謝永俊

摘 要：隨著社會(huì)的發(fā)展和進(jìn)步，我國城市軌道交通也快速不斷向前發(fā)展，在城市交通快速發(fā)展背景下，隨之而來的是各種安全問題的不斷出現(xiàn)，由于城市軌道交通綜合監(jiān)控系統(tǒng)要對(duì)大量外部接口數(shù)據(jù)進(jìn)行處理，因此，在這個(gè)過程中面臨的風(fēng)險(xiǎn)問題也越來越突出。文章首先對(duì)基于三級(jí)等保信息安全管理體系進(jìn)行了簡單的介紹，然后在此基礎(chǔ)上對(duì)綜合監(jiān)控系統(tǒng)信息安全建設(shè)提出了一些目標(biāo)和要求，最后結(jié)合管理和技術(shù)方案兩個(gè)方面，對(duì)城市軌道交通綜合監(jiān)控系統(tǒng)安全防護(hù)提出了一些建設(shè)方案。

關(guān)鍵詞：城市軌道交通;安全防護(hù);綜合監(jiān)控系統(tǒng);信息安全

1 三級(jí)等保信息安全管理體系介紹

信息安全管理體系分為技術(shù)和管理兩個(gè)模塊（如圖1所示），是由多個(gè)子策略構(gòu)成的三層結(jié)構(gòu)體系，其使用的是自頂向下樹型結(jié)構(gòu)，其頂部主要是對(duì)原則方向宏觀層面來進(jìn)行把握，然后再逐漸向下過渡到具體措施微觀層面[1]。在這個(gè)安全管理樹型結(jié)構(gòu)中，其中樹頂表示的是體系中的最高綱領(lǐng)，同時(shí)也是對(duì)安全管理宏觀策略、基本原則等的闡述，通過使用簡練的語言，將信息安全管理及技術(shù)內(nèi)容描述了出來。其樹干則表示的是技術(shù)規(guī)范和管理規(guī)定，是對(duì)最高綱領(lǐng)的深入闡述和分解，注重要求實(shí)現(xiàn)的途徑和方法。同時(shí)也對(duì)技術(shù)與管理之間存在的共性進(jìn)行總結(jié)，從而對(duì)安全工作進(jìn)行有效的指導(dǎo)。而樹枝表示的是操作層面，在樹干與樹頂有關(guān)策略要求下，使應(yīng)用環(huán)境、實(shí)際網(wǎng)絡(luò)與樹根層面進(jìn)行良好的結(jié)合，并將動(dòng)態(tài)作為管理的基本原則，制定詳細(xì)具體的相關(guān)流程和一些細(xì)節(jié)部分，保障制定的方案具有良好的可操作性。

2 綜合監(jiān)控安全防護(hù)方案設(shè)計(jì)

2.1 總體思路

為了能夠進(jìn)一步滿足綜合監(jiān)控系統(tǒng)安全防護(hù)建設(shè)中的需求，通過利用工業(yè)防火墻、數(shù)據(jù)庫審計(jì)系統(tǒng)、仿真測試平臺(tái)、入侵防御系統(tǒng)等一些系統(tǒng)，結(jié)合其需求有效部署安全防護(hù)措施，從而將安全隱患及時(shí)地解決掉[2]。

按照安全建設(shè)需求的背景以及等保防護(hù)思想，利用技術(shù)手段有效實(shí)現(xiàn)安全防護(hù)，主要包括下面幾個(gè)方面：（1）安全區(qū)域邊界，對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全區(qū)域進(jìn)行科學(xué)合理的劃分，進(jìn)而對(duì)攻擊和控制網(wǎng)絡(luò)安全部分要求進(jìn)行實(shí)施訪問。（2）安全通信網(wǎng)絡(luò)，利用智能分析技術(shù)和旁路監(jiān)聽技術(shù)，正確審計(jì)系統(tǒng)采集與控制請(qǐng)求，記憶系統(tǒng)運(yùn)維等一些關(guān)鍵性行為，當(dāng)攻擊的時(shí)候做到及時(shí)的預(yù)警，有效滿足等保中先關(guān)安全審計(jì)要求。（3）安全計(jì)算環(huán)境，利用與工業(yè)特色相符合的終端安全防護(hù)軟件，有效保護(hù)好綜合監(jiān)控系統(tǒng)所應(yīng)用的計(jì)算終端，避免應(yīng)用過程中出現(xiàn)中病毒的現(xiàn)象，然后與自身系統(tǒng)安全設(shè)計(jì)相配合，有效滿足等級(jí)保護(hù)中相關(guān)數(shù)據(jù)安全需求。（4）安全管理中心，利用綜合安全管理平臺(tái)，使安全產(chǎn)品日志實(shí)現(xiàn)統(tǒng)一采集，防護(hù)設(shè)備等實(shí)現(xiàn)統(tǒng)一運(yùn)維，進(jìn)而形成安全運(yùn)營中心，在對(duì)安全事件進(jìn)行應(yīng)急處理、發(fā)現(xiàn)攻擊行為過程中，統(tǒng)一化的信息安全防護(hù)為其提供了一定的技術(shù)支撐。

2.2 安全區(qū)域邊界

（1）對(duì)控制中心邊界防護(hù)進(jìn)行控制?？刂浦行亩耍瑧?yīng)將其劃分成為仿真測試系統(tǒng)區(qū)域、自動(dòng)化系統(tǒng)互聯(lián)區(qū)域、培訓(xùn)系統(tǒng)區(qū)域等區(qū)域。然后結(jié)合隔離區(qū)域防護(hù)需求和流量特點(diǎn)，辦公自動(dòng)化區(qū)域在隔離的時(shí)候，應(yīng)該利用具有訪問控制功能入侵系統(tǒng)隔離，而其它的一些區(qū)域需要利用工業(yè)防火墻隔離。

（2）車站邊界防護(hù)在車站端，其應(yīng)該劃分系統(tǒng)互聯(lián)區(qū)域、綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域，然后在結(jié)合隔離區(qū)域防護(hù)有關(guān)需求及流量特征，利用工業(yè)防火墻來對(duì)區(qū)域間實(shí)施隔離。

（3）車輛段邊界防護(hù)應(yīng)該在車輛段，其劃分區(qū)域主要為系統(tǒng)互聯(lián)區(qū)域、設(shè)備維護(hù)系統(tǒng)安全區(qū)域等，結(jié)合隔離區(qū)域間防護(hù)需求及流量特點(diǎn)，利用工業(yè)防火墻來對(duì)區(qū)域間進(jìn)行隔離。

2.3 安全通信網(wǎng)絡(luò)

（1）控制中心網(wǎng)絡(luò)風(fēng)險(xiǎn)控制分析在控制中心中，其安全通信網(wǎng)絡(luò)保障，是利用數(shù)據(jù)審計(jì)、工業(yè)審計(jì)兩個(gè)系統(tǒng)的部署而實(shí)現(xiàn)的，其中工業(yè)審計(jì)在部署的時(shí)候，是利用旁路模式來部署的，其數(shù)據(jù)源的獲取，是利用交換機(jī)鏡像流量方式獲取分析的，然后在按照業(yè)務(wù)相關(guān)的需求，在軟件測試平臺(tái)內(nèi)部、網(wǎng)絡(luò)管理系統(tǒng)內(nèi)部等分別部署了工業(yè)審計(jì)系統(tǒng)。

在中心骨干網(wǎng)絡(luò)中所部署的工業(yè)審計(jì)，通過雙機(jī)部署保障，從而不斷的識(shí)別風(fēng)險(xiǎn)，而軟件測試平臺(tái)區(qū)域以及網(wǎng)絡(luò)管理系統(tǒng)，其工業(yè)審計(jì)部署的時(shí)候，是通過單機(jī)來部署的。另外，在網(wǎng)絡(luò)管理系統(tǒng)安全區(qū)域內(nèi)，部署著數(shù)據(jù)審計(jì)系統(tǒng)，其部署的時(shí)候是通過旁路部署方式部署的，然后通過全方位評(píng)估該系統(tǒng)數(shù)據(jù)庫中的風(fēng)險(xiǎn)，再利用審計(jì)功能，審計(jì)數(shù)據(jù)庫中全部操作，為事后提供了追查機(jī)制。

（2）車站網(wǎng)絡(luò)風(fēng)險(xiǎn)分析。車站安全通信網(wǎng)絡(luò)能夠?qū)崿F(xiàn)良好的保障，主要是在工業(yè)審計(jì)系統(tǒng)部署下而實(shí)現(xiàn)的，利用旁路模式來對(duì)其進(jìn)行部署，同時(shí)利用鏡像流量分析，在對(duì)其風(fēng)險(xiǎn)識(shí)別的時(shí)候，通過雙機(jī)保障來進(jìn)行不間斷識(shí)別。

（3）車輛段網(wǎng)絡(luò)風(fēng)險(xiǎn)分析。車輛段安全通信網(wǎng)絡(luò)保障，也是在工業(yè)審計(jì)系統(tǒng)部署下而實(shí)現(xiàn)的，其利用旁路模式來進(jìn)行部署，其數(shù)據(jù)獲取和分析是通過交換機(jī)鏡像流量來進(jìn)行的，結(jié)合業(yè)務(wù)實(shí)際需求，在設(shè)備維護(hù)系統(tǒng)內(nèi)部、車輛段主交換機(jī)以及培訓(xùn)系統(tǒng)內(nèi)部等分別部署了工業(yè)審計(jì)系統(tǒng)，而車輛主干網(wǎng)絡(luò)工業(yè)審計(jì)部署的過程中，是通過雙機(jī)部署來不間斷識(shí)別風(fēng)險(xiǎn)的，培訓(xùn)系統(tǒng)及設(shè)備維護(hù)系統(tǒng)則是通過單機(jī)來進(jìn)行部署的。

2.4 安全計(jì)算環(huán)境

控制中心、車站、車輛段對(duì)工業(yè)終端及其所承載的額核心數(shù)據(jù)、應(yīng)用業(yè)務(wù)防護(hù)，都是通過終端部署工業(yè)衛(wèi)士軟件來實(shí)現(xiàn)的，而且其工業(yè)衛(wèi)士的部署需要在車站、車輛段、控制中心中的服務(wù)器、值班站以及工作站來進(jìn)行部署。而工業(yè)衛(wèi)士通過輕量級(jí)軟件“白名單”機(jī)制，只需運(yùn)行受信任的PE文件，就可以對(duì)相應(yīng)的加固策略進(jìn)行完善，進(jìn)而進(jìn)一步提高安全級(jí)別，防止木馬、病毒等一些惡意軟件的侵入，進(jìn)而使工控主機(jī)從啟動(dòng)開始，一直到運(yùn)行整個(gè)全生命周期的安全得到良好保障。另外，通過全面管控接口和USB接口，這樣一些沒有經(jīng)過授權(quán)的設(shè)備則無法接入到計(jì)算機(jī)終端，進(jìn)一步防范了通過USB接口發(fā)起的高級(jí)攻擊。在綜合監(jiān)控系統(tǒng)中，將信息安全管理中心有效的設(shè)置在控制中心網(wǎng)絡(luò)管理系統(tǒng)機(jī)房中，則可以實(shí)現(xiàn)對(duì)信息安全設(shè)備進(jìn)行整體的管控。

2.5 安全管理中心

安全管理中心，是在網(wǎng)絡(luò)管理系統(tǒng)中進(jìn)行部署的，由統(tǒng)一運(yùn)維管理平臺(tái)、工業(yè)監(jiān)管平臺(tái)等系統(tǒng)組成。工業(yè)監(jiān)管平臺(tái)負(fù)責(zé)對(duì)日志的采集分析，對(duì)資產(chǎn)、風(fēng)險(xiǎn)的管理，并負(fù)責(zé)軟件和安全設(shè)備的統(tǒng)一運(yùn)維，及分析安全事件的處置。而統(tǒng)一運(yùn)維管理平臺(tái)則主要是管理和審計(jì)運(yùn)維系統(tǒng)的操作。

3 結(jié)語

文章基于三級(jí)等保信息安全管理體系，然后在此基礎(chǔ)上對(duì)城市軌道交通綜合監(jiān)控系統(tǒng)信息安全建設(shè)提出了一些目標(biāo)和要求，最后結(jié)合管理和技術(shù)方案兩個(gè)方面，對(duì)城市軌道交通綜合監(jiān)控系統(tǒng)安全防護(hù)提出了一些建設(shè)方案。希望可以為城市軌道交通綜合監(jiān)控安全防護(hù)提供一些參考。

參考文獻(xiàn)：

[1]湯石男.高實(shí)時(shí)性地鐵綜合監(jiān)控系統(tǒng)的安全防護(hù)方案研究[J].信息安全研究，2019，5（8）：691-695.

[2]李寅，李佑文，褚紅健.基于并行對(duì)象管理服務(wù)的城市軌道交通綜合監(jiān)控系統(tǒng)容錯(cuò)機(jī)制設(shè)計(jì)[J].江蘇科技信息，2020，37（1）：61-63.