【IT168 资讯】你可听说过，地铁也有自己的“老中医”吗?2017年底，北京地铁某线将开通运营。作为中国首条全自动无人驾驶线路，对CBTC控制系统提出了更高的要求，以确保千万人次的日常安全出行。本文所说的这位“老中医”就负责给地铁某线号脉，保障地铁某线的工控系统“健康”。

　　这位老中医说的就是工控安全行业的领导企业匡恩网络，那么匡恩网络是如何给地铁某线把脉的呢?

　　众所周知，中医讲究望闻问切，在此基础上制定出正确的疗法。而匡恩网络这个老中医则讲究“一测，二防，三审，四监管”。通过对北京某线的系统特点及安全状况系统化、立体化的考量，匡恩网络基于“4+1”工控网络安全防护理念，利用多年在工控领域的技术优势，提供了适合某线系统安全的轨交解决方案。经过总体规划和部署，实现了CBTC信号系统网络系统安全防护的整体协同，保护核心数据，确保信号系统网络稳定性和可靠性，保障地铁安全运行。

　　一测：全面检测，掌控所有可能“病源”

　　经验丰富的老中医通过观察人的气色，从而对一个人的健康状况做出初步判断。同理，匡恩网络通过对某线地铁的全面检测，掌控地铁某线所有可能存在的“病源”。

　　掌控网络漏洞。地铁某线是全自动无人驾驶线路，控制信号都由网络传输，因此网络安全就显得尤为重要。但由于列车自动控制系统的分布特点，数据传输网络由地上、车地无线、车载三部分组成，车地无线网络的存在给非法无线网络的接入和攻击提供了较好的攻击路径

　　掌控通信风险。目前，CBTC的安全网和非安全网的列车自动控制协议都是基于通用的服务器、操作系统和数据库系统，并运行于 TCP/IP协议之上。TCP/IP 协议的诞生本身是主要解决网络间的通信问题，随着TCP/IP的发展，很多方面都被一些不法分子所利用，从而体现出TCP/IP中的不少安全问题。

　　掌控运维风险。对于信号系统安全防护设备的管理和运维，缺乏统一的管理工具，各个安全设备部署在网络边界或系统内部，独立运行，没有形成安全防护的统一策略和关联分析。具体包括安全设备配置复杂，各个产品策略配置不统一，网络结构不清晰，出现安全问题无法定位和分析等问题。

　　二防：边界隔离防护，阻断“病源”入侵

　　匡恩网络采用匡恩IAD智能防护平台，部署在信号系统与综合监控系统、旅客信息系统、通信系统网络的互联边界，采用黑白名单技术实现内部入侵防护和APT攻击防护。既满足等级保护(三级)建设中对于访问控制和边界完整性检查的要求，又阻断了外部“病源”入侵。

　　三审：内部流量监测审计，防止“病源”扩散

　　匡恩网络在ATS网和ATC网络内部部署匡恩监测审计平台，满足了等级保护(三级)建设中对于安全审计和入侵防范的要求，对信号系统控制中心和车站核心流量进行实时监控，对异常流量和操作及时生成告警。

　　四监管：集中管控安全设备，整体运行“健康”

　　匡恩网络在控制中心的维护网部署安全监管平台，对工控防护设备进行集中管理，提供统一的策略配置接口，总览各设备和软件的运行状态、事件记录和威胁日志等关键信息，实现了各防护设备和软件的协调联动。

　　同时匡恩网络在各安全防护设备由集中管理装置统一控制、配置和管理，统一部署安全策略，并监测信号系统网络的通信流量与安全事件，对信号系统网络内的安全威胁进行分析，消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源等，保证安全防护设备整体“健康”运维。

　　老中医匡恩网络的轨交解决方案符合信息安全等级保护三级建设的技术要求，避免了其他系统对信号系统的影响，保障了信号系统内部网络的安全稳定。通过上述“一测，二防，三审，四监管”的轨交解决方案的实施和部署，匡恩网络这位老中医提高地铁某线CBTC系统的整体安全性，并覆盖CBTC系统的整个生命周期。

　　轨道交通的安全运行事关人们的生命财产安全，必须引起高度重视，尤其需要匡恩网络这样的“老中医”号脉诊断，保证健康、安全稳定的运行。