🎯铁路供电SCADA系统意义重大，但面临多种安全风险，如缺乏安全设计考虑、工业协议安全不足、网络管控手段缺失等，这些问题严重威胁系统安全。

🛡️威努特铁路供电SCADA系统网络安全建设方案，依据分区分域原则，通过多种设备实现区域边界隔离、主机加固、安全态势监控和数据容灾备份。

🌟方案亮点包括主动防御能力，借助沙箱和大数据技术构建深度学习模型，提前识别未知威胁；一站式安全运营能力，实现安全管理全周期闭环；实时的数据容灾备份能力，确保业务连续性。

铁路是国民经济大动脉、关键基础设施和重大民生工程，是综合交通运输体系的骨干和主要运输方式之一，在我国经济社会发展中的地位和作用至关重要。加强现代化铁路建设，对扩大铁路运输有效供给，构建现代综合交通运输体系，建设交通强国，实现“两个一百年”奋斗目标和中华民族伟大复兴的中国梦，具有十分重要的意义。

对于铁路行业而言，安全保障至关重要。随着自动化和信息化水平的不断发展，铁路控制系统与网络的联系也愈加紧密，来自系统外部或内部的网络攻击威胁逐渐增大，安全风险也日益加剧。近年来，全球范围铁路行业相继发生多起网络安全事件，铁路行业的网络安全问题已引起社会各界的高度关注。

铁路供电远动系统SCADA是采用铁路内部专用数据网，实现对铁路局集团公司管内所有铁路沿线牵引供电和电力配电设施监控的工业控制系统。

该系统能够实现供电系统的电压、电流、功率因数等电气参数的实时采集和监测，电力设备运行状况的动态显示，开关设备的远程控制等功能。系统通过准确记录历史数据，并通过报表、图形等显示形式还原各个时刻运行状态。

系统主要由应用服务器、前置通信服务器、调度员工作站、系统维护工作站、采集通信设备等网络节点设备以及相应的人机接口设备、实时数据打印机等构成系统的硬件设备，软件由系统支撑软件、平台软件、应用软件等软件组成。

下图为高铁供电SCADA系统网络架构图：

由于SCADA系统在设计之初主要考虑的是如何保证业务系统更加稳定的运行，如何保证SCADA系统的实时性，并未考虑到SCADA系统会遭受攻击。

SCADA系统普遍采用的工业协议OPC、CIP、MODBUS、IEC104以及一些私有协议等在设计时通常只强调通信的实时性及可用性，对安全性普遍考虑不足，比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议，更容易遭受第三者的窃听及欺骗性攻击。

SCADA系统在日常生产运营和维护中，为了工作的便捷性，需要将笔记本等设备接入到SCADA系统网络中，由于缺少网络准入技术，不能对私自接入的设备进行管控，给SCADA系统带来了很大的安全隐患。

SCADA系统缺少流量监测审计措施，不能对网络中存在的异常操作、违规操作以及病毒、木马等攻击行为进行实时检测。

SCADA系统的调度工作站多数采用Windows操作系统，且Windows漏洞不断曝出，导致操作站和服务器暴露在风险中；还有诸如系统上线前没有关闭掉多余的系统服务、端口以及系统的密码策略等进行安全加固问题；

除此之外，运维人员调试过程需要对操作站安装一些软件，为了方便调试，会开启一些操作系统远程服务、端口，上线后通常不会屏蔽这些功能，从而使得安全配置略为薄弱的操作站系统，特别容易遭受攻击。

同时，在生产环境中存在随意使用U盘等移动存储介质现象，有可能将传染病毒、木马等威胁因素带入生产系统。加上防病毒软件的安装不全面或者即使安装后也不及时更新病毒库，难以保证工业控制系统不被攻击，一旦出现问题后无法及时准确定位产生问题的原因、影响范围及追究责任。

由于缺乏有效的漏洞评估措施，SCADA系统中的网络设备、服务器、业务系统等无法定期的进行漏洞发现，对系统中未知的漏洞风险无法进行有效的管控，无法建立动态持续的风险评估措施。

由于缺乏有效的运维审计机制，对运维人员的操作过程没有记录、审计，不能发现越权访问、违规操作等行为。因此，一旦发生事故，需要大量时间确定问题，不能够及时有效地解决问题，也没有追溯手段。

威努特依据网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略，遵循“一个中心，三重防护”的思路和“三化六防”的理念进行规划和设计，结合目前铁路供电SCADA系统面临的诸多安全问题，构建“互联边界强化隔离，系统内部主机加固，安全态势实时监控、重要数据容灾备份”的铁路供电SCADA系统网络安全防御体系。

▪️ 依据分区分域原则，方案将铁路供电SCADA系统划分为不同安全区域，通过工业防火墙、第二代防火墙、网闸等设备实现各个区域的边界隔离，控制各个区域的数据流通；并且将上位机与下位机的通讯行为进行工控协议白名单的深层次管控，可以解决上位机非法指令的拦截、误操作情况的报警或拦截。

▪️ 针对主机的安全威胁，方案在主机上安装威努特工控主机卫士，只允许运行受信任的对象（如只允许系统运行白名单内的可执行程序，只允许系统加载白名单内的动态链接库、驱动等，只允许使用白名单内的移动存储介质），以达到主机运行安全。

▪️ 方案构建安全管理区域，部署态势分析与安全管理平台，收集系统中安全设备、网络设备、中间件、数据库、主机、应用及服务日志及告警数据，实时监视铁路SCADA系统的资产态势、运行态势、攻击态势、脆弱性态势、事件态势等；

▪️ 方案部署数据备份与恢复系统，通过实时数据库复制技术，搭建一套与业务环境完全一致的实时容灾数据库，针对铁路SCADA系统的关键业务数据进行实时的容灾备份。

图 数据采集区

数据采集区与各被控站互联，实现远端数据采集，由于传统的IT防火墙无法对其中的传输的工业控制协议报文进行深度解析，对于上位机控制下位机的命令的合法、合规性无法进行深度检查，因此在此部署工业防火墙，解决了控制层向现场层发送命令的合法、合规性检查；同时将现场层传输给服务器的数据进行深度检查，保护核心服务器免受非法攻击。

工业防火墙：在中心站与远端站点间部署威努特工业防火墙，用以提升工业控制网络安全防护能力，支持OPC、Modbus TCP、Siemens S7、IEC104、EIP等多种主流工业协议深度解析，支持多种访问控制规则、VPN、流量控制、安全审计、DOS攻击防护、ARP攻击防护和自身访问控制等功能，可有效保障自身和工控网络的双重安全。产品基于工业级硬件平台研发，具备宽温、冗余电源、抗强电磁干扰等工业安全特性，适用于SCADA、DCS、PCS、PLC等工业监控系统以及现场控制设备的安全防护。

图 核心交换与安全管理区

核心交换与安全管理区是整个铁路SCADA系统网络的核心，其中安全管理区负责安全管理、安全运维和与之相关的用户管理、备份管理等各个组件的集合区域，是维系业务系统正常运转，制定各类安全策略的核心区域。

（1）核心交换区安全能力

高级威胁检测系统：采用人工智能的机器学习/深度学习技术，通过特征检测、行为检测、机器学习、深度学习、集成学习、强化学习的方式对安全数据进行有效的检测收敛降噪，并通过告警关联、情景关联的方式实现APT关联分析，进而迅速定位可能的APT攻击。

数据库审计系统：实时的数据库运行状态监控，及时发现数据库在运行中出现的性能异常，并且结合审计日志准确定位异常操作，防止因性能问题而导致的业务瘫痪，合理优化业务系统；实时监控用户的数据库操作行为，及时对异常行为进行告警，防止业务瘫痪，保障业务系统的可用性。

（2）安全管理区安全能力

态势分析与安全管理平台：一方面提供系统资产态势、运行态势、攻击态势、脆弱性态势、事件态势等各类宏观数据的分析和展示；另一方面作为统一安全管理入口，实现多设备集中运维、安全策略集中配置和下发、日志集中收集和分析、设备操作集中审计。实现了含资产管理、策略管理、监测预警、攻击溯源、漏洞管理、风险评估、合规评估、趋势预测、协同联动于一体的一站式安全运营。

工业漏洞扫描平台：针对工业环境的脆弱性检测与漏洞扫描产品，能对SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描，准确定位其脆弱点和潜在威胁，同时通过智能遍历规则库和多种扫描选项的组合手段，深入检测出系统中存在的漏洞和弱点。

安全运维管理系统：实现集中化账号管理、高强度认证加固、细粒度授权控制和多形式审计记录，使内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范运维的操作步骤，避免误操作和非授权操作带来的隐患，有效保障组织机构的服务器、虚拟机、网络设备、安全设备、数据库、业务系统等资产的安全运行和数据的安全使用。

第二代防火墙：在安全管理区及服务器区的接入交换机串联部署下一代防火墙，确保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理。

网络准入系统：通过禁止非授权入网，对试图入网的终端进行有效审计、终端外联行为检测、终端外联行为阻断、外联行为记录、违规外联报警等方式，有效管理和解决非法内联、外联问题。

（3）重要数据容灾备份

数据备份与恢复系统：基于事务级的日志实时复制方式。通过直接捕获源数据库的事务日志，将数据库产生的事务日志实时复制至目标系统数据库中，再根据事务日志序号重做数据，从而实现源目标系统数据库数据与源端数据库数据的实时一致性。当生产系统数据库出现意外故障数据丢失，可通过容灾数据库中的数据来实现接近零数据损失的灾难恢复，确保核心业务数据的安全，保证铁路SCADA系统的业务连续性。

图 复视业务区

复示系统是供电管理人员对全线变电所设备、接触网设备的运行情况进行监视，实时采集电力设备的运行数据，及时了解现场事故信息，提高处理事故的工作效率的重要系统。

铁路SCADA系统复示服务器对外提供数据，需经过第二代防火墙进行边界隔离和数据过滤，对数据流量进行有效检测。

部分复示终端需要跨不同网络，如复示专网、TMIS网等，在此边界部署工控安全隔离与信息交换系统（网闸），实现不同网络之间的物理隔离。

在铁路SCADA系统的工作站和服务器上部署威努特工控主机卫士，通过“白名单”机制，可以有效阻止“白名单”外的程序及病毒、木马、蠕虫等恶意代码的执行，进而避免系统感染震网病毒、Flame、Havex、BlackEnergy等工控恶意代码。通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制，结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统，强化主机安全。

通过沙箱技术分析网络中的可疑文件及识别恶意代码，借助于大数据技术在图像对比识别领域的成熟应用，方案将恶意代码映射为灰度图像，通过建立卷积神经元网络CNN深度学习模型，利用检测模型对恶意代码及其变种进行家族检测及时发现未知威胁，从而构建铁路SCADA系统的主动防御能力，提前识别、预警和阻止攻击，从而降低铁路SCADA系统的网络安全风险。

方案将安全管理和态势分析二合一，实现从设备状态监控、安全策略配置和下发、软件升级和授权、安全事件收集和处置，以及资产态势、运行态势、攻击态势、脆弱性态势、事件态势等各类宏观数据的分析和展示。提供贯穿安全防护、安全监测、分析预测、响应处置整个安全管理全周期闭环体系，实现日常安全监测、安全巡检、安全事件分析、安全响应处置、定期进行漏洞检测、安全配置检查、安全风险评估等一站式安全运营能力。

通过对铁路SCADA系统数据库的基于事务级的日志实时复制方式，方案建立与源端系统数据库数据实时一致的备份数据库，在出现数据损失时不仅可以保证关键业务数据的及时恢复，也可以确保应用程序的及时接管，将故障对应用系统的影响降到最低，保证铁路SCADA系统的业务连续性。

交通强国，铁路先行，城轨担当。威努特作为轨道交通领域的重要信息安全供应商，拥有丰富的轨道交通行业网络安全建设经验，多次承接国家安全研究项目，对轨道交通行业的核心业务系统进行深入研究和网络安全攻防测试。

威努特以实战攻防成果为基础，以业务和安全融合为目标，深度定制专用网络安全产品，完整覆盖铁路、城市轨道交通、列车车辆等几大板块，提供轨道交通行业全业务场景的车地一体化综合防护解决方案，保护轨道交通关键信息基础设施安全。未来威努特将继续加强在交通领域的创新与实践，为数字交通构筑网络安全防线，全面赋能国家交通行业发展。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

?发表于：中国 北京