【IT168 资讯】近日，交通运输部部长李小鹏在调研北京城市轨道交通运营安全工作时，强调城市轨道交通运营安全事关人民群众切身利益，要高度重视，再次引起全行业对轨道交通安全的关注。而随着“两化融合”的不断深入，城市轨道交通基于通信的列车控制信号系统(CBTC)、综合监控系统(ISCS)、自动售检票系统(AFC)、旅客信息系统(PIS)等与信息化深度融合，但在融合过程中，越来越多的系统采用通用的协议、硬件和软件，导致安全风险越来越高。

　　目前轨道交通的安全措施重点在保障控制系统的可用性和故障的迅速恢复性，而在操作系统漏洞，接口访问控制、恶意代码攻击等方面，并未设置有效的安全管理，一旦遇到病毒、木马等入侵系统，将对城市轨道交通的稳定运行和旅客的人身安全造成巨大的安全威胁。

　　针对城市轨道交通面临的安全问题，匡恩网络依托自身的防护技术，结合轨道交通系统特征，打造了纵深防御体系建设的轨交解决方案。该方案将服务方案与技术方案相结合，根据《信息系统安全等级保护测评要求》、《城市轨道交通信号系统用户需求书(范本)》，《城市轨道交通CBTC信号系统-DCS子系统规范》、《工业控制系统信息安全防护指南》等相关文件的要求设计，并通过与设计院、业主和集成商的调研和交流，形成纵深防御体系建设技术解决方案，全面防护城市轨道交通运行安全。

　　服务方案

　　为帮助轨道交通运营和建设人员全面认识各个模块或子系统的安全状况，匡恩网络分别从风险评估、等保咨询、安全培训3个方面提供安全防护服务。通过对个系统的风险评估，帮助运营和建设人员建立清晰的安全状态认知，全面提升城市轨道交通网络抵御内、外部攻击的能力。

　　风险评估是安全建设的第一步

　　针对城市轨道交通的系统环境，匡恩网络对CBTC、ISCS、AFC系统等各个模块或子系统进行风险评估，得出安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

　　提供等保咨询，加强安全建设

　　鉴于CBTC、ISCS、AFC、PIS等系统的重要性，城市轨道交通行业对其安全性的要求越来越高。匡恩网络依据风险评估、差距分析的结果，结合客户实际的技术和管理情况，给出有效合规的安全整改和建设方案。

　　加强人员培训，提高安全意识

　　目前，城市轨道交通行业安全意识有待提高。匡恩网络从人员的安全意识、安全技能角度出发，通过定制培训方案来增强人员安全意识，提高抵御攻击行为的安全能力。

　　技术方案

　　为提升成熟轨道交通各子系统网络安全防护能力，匡恩网络在充分了解CBTC、ISCS、AFC、PIS等系统的网络结构和安全现状的基础上，深度融合轨交业务系统，构建了从边界防护、流量监测审计、主机终端安全、持续运维安全的纵深防御技术体系。在不破坏原有的网络结构情况下，轨交解决方案能切实有效地保护系统安全，防止木马、蠕虫、黑客等各种威胁和攻击，保障城市轨道交通安全稳定运行。

　　智能工业防火墙，守护网络边界安全

　　目前，CBTC、ISCS、PIS等子系统之间存在互联接口，但缺乏可靠的技术隔离手段进行区域隔离，给整个轨道交通系统留下了安全隐患。匡恩网络通过在这些系统边界部署智能工业防火墙，根据数据包执行访问控制规则，实现隔离与访问控制，即只允许系统和其他互联系统正常业务数据穿过该平台，其他访问均被禁止。

　　监测审计平台，监控流量行为

　　外部攻击和内部误操作行为引发城市轨道安全问题的重要因素，匡恩网络在关键位置，旁路部署监测审计平台，对系统网络流量、网络数据、事件进行实时监控、实时告警，并对网络中存在的所有活动进行行为审计、内容审计，生成完整记录便于发生安全事故时进行追溯。

　　工控卫士，保卫主机终端安全

　　在工业控制系统中，工控主机不能安装杀毒软件或杀毒软件无法升级，一旦遇到新的漏洞，将影响业务的安全运营。在线路的所有主机上部署匡恩网络的工控卫士软件，监控工控主机的进程状态、网络端口状态、USB端口状态。以白名单的技术方式，禁止一切非法进程的加载和启动，从而防止恶意程序的运行，切断病毒和木马的传播与破坏路径，彻底解决主机不能安装杀毒软件或者病毒库升级后影响程序运行的问题。

　　监管加评估，让持续运维更安全

　　为实现对轨道交通系统防护设备的集中管理，帮助工作人员全面了解和掌握各个系统的安全状态。匡恩网络在各系统交换机上部署安全监管平台，方便业主对各系统部署的安全防护设备进行统一管理和维护，以及提高全面的安全态势感知能力。同时部署威胁评估平台，定期风险评估，提高轨道交通系统网络安全风险自评能力。

　　匡恩网络轨交解决方案，是目前业内针对轨道交通系统安全比较全面的解决方案，其纵深防御方案已经在多条地铁线路中实施和应用，并得到了众多客户的认可，为城市轨道交通安全平稳运行保驾护航。