轨道交通通信信号安全防护方案

轨道交通信号系统平安方案0203信号系统平安态势及风险分析新华三工业智能平安产品05信号系统平安等级防护方案06信号系统平安案例介绍01新华三大平安介绍新华三大安全介绍新华三集团背景新华三集团成立2016年5月6日中国惠普成立

年1985年32华三通信成立

年2003年14紫光与惠普达成合作年2015年5月22日2新华三集团2021年5月新华三集团成立全球领先的新IT解决方案领导者致力于新IT解决方案和产品的研发、生产、咨询、销售及效劳提供大互联、大平安、大数据、云计算和IT咨询效劳在内的一站式、全方位IT解决方案40,000,000台+设备在线运行7,100件+专利申请10,000名+员工100个+国家和地区2021年，平安产品全球销售11亿●国内销售前三●防火墙、入侵防御系统、负载均衡连续7年入围中国移动、中国电信、中国联通三大运营商●积极跟进平安趋势开展，针对新IT时代特点，推出〞大平安〞战略及解决方案●广泛效劳于政府、金融、企业、教育、运营商等各行业客户，保障公安部、工商银行、平安保险、中国互联网络信息中心、中国移动、中国电信等高端应用新华三平安产品市场地位新华三平安线里程碑华三成立，发布F100/F1000系列防火墙，正式进入专业平安领域发布V100/V1000全系列VPN设备国内首创全系列Secblade平安插卡国内第一台IPS产品发布业界首款全千兆UTM发布业界最高端的40G防火墙F5000-A5发布新一代千兆系列防火墙F1000-NG发布业界最高性能40GbpsSecblade平安插卡发布业界最高端M9000分布式综合平安网关发布新一代NGFW、ACG、LB产品发布华三大平安解决方案发布业界最高性能320G的Secblade平安插卡发布2004-2007平安渗透网络2021-2021应需而安2003华三成立平安起航2021-20212004-200520032008-20092006-20072011-20122009-201020152013-2014新华三持续13年投入网络平安，是国内最专业的硬件厂商，并在云平安和大数据平安全局开展。大平安战略系列IPS/ACG产品发布第二代Secblade万兆插卡发布2016H3C成立平安产品线，将网络平安作为公司四大战略之一进行开展。在合肥成立网络平安分公司2021成立平安分公司产品线运作新华三在信息平安方面的积累13大类，120款信息安全产品知识产权国内前三政府、金融、能源、运营商及大企业等大量应用案例870+件专利信息安全领域拥有者，全部自主可控500+人的研发、攻防及服务咨询专业团队储备新华三安全新华三重点参与国家信息平安顶层设计国家信息安全标准委员会信息安全机构核心成员云安全、大数据领域标准牵头单位，承接其中3项标准编写下一代互联网IPv6试点CNVD技术组成员单位、CNNVD技术支撑单位中国网络空间安全协会理事会员中国可信计算联盟副理事会成员公安部《云计算安全等级保护标准与测评要求》公安部《大数据等级保护标准与测评要求》国家信息中心《政务云等级保护基本要求及实施指南》平安管理中心云平安监测中心终端平安管理漏洞扫描网页防篡改入侵防御系统应用控制负载均衡Web防火墙堡垒机数据库审计下一代防火墙/UTM/VPN系列M9000多业务网关华三天机平安一体化交付平台F100系列U200系列F1000系列F50X0系列NFV虚拟化平安平安刀片SecBladeLite/III/IVVMSG虚拟平安网关F10X0系列T1000/5000/9000系列ACG1000/2000/8000系列L1000/5000/9000系列W1000/2000系列安全管理网络层安全应用层安全始终如一，自主创新，打造国内最强平安产品线拥有全球最快的防火墙，单模块业务处理能力320G网闸轨道交通信号系统安全分析2021年1月14日，一名黑客攻击了波兰Lodz的城市铁路系统，导致4节车厢出轨，12名乘客受伤，酿成严重事故。波兰城铁出轨事件深圳地铁事件上海地铁事件2021年11月8日，北京火车站售票系统瘫痪，不得已采用手写无座票的方式进行应急处理，直到5小时后系统才恢复。2021年10月8日，北京地铁5号线站点内信息显示屏出现异常，全部显示“王鹏你妹〞四个字。2021年11月20日，深圳地铁信号系统受干扰。列车上乘客所使用的便携式WIFI设备的无线信号，干扰到正常车-地间的无线通信，引起数据包延时传输或堵塞，导致列车紧急制动。2021年3月，上海申通地铁的车站信息发布系统和运行调度系统无线网络受攻击。北京火车站售票系统瘫痪事件北京地铁信息显示屏显示异常事件轨道交通平安事件国家政策2021年6月?网络平安法?正式施行2021年11月3日，工信部正式发布?工业控制系统信息平安防护指南?2021年10月GB/T33007-2021?工业通信网络和系统平安建立工业自动化和控制系统平安程序??防护要求??管理要求??评估指南??风险与脆弱性检测要求?等国家标准公布实施。2021年2月27日中央网络平安和信息化领导小组成立，国家主席习近平担任组长并进行了第一次会议。会议中明确提出要加强国家根底设施的网络平安，增强网络管理力度2021年国务院发布的?关于大力推进信息化开展和切实保障信息平安的假设干意见?明确提出要“保障工业控制系统平安〞2021年9月工业和信息化部专门发文?关于加强工业控制系统信息平安管理的通知?2021年1月14日国家标准化委员会出台了?工业控制网络风险评估标准?国家战略开展要求工信部?工业控制系统信息平安防护指南?工业控制系统平安漏洞通信协议的漏洞操作系统的漏洞平安策略和管理流程漏洞杀毒软件的漏洞应用软件的漏洞多个网络端口切入点员工平安意识疏漏的网络分割设计基于通信的列车控制系统〔CBTC〕的主要系统基于通信的列车控制系统〔CBTC〕系统典型配置

平安防护措施现状分析轨道交通信号系统网络平安风险分析132病毒攻击过程示意控制系统其他网络层控制中心层车站控制层损坏正常运行涉及的设备集成商涉及的设备厂商新华三工业智能安全产品IT系统和ICS系统的网络平安产品区别新华三智能工业平安防护技术平安隔离与信息交换技术A系统B系统专用安全防护装置基于“白名单〞的防范技术工业协议深度解析技术信息平安防护技术新华三智能工业平安平台基于已知漏洞防御保护功能，通过将已知漏洞库中的已知策略与网络中的数据和行为进行提取、匹配、判断，对所有异常数据和行为进行阻断和告警，消除已知漏洞危害黑名单防御机制0将IP地址与MAC地址进行绑定，防止内部IP地址被非法盗用，增强网络安全IP-MAC地址绑定白名单防御机制对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警，消除未知漏洞危害边界保护系统区域保护系统终端保护系统针对边界保护设计的系统，系统将会布置在工控系统的边界，主要防御来自工控网外的威胁针对区域保护设计的系统，布置在工控网内部区域边界，防御来自工控网外以及内部其他区域的威胁针对保护各个终端设计的系统，系统将会布置在各个节点，防御来自外部、内部其它区域及终端的威胁新华三智能工业保护平台是一款集合多种智能引擎、并针对工控系统而设计的防御系统平台，此平台可以通过各种方法快速识别出系统中的非法操作、异常行为以及外部攻击，在第一时间执行告警和阻断机器学习引擎模式匹配引擎深度包解析引擎网络安全状况智能关联分析网络行为机器学习技术工业控制网络协议深度包解析同时支持白名单，黑名单机制全封闭、无风扇设计 等级保护风险评估

专业级漏洞库服务-CNVD国家工控漏洞库 可靠的冗余电源，性能稳定可靠 新华三工业智能防火墙产品特点信号系统安全等级防护方案功能平安物理平安信息平安系统功能平安硬件功能平安软件功能平安防爆平安电磁兼容电气平安环境平安产品平安网络通信平安信息处理平安新华三平安防护框架数据交换流程车载数据通信网络车地双向通信网络〔LTEWlan〕轨旁通信网络接入层会聚层核心层车载终端接入上联系统结构平安访问控制入侵防范边界完整性恶意代码防范网络设备防护/网络行为审计日志审计终端冗余访问控制平安产品等级保护实施工作流程一、信息平安风险评估IT设备平安评估应用平安评估平安管理评估IT设备平安加固应用系统平安加固建立信息平安管理体系(ISMS)实施和运行平安管理体系监视和评审保持和改进物理平安网络平安终端平安应用平安数据平安建立SOC综合平安审计综合平安管理趋势分析关联分析、协调响应更新和总结平安效劳与培训持续改进二、建立信息平安管理体系

三、健全平安技术防护体系四、建立平安管理中心SOC五、持续改进以及优化平安效劳信号系统与其他系统互联关系信号系统综合监控系统乘客信息系统无线列调系统时钟系统信号系统非平安网与综合监控系统、乘客信息系统、无线列调系统和时钟系统互联，单向/双向数据流。安全网络非安全网络平安网络非平安网络信号系统平安域划分信号系统综合监控系统乘客信息系统无线列调系统时钟系统外部计算域根底设施域支撑子域支撑子域车载接入域技术支撑域区域隔离轨旁接入域内部计算域区域隔离等保要求1结构平安边界完整性平安审计等保要求2访问控制入侵防范/协议分析恶意代码防护云等保案例云等保案例：温州政务云、丽水政务云、浙江省政务云…..项目信息行业等保等级国家人社部公务员报考系统政府-部委等保三级国家统战部办公网政府-部委等保三级铁道部互联网售票系统政府-部委等保三级交通部海事局数据中心政府-部委等保三级国家电子政务外网政府-部委等保三级最高人民法院一级网政府-部委等保三级公安部全国公民身份证查询中心政府-部委等保三级汕头港务局政府等保三级H3C在等保—政府项目信息行业等保等级吉林省统计局骨干网政府-统计等保三级新华社新闻大厦内、外网政府-媒体等保三级山西省计生委VPN信息网络政府-计生等保三级广东省应急指挥平台数据中心政府-政务等保三级山东省电子政务外网政府-政务等保三级四川政法共享中心政府-公安等保三级甘肃省交警总队数据中心政府-公安等保三级国家海洋局东海分局政府等保三级广西环保厅政府等保三级山东昌乐智慧城市政府等保三级H3C在等保—政府项目信息行业等保等级呼伦贝尔人民医院医疗等保三级汕头中心医院医疗二级备案，三级建设汕大附二院医疗二级备案，三级建设曲靖第一人民医院医疗等保三级江苏省中医院医疗等保三级清远中医院医疗三级建设……….H3C在等保——医疗项目信息行业等保等级山西电力信息内网电力等保三级陕西电力信息内网电力等保三级东北电力信息外网电力等保三级甘肃电力信息内网电力等保三级河南电力信息外网电力等保三级国网信息中心电力等保二级南方电网数据中心电力等保三级H3C在等保—电力项目信息行业等保等级贵州电力调度二次防护电力等保三级湖南电力调度二次防护电力等保三级福建电力调度二次防护电力等保三级山西电力调度二次防护电力等保三级山东电力调度二次防护电力等保三级安徽电力调度二次防护电力等保三级重庆电力调度二次防护电力等保三级黑龙江电力调度二次防护电力等保三级H3C在等保—电力项目信息行业等保等级中石油集团数据中心能源等保三级中石油华南区域数据中心能源等保三级中石化集团会计核算能源等保三级中石化南京勘察设计院能源等保三级H3C在等保—能源项目信息行业等保等级广东石油化工学院教育三级建设山东医专教育等保三级江苏惠龙港物流园企业三级建设中国工商银行数据中心金融等保三级交通银行全国骨干网金融等保三级H3C在等保——教育及其他信号系统安全产品及成功案例介绍新华三工业平安管理平台介绍CAS系统漏扫数据库漏扫IMCSSM软堡垒机运维审计漏洞扫描网安管理主机安全控制新华三工业平安管理界面产品特色WINDOWS系统、LINUX应用程序，简单易用，系统资源占用极少；强大的扫描引擎，支持常见网站编程语言、数据库及web效劳器，支持第三方插件扩展；支持数据库授权和非授权扫描；支持对主流系统、中间件、网络设备进行扫描；支持渗透测试，一键验证漏洞；防止权限滥用；内置直观图形报表，并对漏洞有详细描述和加固建议；WEB漏扫系统漏扫数据库漏扫X-Scan工业漏洞扫描系统成就共享教育部、水利部水利信息中心、浙江省国家税务局、江苏省统计局、广西省交通厅、浙商银行等工业边界防护产品M9006M9010M9014采用控制、业务、数据相分离的全分布式架构，独立的硬件交换引擎，支撑高性能安全业务无阻塞处理及转发支持SCF（安全集群系统），支持多框集群和异构集群，实现灵活管理和弹性扩展支持智能分流（IFF）。部署多业务插卡后，流量自动在多个业务板卡内负载分担从而实现分布式处理支持安全ONE平台（SOP）。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙F1000系列F5000系列中端款型：F1020/30/50/60/70/80存储扩展：高速大容量硬盘。2*500G〔F1070/1080〕性能覆盖：1.5G~10G，最高1000万级并发，虚拟化能力：8:1虚拟化集群〔当前实现2:1〕序列款型：F5020、F5040性能覆盖：20G~40G，最高3000万并发，万兆深度平安虚拟化能力：8:1虚拟化集群〔当前实现2:1〕安全守望者（SecurityWatchmen）基于多因素的安全管控全新三态合一威胁感知策略智能下发智能策略调优服务器负载均衡基于应用选路技术N:1虚拟化1:N虚拟化安全智能策略导航安全威胁全息解构虚拟业务全景支撑全业务感知与调度入侵及恶意代码防范产品特色业界唯一集成专业防病毒的IPS产品专业漏洞和攻防研究团队，提供零日攻击防范创新的多核技术，提供线速性能保证多重高可靠性设计，永远不会成为业务故障点通过微软MAPP、CVE等国际权威认证成就共享H3CIPS持续保持高端市场第一品牌成功应用于工商银行总行北、南两大数据中心，工行IPS独家供应商奥运期间为17家证券/基金等金融机构提供安全保障服务于全国70％以上的省电力公司(湖南电力数十台千兆IPS，承建国内最大的千兆IPS网络)SecPathT1000系列SecPathT5000系列SecPathT9000系列注入攻击跨站脚本Webshell会话劫持应用、源代码信息泄露银行卡、身份证信息泄露性能指标

W2001W2005W2010W2020W2040W2080W2200转发吞吐量（bps）400Mbps1Gbps1.5Gbps4Gbps8Gbps12Gbps16Gbps每秒新建连接数400050001000030000400005000060000最大并发连接数850001500002000002500004000006000001000000HTTP吞吐goodput（bps）200Mbps400Mbps800Mbps2Gbps4Gbps6Gbps8Gbps产品特色全新一代应用控制网关，全方位网络行为监控产品。支持多种认证方式，真正的基于用户的应用审计和管控提供细粒度的网络应用审计，多维度组合定制报表覆盖10M~5G带宽场景成就共享产品成熟稳定、性能突出，入围国税总局、中央直属机关等选型近100所教育用户〔包括近十所211、985类高校〕，北京航天航空大学、中央党校、中国外交部、国家自然基金委员会、国家海事局、央视国际、中国一重等流量审计产品SecPathACG1000系列SecPathACG8800系列SecBladeACG系列产品特色整网平安设备统一管理，对全网范围内的平安事件进行集中的关联分析；整网网络与平安联动，实现主动式平安防御；内置丰富的应用流量分析报表和平安威胁报表；平安管理中心产品〔SSM〕成就共享国内平安管理中心第一集团平安各解决方案“大脑〞核心，入围工