城市軌道交通綜合監(jiān)控系統(tǒng)信息安全建設(shè)方案

謝永俊

摘 要：隨著社會的發(fā)展和進步，我國城市軌道交通也快速不斷向前發(fā)展，在城市交通快速發(fā)展背景下，隨之而來的是各種安全問題的不斷出現(xiàn)，由于城市軌道交通綜合監(jiān)控系統(tǒng)要對大量外部接口數(shù)據(jù)進行處理，因此，在這個過程中面臨的風(fēng)險問題也越來越突出。文章首先對基于三級等保信息安全管理體系進行了簡單的介紹，然后在此基礎(chǔ)上對綜合監(jiān)控系統(tǒng)信息安全建設(shè)提出了一些目標(biāo)和要求，最后結(jié)合管理和技術(shù)方案兩個方面，對城市軌道交通綜合監(jiān)控系統(tǒng)安全防護提出了一些建設(shè)方案。

關(guān)鍵詞：城市軌道交通;安全防護;綜合監(jiān)控系統(tǒng);信息安全

1 三級等保信息安全管理體系介紹

信息安全管理體系分為技術(shù)和管理兩個模塊（如圖1所示），是由多個子策略構(gòu)成的三層結(jié)構(gòu)體系，其使用的是自頂向下樹型結(jié)構(gòu)，其頂部主要是對原則方向宏觀層面來進行把握，然后再逐漸向下過渡到具體措施微觀層面[1]。在這個安全管理樹型結(jié)構(gòu)中，其中樹頂表示的是體系中的最高綱領(lǐng)，同時也是對安全管理宏觀策略、基本原則等的闡述，通過使用簡練的語言，將信息安全管理及技術(shù)內(nèi)容描述了出來。其樹干則表示的是技術(shù)規(guī)范和管理規(guī)定，是對最高綱領(lǐng)的深入闡述和分解，注重要求實現(xiàn)的途徑和方法。同時也對技術(shù)與管理之間存在的共性進行總結(jié)，從而對安全工作進行有效的指導(dǎo)。而樹枝表示的是操作層面，在樹干與樹頂有關(guān)策略要求下，使應(yīng)用環(huán)境、實際網(wǎng)絡(luò)與樹根層面進行良好的結(jié)合，并將動態(tài)作為管理的基本原則，制定詳細具體的相關(guān)流程和一些細節(jié)部分，保障制定的方案具有良好的可操作性。

2 綜合監(jiān)控安全防護方案設(shè)計

2.1 總體思路

為了能夠進一步滿足綜合監(jiān)控系統(tǒng)安全防護建設(shè)中的需求，通過利用工業(yè)防火墻、數(shù)據(jù)庫審計系統(tǒng)、仿真測試平臺、入侵防御系統(tǒng)等一些系統(tǒng)，結(jié)合其需求有效部署安全防護措施，從而將安全隱患及時地解決掉[2]。

按照安全建設(shè)需求的背景以及等保防護思想，利用技術(shù)手段有效實現(xiàn)安全防護，主要包括下面幾個方面：（1）安全區(qū)域邊界，對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全區(qū)域進行科學(xué)合理的劃分，進而對攻擊和控制網(wǎng)絡(luò)安全部分要求進行實施訪問。（2）安全通信網(wǎng)絡(luò)，利用智能分析技術(shù)和旁路監(jiān)聽技術(shù)，正確審計系統(tǒng)采集與控制請求，記憶系統(tǒng)運維等一些關(guān)鍵性行為，當(dāng)攻擊的時候做到及時的預(yù)警，有效滿足等保中先關(guān)安全審計要求。（3）安全計算環(huán)境，利用與工業(yè)特色相符合的終端安全防護軟件，有效保護好綜合監(jiān)控系統(tǒng)所應(yīng)用的計算終端，避免應(yīng)用過程中出現(xiàn)中病毒的現(xiàn)象，然后與自身系統(tǒng)安全設(shè)計相配合，有效滿足等級保護中相關(guān)數(shù)據(jù)安全需求。（4）安全管理中心，利用綜合安全管理平臺，使安全產(chǎn)品日志實現(xiàn)統(tǒng)一采集，防護設(shè)備等實現(xiàn)統(tǒng)一運維，進而形成安全運營中心，在對安全事件進行應(yīng)急處理、發(fā)現(xiàn)攻擊行為過程中，統(tǒng)一化的信息安全防護為其提供了一定的技術(shù)支撐。

2.2 安全區(qū)域邊界

（1）對控制中心邊界防護進行控制?？刂浦行亩?，應(yīng)將其劃分成為仿真測試系統(tǒng)區(qū)域、自動化系統(tǒng)互聯(lián)區(qū)域、培訓(xùn)系統(tǒng)區(qū)域等區(qū)域。然后結(jié)合隔離區(qū)域防護需求和流量特點，辦公自動化區(qū)域在隔離的時候，應(yīng)該利用具有訪問控制功能入侵系統(tǒng)隔離，而其它的一些區(qū)域需要利用工業(yè)防火墻隔離。

（2）車站邊界防護在車站端，其應(yīng)該劃分系統(tǒng)互聯(lián)區(qū)域、綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域，然后在結(jié)合隔離區(qū)域防護有關(guān)需求及流量特征，利用工業(yè)防火墻來對區(qū)域間實施隔離。

（3）車輛段邊界防護應(yīng)該在車輛段，其劃分區(qū)域主要為系統(tǒng)互聯(lián)區(qū)域、設(shè)備維護系統(tǒng)安全區(qū)域等，結(jié)合隔離區(qū)域間防護需求及流量特點，利用工業(yè)防火墻來對區(qū)域間進行隔離。

2.3 安全通信網(wǎng)絡(luò)

（1）控制中心網(wǎng)絡(luò)風(fēng)險控制分析在控制中心中，其安全通信網(wǎng)絡(luò)保障，是利用數(shù)據(jù)審計、工業(yè)審計兩個系統(tǒng)的部署而實現(xiàn)的，其中工業(yè)審計在部署的時候，是利用旁路模式來部署的，其數(shù)據(jù)源的獲取，是利用交換機鏡像流量方式獲取分析的，然后在按照業(yè)務(wù)相關(guān)的需求，在軟件測試平臺內(nèi)部、網(wǎng)絡(luò)管理系統(tǒng)內(nèi)部等分別部署了工業(yè)審計系統(tǒng)。

在中心骨干網(wǎng)絡(luò)中所部署的工業(yè)審計，通過雙機部署保障，從而不斷的識別風(fēng)險，而軟件測試平臺區(qū)域以及網(wǎng)絡(luò)管理系統(tǒng)，其工業(yè)審計部署的時候，是通過單機來部署的。另外，在網(wǎng)絡(luò)管理系統(tǒng)安全區(qū)域內(nèi)，部署著數(shù)據(jù)審計系統(tǒng)，其部署的時候是通過旁路部署方式部署的，然后通過全方位評估該系統(tǒng)數(shù)據(jù)庫中的風(fēng)險，再利用審計功能，審計數(shù)據(jù)庫中全部操作，為事后提供了追查機制。

（2）車站網(wǎng)絡(luò)風(fēng)險分析。車站安全通信網(wǎng)絡(luò)能夠?qū)崿F(xiàn)良好的保障，主要是在工業(yè)審計系統(tǒng)部署下而實現(xiàn)的，利用旁路模式來對其進行部署，同時利用鏡像流量分析，在對其風(fēng)險識別的時候，通過雙機保障來進行不間斷識別。

（3）車輛段網(wǎng)絡(luò)風(fēng)險分析。車輛段安全通信網(wǎng)絡(luò)保障，也是在工業(yè)審計系統(tǒng)部署下而實現(xiàn)的，其利用旁路模式來進行部署，其數(shù)據(jù)獲取和分析是通過交換機鏡像流量來進行的，結(jié)合業(yè)務(wù)實際需求，在設(shè)備維護系統(tǒng)內(nèi)部、車輛段主交換機以及培訓(xùn)系統(tǒng)內(nèi)部等分別部署了工業(yè)審計系統(tǒng)，而車輛主干網(wǎng)絡(luò)工業(yè)審計部署的過程中，是通過雙機部署來不間斷識別風(fēng)險的，培訓(xùn)系統(tǒng)及設(shè)備維護系統(tǒng)則是通過單機來進行部署的。

2.4 安全計算環(huán)境

控制中心、車站、車輛段對工業(yè)終端及其所承載的額核心數(shù)據(jù)、應(yīng)用業(yè)務(wù)防護，都是通過終端部署工業(yè)衛(wèi)士軟件來實現(xiàn)的，而且其工業(yè)衛(wèi)士的部署需要在車站、車輛段、控制中心中的服務(wù)器、值班站以及工作站來進行部署。而工業(yè)衛(wèi)士通過輕量級軟件“白名單”機制，只需運行受信任的PE文件，就可以對相應(yīng)的加固策略進行完善，進而進一步提高安全級別，防止木馬、病毒等一些惡意軟件的侵入，進而使工控主機從啟動開始，一直到運行整個全生命周期的安全得到良好保障。另外，通過全面管控接口和USB接口，這樣一些沒有經(jīng)過授權(quán)的設(shè)備則無法接入到計算機終端，進一步防范了通過USB接口發(fā)起的高級攻擊。在綜合監(jiān)控系統(tǒng)中，將信息安全管理中心有效的設(shè)置在控制中心網(wǎng)絡(luò)管理系統(tǒng)機房中，則可以實現(xiàn)對信息安全設(shè)備進行整體的管控。

2.5 安全管理中心

安全管理中心，是在網(wǎng)絡(luò)管理系統(tǒng)中進行部署的，由統(tǒng)一運維管理平臺、工業(yè)監(jiān)管平臺等系統(tǒng)組成。工業(yè)監(jiān)管平臺負責(zé)對日志的采集分析，對資產(chǎn)、風(fēng)險的管理，并負責(zé)軟件和安全設(shè)備的統(tǒng)一運維，及分析安全事件的處置。而統(tǒng)一運維管理平臺則主要是管理和審計運維系統(tǒng)的操作。

3 結(jié)語

文章基于三級等保信息安全管理體系，然后在此基礎(chǔ)上對城市軌道交通綜合監(jiān)控系統(tǒng)信息安全建設(shè)提出了一些目標(biāo)和要求，最后結(jié)合管理和技術(shù)方案兩個方面，對城市軌道交通綜合監(jiān)控系統(tǒng)安全防護提出了一些建設(shè)方案。希望可以為城市軌道交通綜合監(jiān)控安全防護提供一些參考。

參考文獻：

[1]湯石男.高實時性地鐵綜合監(jiān)控系統(tǒng)的安全防護方案研究[J].信息安全研究，2019，5（8）：691-695.

[2]李寅，李佑文，褚紅健.基于并行對象管理服務(wù)的城市軌道交通綜合監(jiān)控系統(tǒng)容錯機制設(shè)計[J].江蘇科技信息，2020，37（1）：61-63.