轨道交通监控系统信息安全建设方案

摘要：随着城市轨道交通的高速发展，各类安全问题也日益突出，其中城市轨道交通综合监控系统由于需要处理大量外部接口数据，所面临的安全风险尤为突出。详细介绍了基于三级等保的信息安全管理体系，并在此基础上提出了综合监控系统信息安全建设的要求及目标，并从技术方案和管理方案两个层面入手，详细阐述了综合监控系统安全防护的设计及建设方案。

关键词：城市轨道交通；综合监控系统；安全防护；三级等保

进入21世纪后，大型城市在城市空间结构的优化、城市交通拥挤状况的缓解、城市环境保护等诸多方面均面临着不少的挑战和难题，而城市轨道交通的高速发展为解决上述问题提供了一条有益的途径。但与城市轨道交通高速发展相伴而生的各种安全问题及安全风险也日渐突显。其中，综合监控系统集成和互联了轨道交通众多信息化系统，往往面临较之传统信息化系统更为严峻的网络安全问题。因此对于城市轨道交通综合监控系统的建设，要从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长生命周期的各个阶段考虑网络安全问题，要在综合监控系统建设的同时，同步做好系统的信息安全建设工作。

1综合监控信息安全建设目标

综合监控系统的信息安全建设目标，应结合相应的政策法规、国家标准、行业成功经验及项目建设面临的实际安全风险出发。综合上述视角，要真正做到综合监控系统的网络安全，应按照《计算机信息系统安全保护等级划分准则》中相关要求，将等级保护建设的思路作为最佳实践，以组织制度保障结合有效的技术措施：建立健全综合监控系统的信息安全管理制度和信息安全管理机构，完善信息安全管理体制；建立综合监控系统信息安全纵深防御技术体系，从网络结构到内部流量行为、再到主机本体的全方位技术防护措施，提供三级等级保护要求的相应软硬件及完整的信息安全设计，从而保障综合监控系统平稳、安全、高效运行。

2基于三级等保的信息安全管理体系

根据GB／T22239－2008《信息安全技术信息系统安全等级保护基本要求》、GB／T22240－2008《信息安全技术信息系统安全等级保护定级指南》、GB／T28448－2012《信息安全技术信息系统安全等级保护测评要求》等相关标准，将等级保护分为技术和管理两大模块，其中技术部分包含：网络安全、主机安全、应用安全、数据安全及备份恢复、运维管理共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、物理环境管理五个方面。如图1所示。信息安全管理以多个子策略构成了三层结构的完备体系，采用自顶向下的树型结构，顶部把握原则方向等宏观层面，向下逐步过渡到具体措施等微观层面。在信息安全管理树型结构中，树顶代表了信息安全管理体系的最高纲领，是对整个安全管理体系的必要性、基本原则及宏观策略的阐述，以凝练的语言描述了信息安全在技术和管理两个方面的内容。树干部分代表了一系列的管理规定和技术规范，是对最高纲领的分解和进一步阐述，侧重于具体要求的实现方法及途径，并总结在技术和管理方面的共性问题，以更好的指导安全工作；树根部分代表了操作层面，基于树顶和树干的相关策略要求，在树根层面要与实际的网络和应用环境相结合，以闭环、动态作为基本的管理原则，编制具体的细则、流程，具备最直观的可操作性。

3综合监控安全防护技术方案设计

3．1防护总体思路

为满足综合监控系统信息安全防护建设中的若干需求，采用某品牌的工业防火墙、工业审计系统、入侵防御系统、工业漏扫系统、统一运维管理平台、数据库审计系统、工业监管平台系统等硬件设备及工业卫士软件产品分别在控制中心、车站、车辆段等节点及设备维护系统、仿真测试平台、培训系统等系统按需部署安全防护措施，达到等保合规并解决安全隐患的方案效果。根据需求背景和等保技术防护思想，通过技术手段实现的防护主要包含如下几个层面：1）安全区域边界：通过安全设备及网络设备合理划分安全域，实施访问控制及攻击防护满足等保中网络安全的部分要求；2）安全通信网络：通过旁路监听与智能分析技术，对系统的控制、采集请求，数据库存取、系统运维等关键行为进行审计，对攻击及时预警，满足等保中网络安全部分关于安全审计的相关要求；3）安全计算环境：通过符合工业特色的终端安全防护软件对综合监控系统中使用的计算终端进行保护，防止误中病毒等情况的出现，配合系统自身的安全性有关设计，满足等级保护中关于主机安全、应用安全及数据安全的相关需求；4）安全管理中心：通过综合的安全管理平台，实现对安全产品日志的统一采集、分析及主要防护设备的统一运维，形成综合监控系统中的安全运营中心，统一维护日常的信息安全防护，对安全事件的应急处置、攻击行为的发现提供技术支撑。

3．2安全区域边界

（1）控制中心边界防护在控制中心端，应划分为办公自动化系统互联区域、线网中心互联区域、培训系统区域、仿真测试系统区域、综合监控系统和子系统互联区域。根据所隔离区域间的流量特征和防护需求，办公自动化系统系统区域应采用具备访问控制功能的入侵防御系统进行隔离，其他区域间采用工业防火墙进行隔离。具体部署位置为包括：线网中心外部系统与中心综合监控连接处、前置通讯机与中心综合监控系统接口处、网管系统交换机上联处、仿真测试系统交换机上联处，如图2所示。（2）车站边界防护在车站端，应划分为综合监控系统内部区域和系统互联区域，根据所隔离区域间的流量特征和防护需求，区域间采用工业防火墙进行隔离，具体部署位置为通讯前置机与监控系统内网之间，如图3所示。（3）车辆段边界防护在车辆段，应划分为培训系统安全域、设备维护系统安全域、综合监控系统内部区域和系统互联区域，根据所隔离区域间的流量特征和防护需求，区域间采用工业防火墙进行隔离，具体部署位置为设备维护系统交换机上联处、培训系统交换机上联处、前置通讯机与监控系统内网之间，如图4所示。

3．3安全通信网络

（1）控制中心网络风险分析控制中心的安全通信网络保障通过工业审计系统和数据库审计系统的部署实现，工业审计通过旁路模式部署，通过交换机镜像流量方式获取数据源进行分析，根据业务需求，工业审计系统分别部署在控制中心主交换机、软件测试平台内部及网络管理系统内部，见图2。其中，部署在控制中心骨干网络的工业审计采用双机部署保障对风险的不间断识别；网络管理系统与软件测试平台安全域内部的工业审计采用单机部署。此外，数据库审计系统通过旁路部署的方式，部署在网络管理系统安全域内，通过该系统对数据库所面临的风险进行多方位的评估，还可以通过审计功能对数据库所有操作进行审计，提供事后追查机制。（2）车站网络风险分析车站的安全通信网络保障通过工业审计系统的部署实现，工业审计采用旁路模式部署，通过镜像流量进行分析，采用双机保障对风险的不间断识别，见图3。（3）车辆段网络风险分析车辆段的安全通信网络保障通过工业审计系统的部署实现，工业审计通过旁路模式部署，通过交换机镜像流量方式获取数据源进行分析，根据业务需求，工业审计系统分别部署在车辆段主交换机、培训系统内部及设备维护系统内部，见图4。其中，部署在车辆段主干网络的工业审计采用双机部署保障对风险的不间断识别；设备维护系统与培训系统安全域内部的工业审计采用单级部署。

3．4安全计算环境

在控制中心、车辆段及车站对工业终端及工业终端承载的应用业务、核心数据的防护通过在终端部署工业卫士软件实现，需要在控制中心、车辆段、车站的各类工作站、值班站、服务器上部署工业卫士。工业卫士采用轻量级的软件“白名单”机制，仅允许运行受信任的PE文件，完善相应的加固策略，提升安全级别，有效阻止病毒、木马等恶意软件的执行和被利用，实现工控主机从启动、加载、运行等过程全生命周期的安全保障。同时对USB端口等接口进行全面管控，U盘等未授权设备无法接入终端计算机，有效防范通过USB接口发起的高级攻击。综合监控系统在控制中心网络管理系统机房中设置了信息安全管理中心，可以利用其对全部信息安全设备进行整体而全面的管控。

3．5安全管理中心

安全管理中心在网络管理系统中部署，由工业监管平台，工业漏洞扫描系统、统一运维管理平台等系统组成。其中，工业监管平台（信息安全管理平台设备及软件）负责对日志的采集分析、对资产、风险的管理，对安全事件的处置分析和对主要安全设备、软件的统一运维。工业漏洞扫描系统通过定期扫描的形式发掘系统中存在的漏洞、问题。统一运维管理平台为运维堡垒机系统，对系统的运维操作进行审计和管理。

4结束语

本文针对综合监控系统进行了符合等级保护（三级）要求的建设方案设计。方案根据等级保护（三级）的要求设计了基于综合监控系统内生特性的安全防护体系，对控制中心、车站、车辆段、培训中心、网管中心、维护管理系统等从网络边界安全、网络通信安全、主机安全及综合安全运维方面，进行了合理的安全部署设计和安全服务咨询设想，为今后轨道交通综合监控项目安全防护建设提供了参考。

参考文献

［1］青岚昊．城市轨道交通信息网络安全设计［J］．铁路通信信号工程技术，2011（4）：53－55，64

［2］阿曼江•阿不都外力．计算机网络信息安全及其防护措施［J］．新疆职业大学学报，2012（3）：70－72

［3］于力．防火墙与计算机安全研究［J］．软件导刊，2010（2）：127－129

［4］张冬．信息安全中等级保护三级系统应用设计［J］．信息与电脑，2016（21）：145－146

作者：林晓伟 单位：国电南瑞科技股份有限公司