城市軌道交通監控系統信息安全探究

導語：城市軌道交通監控系統信息安全探究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著城市軌道交通的高速發展，各類安全問題也日益突出，其中城市軌道交通綜合監控系統由于需要處理大量外部接口數據，所面臨的安全風險尤為突出。詳細介紹了基于三級等保的信息安全管理體系，并在此基礎上提出了綜合監控系統信息安全建設的要求及目標，并從技術方案和管理方案兩個層面入手，詳細闡述了綜合監控系統安全防護的設計及建設方案。

關鍵詞：城市軌道交通；綜合監控系統；安全防護；三級等保

進入21世紀后，大型城市在城市空間結構的優化、城市交通擁擠狀況的緩解、城市環境保護等諸多方面均面臨著不少的挑戰和難題，而城市軌道交通的高速發展為解決上述問題提供了一條有益的途徑。但與城市軌道交通高速發展相伴而生的各種安全問題及安全風險也日漸突顯。其中，綜合監控系統集成和互聯了軌道交通眾多信息化系統，往往面臨較之傳統信息化系統更為嚴峻的網絡安全問題。因此對于城市軌道交通綜合監控系統的建設，要從系統規劃、設計、實施、上線、生產、運維到廢棄的整個漫長生命周期的各個階段考慮網絡安全問題，要在綜合監控系統建設的同時，同步做好系統的信息安全建設工作。

1綜合監控信息安全建設目標

綜合監控系統的信息安全建設目標，應結合相應的政策法規、國家標準、行業成功經驗及項目建設面臨的實際安全風險出發。綜合上述視角，要真正做到綜合監控系統的網絡安全，應按照《計算機信息系統安全保護等級劃分準則》中相關要求，將等級保護建設的思路作為最佳實踐，以組織制度保障結合有效的技術措施：建立健全綜合監控系統的信息安全管理制度和信息安全管理機構，完善信息安全管理體制；建立綜合監控系統信息安全縱深防御技術體系，從網絡結構到內部流量行為、再到主機本體的全方位技術防護措施，提供三級等級保護要求的相應軟硬件及完整的信息安全設計，從而保障綜合監控系統平穩、安全、高效運行。

2基于三級等保的信息安全管理體系

根據GB／T22239－2008《信息安全技術信息系統安全等級保護基本要求》、GB／T22240－2008《信息安全技術信息系統安全等級保護定級指南》、GB／T28448－2012《信息安全技術信息系統安全等級保護測評要求》等相關標準，將等級保護分為技術和管理兩大模塊，其中技術部分包含：網絡安全、主機安全、應用安全、數據安全及備份恢復、運維管理共五個方面；管理部分包含：安全管理機構、安全管理制度、人員安全管理、系統建設管理、物理環境管理五個方面。如圖1所示。信息安全管理以多個子策略構成了三層結構的完備體系，采用自頂向下的樹型結構，頂部把握原則方向等宏觀層面，向下逐步過渡到具體措施等微觀層面。在信息安全管理樹型結構中，樹頂代表了信息安全管理體系的最高綱領，是對整個安全管理體系的必要性、基本原則及宏觀策略的闡述，以凝練的語言描述了信息安全在技術和管理兩個方面的內容。樹干部分代表了一系列的管理規定和技術規范，是對最高綱領的分解和進一步闡述，側重于具體要求的實現方法及途徑，并總結在技術和管理方面的共性問題，以更好的指導安全工作；樹根部分代表了操作層面，基于樹頂和樹干的相關策略要求，在樹根層面要與實際的網絡和應用環境相結合，以閉環、動態作為基本的管理原則，編制具體的細則、流程，具備最直觀的可操作性。

3綜合監控安全防護技術方案設計

3．1防護總體思路。為滿足綜合監控系統信息安全防護建設中的若干需求，采用某品牌的工業防火墻、工業審計系統、入侵防御系統、工業漏掃系統、統一運維管理平臺、數據庫審計系統、工業監管平臺系統等硬件設備及工業衛士軟件產品分別在控制中心、車站、車輛段等節點及設備維護系統、仿真測試平臺、培訓系統等系統按需部署安全防護措施，達到等保合規并解決安全隱患的方案效果。根據需求背景和等保技術防護思想，通過技術手段實現的防護主要包含如下幾個層面：1）安全區域邊界：通過安全設備及網絡設備合理劃分安全域，實施訪問控制及攻擊防護滿足等保中網絡安全的部分要求；2）安全通信網絡：通過旁路監聽與智能分析技術，對系統的控制、采集請求，數據庫存取、系統運維等關鍵行為進行審計，對攻擊及時預警，滿足等保中網絡安全部分關于安全審計的相關要求；3）安全計算環境：通過符合工業特色的終端安全防護軟件對綜合監控系統中使用的計算終端進行保護，防止誤中病毒等情況的出現，配合系統自身的安全性有關設計，滿足等級保護中關于主機安全、應用安全及數據安全的相關需求；4）安全管理中心：通過綜合的安全管理平臺，實現對安全產品日志的統一采集、分析及主要防護設備的統一運維，形成綜合監控系統中的安全運營中心，統一維護日常的信息安全防護，對安全事件的應急處置、攻擊行為的發現提供技術支撐。3．2安全區域邊界。（1）控制中心邊界防護在控制中心端，應劃分為辦公自動化系統互聯區域、線網中心互聯區域、培訓系統區域、仿真測試系統區域、綜合監控系統和子系統互聯區域。根據所隔離區域間的流量特征和防護需求，辦公自動化系統系統區域應采用具備訪問控制功能的入侵防御系統進行隔離，其他區域間采用工業防火墻進行隔離。具體部署位置為包括：線網中心外部系統與中心綜合監控連接處、前置通訊機與中心綜合監控系統接口處、網管系統交換機上聯處、仿真測試系統交換機上聯處，如圖2所示。（2）車站邊界防護在車站端，應劃分為綜合監控系統內部區域和系統互聯區域，根據所隔離區域間的流量特征和防護需求，區域間采用工業防火墻進行隔離，具體部署位置為通訊前置機與監控系統內網之間，如圖3所示。（3）車輛段邊界防護在車輛段，應劃分為培訓系統安全域、設備維護系統安全域、綜合監控系統內部區域和系統互聯區域，根據所隔離區域間的流量特征和防護需求，區域間采用工業防火墻進行隔離，具體部署位置為設備維護系統交換機上聯處、培訓系統交換機上聯處、前置通訊機與監控系統內網之間，如圖4所示。3．3安全通信網絡。（1）控制中心網絡風險分析控制中心的安全通信網絡保障通過工業審計系統和數據庫審計系統的部署實現，工業審計通過旁路模式部署，通過交換機鏡像流量方式獲取數據源進行分析，根據業務需求，工業審計系統分別部署在控制中心主交換機、軟件測試平臺內部及網絡管理系統內部，見圖2。其中，部署在控制中心骨干網絡的工業審計采用雙機部署保障對風險的不間斷識別；網絡管理系統與軟件測試平臺安全域內部的工業審計采用單機部署。此外，數據庫審計系統通過旁路部署的方式，部署在網絡管理系統安全域內，通過該系統對數據庫所面臨的風險進行多方位的評估，還可以通過審計功能對數據庫所有操作進行審計，提供事后追查機制。（2）車站網絡風險分析車站的安全通信網絡保障通過工業審計系統的部署實現，工業審計采用旁路模式部署，通過鏡像流量進行分析，采用雙機保障對風險的不間斷識別，見圖3。（3）車輛段網絡風險分析車輛段的安全通信網絡保障通過工業審計系統的部署實現，工業審計通過旁路模式部署，通過交換機鏡像流量方式獲取數據源進行分析，根據業務需求，工業審計系統分別部署在車輛段主交換機、培訓系統內部及設備維護系統內部，見圖4。其中，部署在車輛段主干網絡的工業審計采用雙機部署保障對風險的不間斷識別；設備維護系統與培訓系統安全域內部的工業審計采用單級部署。3．4安全計算環境。在控制中心、車輛段及車站對工業終端及工業終端承載的應用業務、核心數據的防護通過在終端部署工業衛士軟件實現，需要在控制中心、車輛段、車站的各類工作站、值班站、服務器上部署工業衛士。工業衛士采用輕量級的軟件“白名單”機制，僅允許運行受信任的PE文件，完善相應的加固策略，提升安全級別，有效阻止病毒、木馬等惡意軟件的執行和被利用，實現工控主機從啟動、加載、運行等過程全生命周期的安全保障。同時對USB端口等接口進行全面管控，U盤等未授權設備無法接入終端計算機，有效防范通過USB接口發起的高級攻擊。綜合監控系統在控制中心網絡管理系統機房中設置了信息安全管理中心，可以利用其對全部信息安全設備進行整體而全面的管控。3．5安全管理中心。安全管理中心在網絡管理系統中部署，由工業監管平臺，工業漏洞掃描系統、統一運維管理平臺等系統組成。其中，工業監管平臺（信息安全管理平臺設備及軟件）負責對日志的采集分析、對資產、風險的管理，對安全事件的處置分析和對主要安全設備、軟件的統一運維。工業漏洞掃描系統通過定期掃描的形式發掘系統中存在的漏洞、問題。統一運維管理平臺為運維堡壘機系統，對系統的運維操作進行審計和管理。

4結束語

本文針對綜合監控系統進行了符合等級保護（三級）要求的建設方案設計。方案根據等級保護（三級）的要求設計了基于綜合監控系統內生特性的安全防護體系，對控制中心、車站、車輛段、培訓中心、網管中心、維護管理系統等從網絡邊界安全、網絡通信安全、主機安全及綜合安全運維方面，進行了合理的安全部署設計和安全服務咨詢設想，為今后軌道交通綜合監控項目安全防護建設提供了參考。

參考文獻

［1］青嵐昊．城市軌道交通信息網絡安全設計［J］．鐵路通信信號工程技術，2011（4）：53－55，64

［2］阿曼江•阿不都外力．計算機網絡信息安全及其防護措施［J］．新疆職業大學學報，2012（3）：70－72

［3］于力．防火墻與計算機安全研究［J］．軟件導刊，2010（2）：127－129

［4］張冬．信息安全中等級保護三級系統應用設計［J］．信息與電腦，2016（21）：145－146

作者:林曉偉 單位:國電南瑞科技股份有限公司