艾博慧

(通號通信信息集團有限公司，北京 100070)

鐵路綜合視頻監(jiān)控系統(tǒng)通過實時監(jiān)視記錄鐵路運營情況和行車安全的信息，為鐵路安全運營提供重要的輔助手段。其安全性一直備受高度關(guān)注，特別是近年來等級保護制度的實施，對其安全防護提出了更高要求。近年來，中國國家鐵路集團有限公司積極推進鐵路通信網(wǎng)絡(luò)安全標準體系建設(shè)，已陸續(xù)制定和發(fā)布一系列網(wǎng)絡(luò)安全技術(shù)規(guī)范標準。其中《鐵路通信網(wǎng)絡(luò)安全技術(shù)要求 第4部分綜合鐵路視頻系統(tǒng)》（Q/CR 783.4-2021）規(guī)范[1]，從標準層面強化和規(guī)范鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護的建設(shè)要求。

為應(yīng)對鐵路綜合視頻監(jiān)控系統(tǒng)面臨的嚴峻網(wǎng)絡(luò)安全威脅，單一的防護手段是遠遠不夠的。任啟軍等專家[2]研究了一種視頻安全防護平臺，通過采取分層防御、多元防御等措施，集中管理各類安全設(shè)備和構(gòu)建設(shè)備之間的聯(lián)動，將點狀防御手段提升為全方位防控手段。要從物理環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)[3]等各個角度入手，構(gòu)建全面的安全防護體系，融合多種安全手段與管理措施，提高整體安全防御能力。

本文在滿足視頻監(jiān)控業(yè)務(wù)安全需求的基礎(chǔ)上，從整體上分析和設(shè)計一套較為完整的安全防護方案與平臺架構(gòu)。從資產(chǎn)、策略、風險、漏洞與事件等多個維度入手，深入管控資產(chǎn)的每個環(huán)節(jié)，保障鐵路綜合視頻監(jiān)控系統(tǒng)的安全穩(wěn)定運行。

1 現(xiàn)狀分析

鐵路綜合視頻監(jiān)控系統(tǒng)（簡稱視頻系統(tǒng)）是一個龐大的、功能豐富的網(wǎng)絡(luò)化信息系統(tǒng)，內(nèi)部部署大量的網(wǎng)絡(luò)設(shè)備、監(jiān)控硬件與軟件系統(tǒng)，其網(wǎng)絡(luò)安全防護現(xiàn)狀主要體現(xiàn)在以下幾點。

1）缺乏統(tǒng)一監(jiān)管的安全防護措施。各類資產(chǎn)自身已采取一定的安全防護基礎(chǔ)措施，然而網(wǎng)絡(luò)中的資產(chǎn)往往較為分散與獨立，資產(chǎn)之間相互隔離，安全防護措施難以在視頻系統(tǒng)內(nèi)統(tǒng)一規(guī)劃與應(yīng)用。

2）安全防護范圍有限。安全設(shè)備主要在網(wǎng)絡(luò)邊界形成外圍防護墻，無法覆蓋內(nèi)部區(qū)域，使網(wǎng)絡(luò)內(nèi)核心資產(chǎn)的防護仍面臨較大風險。而且其防護功能獨立、散落，缺乏協(xié)調(diào)聯(lián)動機制，一旦某設(shè)備失效，網(wǎng)絡(luò)安全防線將出現(xiàn)較大漏洞，難以得到及時修補。

3）安全評估不系統(tǒng)。無法準確判斷視頻系統(tǒng)當前面臨的主要安全威脅與風險，安全防護措施的制定針對性不強，容易產(chǎn)生較大的防護漏洞。

綜上所述，現(xiàn)階段視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護主要采取分散的安全措施和各類安全設(shè)備的外圍防護，導致安全資源耦合度低，威脅檢測相對滯后，安全響應(yīng)周期過長，安全管理難以統(tǒng)一，安全狀況不易掌控。因此，構(gòu)建一體化安全防護平臺，實現(xiàn)資產(chǎn)、事件、威脅之間的有效關(guān)聯(lián)，使安全防護工作由被動應(yīng)急轉(zhuǎn)為主動防御[4]，共同推動安全防護的智能化與動態(tài)化。

2 設(shè)計思路

一體化安全防護平臺的設(shè)計思路應(yīng)以保證視頻系統(tǒng)的網(wǎng)絡(luò)安全[5]管理為核心，從資產(chǎn)采集入手，至數(shù)據(jù)支撐和可視化應(yīng)用終止，共同構(gòu)建一體化的安全管理與防護體系。

1）構(gòu)建統(tǒng)一的安全數(shù)據(jù)支撐中心。采集各類安全數(shù)據(jù)，如網(wǎng)絡(luò)設(shè)備信息、運行狀態(tài)、流量日志和事件報警等，建立結(jié)構(gòu)化數(shù)據(jù)中心。

2）構(gòu)建視覺化的安全數(shù)據(jù)管理。通過對資產(chǎn)運行狀態(tài)與事件的持續(xù)監(jiān)測，識別資產(chǎn)風險與異常情況，實現(xiàn)對網(wǎng)絡(luò)安全狀況的實時監(jiān)測與態(tài)勢感知。

3）部署智能化的管控功能。通過自動化地實施隔離、修復等響應(yīng)，實施主動防御。如安全策略制定與推送、網(wǎng)絡(luò)訪問控制、防火墻與IPS配置、網(wǎng)絡(luò)設(shè)備健康管理等。

因此，一體化安全防護平臺采用系統(tǒng)化設(shè)計思路，加強資產(chǎn)管理與數(shù)據(jù)采集，實施主動防御與管控，實現(xiàn)視頻系統(tǒng)的安全可見、可控與可管[6]。

3 系統(tǒng)設(shè)計

3.1 總體架構(gòu)

一體化安全防護平臺的總體架構(gòu)可以分為采集層、數(shù)據(jù)層、業(yè)務(wù)層和展示層4部分。采集層采集數(shù)據(jù)，數(shù)據(jù)層存儲和處理數(shù)據(jù)，業(yè)務(wù)層實現(xiàn)安全管理與控制，展示層直觀呈現(xiàn)業(yè)務(wù)處理操作與結(jié)果展示，如圖1所示。

圖1 總體邏輯架構(gòu)Fig.1 Overall logical architecture

1）采集層：主要負責各種相關(guān)安全數(shù)據(jù)的采集，重點在于數(shù)據(jù)的獲取。通過標準化的采集接口或代理方式[7-9]，定期采集服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資產(chǎn)的配置信息、運行狀態(tài)等資產(chǎn)管理數(shù)據(jù)；以及操作日志、訪問日志、安全日志等管理數(shù)據(jù)和流量信息統(tǒng)計數(shù)據(jù)；從公開渠道采集網(wǎng)絡(luò)威脅、漏洞、病毒等威脅情報數(shù)據(jù)。實現(xiàn)對異構(gòu)數(shù)據(jù)源的統(tǒng)一采集，形成安全數(shù)據(jù)池。

2）數(shù)據(jù)層：負責原始安全數(shù)據(jù)的預(yù)處理，依托數(shù)據(jù)庫來存儲和管理處理后的安全數(shù)據(jù)，為業(yè)務(wù)層和展示層提供數(shù)據(jù)支持。對采集的原始數(shù)據(jù)進行清洗、過濾，剔除無效數(shù)據(jù)與重復數(shù)據(jù)，完成標準化數(shù)據(jù)格式轉(zhuǎn)化。對數(shù)據(jù)進行分類和整理，形成資產(chǎn)數(shù)據(jù)、事件數(shù)據(jù)、威脅情報等分類，建立標準化的數(shù)據(jù)模型。實現(xiàn)數(shù)據(jù)的集中式存儲與管理，構(gòu)建內(nèi)部統(tǒng)一的安全數(shù)據(jù)中心。

3）業(yè)務(wù)層：基于結(jié)構(gòu)化的安全數(shù)據(jù)，對視頻系統(tǒng)面臨的各類威脅與事件進行管理與防御，是一體化安全防護平臺的功能核心。平臺的業(yè)務(wù)模塊主要體現(xiàn)在資產(chǎn)管理、實時監(jiān)測、告警管理、安全策略管理、漏洞管理、日志管理、風險管理和系統(tǒng)管理等方面，具體如下。

資產(chǎn)管理：發(fā)現(xiàn)管理范圍內(nèi)的各類網(wǎng)絡(luò)設(shè)備、軟件系統(tǒng)、業(yè)務(wù)系統(tǒng)等資產(chǎn)，構(gòu)建資產(chǎn)庫，識別資產(chǎn)間的依賴關(guān)系。

實時監(jiān)測：通過監(jiān)測設(shè)備數(shù)據(jù)信息來展示網(wǎng)絡(luò)探測結(jié)果和事件響應(yīng)情況，使管理人員第一時間掌握網(wǎng)絡(luò)安全態(tài)勢。

告警管理：過濾無關(guān)告警、重復告警和錯誤報告，根據(jù)告警內(nèi)容和影響范圍確定優(yōu)先級，明確處理順序和響應(yīng)時間，定期對告警數(shù)量、類型、來源和處理情況等信息進行統(tǒng)計分析。

安全策略管理：根據(jù)威脅態(tài)勢和風險評估結(jié)果制定相應(yīng)的安全策略，統(tǒng)一推送與下發(fā)。實時監(jiān)控資產(chǎn)運行狀態(tài)與策略執(zhí)行情況，更新設(shè)備配置、修復新發(fā)現(xiàn)漏洞等。

漏洞管理：跟蹤管理范圍內(nèi)資產(chǎn)的漏洞信息，提供漏洞數(shù)量統(tǒng)計、高危漏洞列表等信息。

日志管理：將不同日志進行關(guān)聯(lián)分析，判斷是否與同一事件相關(guān)聯(lián)。利用日志信息對系統(tǒng)或資產(chǎn)的操作行為進行審計，判斷操作是否規(guī)范合理。

風險管理：基于資產(chǎn)管理和告警管理結(jié)果評估資產(chǎn)面臨的風險，劃定風險范圍及分布，找出高風險資產(chǎn)與控制重點。

系統(tǒng)管理：負責配置和管理安全防護平臺的設(shè)備設(shè)施以及權(quán)限管理，建立統(tǒng)一的安全機制，實現(xiàn)安全防護平臺的高效集中管理。

4）展示層：通過專業(yè)的安全管理界面實現(xiàn)對數(shù)據(jù)層數(shù)據(jù)、業(yè)務(wù)層功能與結(jié)果的集成與展示。基于大屏幕監(jiān)控墻或用戶終端，通過圖表、報表與 Web界面等多種形式，以直觀的信息或圖像形式展現(xiàn)視頻系統(tǒng)安全態(tài)勢和資產(chǎn)管理全貌。

3.2 運行機制

一體化安全防護平臺的業(yè)務(wù)機制貫穿資產(chǎn)管理、告警管理、漏洞管理、風險管理等全過程，通過漏洞修補和安全策略實行管控措施，并以直觀的形式展現(xiàn)管控效果。

1）資產(chǎn)管理機制

主要用于發(fā)現(xiàn)管理范圍內(nèi)的各類資產(chǎn)，建立資產(chǎn)管理庫，并識別資產(chǎn)間的依賴關(guān)系。采集資產(chǎn)數(shù)據(jù)，并對資產(chǎn)信息進行解析與判斷，確定資產(chǎn)的具體類型，建立資產(chǎn)分類，按資產(chǎn)的關(guān)鍵屬性完成入庫。分析資產(chǎn)間的數(shù)據(jù)流向、網(wǎng)絡(luò)連接關(guān)系與業(yè)務(wù)依賴等，生成資產(chǎn)拓撲圖。通過持續(xù)采集新的資產(chǎn)數(shù)據(jù)與變更監(jiān)控，更新資產(chǎn)管理庫，保證資產(chǎn)數(shù)據(jù)的準確性。

2）告警管理機制

主要用于對資產(chǎn)、漏洞的異常情況或超過閾值的情況實施告警。根據(jù)不同的監(jiān)控對象設(shè)定相應(yīng)的告警策略，并對資產(chǎn)運行數(shù)據(jù)、日志數(shù)據(jù)、網(wǎng)絡(luò)流量、入侵檢測結(jié)果等持續(xù)監(jiān)測，檢測到超過告警閾值的異常情況或告警，生成相應(yīng)的告警信息。同時具有告警去重機制和優(yōu)先級劃分機制，將告警事件以短信、郵件、微信推送等形式發(fā)出，對處置結(jié)果進行管理與跟蹤，根據(jù)處理情況對告警進行歸檔或更新。

3）漏洞管理機制

主要用于集中管理與展示各類漏洞的相關(guān)信息。對漏洞數(shù)據(jù)進行采集、分析和統(tǒng)計，監(jiān)測漏洞狀況的變化趨勢。根據(jù)漏洞的技術(shù)類型、危害程度、影響資產(chǎn)類別等屬性對漏洞進行分類，得到各類漏洞的具體數(shù)量。

4）風險管理機制

主要用于識別、評估和統(tǒng)計各種風險信息。識別視頻系統(tǒng)中存在的風險源，對識別出的各類風險源進行定量或定性評估，對各類安全告警、漏洞信息等分析，預(yù)估資產(chǎn)存在的風險，合理確定風險范圍。通過風險資產(chǎn)評估統(tǒng)計，識別關(guān)鍵資產(chǎn)及高風險資產(chǎn)，統(tǒng)計其數(shù)量與類型分布，是風險管理的重點防護對象。

4 關(guān)鍵技術(shù)

一體化安全防護平臺的關(guān)鍵技術(shù)主要圍繞資產(chǎn)集中管理、日志結(jié)構(gòu)化、關(guān)聯(lián)分析、協(xié)同聯(lián)動與可視化等展開。

4.1 資產(chǎn)集中管理技術(shù)

利用資產(chǎn)集中管理技術(shù)，整合不同資產(chǎn)數(shù)據(jù)，實現(xiàn)其配置、運行狀態(tài)、日志與事件信息的統(tǒng)一管理，解決不同類型資產(chǎn)信息的隔離。識別資產(chǎn)之間的依賴關(guān)系，掌握各類資產(chǎn)的使用狀況，持續(xù)審計與跟蹤資產(chǎn)的變化情況，發(fā)現(xiàn)資產(chǎn)漏洞與風險，實施集中監(jiān)控和訪問控制，有效提高資產(chǎn)及視頻系統(tǒng)的安全性。

4.2 日志結(jié)構(gòu)化處理技術(shù)

由于原始日志的格式多種多樣、不規(guī)范，無法統(tǒng)一存儲和分析[10]。通過提取日志中的關(guān)鍵字段信息，重新封裝為統(tǒng)一的結(jié)構(gòu)化格式，統(tǒng)一入庫管理，便于統(tǒng)計和分析處理、可視化與報表輸出，大大提高日志的可管理性、可操作性和可分析性，使原本獨立、格式不規(guī)范的各類日志數(shù)據(jù)實現(xiàn)關(guān)聯(lián)、集成與深入挖掘。

4.3 日志關(guān)聯(lián)分析技術(shù)

單一日志通常無法還原完整的攻擊活動過程，因此，將數(shù)據(jù)庫中各類結(jié)構(gòu)化的日志進行整合，構(gòu)建數(shù)據(jù)之間的關(guān)聯(lián)[11-13]。關(guān)聯(lián)日志時間、源地址/目標地址，追蹤威脅的來源點與傳播路徑；關(guān)聯(lián)不同設(shè)備與系統(tǒng)的日志，全面了解其運行狀態(tài)、性能指標與安全事件。

4.4 協(xié)同聯(lián)動技術(shù)

視頻系統(tǒng)中各安全設(shè)備獨立運行，無法進行有效的數(shù)據(jù)共享和功能協(xié)作，防護措施難以加成，無法針對復雜的網(wǎng)絡(luò)攻擊實現(xiàn)多層防護，安全性及威脅響應(yīng)能力較弱。因此，通過協(xié)調(diào)聯(lián)動技術(shù)，使不同安全設(shè)備互相協(xié)作，匯集不同的監(jiān)測數(shù)據(jù)與統(tǒng)計信息，構(gòu)建全面的網(wǎng)絡(luò)運行狀況視圖和威脅態(tài)勢感知，發(fā)揮協(xié)同效應(yīng)，達到“1＋1＞2”的防護管理效果。

4.5 可視化展示技術(shù)

由于安全數(shù)據(jù)具有信息量大、表現(xiàn)形式不直觀的特點，因此，利用可視化技術(shù)從大數(shù)據(jù)中提取有價值信息，統(tǒng)一數(shù)據(jù)表達方式、簡化理解，提供統(tǒng)一的管理界面，以圖表、圖形等形式直觀展示網(wǎng)絡(luò)的實時運行狀態(tài)與安全事件，快速感知安全變化，定位關(guān)鍵問題，提供豐富的交互操作。

5 現(xiàn)場應(yīng)用

為滿足濟南鐵路局的安全防護需求，在視頻區(qū)域節(jié)點應(yīng)用了安全防護平臺，用于全面監(jiān)控和管理區(qū)域網(wǎng)絡(luò)安全狀況，如圖2所示。并取得了以下安全防護效果。

圖2 部署應(yīng)用架構(gòu)Fig.2 Deployment of application architecture

1）實現(xiàn)了對區(qū)域內(nèi)所有IT資產(chǎn)的集中監(jiān)控管理，統(tǒng)一掌握車站、線路、區(qū)域等節(jié)點的視頻系統(tǒng)資產(chǎn)狀況。

2）通過監(jiān)控概覽界面如圖3所示，可以清晰全面地掌握視頻系統(tǒng)中的各類資產(chǎn)與安全情況，實現(xiàn)了安全管理的一體化和高效運轉(zhuǎn)。

圖3 監(jiān)控概覽界面Fig.3 Monitoring overview interface

3）通過資產(chǎn)管理界面如圖4所示，清晰掌握各資產(chǎn)類別和目錄下的資產(chǎn)具體分布情況及運行狀態(tài)。

圖4 資產(chǎn)管理界面Fig.4 Asset management interface

4）持續(xù)監(jiān)測區(qū)域網(wǎng)絡(luò)安全態(tài)勢，發(fā)現(xiàn)潛在威脅，并迅速響應(yīng)各類安全事件。

安全防護平臺的部署應(yīng)用，實現(xiàn)了區(qū)域視頻系統(tǒng)資產(chǎn)的集中統(tǒng)一管理，大幅提升系統(tǒng)的安防防護水平，達到了保障鐵路安全運行的目的要求。

6 結(jié)論

一體化安全防護平臺通過收集系統(tǒng)中各類資產(chǎn)信息，識別資產(chǎn)間的關(guān)聯(lián)關(guān)系，構(gòu)建資產(chǎn)全景圖。分析各類安全事件與監(jiān)控信息，挖掘隱藏在大數(shù)據(jù)背后的安全風險與問題，并以直觀方式全面展示視頻系統(tǒng)的安全全貌。平臺的成果應(yīng)用，有效提高了視頻區(qū)域安全管理水平，也為網(wǎng)絡(luò)安全管理現(xiàn)代化和智能化的推進提供了有力支撐。后續(xù)研究重點應(yīng)聚焦于移動端的接入與應(yīng)用，方便管理人員的移動執(zhí)勤與遠程管控；優(yōu)化大數(shù)據(jù)分析算法，實現(xiàn)對異常事件和潛在威脅的主動識別與響應(yīng)。