護(hù)重點(diǎn)、專區(qū)專用、強(qiáng)化邊界，旨在提升信息安全的預(yù)警能力、保障能力、檢測(cè)能力、應(yīng)急能力和恢復(fù)能力。要求以GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)技術(shù)標(biāo)準(zhǔn)為基礎(chǔ)，“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級(jí)防護(hù)”為原則，在技術(shù)層面要求各系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標(biāo)準(zhǔn)，按信息系統(tǒng)安全等級(jí)（三級(jí)）要求建設(shè)、實(shí)施。

目前Y市某號(hào)線信號(hào)系統(tǒng)是采用基于通信的列車控制系統(tǒng)（CBTC）。鑒于信號(hào)系統(tǒng)在軌道交通中的重要性，結(jié)合公安部網(wǎng)監(jiān)和Y市市軌道交通有限公司的要求，將Y市某號(hào)線信號(hào)系統(tǒng)信息安全保護(hù)等級(jí)定為三級(jí)（S3A3G3）。

2. 項(xiàng)目簡(jiǎn)介

本方案針對(duì)Y市某號(hào)線信號(hào)系統(tǒng)，進(jìn)行了符合等級(jí)保護(hù)（三級(jí)）要求的實(shí)施方案設(shè)計(jì)，提出一個(gè)基于縱深防御的分域安全防護(hù)與運(yùn)維保障體系，同時(shí)它也是基于信號(hào)系統(tǒng)內(nèi)生特性的安全防護(hù)體系。本方案在控制中心、各設(shè)備集中站、車輛段和停車場(chǎng)等從邊界隔離防護(hù)和訪問(wèn)控制、入侵防御、監(jiān)測(cè)審計(jì)和主機(jī)安全方面，進(jìn)行了合理的安全部署設(shè)計(jì)和安全服務(wù)咨詢?cè)O(shè)想，提供實(shí)際的安全防護(hù)產(chǎn)品部署建議與選型建議。

3. 項(xiàng)目目標(biāo)

依據(jù)工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》指導(dǎo)要求，結(jié)合信息安全等級(jí)保護(hù)（三級(jí)）符合性要求，軌道交通信號(hào)系統(tǒng)安全防護(hù)建設(shè)目標(biāo)如下：

（1）完善軌道交通信號(hào)系統(tǒng)安全防護(hù)技術(shù)體系：

梳理、分析軌道網(wǎng)絡(luò)整體情況，從網(wǎng)絡(luò)層次劃分、網(wǎng)絡(luò)分區(qū)分域、網(wǎng)絡(luò)邊界劃分、縱深防御等方面提供適用于軌道交通信號(hào)系統(tǒng)的網(wǎng)絡(luò)規(guī)劃思路；

（2）完善軌道交通信號(hào)系統(tǒng)安全防護(hù)管理體系：

梳理軌道交通信號(hào)系統(tǒng)安全防護(hù)方面的組織機(jī)構(gòu)、管理制度、人員管理、系統(tǒng)建設(shè)管理、資源保障、監(jiān)督檢查等方面的信息，進(jìn)行需求分析并提出解決思路，為軌道交通信號(hào)系統(tǒng)管理體系建設(shè)及整改工作提供參考；

（3）完善軌道交通信號(hào)系統(tǒng)安全防護(hù)運(yùn)維體系：

梳理、分析軌道交通信號(hào)系統(tǒng)的運(yùn)維體系，從運(yùn)維管理制度、操作流程的規(guī)范化、關(guān)鍵技術(shù)控制點(diǎn)等方面提供運(yùn)維體系建設(shè)及完善思路，挖掘運(yùn)維平臺(tái)潛在風(fēng)險(xiǎn)和盲區(qū)，為完善軌道交通運(yùn)維平臺(tái)提供解決思路。

本方案針對(duì)Y市某號(hào)線信號(hào)系統(tǒng)進(jìn)行細(xì)致的分析，并結(jié)合等級(jí)保護(hù)（三級(jí)）基本要求以及信號(hào)系統(tǒng)的特殊安全需求提出一個(gè)基于縱深防御的分域安全防護(hù)與運(yùn)維保障體系。協(xié)助客戶出具《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》、《信息系統(tǒng)安全等級(jí)保護(hù)備案表》并在當(dāng)?shù)毓矙C(jī)關(guān)完成信息系統(tǒng)等保備案，然后依照等級(jí)保護(hù)安全技術(shù)要求，將從網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全以及應(yīng)用安全四個(gè)方面對(duì)軌道交通信號(hào)系統(tǒng)的安全防護(hù)分別展開(kāi)預(yù)評(píng)估與整改。

本項(xiàng)目的目標(biāo)是在Y市地鐵某號(hào)線信號(hào)系統(tǒng)正式開(kāi)通運(yùn)營(yíng)之前完成一次等級(jí)保護(hù)三級(jí)測(cè)評(píng)工作。

二、 項(xiàng)目實(shí)施概況

本節(jié)重點(diǎn)詳盡描述，技術(shù)與業(yè)務(wù)結(jié)合，工業(yè)互聯(lián)網(wǎng)技術(shù)如何助力業(yè)務(wù)提升與創(chuàng)新，如何解決企業(yè)痛點(diǎn)和難點(diǎn)，其核心價(jià)值體現(xiàn)在哪些方面。此處可以有幾句統(tǒng)領(lǐng)性描述。

結(jié)合等級(jí)保護(hù)（三級(jí)）基本要求以及信號(hào)系統(tǒng)的特殊安全需求，對(duì)于Y市軌道交通某號(hào)線信號(hào)系統(tǒng)信息安全建設(shè)，以適度風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng)。本方案將從網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全以及應(yīng)用安全四個(gè)方面對(duì)軌道交通信號(hào)系統(tǒng)的安全防護(hù)分別展開(kāi)闡述。

1. 項(xiàng)目總體架構(gòu)和主要內(nèi)容

為提升成熟軌道交通各子系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，長(zhǎng)揚(yáng)科技在充分了解CBTC、ISCS、AFC、PIS等系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全現(xiàn)狀的基礎(chǔ)上，深度融合軌交業(yè)務(wù)系統(tǒng)，構(gòu)建從邊界防護(hù)、流量檢測(cè)審計(jì)、主機(jī)終端安全、持續(xù)運(yùn)維安全的縱深防御技術(shù)體系。在不破壞原有網(wǎng)絡(luò)結(jié)構(gòu)情況下，軌交解決方案能切實(shí)有效的保護(hù)系統(tǒng)安全，防止木馬、蠕蟲(chóng)、黑客等各種威脅和攻擊，保障軌道交通安全穩(wěn)定運(yùn)行

（1）網(wǎng)絡(luò)邊界安全防護(hù)

CBTC、ISCS、PIS等系系統(tǒng)之間存在互聯(lián)接口，但缺乏可靠的技術(shù)隔離手段進(jìn)行區(qū)域隔離，給整個(gè)軌道交通系統(tǒng)留下安全隱患，長(zhǎng)揚(yáng)科技通過(guò)在控制中心ATS網(wǎng)絡(luò)與互聯(lián)系統(tǒng)間（PIS、ISCS、PA等）接口的網(wǎng)絡(luò)邊界位置，部署工業(yè)網(wǎng)閘(IAD智能保護(hù)平臺(tái))?；ヂ?lián)網(wǎng)絡(luò)之間進(jìn)行網(wǎng)絡(luò)連接時(shí)，可以基于IP地址、MAC地址等對(duì)請(qǐng)求連接主機(jī)的身份進(jìn)行鑒別，禁止未通過(guò)身份鑒別的主機(jī)之間建立網(wǎng)絡(luò)連接，互聯(lián)接口具備訪問(wèn)控制措施，基于智能學(xué)習(xí)的白名單和黑名單的訪問(wèn)控制。訪問(wèn)控制主、客體粒度細(xì)化到IP地址、MAC地址、應(yīng)用協(xié)議及應(yīng)用數(shù)據(jù)，包括生產(chǎn)數(shù)據(jù)上傳和調(diào)度指令的下發(fā)；    支持FTP、HTTP、Modbus/TCP、OPC、IEC-104、MMS、DNP3等并且能夠?qū)Ω黝悢?shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲與深度解析常用工控協(xié)議傳輸?shù)臄?shù)據(jù)格式的鑒別與過(guò)濾。對(duì)互聯(lián)網(wǎng)絡(luò)之間的訪問(wèn)行為進(jìn)行實(shí)時(shí)數(shù)據(jù)包抓取和分析，對(duì)異常行為進(jìn)行檢測(cè)，實(shí)時(shí)阻斷威脅事件；涵蓋了各大主流工控設(shè)備的設(shè)備及協(xié)議漏洞庫(kù)，可以基于已知設(shè)備及協(xié)議的漏洞庫(kù)黑名單機(jī)制保護(hù)工業(yè)控制網(wǎng)絡(luò)避免受到已知漏洞的危害。針對(duì)外部系統(tǒng)邊界采用專用的安全通道進(jìn)行內(nèi)外網(wǎng)信息交換，業(yè)務(wù)數(shù)據(jù)通過(guò)物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使外部系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無(wú)法進(jìn)入ATS網(wǎng)絡(luò)。

在控制中心ATS與各區(qū)域邊界位置部署工業(yè)防火墻。實(shí)現(xiàn)隔離與訪問(wèn)控制，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對(duì)應(yīng)請(qǐng)求的服務(wù)類型）、時(shí)間、用戶名等信息執(zhí)行訪問(wèn)控制規(guī)則識(shí)別工控網(wǎng)絡(luò)中已知的安全威脅。

（2）網(wǎng)絡(luò)流量安全

外部攻擊和內(nèi)部誤操作行是引發(fā)城市軌道交通安全問(wèn)題的重要因素，長(zhǎng)揚(yáng)科技通過(guò)在關(guān)鍵位置控制中心、車輛段、停車場(chǎng)和設(shè)備集中站的維護(hù)網(wǎng)接入交換機(jī)處旁路部署網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)監(jiān)測(cè)審計(jì)平臺(tái)。對(duì)全網(wǎng)數(shù)據(jù)流量、網(wǎng)絡(luò)數(shù)據(jù)智能學(xué)習(xí)生成白名單規(guī)則，結(jié)合黑名單規(guī)則統(tǒng)一規(guī)則部署進(jìn)行協(xié)議級(jí)審計(jì)，實(shí)時(shí)監(jiān)控控制網(wǎng)絡(luò)安全，發(fā)現(xiàn)異常行為及病毒木馬。

（3）主機(jī)安全防護(hù)

在系統(tǒng)中工控主機(jī)不能安裝殺毒軟件或殺毒軟件不能及時(shí)更新升級(jí)，一旦遇到新的漏洞將影響業(yè)務(wù)的安全運(yùn)營(yíng)，長(zhǎng)揚(yáng)科技通過(guò)在控制中心、車站、車輛段、停車場(chǎng)等處的工作站和服務(wù)器部署工控主機(jī)衛(wèi)士終端安全防護(hù)產(chǎn)品，開(kāi)啟主機(jī)白名單安全防護(hù)，監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)接口狀態(tài)、USB端口狀態(tài)，以白名單的技術(shù)方式，禁止一切非法進(jìn)程的加載和啟動(dòng)，從而使工控網(wǎng)絡(luò)中的上位機(jī)、服務(wù)器等抵御木馬、工控病毒等惡意程序的攻擊。切斷病毒和木馬的傳播與破壞路徑，徹底解決主機(jī)不能安裝殺毒軟件或病毒庫(kù)升級(jí)后影響程序運(yùn)行的問(wèn)題。

（4）統(tǒng)一安全管理

為實(shí)現(xiàn)對(duì)軌道交通系統(tǒng)防護(hù)設(shè)備的集中管理，幫助工作人員全面了解和掌握各個(gè)系統(tǒng)的安全狀態(tài)。長(zhǎng)揚(yáng)科技通過(guò)在車輛段部署統(tǒng)一安全管理平臺(tái)，統(tǒng)一管控所有工控網(wǎng)絡(luò)安全設(shè)備與安全防護(hù)手段，將系統(tǒng)的工控網(wǎng)絡(luò)安全現(xiàn)狀實(shí)時(shí)、全面地進(jìn)行監(jiān)控。對(duì)于保護(hù)終端所產(chǎn)生的安全事件和平臺(tái)系統(tǒng)事件進(jìn)行行為關(guān)聯(lián)性追蹤，找到引起當(dāng)前結(jié)果事件的源頭事件，為分析從源頭事件到結(jié)果事件的整個(gè)過(guò)程提供依據(jù)。建立工業(yè)控制網(wǎng)絡(luò)日常行為基準(zhǔn)，對(duì)當(dāng)前網(wǎng)絡(luò)的異常行為做實(shí)時(shí)動(dòng)態(tài)的行為審計(jì)，找到控制網(wǎng)內(nèi)符合協(xié)議規(guī)范，但不符合企業(yè)日常生產(chǎn)規(guī)律的隱秘異常的行為，幫助發(fā)現(xiàn)內(nèi)部誤操作，內(nèi)部攻擊等不易發(fā)現(xiàn)的安全威脅。專業(yè)的工業(yè)控制網(wǎng)絡(luò)拓?fù)錁?gòu)建和管理工具，提供豐富的資產(chǎn)信息展示功能，同時(shí)關(guān)聯(lián)多種安全分析工具，呈現(xiàn)豐富的功能視圖，對(duì)拓?fù)涔芾磉M(jìn)行顛覆式的功能改進(jìn)，幫助用戶最大化的了解自身工業(yè)控制網(wǎng)絡(luò)，以及提高全面的安全態(tài)勢(shì)感知能力。

信號(hào)系統(tǒng)網(wǎng)絡(luò)安全部署示意圖如下所示：

圖1  信號(hào)系統(tǒng)網(wǎng)絡(luò)安全部署示意圖

2.安全架構(gòu)

在本項(xiàng)目中，在基于信號(hào)系統(tǒng)自身的信息采集與傳輸上，在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)，不影響原有工控網(wǎng)絡(luò)系統(tǒng)正常生產(chǎn)運(yùn)行的情況下，基于旁路的方式部署監(jiān)測(cè)審計(jì)平臺(tái)旁路監(jiān)聽(tīng)。在通信安全、傳輸協(xié)議和標(biāo)準(zhǔn)方面，具備專業(yè)協(xié)議深度解析，已經(jīng)支持的工控協(xié)議深度解析是GOOSE，SV，MMS，IEC104，DNP3，OPC，S7，Modbus/TCP，Profinet，Ethernet/IP等協(xié)議，并可對(duì)協(xié)議數(shù)據(jù)包深度解析。在配置方式上，采用WEB配置IP地址，不需要串口線、CLI，方便現(xiàn)場(chǎng)實(shí)施部署。網(wǎng)絡(luò)拓?fù)涔芾聿捎脤I(yè)的工業(yè)控制網(wǎng)絡(luò)拓?fù)錁?gòu)建和管理工具，提供豐富的資產(chǎn)信息展示功能，同時(shí)關(guān)聯(lián)多種安全分析工具，呈現(xiàn)豐富的功能視圖，對(duì)拓?fù)涔芾磉M(jìn)行顛覆式的功能改進(jìn)，幫助用戶最大化的了解自身工業(yè)控制網(wǎng)絡(luò)。

3. 安全及可靠性

本項(xiàng)目不僅僅是Y市軌道交通信號(hào)系統(tǒng)信息安全防護(hù)試點(diǎn)項(xiàng)目，更是為軌道交通行業(yè)的網(wǎng)絡(luò)安全防護(hù)做出了技術(shù)示范作用，優(yōu)化管理流程，切實(shí)保證了信號(hào)系統(tǒng)免受病毒、惡意代碼等威脅，保持安全穩(wěn)定運(yùn)行的狀態(tài)。安全框架參考《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行設(shè)計(jì)，在管理方面同時(shí)參考《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及27001安全管理指南，使建成后的等級(jí)保護(hù)體系：

1、資產(chǎn)安全以資產(chǎn)安全為核心，資產(chǎn)管理包括安全設(shè)備管理、工控設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理。對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)未知的設(shè)備接入、異常連接、異常流量進(jìn)行實(shí)時(shí)告警，迅速發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中異常情況。保障資產(chǎn)按時(shí)按規(guī)定的正常運(yùn)行和及時(shí)檢測(cè)出資產(chǎn)的異常行為。

2、區(qū)域防護(hù)借鑒了縱深防御的思想，形成以邊界監(jiān)測(cè)、區(qū)域監(jiān)測(cè)、終端監(jiān)測(cè)的防護(hù)體系。

3、 項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果

1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)

（1）全系列的工控安全產(chǎn)品

提供全系列工控安全產(chǎn)品，可以滿足不同工控系統(tǒng)信息安全防護(hù)項(xiàng)目的需要。

（2）一鍵式部署

產(chǎn)品采用EB配置，不需要串口線、CLI，方便現(xiàn)場(chǎng)實(shí)施部署，所有黑名單規(guī)則、白名單規(guī)則可以統(tǒng)一調(diào)入到規(guī)則庫(kù)，進(jìn)行一鍵式部署，方便快捷，可自動(dòng)調(diào)整安全規(guī)則及保護(hù)策略之間的沖突，簡(jiǎn)化部署過(guò)程

（3）硬件平臺(tái)安全

硬件方面適應(yīng)工控系統(tǒng)冗余、時(shí)延、可靠性、環(huán)境等各方面的要求：1)  硬件設(shè)計(jì)支持硬件加密。在現(xiàn)場(chǎng)能夠?qū)崿F(xiàn)多種靈活的安裝方式，包括導(dǎo)軌安裝、機(jī)柜安裝等。2)  可以在各種行業(yè)需要的環(huán)境下運(yùn)行，擴(kuò)展性強(qiáng)，無(wú)風(fēng)扇全封閉設(shè)計(jì)，達(dá)到工業(yè)級(jí)的可靠性和穩(wěn)定性MTBF標(biāo)準(zhǔn)和工業(yè)級(jí)寬溫標(biāo)準(zhǔn)。3)  支持多電源冗余和端口故障時(shí)的自動(dòng)硬件旁路轉(zhuǎn)換。端口設(shè)計(jì)上采用與數(shù)據(jù)網(wǎng)分離的管理網(wǎng)端口，并支持千兆以太網(wǎng)。

2. 實(shí)施效果

本項(xiàng)目實(shí)現(xiàn)了項(xiàng)目目標(biāo)需求，解決了網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)管理與入侵防護(hù)；在網(wǎng)絡(luò)層面生產(chǎn)網(wǎng)邊界，實(shí)現(xiàn)網(wǎng)絡(luò)接口安全；通過(guò)區(qū)域隔離，結(jié)合黑白名單的訪問(wèn)控制實(shí)現(xiàn)惡意代碼防范。對(duì)系統(tǒng)運(yùn)用的多項(xiàng)先進(jìn)技術(shù)，系統(tǒng)整體性能和安全性進(jìn)行日常維護(hù)管理。完善了Y市軌道交通信號(hào)系統(tǒng)信息安全保護(hù)體系，為等保測(cè)評(píng)的順利通過(guò)提供了安全保障。

（1）入侵檢測(cè)：

對(duì)網(wǎng)絡(luò)的當(dāng)前和歷史行為與事件進(jìn)行工業(yè)控制安全入侵分析、檢測(cè)與發(fā)現(xiàn)，對(duì)緩沖區(qū)溢出、SQL 注入、DoS 攻擊、蠕蟲(chóng)病毒、木馬后門(mén)、aveX、Sand-Worm、Stuxnet等各類黑客攻擊和惡意流量進(jìn)行實(shí)時(shí)檢測(cè)及報(bào)警，發(fā)現(xiàn)APT攻擊和工業(yè)病毒的入侵痕跡，并通在安全管理平臺(tái)顯示、日志數(shù)據(jù)庫(kù)記錄，提供對(duì)應(yīng)的防護(hù)修護(hù)策略

（2）工業(yè)協(xié)議深度解析：

目前已經(jīng)支持的工控協(xié)議深度解析是GOOSE，SV，MMS，IEC104，DNP3，OPC，S7，Modbus/TCP，Profinet，Ethernet/IP等協(xié)議，為工控網(wǎng)絡(luò)安全領(lǐng)域最多

（3）訪問(wèn)控制：

對(duì)數(shù)據(jù)流量進(jìn)行管控，通過(guò)端口、地址、協(xié)議等方式對(duì)數(shù)據(jù)流量進(jìn)行篩選，保證流量合法性。

（4）實(shí)時(shí)報(bào)警：

所有部署的安全設(shè)備都能由安全管理平臺(tái)統(tǒng)一控制配置、管理安全終端，對(duì)安全終端部署安全規(guī)則，監(jiān)測(cè)終端所在網(wǎng)絡(luò)的通信流量與安全事件。對(duì)于保護(hù)終端所產(chǎn)生的安全事件和平臺(tái)系統(tǒng)事件進(jìn)行行為關(guān)聯(lián)性追蹤，找到引起當(dāng)前結(jié)果事件的源頭事件，為分析從源頭事件到結(jié)果事件的整個(gè)過(guò)程提供依據(jù)。

（5）流量審計(jì)：

對(duì)工控網(wǎng)絡(luò)中存在的所有活動(dòng)提供協(xié)議審計(jì)、行為審計(jì)、內(nèi)容審計(jì)、流量審計(jì)，生成完整記錄便于事件追溯?；诠I(yè)協(xié)議的深度包解析白名單和黑名單的工控異常行為審計(jì)，協(xié)助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在的違規(guī)下發(fā)的控制操作。