處在建設階段的貴陽市地鐵一號線南北貫穿貴陽中心城區,東西橫貫觀山湖區,連接貴陽站和貴陽北站兩大鐵路交通樞紐,作為貴陽市未來的交通主干線,將會承擔起貴陽城市建設、經濟發展的重要職責。保障地鐵行車穩定、旅客安全是當前面臨的重要問題,作為控制核心的CBTC行車控制系統已經被定級為等級保護三級。
“安全第一、預防為主”是貴陽地鐵建設者堅持的理念,他們將安全作為地鐵運營的生命線。所以選擇適合于貴陽地鐵實際運營環境的安全方案是地鐵建設者考慮的關鍵。雖然傳統信息安全產品在辦公網具有豐富的安全防護經驗,但運行在地鐵信號系統中卻明顯不足。
主要表現在以下幾個方面:
1)信號系統與互聯網隔離,基于黑名單理念依賴樣本庫、簽名庫安全防護技術無法實時更新庫文件,導致安全防護形同虛設。
2)傳統信息安全產品對地鐵信號系統應用協議不識別,錯動作和誤動作時有發生,直接影響列車控制業務的穩定性。
3)傳統信息安全產品的硬件設計達不到工業級要求,惡劣的溫濕度環境下、強電磁干擾的環境下穩定性受到挑戰。
基于上述分析對比,貴陽地鐵建設者將信號系統安全建設工作交給了在工業控制系統安全防護技術上經驗最豐富的匡恩網絡安全團隊。
匡恩網絡通過對貴陽一號線信號系統全方位的安全分析,發現信號系統存在如下安全隱患:
1)信號系統與其他系統互聯邊界存在入侵風險
2)信號系統內部流量和操作行為不了解,無法發現網絡中的異常
3)工作站和服務器沒有安全防護,容易被病毒感染
4)各個設備獨立防護,沒有形成安全合力。
基于上述問題匡恩網絡根據“4+1”工控網絡安全防護理念,利用多年在工控領域的技術優勢,結合信號系統的業務模型,提出了適用于軌交信號系統的縱深防護解決方案,確保信號系統的安全性和可靠性,保障乘客的出行安全。
方案以集中監管為平臺,從網絡邊界、到內部流量行為、再到終端主機,從多個維度進行縱深防護。其中IAD智能防護平臺部署在信號系統與其他系統互聯的邊界,采用黑白名單技術切斷黑客入侵的路徑。監測審計平臺主要對信號系統控制中心和車站核心流量進行實時監控,讓運維管理者能夠看得見系統的安全情況,對異常流量和操作實時告警。工控衛士主要對軌道交通工控主機進行監控,根據白名單安全策略,從根本解決了傳統殺毒軟件誤殺和病毒庫升級帶來的業務系統不穩定問題,而且基于進程層面,實現主機對惡意軟件的防范。安全監管平臺對各安全防護設備進行集中管理,統一控制和部署安全策略,并監測信號系統網絡的通信流量與安全事件,對信號系統網絡內的安全威脅進行分析,消除信息孤島,從整體視角進行安全事件分析、安全攻擊溯源等,保證安全防護設備整體“健康”運維。
.jpg)
