謝永俊

摘 要：隨著社會的發(fā)展和進步，我國城市軌道交通也快速不斷向前發(fā)展，在城市交通快速發(fā)展背景下，隨之而來的是各種安全問題的不斷出現，由于城市軌道交通綜合監(jiān)控系統(tǒng)要對大量外部接口數據進行處理，因此，在這個過程中面臨的風險問題也越來越突出。文章首先對基于三級等保信息安全管理體系進行了簡單的介紹，然后在此基礎上對綜合監(jiān)控系統(tǒng)信息安全建設提出了一些目標和要求，最后結合管理和技術方案兩個方面，對城市軌道交通綜合監(jiān)控系統(tǒng)安全防護提出了一些建設方案。

關鍵詞：城市軌道交通;安全防護;綜合監(jiān)控系統(tǒng);信息安全

1 三級等保信息安全管理體系介紹

信息安全管理體系分為技術和管理兩個模塊（如圖1所示），是由多個子策略構成的三層結構體系，其使用的是自頂向下樹型結構，其頂部主要是對原則方向宏觀層面來進行把握，然后再逐漸向下過渡到具體措施微觀層面[1]。在這個安全管理樹型結構中，其中樹頂表示的是體系中的最高綱領，同時也是對安全管理宏觀策略、基本原則等的闡述，通過使用簡練的語言，將信息安全管理及技術內容描述了出來。其樹干則表示的是技術規(guī)范和管理規(guī)定，是對最高綱領的深入闡述和分解，注重要求實現的途徑和方法。同時也對技術與管理之間存在的共性進行總結，從而對安全工作進行有效的指導。而樹枝表示的是操作層面，在樹干與樹頂有關策略要求下，使應用環(huán)境、實際網絡與樹根層面進行良好的結合，并將動態(tài)作為管理的基本原則，制定詳細具體的相關流程和一些細節(jié)部分，保障制定的方案具有良好的可操作性。

2 綜合監(jiān)控安全防護方案設計

2.1 總體思路

為了能夠進一步滿足綜合監(jiān)控系統(tǒng)安全防護建設中的需求，通過利用工業(yè)防火墻、數據庫審計系統(tǒng)、仿真測試平臺、入侵防御系統(tǒng)等一些系統(tǒng)，結合其需求有效部署安全防護措施，從而將安全隱患及時地解決掉[2]。

按照安全建設需求的背景以及等保防護思想，利用技術手段有效實現安全防護，主要包括下面幾個方面：（1）安全區(qū)域邊界，對網絡設備和安全設備的安全區(qū)域進行科學合理的劃分，進而對攻擊和控制網絡安全部分要求進行實施訪問。（2）安全通信網絡，利用智能分析技術和旁路監(jiān)聽技術，正確審計系統(tǒng)采集與控制請求，記憶系統(tǒng)運維等一些關鍵性行為，當攻擊的時候做到及時的預警，有效滿足等保中先關安全審計要求。（3）安全計算環(huán)境，利用與工業(yè)特色相符合的終端安全防護軟件，有效保護好綜合監(jiān)控系統(tǒng)所應用的計算終端，避免應用過程中出現中病毒的現象，然后與自身系統(tǒng)安全設計相配合，有效滿足等級保護中相關數據安全需求。（4）安全管理中心，利用綜合安全管理平臺，使安全產品日志實現統(tǒng)一采集，防護設備等實現統(tǒng)一運維，進而形成安全運營中心，在對安全事件進行應急處理、發(fā)現攻擊行為過程中，統(tǒng)一化的信息安全防護為其提供了一定的技術支撐。

2.2 安全區(qū)域邊界

（1）對控制中心邊界防護進行控制?？刂浦行亩?，應將其劃分成為仿真測試系統(tǒng)區(qū)域、自動化系統(tǒng)互聯區(qū)域、培訓系統(tǒng)區(qū)域等區(qū)域。然后結合隔離區(qū)域防護需求和流量特點，辦公自動化區(qū)域在隔離的時候，應該利用具有訪問控制功能入侵系統(tǒng)隔離，而其它的一些區(qū)域需要利用工業(yè)防火墻隔離。

（2）車站邊界防護在車站端，其應該劃分系統(tǒng)互聯區(qū)域、綜合監(jiān)控系統(tǒng)內部區(qū)域，然后在結合隔離區(qū)域防護有關需求及流量特征，利用工業(yè)防火墻來對區(qū)域間實施隔離。

（3）車輛段邊界防護應該在車輛段，其劃分區(qū)域主要為系統(tǒng)互聯區(qū)域、設備維護系統(tǒng)安全區(qū)域等，結合隔離區(qū)域間防護需求及流量特點，利用工業(yè)防火墻來對區(qū)域間進行隔離。

2.3 安全通信網絡

（1）控制中心網絡風險控制分析在控制中心中，其安全通信網絡保障，是利用數據審計、工業(yè)審計兩個系統(tǒng)的部署而實現的，其中工業(yè)審計在部署的時候，是利用旁路模式來部署的，其數據源的獲取，是利用交換機鏡像流量方式獲取分析的，然后在按照業(yè)務相關的需求，在軟件測試平臺內部、網絡管理系統(tǒng)內部等分別部署了工業(yè)審計系統(tǒng)。

在中心骨干網絡中所部署的工業(yè)審計，通過雙機部署保障，從而不斷的識別風險，而軟件測試平臺區(qū)域以及網絡管理系統(tǒng)，其工業(yè)審計部署的時候，是通過單機來部署的。另外，在網絡管理系統(tǒng)安全區(qū)域內，部署著數據審計系統(tǒng)，其部署的時候是通過旁路部署方式部署的，然后通過全方位評估該系統(tǒng)數據庫中的風險，再利用審計功能，審計數據庫中全部操作，為事后提供了追查機制。

（2）車站網絡風險分析。車站安全通信網絡能夠實現良好的保障，主要是在工業(yè)審計系統(tǒng)部署下而實現的，利用旁路模式來對其進行部署，同時利用鏡像流量分析，在對其風險識別的時候，通過雙機保障來進行不間斷識別。

（3）車輛段網絡風險分析。車輛段安全通信網絡保障，也是在工業(yè)審計系統(tǒng)部署下而實現的，其利用旁路模式來進行部署，其數據獲取和分析是通過交換機鏡像流量來進行的，結合業(yè)務實際需求，在設備維護系統(tǒng)內部、車輛段主交換機以及培訓系統(tǒng)內部等分別部署了工業(yè)審計系統(tǒng)，而車輛主干網絡工業(yè)審計部署的過程中，是通過雙機部署來不間斷識別風險的，培訓系統(tǒng)及設備維護系統(tǒng)則是通過單機來進行部署的。

2.4 安全計算環(huán)境

控制中心、車站、車輛段對工業(yè)終端及其所承載的額核心數據、應用業(yè)務防護，都是通過終端部署工業(yè)衛(wèi)士軟件來實現的，而且其工業(yè)衛(wèi)士的部署需要在車站、車輛段、控制中心中的服務器、值班站以及工作站來進行部署。而工業(yè)衛(wèi)士通過輕量級軟件“白名單”機制，只需運行受信任的PE文件，就可以對相應的加固策略進行完善，進而進一步提高安全級別，防止木馬、病毒等一些惡意軟件的侵入，進而使工控主機從啟動開始，一直到運行整個全生命周期的安全得到良好保障。另外，通過全面管控接口和USB接口，這樣一些沒有經過授權的設備則無法接入到計算機終端，進一步防范了通過USB接口發(fā)起的高級攻擊。在綜合監(jiān)控系統(tǒng)中，將信息安全管理中心有效的設置在控制中心網絡管理系統(tǒng)機房中，則可以實現對信息安全設備進行整體的管控。

2.5 安全管理中心

安全管理中心，是在網絡管理系統(tǒng)中進行部署的，由統(tǒng)一運維管理平臺、工業(yè)監(jiān)管平臺等系統(tǒng)組成。工業(yè)監(jiān)管平臺負責對日志的采集分析，對資產、風險的管理，并負責軟件和安全設備的統(tǒng)一運維，及分析安全事件的處置。而統(tǒng)一運維管理平臺則主要是管理和審計運維系統(tǒng)的操作。

3 結語

文章基于三級等保信息安全管理體系，然后在此基礎上對城市軌道交通綜合監(jiān)控系統(tǒng)信息安全建設提出了一些目標和要求，最后結合管理和技術方案兩個方面，對城市軌道交通綜合監(jiān)控系統(tǒng)安全防護提出了一些建設方案。希望可以為城市軌道交通綜合監(jiān)控安全防護提供一些參考。

參考文獻：

[1]湯石男.高實時性地鐵綜合監(jiān)控系統(tǒng)的安全防護方案研究[J].信息安全研究，2019，5（8）：691-695.

[2]李寅，李佑文，褚紅健.基于并行對象管理服務的城市軌道交通綜合監(jiān)控系統(tǒng)容錯機制設計[J].江蘇科技信息，2020，37（1）：61-63.