城市軌道交通行車綜合自動化系統(TIAS)是以行車指揮為核心功能的綜合調度系統,在應對城市軌道交通各種突發事件,保障廣大乘客的安全出行等方面,具有十分重要的社會意義。
近年來,隨著行車綜合自動化系統信息化、智能化程度的提升,導致數據信息“暴露面”急劇擴大,所面臨的攻擊形式也多種多樣。行車綜合自動化系統運營過程中的安全痛點,已逐漸成為“網絡戰”的重要攻擊目標,開展網絡安全防護迫在眉睫。

城市軌道交通行車綜合自動化系統(TIAS)作為我國關鍵信息基礎設施,需重點開展網絡安全防護建設。而面對復雜多變的網絡安全形勢,“頭痛醫頭,腳痛醫腳”的單點安全防護策略早已過時,構建動態調整的主動安全防御體系才是王道。
天融信在工業互聯網安全領域持續加強技術研究與應用實踐,形成了融合設備安全、控制安全、網絡安全、運營安全為一體的工業互聯網企業安全防護框架,并以此框架為基礎,創新推出了面向行車綜合自動化系統的工業控制安全防護體系架構。

天融信在深度分析行車綜合自動化系統業務特征基礎上,構建不同層級行為基線,從設備安全、控制安全、網絡安全、運營安全多維度開展安全防護,針對安全痛點對癥下藥,為行車綜合自動化系統網絡開出“治病良方”:
痛點一:網絡安全問題
行車綜合自動化系統與外部接入系統互聯鏈路上無安全防護措施,易受到來自軌道交通其它系統(如AFC、PIS、CCTV等)未經授權訪問、未知流量攻擊、病毒木馬等安全風險的入侵,從而影響行車綜合自動化系統的正常運行,引發行車安全事故。
處方:
首先將行車綜合自動化系統網絡進行安全域劃分,以安全域為最小管理單元進行細粒度安全防護;其次采用邊界安全防護設備來實現安全域間邊界隔離,并通過安全策略的配置以及協議的深度解析來實現系統間數據的安全傳輸及非授權訪問行為的阻斷;最后輔以工控入侵及安全監測手段,對網絡、系統、安全設施運行日志等進行實時監測,及時發現各種違規行為以及病毒、黑客等攻擊行為。
痛點二:主機安全問題
行車綜合自動化系統中部署著若干的服務器、操作員站等主機終端,運行著行車綜合自動化系統相關服務數據與應用程序,其重要性不言而喻。然而主機終端存在的系統漏洞、應用軟件漏洞、弱口令、未經授權訪問及移動存儲介質濫用等安全隱患,直接影響著主機終端的正常運行及行車綜合自動化系統的安全穩定。
處方:
行車綜合自動化工業控制系統內主機運行的軟件、進程、服務等比較固定,且較少連接互聯網,傳統的終端防病毒軟件無法應對此類特殊應用場景,并且存在工業應用軟件中的進程、服務等被防病毒軟件誤殺的可能性。
如果將基于特征庫的防病毒軟件比喻為西藥的話,基于“白名單”機制的主機安全防護軟件無異于一劑中藥,比傳統的防病毒軟件更適用于行車綜合自動化工業主機安全防護,能夠從根本上解決主機安全痛點。
痛點三:應用安全問題
行車綜合自動化系統中的應用軟件存在如賬號密碼共享、配置管理不規范、無安全審計措施等諸多安全隱患。這些隱患一旦被不法分子利用,容易引發行車綜合自動化系統的安全問題。
處方:
行車綜合自動化系統應用環境區別于傳統IT環境,其應用多為工業控制所需特定應用,醫治應用安全痛點的核心是重點保護業務系統應用環境,需結合關鍵業務類型形成業務規則庫,禁用業務規則庫以外的第三方或其他傳統類業務應用;同時針對業務系統的應用賬號、設備等基于最小權限原則進行管控,根據不同業務系統進行細粒度劃分,消除引發應用安全問題的病因。
痛點四:數據安全問題
數據安全對于行車綜合自動化系統的正常運行起到至關重要的作用。然而,行車綜合自動化系統中的實時數據庫、歷史數據庫均存在諸多安全隱患,如數據庫非授權訪問、數據泄露等。一旦數據被非法訪問或遭受攻擊,造成數據丟失、數據篡改將直接影響上層應用及整個系統的正常運行。
處方:
以數據業務屬性為基礎進行分類,同時將傳統基于五元組的訪問控制粒度細化,結合數據地址分布與數據分類結果推導合理的訪問行為,形成監測預警為輔的安全配方,從數據采集、傳輸、存儲、處理、交換共享與公開披露、歸檔與銷毀等多角度進行安全防護。
痛點五:運營安全問題
行車綜合自動化系統缺乏對安全事件預警和響應的能力,系統一旦出現網絡安全事故,不能第一時間掌握網絡安全狀況,無法判斷是否有網絡入侵行為、病毒、業務訪問異常等問題,不能及時定位安全問題,從而解決問題。
處方:
位于城市軌道交通控制中心的運營安全監管中心可作為行車綜合自動化系統網絡安全狀況的健康監測手段,是實現安全監測、分析、響應和管理的數據基礎,同時為車站級和中心級安全技術防護體系提供策略聯動以及策略優化等安全能力。
天融信面向城市軌道交通領域的工業互聯網網絡安全綜合防護體系,通過工業互聯網安全防護、安全檢測、端點安全、應用安全、數據安全等安全技術的協同共生,完美解決了行車綜合自動化系統面臨的安全痛點問題,為構筑城市軌道交通縱深防御安全防護體系提供建設思路。未來,天融信將面向電力、燃氣、水利、石油石化、機械、制造、煙草等工業互聯網行業領域,提供更多高質量的安全產品、解決方案及安全服務,為促進工業互聯網產業高質量發展貢獻企業力量。
在工業互聯網安全領域,作為第一批開展工業信息安全領域研究和研發的企業之一,天融信將先進的信息安全技術與工控業務場景深度融合,安全建設能力覆蓋工業生產企業、工業互聯網平臺企業、標識解析企業等。天融信工業互聯網安全以控制網絡邊界管控、控制區域邊界隔離、控制網絡行為監測審計、工業終端管控、云邊界安全、邊界數據安全、大數據安全等安全能力為核心,構建以設備安全、控制安全、網絡安全、應用安全、數據安全及安全運營為一體的縱深安全技術體系。自2012年起,天融信陸續發布工控防火墻、工控漏掃等9款產品,并形成覆蓋26個細分行業的解決方案,主導或參與國家課題11項、工業信息安全標準10個,擁有工控安全領域專利71項,助力工業互聯網可持續運行。
- 關鍵詞標簽:
- 天融信 軌道交通網絡安全 工業互聯網安全