查看原文
其他

论城市轨道交通网络安全不能承受之痛,天融信开出“治病良方”

天融信 2022-05-08


城市轨道交通行车综合自动化系统(TIAS)是以行车指挥为核心功能的综合调度系统,在应对城市轨道交通各种突发事件,保障广大乘客的安全出行等方面,具有十分重要的社会意义。


近年来,随着行车综合自动化系统信息化、智能化程度的提升,导致数据信息“暴露面”急剧扩大,所面临的攻击形式也多种多样。行车综合自动化系统运营过程中的安全痛点,已逐渐成为“网络战”的重要攻击目标,开展网络安全防护迫在眉睫。





城市轨道交通行车综合自动化系统(TIAS)作为我国关键信息基础设施,需重点开展网络安全防护建设。而面对复杂多变的网络安全形势,“头痛医头,脚痛医脚”的单点安全防护策略早已过时,构建动态调整的主动安全防御体系才是王道。

天融信在工业互联网安全领域持续加强技术研究与应用实践,形成了融合设备安全、控制安全、网络安全、运营安全为一体的工业互联网企业安全防护框架,并以此框架为基础,创新推出了面向行车综合自动化系统的工业控制安全防护体系架构。


 
天融信在深度分析行车综合自动化系统业务特征基础上,构建不同层级行为基线,从设备安全、控制安全、网络安全、运营安全多维度开展安全防护,针对安全痛点对症下药,为行车综合自动化系统网络开出“治病良方”:

痛点一:网络安全问题


行车综合自动化系统与外部接入系统互联链路上无安全防护措施,易受到来自轨道交通其它系统(如AFC、PIS、CCTV等)未经授权访问、未知流量攻击、病毒木马等安全风险的入侵,从而影响行车综合自动化系统的正常运行,引发行车安全事故。

处方:

首先将行车综合自动化系统网络进行安全域划分,以安全域为最小管理单元进行细粒度安全防护;其次采用边界安全防护设备来实现安全域间边界隔离,并通过安全策略的配置以及协议的深度解析来实现系统间数据的安全传输及非授权访问行为的阻断;最后辅以工控入侵及安全监测手段,对网络、系统、安全设施运行日志等进行实时监测,及时发现各种违规行为以及病毒、黑客等攻击行为。

痛点二:主机安全问题


行车综合自动化系统中部署着若干的服务器、操作员站等主机终端,运行着行车综合自动化系统相关服务数据与应用程序,其重要性不言而喻。然而主机终端存在的系统漏洞、应用软件漏洞、弱口令、未经授权访问及移动存储介质滥用等安全隐患,直接影响着主机终端的正常运行及行车综合自动化系统的安全稳定。

处方:

行车综合自动化工业控制系统内主机运行的软件、进程、服务等比较固定,且较少连接互联网,传统的终端防病毒软件无法应对此类特殊应用场景,并且存在工业应用软件中的进程、服务等被防病毒软件误杀的可能性。


如果将基于特征库的防病毒软件比喻为西药的话,基于“白名单”机制的主机安全防护软件无异于一剂中药,比传统的防病毒软件更适用于行车综合自动化工业主机安全防护,能够从根本上解决主机安全痛点。

痛点三:应用安全问题


行车综合自动化系统中的应用软件存在如账号密码共享、配置管理不规范、无安全审计措施等诸多安全隐患。这些隐患一旦被不法分子利用,容易引发行车综合自动化系统的安全问题。

处方:

行车综合自动化系统应用环境区别于传统IT环境,其应用多为工业控制所需特定应用,医治应用安全痛点的核心是重点保护业务系统应用环境,需结合关键业务类型形成业务规则库,禁用业务规则库以外的第三方或其他传统类业务应用;同时针对业务系统的应用账号、设备等基于最小权限原则进行管控,根据不同业务系统进行细粒度划分,消除引发应用安全问题的病因。


痛点四:数据安全问题


数据安全对于行车综合自动化系统的正常运行起到至关重要的作用。然而,行车综合自动化系统中的实时数据库、历史数据库均存在诸多安全隐患,如数据库非授权访问、数据泄露等。一旦数据被非法访问或遭受攻击,造成数据丢失、数据篡改将直接影响上层应用及整个系统的正常运行。

处方:

以数据业务属性为基础进行分类,同时将传统基于五元组的访问控制粒度细化,结合数据地址分布与数据分类结果推导合理的访问行为,形成监测预警为辅的安全配方,从数据采集、传输、存储、处理、交换共享与公开披露、归档与销毁等多角度进行安全防护。


痛点五:运营安全问题


行车综合自动化系统缺乏对安全事件预警和响应的能力,系统一旦出现网络安全事故,不能第一时间掌握网络安全状况,无法判断是否有网络入侵行为、病毒、业务访问异常等问题,不能及时定位安全问题,从而解决问题。

处方:

位于城市轨道交通控制中心的运营安全监管中心可作为行车综合自动化系统网络安全状况的健康监测手段,是实现安全监测、分析、响应和管理的数据基础,同时为车站级和中心级安全技术防护体系提供策略联动以及策略优化等安全能力。


天融信面向城市轨道交通领域的工业互联网网络安全综合防护体系,通过工业互联网安全防护、安全检测、端点安全、应用安全、数据安全等安全技术的协同共生,完美解决了行车综合自动化系统面临的安全痛点问题,为构筑城市轨道交通纵深防御安全防护体系提供建设思路。未来,天融信将面向电力、燃气、水利、石油石化、机械、制造、烟草等工业互联网行业领域,提供更多高质量的安全产品、解决方案及安全服务,为促进工业互联网产业高质量发展贡献企业力量。


在工业互联网安全领域,作为最早一批开展工业信息安全领域研究和研发的企业之一,天融信将先进的信息安全技术与工控业务场景深度融合,安全建设能力覆盖工业生产企业、工业互联网平台企业、标识解析企业等。天融信工业互联网安全以控制网络边界管控、控制区域边界隔离、控制网络行为监测审计、工业终端管控、云边界安全、边界数据安全、大数据安全等安全能力为核心,构建以设备安全、控制安全、网络安全、应用安全、数据安全及安全运营为一体的纵深安全技术体系。自2012年起,天融信陆续发布工控防火墙、工控漏扫等9款产品,并形成覆盖26个细分行业的解决方案,主导或参与国家课题11项、工业信息安全标准10个,助力工业互联网可持续运行。


相·关·阅·读·


1


国内首款 | 天融信工业网闸率先通过IPv6 Ready Logo认证


2


天融信工控安全产品全面入选赛迪《中国工控安全市场发展白皮书》


3


成品油管道运营商遭攻击,关基安全还需构建“主动+纵深”防御体系


4


天融信工控防火墙荣获“2020-2021年度新一代信息技术创新产品”


热点推荐

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存