中文      English
 
 
世界軌道交通資訊網(wǎng)
孫一桉
男,匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官,1972年生人,1996年畢業(yè)于北京大學(xué)主攻信息管理及計(jì)算機(jī)軟件專業(yè)。

成 果

       孫一桉先生具有在通信和網(wǎng)絡(luò)行業(yè)近二十年的開(kāi)發(fā)和管理經(jīng)驗(yàn),并在多家國(guó)際知名的網(wǎng)絡(luò)和通信企業(yè)的核心系統(tǒng)開(kāi)發(fā)部門中擔(dān)任高級(jí)技術(shù)和管理職位,成功地領(lǐng)導(dǎo)了多項(xiàng)大型高科技創(chuàng)新項(xiàng)目的創(chuàng)意和開(kāi)發(fā),具備豐富的科技創(chuàng)新產(chǎn)業(yè)化經(jīng)驗(yàn),以及創(chuàng)新團(tuán)隊(duì)組織領(lǐng)導(dǎo)創(chuàng)新企業(yè)管理的執(zhí)行經(jīng)驗(yàn),涉足領(lǐng)域覆蓋光纖通訊,無(wú)線通訊,以太網(wǎng),嵌入式操作系統(tǒng)和CPU,高密度計(jì)算系統(tǒng),數(shù)據(jù)庫(kù),網(wǎng)絡(luò)安全,云計(jì)算、大數(shù)據(jù)挖掘以及信息安全工控網(wǎng)絡(luò)等。
       2014年,孫一桉先生創(chuàng)立北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(以下簡(jiǎn)稱匡恩網(wǎng)絡(luò)),擔(dān)任技術(shù)委員會(huì)主席兼首席戰(zhàn)略官。作為中國(guó)工業(yè)控制網(wǎng)絡(luò)安全前沿技術(shù)專家,孫先生將全部精力注入到北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司的發(fā)展壯大,同時(shí)聘請(qǐng)專業(yè)的國(guó)際化技術(shù)團(tuán)隊(duì),令匡恩有著高度的行業(yè)適應(yīng)性和客戶定制化,截至目前已為中石油、中石化、國(guó)家電網(wǎng)、寶鋼集團(tuán)、中國(guó)鋁業(yè)、北京軌交、國(guó)家煙草總局、中國(guó)信息安全測(cè)評(píng)中心,中國(guó)電子科技集團(tuán)、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)等提供了安全解決方案,涵蓋了石化、電力、冶金、軌道交通、煙草等國(guó)家重要基礎(chǔ)設(shè)施行業(yè),并取得了良好的效果。
       在孫一桉先生的領(lǐng)導(dǎo)下,匡恩網(wǎng)絡(luò)業(yè)界首推 “工業(yè)控制網(wǎng)絡(luò)安全全生命周期解決方案”,成功引領(lǐng)國(guó)內(nèi)工業(yè)控制網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和產(chǎn)業(yè)化。經(jīng)歷了兩年多的發(fā)展,匡恩網(wǎng)絡(luò)已經(jīng)發(fā)展成為中國(guó)工控網(wǎng)絡(luò)安全領(lǐng)域名副其實(shí)的領(lǐng)軍企業(yè)。

專 訪

挑戰(zhàn)安全,贏未來(lái)!匡恩網(wǎng)絡(luò)打造“平安地鐵” 
 
 ----訪匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官孫一桉 

     2016年7月,北京市政府新聞辦舉辦了“城市精細(xì)化管理與應(yīng)急保障”專項(xiàng)系列成果發(fā)布會(huì),宣布北京自主研發(fā)的全自動(dòng)運(yùn)行系統(tǒng)將應(yīng)用于正在建設(shè)的北京地鐵燕房線。這是我國(guó)第一條具有完全自主知識(shí)產(chǎn)權(quán)的全自動(dòng)運(yùn)行系統(tǒng)(簡(jiǎn)稱“FAO”,俗稱“無(wú)人駕駛”)線路,也是我國(guó)首個(gè)全自動(dòng)運(yùn)行系統(tǒng)國(guó)家級(jí)示范工程。
       列車自動(dòng)喚醒、完成站間行駛、到站精準(zhǔn)停車、自動(dòng)開(kāi)閉車門、自動(dòng)發(fā)車離站、自動(dòng)回庫(kù)等一系列城市軌道交通全自動(dòng)運(yùn)行場(chǎng)景將在北京燕房線上成為現(xiàn)實(shí),與其它地鐵線路不同的是,北京燕房線首次針對(duì)CBTC信號(hào)系統(tǒng)進(jìn)行了工控系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)工作,這是國(guó)內(nèi)乃至世界上首次將網(wǎng)絡(luò)安全防護(hù)考慮其中,其防護(hù)技術(shù)來(lái)自于工業(yè)物聯(lián)網(wǎng)安全專家——北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(簡(jiǎn)稱“匡恩網(wǎng)絡(luò)”)。
       迄今為止,匡恩網(wǎng)絡(luò)已擁有完全自主知識(shí)產(chǎn)權(quán)的工業(yè)物聯(lián)網(wǎng)安全防護(hù)解決方案以及系列安全防護(hù)產(chǎn)品。為提高軌道交通各種應(yīng)用環(huán)境中,系統(tǒng)運(yùn)行的穩(wěn)定性和安全性,減少運(yùn)行中存在的安全隱患,匡恩網(wǎng)絡(luò)針對(duì)軌道交通領(lǐng)域技術(shù)特點(diǎn),為燕房線量身定制了符合其防護(hù)需求的工業(yè)物聯(lián)網(wǎng)安全解決方案和系列硬件產(chǎn)品,如匡恩IAD智能防護(hù)平臺(tái)、匡恩監(jiān)測(cè)審計(jì)平臺(tái)以及匡恩威脅管理平臺(tái)等等系列防護(hù)產(chǎn)品。
       隨著中國(guó)軌道交通產(chǎn)業(yè)信息化的發(fā)展,一直以來(lái)被認(rèn)為相對(duì)封閉、專業(yè)和安全的軌道交通控制系統(tǒng)已不再是一座安全的“孤島”??刂葡到y(tǒng)設(shè)備高危漏洞和后門、工業(yè)網(wǎng)絡(luò)病毒、高級(jí)持續(xù)性威脅以及無(wú)線技術(shù)應(yīng)用帶來(lái)的風(fēng)險(xiǎn),使軌道交通控制系統(tǒng)面臨著日益嚴(yán)峻的威脅。在工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)領(lǐng)域有著豐富經(jīng)驗(yàn)的匡恩網(wǎng)絡(luò)率先將工控網(wǎng)絡(luò)安全防護(hù)的前沿戰(zhàn)略眼光投入到軌道交通行業(yè)中來(lái),為我國(guó)第一條無(wú)人駕駛線路燕房線保駕護(hù)航。
       軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)如何進(jìn)行有效防護(hù)成為建設(shè)者一直頭疼的問(wèn)題,為此,《世界軌道交通》記者特意拜訪了匡恩網(wǎng)絡(luò)公司,采訪到匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官孫一桉、匡恩網(wǎng)絡(luò)副總裁郭慶,為軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全亟待解決的系列問(wèn)題找尋答案。

工控安全意識(shí)缺失

       “大都市中,高速行駛的列車、充滿科技感的站臺(tái)、先進(jìn)的智能AFC售檢票系統(tǒng)、光彩炫目的LED燈箱……”,當(dāng)人們的目光集中在軌交系統(tǒng)中看得見(jiàn)的“精彩”之處時(shí),那些看不見(jiàn)的“危機(jī)”已悄然而至——軌道交通系統(tǒng)中不可忽視的系統(tǒng)網(wǎng)絡(luò)安全隱患。
       近年來(lái),城市軌道交通控制系統(tǒng)的安全弱點(diǎn)已經(jīng)開(kāi)始被黑客、不法組織、甚至別有用心的國(guó)家和機(jī)構(gòu)研究并惡意利用,信息安全形勢(shì)日趨嚴(yán)峻,看不見(jiàn)硝煙的戰(zhàn)爭(zhēng)已經(jīng)打響。面臨這些問(wèn)題,建設(shè)者是否早有警覺(jué)和防范?
       孫一桉介紹,首次全國(guó)范圍的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作已全面啟動(dòng),這是針對(duì)全國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)開(kāi)展的一項(xiàng)全局性、戰(zhàn)略性、基礎(chǔ)性工作。作為本次關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作多個(gè)省市的技術(shù)支持單位,匡恩網(wǎng)絡(luò)將協(xié)助對(duì)涉及工控網(wǎng)絡(luò)的責(zé)任單位進(jìn)行檢測(cè)。
       孫一桉說(shuō),目前國(guó)內(nèi)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)猶如“皇帝的新裝”,就中國(guó)軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)業(yè)現(xiàn)階段發(fā)展而言,要解決的問(wèn)題還很多。
       首先是認(rèn)識(shí)曾面,隨著軌道交通安全事件和威脅數(shù)量呈上升趨勢(shì),大多數(shù)人對(duì)于工業(yè)基礎(chǔ)設(shè)施信息安全的認(rèn)識(shí)和對(duì)軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全的認(rèn)識(shí)還很淺顯,我國(guó)工控網(wǎng)絡(luò)安全的態(tài)勢(shì)感知能力有待深入研究與提升。
       其次是理念層面,國(guó)內(nèi)外工控網(wǎng)絡(luò)安全防護(hù)經(jīng)歷了物理隔離系統(tǒng)、縱深防御體系、由工控系統(tǒng)內(nèi)部生長(zhǎng)的持續(xù)性防御體系、以攻為守的國(guó)家戰(zhàn)略等四個(gè)階段,但我國(guó)軌道交通工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)應(yīng)基于軌道交通發(fā)展趨勢(shì),這是一個(gè)長(zhǎng)期的系統(tǒng)工程,以全生命周期的解決方案覆蓋軌道交通發(fā)展的不同周期。
       最后是專業(yè)人才的培養(yǎng),軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展離不開(kāi)大量的專業(yè)技術(shù)人才,特別是既懂工控,又懂軌道交通行業(yè)的高水平人才的培養(yǎng)。

引領(lǐng)國(guó)家和行業(yè)標(biāo)準(zhǔn)制定

       目前,軌道交通控制系統(tǒng)存在那些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?匡恩網(wǎng)絡(luò)副總裁郭慶在接受采訪時(shí)為記者答疑解惑。
       他說(shuō),軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全情況不容樂(lè)觀,長(zhǎng)期以來(lái),傳統(tǒng)工控系統(tǒng)的設(shè)備專有性與天然隔離性使得人們忽視了信息安全隱患的存在,然而信息發(fā)展已經(jīng)打破了傳統(tǒng)的“物理隔離神話”,軌道交通控制系統(tǒng)的網(wǎng)絡(luò)安全面臨著嚴(yán)峻的挑戰(zhàn),大部分建設(shè)者在建設(shè)之初沒(méi)有考慮到核心工控系統(tǒng)安全潛在威脅,不僅沒(méi)有進(jìn)行防護(hù),連基本的監(jiān)控都少有,也有部分建設(shè)者安裝了網(wǎng)絡(luò)系統(tǒng)安全防護(hù)產(chǎn)品,但由于缺乏專業(yè)人才的管理,防護(hù)設(shè)備成為擺設(shè),達(dá)不到防護(hù)效果。
       懂行的人才能做行業(yè)內(nèi)的事,“沒(méi)有人會(huì)愿意讓一個(gè)對(duì)人體構(gòu)造毫不知情的大夫?yàn)樽约鹤鍪中g(shù),同樣亦沒(méi)有人會(huì)相信不懂軌道交通行業(yè)的網(wǎng)絡(luò)安全防護(hù)廠家,能夠?qū)壗幌到y(tǒng)做到真正的防護(hù)。”擁有12年軌道交通系統(tǒng)服務(wù)實(shí)施經(jīng)驗(yàn)的郭慶對(duì)此深有體會(huì)。他說(shuō),軌道交通工控網(wǎng)絡(luò)系統(tǒng)安全威脅日益嚴(yán)重,不少企業(yè)出現(xiàn)“病急亂投醫(yī)”現(xiàn)象,導(dǎo)致不少工控網(wǎng)絡(luò)防護(hù)生產(chǎn)廠家以“貼膏藥”的形式將防護(hù)產(chǎn)品安裝在軌道交通工控設(shè)備上,由于軌道交通行業(yè)檢測(cè)周期長(zhǎng),短期無(wú)法判斷防護(hù)產(chǎn)品是否有效,從而造成大量的鋪張浪費(fèi)。除了意識(shí)和人才的欠缺,軌道交通工控網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)未制定導(dǎo)致建設(shè)者躊躇不前也是目前軌道交通工控系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀之一。郭慶還說(shuō):“正如無(wú)論有沒(méi)有火警的救火系統(tǒng),火災(zāi)發(fā)生的可能性都是存在的,同樣工控網(wǎng)絡(luò)中潛在的威脅也是現(xiàn)實(shí)存在的,它不會(huì)因?yàn)闆](méi)有行業(yè)保護(hù)標(biāo)準(zhǔn),就不會(huì)遭到破壞,它絕不是隨著標(biāo)準(zhǔn)而生的,所以防患于未然刻不容緩”。
       隨著網(wǎng)絡(luò)空間安全上升為國(guó)家戰(zhàn)略,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全因涉及國(guó)計(jì)民生,亦成為被關(guān)注的焦點(diǎn)之一。2014年,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,標(biāo)志著我國(guó)進(jìn)入了全面防護(hù)網(wǎng)絡(luò)空間安全的戰(zhàn)略時(shí)期?!吨腥A人民共和國(guó)網(wǎng)絡(luò)安全(草案)》和《中華人民共和國(guó)國(guó)家安全法》的相繼頒布,也使我國(guó)網(wǎng)絡(luò)安全立法達(dá)到了前所未有的高度,但軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)尚未出臺(tái),不少建設(shè)者陷入兩難。
       匡恩網(wǎng)絡(luò)作為中央網(wǎng)信辦網(wǎng)絡(luò)安全情況通報(bào)平臺(tái)信息報(bào)送單位之一,同時(shí)也是中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟8家常務(wù)理事單位之一,一直在積極參與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)編制。據(jù)了解,匡恩網(wǎng)絡(luò)正在牽頭制定“工控網(wǎng)絡(luò)監(jiān)測(cè)“、“工控漏洞挖掘”、“智慧城市安全”、“數(shù)控安全”等多項(xiàng)國(guó)家和行業(yè)標(biāo)準(zhǔn)。目前,匡恩網(wǎng)絡(luò)在積極協(xié)助相關(guān)部門,參與軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)編制工作。
       “這次全國(guó)性的網(wǎng)絡(luò)安全檢查,是一個(gè)好的開(kāi)始。發(fā)現(xiàn)問(wèn)題才能討論問(wèn)題,最后解決問(wèn)題,包括標(biāo)準(zhǔn)的制定,也要一步步地實(shí)施、完善。”孫一桉表示,除本次關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查外,匡恩網(wǎng)絡(luò)還技術(shù)支持某部委的全國(guó)性網(wǎng)絡(luò)安全檢查工作。在剛剛結(jié)束的G20峰會(huì)中,匡恩網(wǎng)絡(luò)作為保障隊(duì)伍配合杭州公安網(wǎng)警大隊(duì)圓滿完成此次峰會(huì)工控系統(tǒng)檢查任務(wù),有力保障了企業(yè)工控系統(tǒng)長(zhǎng)期、穩(wěn)定、安全的運(yùn)行。
     
創(chuàng)新性實(shí)踐打造“4+1”安全保障體系

       除了參與標(biāo)準(zhǔn)編制之外,匡恩網(wǎng)絡(luò)經(jīng)過(guò)深入的研究和在眾多行業(yè)的廣泛實(shí)踐,提出了創(chuàng)新性的工業(yè)控制系統(tǒng)安全保障體系“4+1”立體安全防護(hù)體系理念,以及相應(yīng)的工業(yè)控制網(wǎng)絡(luò)安全全生命周期解決方案。
       孫一桉表示,匡恩網(wǎng)絡(luò)率先提出“結(jié)構(gòu)安全、本體安全、行為安全、基因安全”,以及時(shí)間持續(xù)性“4+1”安全保障體系,該理念基于四個(gè)安全性的基礎(chǔ)上實(shí)現(xiàn)持續(xù)的安全管理與安全運(yùn)維,建立長(zhǎng)效的安全防護(hù)機(jī)制,在持續(xù)對(duì)抗中保障工控安全。
       隨著越來(lái)越多具備物理隔離的工控體系不斷遭受外界攻擊,工控體系中由于結(jié)構(gòu)劃分不明確而暴露的安全隱患也越來(lái)越多,軌道交通體系也是如此,在典型的由現(xiàn)場(chǎng)執(zhí)行層、現(xiàn)場(chǎng)控制層、生產(chǎn)控制層、經(jīng)驗(yàn)管理層以及戰(zhàn)略決策層組成的5層公共系統(tǒng)架構(gòu)中,現(xiàn)場(chǎng)控制層、生產(chǎn)控制層以及經(jīng)驗(yàn)管理層都不同程度的與對(duì)外網(wǎng)絡(luò)連接,安全性非常薄弱,容易遭受外界攻擊。孫一桉闡釋說(shuō):“工業(yè)企業(yè)可以通過(guò)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),以及采用隔離、過(guò)濾、認(rèn)證、加密等技術(shù),實(shí)現(xiàn)合理的安全區(qū)域劃分、安全層級(jí)劃分。”
       孫一桉認(rèn)為,本體安全性則存在PLC、DCS等設(shè)備本身的威脅和漏洞,這些漏洞和后門在設(shè)備生產(chǎn)廠家中大量存在,應(yīng)采用補(bǔ)償性措施來(lái)阻止和避免由于工控系統(tǒng)自身的漏洞、缺陷被惡意利用或者無(wú)意的干擾造成的系統(tǒng)癱瘓。同時(shí)行為安全性也存在隱患,日常操作中,操作員進(jìn)行遠(yuǎn)程操縱、管理維護(hù)過(guò)程中可能無(wú)意識(shí)將攻擊、病毒等危險(xiǎn)源植入系統(tǒng)當(dāng)中,導(dǎo)致系統(tǒng)受到威脅要采用態(tài)勢(shì)分析、入侵檢測(cè)、審計(jì)追溯等手段發(fā)現(xiàn)工控系統(tǒng)中異常行為,分析正常行為特征,固化業(yè)務(wù)操作行為安全規(guī)則,攔截惡意攻擊行為。
       孫一桉進(jìn)一步指出,基因安全是“4+1”安全保障體系核心之一。所謂基因安全即CPU、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下,可采用經(jīng)過(guò)基因安全性改造的自主工控系統(tǒng)與設(shè)備,和經(jīng)過(guò)基因安全性加固的進(jìn)口系統(tǒng)與設(shè)備;在條件暫不具備的情況下,應(yīng)具備安全補(bǔ)償機(jī)制,在應(yīng)用層進(jìn)行完整性驗(yàn)證,實(shí)現(xiàn)一定的安全免疫能力。
       孫一桉表示,結(jié)構(gòu)安全性、本體安全性、行為安全性、基因安全性,嚴(yán)格意義上可以稱為“免疫性安全”,工控網(wǎng)絡(luò)安全防護(hù)還需強(qiáng)調(diào)時(shí)間的持續(xù)性。時(shí)間持續(xù)性保護(hù)即建立長(zhǎng)效的安全防護(hù)機(jī)制,在持續(xù)對(duì)抗中保障工業(yè)控制系統(tǒng)安全。從技術(shù)、設(shè)備、人員、管理等多個(gè)維度,實(shí)現(xiàn)綜合安全服務(wù)能力。
     
定制開(kāi)發(fā) 對(duì)癥下藥

       成立兩年多以來(lái),匡恩網(wǎng)絡(luò)高速成長(zhǎng),團(tuán)隊(duì)已發(fā)展到500人的規(guī)模,其中超過(guò)60%為研發(fā)團(tuán)隊(duì),這在工業(yè)物聯(lián)網(wǎng)安全領(lǐng)域也是絕無(wú)僅有。目前,匡恩網(wǎng)絡(luò)在全國(guó)的16個(gè)城市擁有研發(fā)基地,與鐵科院、中國(guó)中車、中國(guó)通號(hào)等多家企業(yè)合作,為在軌道交通領(lǐng)域提供工業(yè)網(wǎng)絡(luò)安全檢測(cè)工具、工業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)備等產(chǎn)品。
       由于軌道交通行業(yè)的特殊性,就注定了軌道交通的網(wǎng)絡(luò)安全防護(hù)必須走“定制開(kāi)發(fā)、適用開(kāi)發(fā)”路線,匡恩網(wǎng)絡(luò)通過(guò)采集客戶意見(jiàn),聯(lián)合合作伙伴進(jìn)行討論和實(shí)踐,最后制定適用、合理的解決方案。孫一桉說(shuō):“我們要先‘修煉內(nèi)功’,然后再‘對(duì)癥下藥’”。
       匡恩網(wǎng)絡(luò)副總裁郭慶告訴記者,基于匡恩網(wǎng)絡(luò)‘4+1’的安全保障體系以及某線的實(shí)際情況,匡恩網(wǎng)絡(luò)為其量身定制適用于某線的全生命周期解決方案以及系列產(chǎn)品,其中包括匡恩IAD智能防護(hù)平臺(tái)、匡恩監(jiān)測(cè)審計(jì)平臺(tái)以及匡恩威脅管理平臺(tái)等等。
       匡恩網(wǎng)絡(luò)通過(guò)多種手段提高了燕房線CBTC系統(tǒng)的整體安全性,覆蓋該線CBTC系統(tǒng)整個(gè)生命周期,實(shí)現(xiàn)了該線CBTC工控網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的整體協(xié)同,保護(hù)核心數(shù)據(jù),確保工控網(wǎng)絡(luò)穩(wěn)定性和可靠性,保障了地鐵安全運(yùn)行。不止是北京燕房線,據(jù)了解,匡恩網(wǎng)絡(luò)還與貴陽(yáng)地鐵1號(hào)線簽訂信號(hào)系統(tǒng)合作項(xiàng)目,同時(shí)與上海申通地鐵集團(tuán)、廣州鐵路局下屬企業(yè)、沈陽(yáng)地鐵10號(hào)線、常州地鐵1號(hào)線等機(jī)構(gòu)積極開(kāi)展合作。
       郭慶介紹,匡恩IAD智能防護(hù)平臺(tái)部署在燕房線內(nèi)部系統(tǒng)和外部系統(tǒng)互聯(lián)邊界,該平臺(tái)完整覆蓋了工控系統(tǒng)整個(gè)運(yùn)轉(zhuǎn)生命周期。在軟件層面上, 該平臺(tái)建立在機(jī)器智能學(xué)習(xí)引擎、深度數(shù)據(jù)包解析引擎和開(kāi)放式特征匹配三大功能引擎之上,不僅具備多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過(guò)濾、報(bào)警、阻斷功能,同時(shí)擁有基于工業(yè)漏洞庫(kù)的黑名單入侵防御功能、基于機(jī)器智能學(xué)習(xí)引擎的白名單主動(dòng)防御功能以及大規(guī)模分布式實(shí)時(shí)網(wǎng)絡(luò)部署和更新等功能,并提供高度開(kāi)放的平臺(tái)開(kāi)發(fā)工具包。硬件層面上,該平臺(tái)具有全封閉、無(wú)風(fēng)扇、雙電源冗余、硬件加密等特點(diǎn),確保達(dá)到工業(yè)級(jí)可靠性和穩(wěn)定性要求。
       他還表示,匡恩監(jiān)測(cè)審計(jì)平臺(tái)可以達(dá)到快速識(shí)別出系統(tǒng)的非法操作,異常事件以及外部攻擊并發(fā)出告警,運(yùn)營(yíng)商可以依賴監(jiān)測(cè)數(shù)據(jù)包深度解析技術(shù),記錄所有雙方的通信時(shí)間、內(nèi)容以及操作。依據(jù)事前定義的規(guī)則,定時(shí)產(chǎn)品告警信息,產(chǎn)生的日志還支持事后追溯和追責(zé)??锒魍{管理平臺(tái)則是對(duì)網(wǎng)絡(luò)安全保護(hù)設(shè)備進(jìn)行統(tǒng)一監(jiān)控和管理的設(shè)備,是一套集硬件、軟件為一體,用于統(tǒng)一配置、管理、監(jiān)測(cè)工控網(wǎng)絡(luò)安全的硬件平臺(tái)產(chǎn)品。安全監(jiān)管平臺(tái)與多臺(tái)智能保護(hù)終端、監(jiān)測(cè)審計(jì)終端、數(shù)采隔離終端組成一整套保護(hù)監(jiān)測(cè)系統(tǒng),終端由安全監(jiān)管平臺(tái)統(tǒng)一控制配置、管理,安全監(jiān)管平臺(tái)能夠?qū)K端統(tǒng)一部署安全規(guī)則,監(jiān)測(cè)終端所在網(wǎng)絡(luò)的通信流量與安全事件,能對(duì)工控網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析,提供包括行為審計(jì)、事件追蹤、威脅分析、日志管理、設(shè)備管理、安全性分區(qū)等多項(xiàng)功能。
       除此之外,匡恩網(wǎng)絡(luò)還為軌道交通工控系統(tǒng)領(lǐng)域提供漏洞挖掘平臺(tái)、數(shù)據(jù)采集隔離平臺(tái)、危險(xiǎn)評(píng)估平臺(tái)、入侵誘捕平臺(tái)以及高仿真攻防對(duì)抗平臺(tái)等等系列產(chǎn)品。
       同時(shí)匡恩網(wǎng)絡(luò)還建立了匡恩學(xué)院,研發(fā)出針對(duì)高校人才培養(yǎng)的工控網(wǎng)絡(luò)安全移動(dòng)實(shí)驗(yàn)箱等產(chǎn)品。談到匡恩學(xué)院,孫一桉對(duì)其充滿信心。他表示,匡恩學(xué)院與國(guó)內(nèi)諸多大學(xué)和機(jī)構(gòu)共建實(shí)驗(yàn)室,針對(duì)工業(yè)控制網(wǎng)絡(luò)安全方面人才聯(lián)合成立工業(yè)智能化研究院,把守護(hù)工控安全的理念和技術(shù)植入到行業(yè)的基因中去,針對(duì)不同領(lǐng)域有針對(duì)性的培訓(xùn)
高尖端人才??锒鲗W(xué)院致力于軌交人才培養(yǎng),聚合各方力量培育高質(zhì)量的軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)人才。
       孫一桉指出,“軌道交通是‘百年大計(jì)’,作為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施,軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全已成重責(zé),目前軌道交通工控系統(tǒng)網(wǎng)絡(luò)硝煙彌漫,安全事件屢次發(fā)生,匡恩網(wǎng)絡(luò)身扛重?fù)?dān),踐行高標(biāo)準(zhǔn)、高質(zhì)量、高效率的準(zhǔn)則,為軌道交通乃至城市的發(fā)展保駕護(hù)航”。 

相關(guān)文章

?! ☆}
 
 
 
封面人物
市場(chǎng)周刊
2024-04
出刊日期:2024-04
出刊周期:每月
總481期
出刊日期:(2014 07 08)
出刊周期:每周
 
 
 
 

孫一桉

男,匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官,1972年生人,1996年畢業(yè)于北京大學(xué)主攻信息管理及計(jì)算機(jī)軟件專業(yè)。
查看2016-09期雜志封面>>
成 果

       孫一桉先生具有在通信和網(wǎng)絡(luò)行業(yè)近二十年的開(kāi)發(fā)和管理經(jīng)驗(yàn),并在多家國(guó)際知名的網(wǎng)絡(luò)和通信企業(yè)的核心系統(tǒng)開(kāi)發(fā)部門中擔(dān)任高級(jí)技術(shù)和管理職位,成功地領(lǐng)導(dǎo)了多項(xiàng)大型高科技創(chuàng)新項(xiàng)目的創(chuàng)意和開(kāi)發(fā),具備豐富的科技創(chuàng)新產(chǎn)業(yè)化經(jīng)驗(yàn),以及創(chuàng)新團(tuán)隊(duì)組織領(lǐng)導(dǎo)創(chuàng)新企業(yè)管理的執(zhí)行經(jīng)驗(yàn),涉足領(lǐng)域覆蓋光纖通訊,無(wú)線通訊,以太網(wǎng),嵌入式操作系統(tǒng)和CPU,高密度計(jì)算系統(tǒng),數(shù)據(jù)庫(kù),網(wǎng)絡(luò)安全,云計(jì)算、大數(shù)據(jù)挖掘以及信息安全工控網(wǎng)絡(luò)等。
       2014年,孫一桉先生創(chuàng)立北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(以下簡(jiǎn)稱匡恩網(wǎng)絡(luò)),擔(dān)任技術(shù)委員會(huì)主席兼首席戰(zhàn)略官。作為中國(guó)工業(yè)控制網(wǎng)絡(luò)安全前沿技術(shù)專家,孫先生將全部精力注入到北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司的發(fā)展壯大,同時(shí)聘請(qǐng)專業(yè)的國(guó)際化技術(shù)團(tuán)隊(duì),令匡恩有著高度的行業(yè)適應(yīng)性和客戶定制化,截至目前已為中石油、中石化、國(guó)家電網(wǎng)、寶鋼集團(tuán)、中國(guó)鋁業(yè)、北京軌交、國(guó)家煙草總局、中國(guó)信息安全測(cè)評(píng)中心,中國(guó)電子科技集團(tuán)、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)等提供了安全解決方案,涵蓋了石化、電力、冶金、軌道交通、煙草等國(guó)家重要基礎(chǔ)設(shè)施行業(yè),并取得了良好的效果。
       在孫一桉先生的領(lǐng)導(dǎo)下,匡恩網(wǎng)絡(luò)業(yè)界首推 “工業(yè)控制網(wǎng)絡(luò)安全全生命周期解決方案”,成功引領(lǐng)國(guó)內(nèi)工業(yè)控制網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和產(chǎn)業(yè)化。經(jīng)歷了兩年多的發(fā)展,匡恩網(wǎng)絡(luò)已經(jīng)發(fā)展成為中國(guó)工控網(wǎng)絡(luò)安全領(lǐng)域名副其實(shí)的領(lǐng)軍企業(yè)。

專 訪

挑戰(zhàn)安全,贏未來(lái)!匡恩網(wǎng)絡(luò)打造“平安地鐵” 
 
 ----訪匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官孫一桉 

     2016年7月,北京市政府新聞辦舉辦了“城市精細(xì)化管理與應(yīng)急保障”專項(xiàng)系列成果發(fā)布會(huì),宣布北京自主研發(fā)的全自動(dòng)運(yùn)行系統(tǒng)將應(yīng)用于正在建設(shè)的北京地鐵燕房線。這是我國(guó)第一條具有完全自主知識(shí)產(chǎn)權(quán)的全自動(dòng)運(yùn)行系統(tǒng)(簡(jiǎn)稱“FAO”,俗稱“無(wú)人駕駛”)線路,也是我國(guó)首個(gè)全自動(dòng)運(yùn)行系統(tǒng)國(guó)家級(jí)示范工程。
       列車自動(dòng)喚醒、完成站間行駛、到站精準(zhǔn)停車、自動(dòng)開(kāi)閉車門、自動(dòng)發(fā)車離站、自動(dòng)回庫(kù)等一系列城市軌道交通全自動(dòng)運(yùn)行場(chǎng)景將在北京燕房線上成為現(xiàn)實(shí),與其它地鐵線路不同的是,北京燕房線首次針對(duì)CBTC信號(hào)系統(tǒng)進(jìn)行了工控系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)工作,這是國(guó)內(nèi)乃至世界上首次將網(wǎng)絡(luò)安全防護(hù)考慮其中,其防護(hù)技術(shù)來(lái)自于工業(yè)物聯(lián)網(wǎng)安全專家——北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(簡(jiǎn)稱“匡恩網(wǎng)絡(luò)”)。
       迄今為止,匡恩網(wǎng)絡(luò)已擁有完全自主知識(shí)產(chǎn)權(quán)的工業(yè)物聯(lián)網(wǎng)安全防護(hù)解決方案以及系列安全防護(hù)產(chǎn)品。為提高軌道交通各種應(yīng)用環(huán)境中,系統(tǒng)運(yùn)行的穩(wěn)定性和安全性,減少運(yùn)行中存在的安全隱患,匡恩網(wǎng)絡(luò)針對(duì)軌道交通領(lǐng)域技術(shù)特點(diǎn),為燕房線量身定制了符合其防護(hù)需求的工業(yè)物聯(lián)網(wǎng)安全解決方案和系列硬件產(chǎn)品,如匡恩IAD智能防護(hù)平臺(tái)、匡恩監(jiān)測(cè)審計(jì)平臺(tái)以及匡恩威脅管理平臺(tái)等等系列防護(hù)產(chǎn)品。
       隨著中國(guó)軌道交通產(chǎn)業(yè)信息化的發(fā)展,一直以來(lái)被認(rèn)為相對(duì)封閉、專業(yè)和安全的軌道交通控制系統(tǒng)已不再是一座安全的“孤島”??刂葡到y(tǒng)設(shè)備高危漏洞和后門、工業(yè)網(wǎng)絡(luò)病毒、高級(jí)持續(xù)性威脅以及無(wú)線技術(shù)應(yīng)用帶來(lái)的風(fēng)險(xiǎn),使軌道交通控制系統(tǒng)面臨著日益嚴(yán)峻的威脅。在工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)領(lǐng)域有著豐富經(jīng)驗(yàn)的匡恩網(wǎng)絡(luò)率先將工控網(wǎng)絡(luò)安全防護(hù)的前沿戰(zhàn)略眼光投入到軌道交通行業(yè)中來(lái),為我國(guó)第一條無(wú)人駕駛線路燕房線保駕護(hù)航。
       軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)如何進(jìn)行有效防護(hù)成為建設(shè)者一直頭疼的問(wèn)題,為此,《世界軌道交通》記者特意拜訪了匡恩網(wǎng)絡(luò)公司,采訪到匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席戰(zhàn)略官孫一桉、匡恩網(wǎng)絡(luò)副總裁郭慶,為軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全亟待解決的系列問(wèn)題找尋答案。

工控安全意識(shí)缺失

       “大都市中,高速行駛的列車、充滿科技感的站臺(tái)、先進(jìn)的智能AFC售檢票系統(tǒng)、光彩炫目的LED燈箱……”,當(dāng)人們的目光集中在軌交系統(tǒng)中看得見(jiàn)的“精彩”之處時(shí),那些看不見(jiàn)的“危機(jī)”已悄然而至——軌道交通系統(tǒng)中不可忽視的系統(tǒng)網(wǎng)絡(luò)安全隱患。
       近年來(lái),城市軌道交通控制系統(tǒng)的安全弱點(diǎn)已經(jīng)開(kāi)始被黑客、不法組織、甚至別有用心的國(guó)家和機(jī)構(gòu)研究并惡意利用,信息安全形勢(shì)日趨嚴(yán)峻,看不見(jiàn)硝煙的戰(zhàn)爭(zhēng)已經(jīng)打響。面臨這些問(wèn)題,建設(shè)者是否早有警覺(jué)和防范?
       孫一桉介紹,首次全國(guó)范圍的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作已全面啟動(dòng),這是針對(duì)全國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)開(kāi)展的一項(xiàng)全局性、戰(zhàn)略性、基礎(chǔ)性工作。作為本次關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作多個(gè)省市的技術(shù)支持單位,匡恩網(wǎng)絡(luò)將協(xié)助對(duì)涉及工控網(wǎng)絡(luò)的責(zé)任單位進(jìn)行檢測(cè)。
       孫一桉說(shuō),目前國(guó)內(nèi)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)猶如“皇帝的新裝”,就中國(guó)軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)業(yè)現(xiàn)階段發(fā)展而言,要解決的問(wèn)題還很多。
       首先是認(rèn)識(shí)曾面,隨著軌道交通安全事件和威脅數(shù)量呈上升趨勢(shì),大多數(shù)人對(duì)于工業(yè)基礎(chǔ)設(shè)施信息安全的認(rèn)識(shí)和對(duì)軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全的認(rèn)識(shí)還很淺顯,我國(guó)工控網(wǎng)絡(luò)安全的態(tài)勢(shì)感知能力有待深入研究與提升。
       其次是理念層面,國(guó)內(nèi)外工控網(wǎng)絡(luò)安全防護(hù)經(jīng)歷了物理隔離系統(tǒng)、縱深防御體系、由工控系統(tǒng)內(nèi)部生長(zhǎng)的持續(xù)性防御體系、以攻為守的國(guó)家戰(zhàn)略等四個(gè)階段,但我國(guó)軌道交通工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)應(yīng)基于軌道交通發(fā)展趨勢(shì),這是一個(gè)長(zhǎng)期的系統(tǒng)工程,以全生命周期的解決方案覆蓋軌道交通發(fā)展的不同周期。
       最后是專業(yè)人才的培養(yǎng),軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展離不開(kāi)大量的專業(yè)技術(shù)人才,特別是既懂工控,又懂軌道交通行業(yè)的高水平人才的培養(yǎng)。

引領(lǐng)國(guó)家和行業(yè)標(biāo)準(zhǔn)制定

       目前,軌道交通控制系統(tǒng)存在那些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?匡恩網(wǎng)絡(luò)副總裁郭慶在接受采訪時(shí)為記者答疑解惑。
       他說(shuō),軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全情況不容樂(lè)觀,長(zhǎng)期以來(lái),傳統(tǒng)工控系統(tǒng)的設(shè)備專有性與天然隔離性使得人們忽視了信息安全隱患的存在,然而信息發(fā)展已經(jīng)打破了傳統(tǒng)的“物理隔離神話”,軌道交通控制系統(tǒng)的網(wǎng)絡(luò)安全面臨著嚴(yán)峻的挑戰(zhàn),大部分建設(shè)者在建設(shè)之初沒(méi)有考慮到核心工控系統(tǒng)安全潛在威脅,不僅沒(méi)有進(jìn)行防護(hù),連基本的監(jiān)控都少有,也有部分建設(shè)者安裝了網(wǎng)絡(luò)系統(tǒng)安全防護(hù)產(chǎn)品,但由于缺乏專業(yè)人才的管理,防護(hù)設(shè)備成為擺設(shè),達(dá)不到防護(hù)效果。
       懂行的人才能做行業(yè)內(nèi)的事,“沒(méi)有人會(huì)愿意讓一個(gè)對(duì)人體構(gòu)造毫不知情的大夫?yàn)樽约鹤鍪中g(shù),同樣亦沒(méi)有人會(huì)相信不懂軌道交通行業(yè)的網(wǎng)絡(luò)安全防護(hù)廠家,能夠?qū)壗幌到y(tǒng)做到真正的防護(hù)。”擁有12年軌道交通系統(tǒng)服務(wù)實(shí)施經(jīng)驗(yàn)的郭慶對(duì)此深有體會(huì)。他說(shuō),軌道交通工控網(wǎng)絡(luò)系統(tǒng)安全威脅日益嚴(yán)重,不少企業(yè)出現(xiàn)“病急亂投醫(yī)”現(xiàn)象,導(dǎo)致不少工控網(wǎng)絡(luò)防護(hù)生產(chǎn)廠家以“貼膏藥”的形式將防護(hù)產(chǎn)品安裝在軌道交通工控設(shè)備上,由于軌道交通行業(yè)檢測(cè)周期長(zhǎng),短期無(wú)法判斷防護(hù)產(chǎn)品是否有效,從而造成大量的鋪張浪費(fèi)。除了意識(shí)和人才的欠缺,軌道交通工控網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)未制定導(dǎo)致建設(shè)者躊躇不前也是目前軌道交通工控系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀之一。郭慶還說(shuō):“正如無(wú)論有沒(méi)有火警的救火系統(tǒng),火災(zāi)發(fā)生的可能性都是存在的,同樣工控網(wǎng)絡(luò)中潛在的威脅也是現(xiàn)實(shí)存在的,它不會(huì)因?yàn)闆](méi)有行業(yè)保護(hù)標(biāo)準(zhǔn),就不會(huì)遭到破壞,它絕不是隨著標(biāo)準(zhǔn)而生的,所以防患于未然刻不容緩”。
       隨著網(wǎng)絡(luò)空間安全上升為國(guó)家戰(zhàn)略,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全因涉及國(guó)計(jì)民生,亦成為被關(guān)注的焦點(diǎn)之一。2014年,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,標(biāo)志著我國(guó)進(jìn)入了全面防護(hù)網(wǎng)絡(luò)空間安全的戰(zhàn)略時(shí)期?!吨腥A人民共和國(guó)網(wǎng)絡(luò)安全(草案)》和《中華人民共和國(guó)國(guó)家安全法》的相繼頒布,也使我國(guó)網(wǎng)絡(luò)安全立法達(dá)到了前所未有的高度,但軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)尚未出臺(tái),不少建設(shè)者陷入兩難。
       匡恩網(wǎng)絡(luò)作為中央網(wǎng)信辦網(wǎng)絡(luò)安全情況通報(bào)平臺(tái)信息報(bào)送單位之一,同時(shí)也是中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟8家常務(wù)理事單位之一,一直在積極參與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)編制。據(jù)了解,匡恩網(wǎng)絡(luò)正在牽頭制定“工控網(wǎng)絡(luò)監(jiān)測(cè)“、“工控漏洞挖掘”、“智慧城市安全”、“數(shù)控安全”等多項(xiàng)國(guó)家和行業(yè)標(biāo)準(zhǔn)。目前,匡恩網(wǎng)絡(luò)在積極協(xié)助相關(guān)部門,參與軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)編制工作。
       “這次全國(guó)性的網(wǎng)絡(luò)安全檢查,是一個(gè)好的開(kāi)始。發(fā)現(xiàn)問(wèn)題才能討論問(wèn)題,最后解決問(wèn)題,包括標(biāo)準(zhǔn)的制定,也要一步步地實(shí)施、完善。”孫一桉表示,除本次關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查外,匡恩網(wǎng)絡(luò)還技術(shù)支持某部委的全國(guó)性網(wǎng)絡(luò)安全檢查工作。在剛剛結(jié)束的G20峰會(huì)中,匡恩網(wǎng)絡(luò)作為保障隊(duì)伍配合杭州公安網(wǎng)警大隊(duì)圓滿完成此次峰會(huì)工控系統(tǒng)檢查任務(wù),有力保障了企業(yè)工控系統(tǒng)長(zhǎng)期、穩(wěn)定、安全的運(yùn)行。
     
創(chuàng)新性實(shí)踐打造“4+1”安全保障體系

       除了參與標(biāo)準(zhǔn)編制之外,匡恩網(wǎng)絡(luò)經(jīng)過(guò)深入的研究和在眾多行業(yè)的廣泛實(shí)踐,提出了創(chuàng)新性的工業(yè)控制系統(tǒng)安全保障體系“4+1”立體安全防護(hù)體系理念,以及相應(yīng)的工業(yè)控制網(wǎng)絡(luò)安全全生命周期解決方案。
       孫一桉表示,匡恩網(wǎng)絡(luò)率先提出“結(jié)構(gòu)安全、本體安全、行為安全、基因安全”,以及時(shí)間持續(xù)性“4+1”安全保障體系,該理念基于四個(gè)安全性的基礎(chǔ)上實(shí)現(xiàn)持續(xù)的安全管理與安全運(yùn)維,建立長(zhǎng)效的安全防護(hù)機(jī)制,在持續(xù)對(duì)抗中保障工控安全。
       隨著越來(lái)越多具備物理隔離的工控體系不斷遭受外界攻擊,工控體系中由于結(jié)構(gòu)劃分不明確而暴露的安全隱患也越來(lái)越多,軌道交通體系也是如此,在典型的由現(xiàn)場(chǎng)執(zhí)行層、現(xiàn)場(chǎng)控制層、生產(chǎn)控制層、經(jīng)驗(yàn)管理層以及戰(zhàn)略決策層組成的5層公共系統(tǒng)架構(gòu)中,現(xiàn)場(chǎng)控制層、生產(chǎn)控制層以及經(jīng)驗(yàn)管理層都不同程度的與對(duì)外網(wǎng)絡(luò)連接,安全性非常薄弱,容易遭受外界攻擊。孫一桉闡釋說(shuō):“工業(yè)企業(yè)可以通過(guò)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),以及采用隔離、過(guò)濾、認(rèn)證、加密等技術(shù),實(shí)現(xiàn)合理的安全區(qū)域劃分、安全層級(jí)劃分。”
       孫一桉認(rèn)為,本體安全性則存在PLC、DCS等設(shè)備本身的威脅和漏洞,這些漏洞和后門在設(shè)備生產(chǎn)廠家中大量存在,應(yīng)采用補(bǔ)償性措施來(lái)阻止和避免由于工控系統(tǒng)自身的漏洞、缺陷被惡意利用或者無(wú)意的干擾造成的系統(tǒng)癱瘓。同時(shí)行為安全性也存在隱患,日常操作中,操作員進(jìn)行遠(yuǎn)程操縱、管理維護(hù)過(guò)程中可能無(wú)意識(shí)將攻擊、病毒等危險(xiǎn)源植入系統(tǒng)當(dāng)中,導(dǎo)致系統(tǒng)受到威脅要采用態(tài)勢(shì)分析、入侵檢測(cè)、審計(jì)追溯等手段發(fā)現(xiàn)工控系統(tǒng)中異常行為,分析正常行為特征,固化業(yè)務(wù)操作行為安全規(guī)則,攔截惡意攻擊行為。
       孫一桉進(jìn)一步指出,基因安全是“4+1”安全保障體系核心之一。所謂基因安全即CPU、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下,可采用經(jīng)過(guò)基因安全性改造的自主工控系統(tǒng)與設(shè)備,和經(jīng)過(guò)基因安全性加固的進(jìn)口系統(tǒng)與設(shè)備;在條件暫不具備的情況下,應(yīng)具備安全補(bǔ)償機(jī)制,在應(yīng)用層進(jìn)行完整性驗(yàn)證,實(shí)現(xiàn)一定的安全免疫能力。
       孫一桉表示,結(jié)構(gòu)安全性、本體安全性、行為安全性、基因安全性,嚴(yán)格意義上可以稱為“免疫性安全”,工控網(wǎng)絡(luò)安全防護(hù)還需強(qiáng)調(diào)時(shí)間的持續(xù)性。時(shí)間持續(xù)性保護(hù)即建立長(zhǎng)效的安全防護(hù)機(jī)制,在持續(xù)對(duì)抗中保障工業(yè)控制系統(tǒng)安全。從技術(shù)、設(shè)備、人員、管理等多個(gè)維度,實(shí)現(xiàn)綜合安全服務(wù)能力。
     
定制開(kāi)發(fā) 對(duì)癥下藥

       成立兩年多以來(lái),匡恩網(wǎng)絡(luò)高速成長(zhǎng),團(tuán)隊(duì)已發(fā)展到500人的規(guī)模,其中超過(guò)60%為研發(fā)團(tuán)隊(duì),這在工業(yè)物聯(lián)網(wǎng)安全領(lǐng)域也是絕無(wú)僅有。目前,匡恩網(wǎng)絡(luò)在全國(guó)的16個(gè)城市擁有研發(fā)基地,與鐵科院、中國(guó)中車、中國(guó)通號(hào)等多家企業(yè)合作,為在軌道交通領(lǐng)域提供工業(yè)網(wǎng)絡(luò)安全檢測(cè)工具、工業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)備等產(chǎn)品。
       由于軌道交通行業(yè)的特殊性,就注定了軌道交通的網(wǎng)絡(luò)安全防護(hù)必須走“定制開(kāi)發(fā)、適用開(kāi)發(fā)”路線,匡恩網(wǎng)絡(luò)通過(guò)采集客戶意見(jiàn),聯(lián)合合作伙伴進(jìn)行討論和實(shí)踐,最后制定適用、合理的解決方案。孫一桉說(shuō):“我們要先‘修煉內(nèi)功’,然后再‘對(duì)癥下藥’”。
       匡恩網(wǎng)絡(luò)副總裁郭慶告訴記者,基于匡恩網(wǎng)絡(luò)‘4+1’的安全保障體系以及某線的實(shí)際情況,匡恩網(wǎng)絡(luò)為其量身定制適用于某線的全生命周期解決方案以及系列產(chǎn)品,其中包括匡恩IAD智能防護(hù)平臺(tái)、匡恩監(jiān)測(cè)審計(jì)平臺(tái)以及匡恩威脅管理平臺(tái)等等。
       匡恩網(wǎng)絡(luò)通過(guò)多種手段提高了燕房線CBTC系統(tǒng)的整體安全性,覆蓋該線CBTC系統(tǒng)整個(gè)生命周期,實(shí)現(xiàn)了該線CBTC工控網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的整體協(xié)同,保護(hù)核心數(shù)據(jù),確保工控網(wǎng)絡(luò)穩(wěn)定性和可靠性,保障了地鐵安全運(yùn)行。不止是北京燕房線,據(jù)了解,匡恩網(wǎng)絡(luò)還與貴陽(yáng)地鐵1號(hào)線簽訂信號(hào)系統(tǒng)合作項(xiàng)目,同時(shí)與上海申通地鐵集團(tuán)、廣州鐵路局下屬企業(yè)、沈陽(yáng)地鐵10號(hào)線、常州地鐵1號(hào)線等機(jī)構(gòu)積極開(kāi)展合作。
       郭慶介紹,匡恩IAD智能防護(hù)平臺(tái)部署在燕房線內(nèi)部系統(tǒng)和外部系統(tǒng)互聯(lián)邊界,該平臺(tái)完整覆蓋了工控系統(tǒng)整個(gè)運(yùn)轉(zhuǎn)生命周期。在軟件層面上, 該平臺(tái)建立在機(jī)器智能學(xué)習(xí)引擎、深度數(shù)據(jù)包解析引擎和開(kāi)放式特征匹配三大功能引擎之上,不僅具備多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過(guò)濾、報(bào)警、阻斷功能,同時(shí)擁有基于工業(yè)漏洞庫(kù)的黑名單入侵防御功能、基于機(jī)器智能學(xué)習(xí)引擎的白名單主動(dòng)防御功能以及大規(guī)模分布式實(shí)時(shí)網(wǎng)絡(luò)部署和更新等功能,并提供高度開(kāi)放的平臺(tái)開(kāi)發(fā)工具包。硬件層面上,該平臺(tái)具有全封閉、無(wú)風(fēng)扇、雙電源冗余、硬件加密等特點(diǎn),確保達(dá)到工業(yè)級(jí)可靠性和穩(wěn)定性要求。
       他還表示,匡恩監(jiān)測(cè)審計(jì)平臺(tái)可以達(dá)到快速識(shí)別出系統(tǒng)的非法操作,異常事件以及外部攻擊并發(fā)出告警,運(yùn)營(yíng)商可以依賴監(jiān)測(cè)數(shù)據(jù)包深度解析技術(shù),記錄所有雙方的通信時(shí)間、內(nèi)容以及操作。依據(jù)事前定義的規(guī)則,定時(shí)產(chǎn)品告警信息,產(chǎn)生的日志還支持事后追溯和追責(zé)??锒魍{管理平臺(tái)則是對(duì)網(wǎng)絡(luò)安全保護(hù)設(shè)備進(jìn)行統(tǒng)一監(jiān)控和管理的設(shè)備,是一套集硬件、軟件為一體,用于統(tǒng)一配置、管理、監(jiān)測(cè)工控網(wǎng)絡(luò)安全的硬件平臺(tái)產(chǎn)品。安全監(jiān)管平臺(tái)與多臺(tái)智能保護(hù)終端、監(jiān)測(cè)審計(jì)終端、數(shù)采隔離終端組成一整套保護(hù)監(jiān)測(cè)系統(tǒng),終端由安全監(jiān)管平臺(tái)統(tǒng)一控制配置、管理,安全監(jiān)管平臺(tái)能夠?qū)K端統(tǒng)一部署安全規(guī)則,監(jiān)測(cè)終端所在網(wǎng)絡(luò)的通信流量與安全事件,能對(duì)工控網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析,提供包括行為審計(jì)、事件追蹤、威脅分析、日志管理、設(shè)備管理、安全性分區(qū)等多項(xiàng)功能。
       除此之外,匡恩網(wǎng)絡(luò)還為軌道交通工控系統(tǒng)領(lǐng)域提供漏洞挖掘平臺(tái)、數(shù)據(jù)采集隔離平臺(tái)、危險(xiǎn)評(píng)估平臺(tái)、入侵誘捕平臺(tái)以及高仿真攻防對(duì)抗平臺(tái)等等系列產(chǎn)品。
       同時(shí)匡恩網(wǎng)絡(luò)還建立了匡恩學(xué)院,研發(fā)出針對(duì)高校人才培養(yǎng)的工控網(wǎng)絡(luò)安全移動(dòng)實(shí)驗(yàn)箱等產(chǎn)品。談到匡恩學(xué)院,孫一桉對(duì)其充滿信心。他表示,匡恩學(xué)院與國(guó)內(nèi)諸多大學(xué)和機(jī)構(gòu)共建實(shí)驗(yàn)室,針對(duì)工業(yè)控制網(wǎng)絡(luò)安全方面人才聯(lián)合成立工業(yè)智能化研究院,把守護(hù)工控安全的理念和技術(shù)植入到行業(yè)的基因中去,針對(duì)不同領(lǐng)域有針對(duì)性的培訓(xùn)
高尖端人才??锒鲗W(xué)院致力于軌交人才培養(yǎng),聚合各方力量培育高質(zhì)量的軌道交通控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)人才。
       孫一桉指出,“軌道交通是‘百年大計(jì)’,作為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施,軌道交通工控系統(tǒng)網(wǎng)絡(luò)安全已成重責(zé),目前軌道交通工控系統(tǒng)網(wǎng)絡(luò)硝煙彌漫,安全事件屢次發(fā)生,匡恩網(wǎng)絡(luò)身扛重?fù)?dān),踐行高標(biāo)準(zhǔn)、高質(zhì)量、高效率的準(zhǔn)則,為軌道交通乃至城市的發(fā)展保駕護(hù)航”。 

上一篇:俞光耀
下一篇:徐正良