处在建设阶段的贵阳市地铁一号线南北贯穿贵阳中心城区,东西横贯观山湖区,连接贵阳站和贵阳北站两大铁路交通枢纽,作为贵阳市未来的交通主干线,将会承担起贵阳城市建设、经济发展的重要职责。保障地铁行车稳定、旅客安全是当前面临的重要问题,作为控制核心的CBTC行车控制系统已经被定级为等级保护三级。
“安全第一、预防为主”是贵阳地铁建设者坚持的理念,他们将安全作为地铁运营的生命线。所以选择适合于贵阳地铁实际运营环境的安全方案是地铁建设者考虑的关键。虽然传统信息安全产品在办公网具有丰富的安全防护经验,但运行在地铁信号系统中却明显不足。
主要表现在以下几个方面:
1)信号系统与互联网隔离,基于黑名单理念依赖样本库、签名库安全防护技术无法实时更新库文件,导致安全防护形同虚设。
2)传统信息安全产品对地铁信号系统应用协议不识别,错动作和误动作时有发生,直接影响列车控制业务的稳定性。
3)传统信息安全产品的硬件设计达不到工业级要求,恶劣的温湿度环境下、强电磁干扰的环境下稳定性受到挑战。
基于上述分析对比,贵阳地铁建设者将信号系统安全建设工作交给了在工业控制系统安全防护技术上经验最丰富的匡恩网络安全团队。
匡恩网络通过对贵阳一号线信号系统全方位的安全分析,发现信号系统存在如下安全隐患:
1)信号系统与其他系统互联边界存在入侵风险
2)信号系统内部流量和操作行为不了解,无法发现网络中的异常
3)工作站和服务器没有安全防护,容易被病毒感染
4)各个设备独立防护,没有形成安全合力。
基于上述问题匡恩网络根据“4+1”工控网络安全防护理念,利用多年在工控领域的技术优势,结合信号系统的业务模型,提出了适用于轨交信号系统的纵深防护解决方案,确保信号系统的安全性和可靠性,保障乘客的出行安全。
方案以集中监管为平台,从网络边界、到内部流量行为、再到终端主机,从多个维度进行纵深防护。其中IAD智能防护平台部署在信号系统与其他系统互联的边界,采用黑白名单技术切断黑客入侵的路径。监测审计平台主要对信号系统控制中心和车站核心流量进行实时监控,让运维管理者能够看得见系统的安全情况,对异常流量和操作实时告警。工控卫士主要对轨道交通工控主机进行监控,根据白名单安全策略,从根本解决了传统杀毒软件误杀和病毒库升级带来的业务系统不稳定问题,而且基于进程层面,实现主机对恶意软件的防范。安全监管平台对各安全防护设备进行集中管理,统一控制和部署安全策略,并监测信号系统网络的通信流量与安全事件,对信号系统网络内的安全威胁进行分析,消除信息孤岛,从整体视角进行安全事件分析、安全攻击溯源等,保证安全防护设备整体“健康”运维。