地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)設(shè)計(jì)研究

趙健 李月 宋莉 趙瑜 張亞杰

摘要：綜合監(jiān)控系統(tǒng)是當(dāng)前地鐵項(xiàng)目建設(shè)的標(biāo)配，若存在信息安全問(wèn)題可能會(huì)在后期安全運(yùn)營(yíng)中埋下安全隱患，引發(fā)各種突發(fā)事件，因此需要引起高度重視。本文結(jié)合現(xiàn)有地鐵的綜合監(jiān)控系統(tǒng)建設(shè)情況，對(duì)信息安全以及防護(hù)現(xiàn)狀進(jìn)行分析，總結(jié)信息安全的策略，以從不同層面提出詳細(xì)的信息安全監(jiān)管系統(tǒng)設(shè)計(jì)方案，從而進(jìn)一步保障地鐵良好運(yùn)行。

關(guān)鍵詞：地鐵;信息安全;綜合監(jiān)控;監(jiān)管設(shè)計(jì)

引言

隨著現(xiàn)代城市軌道交通的發(fā)展，地鐵建設(shè)技術(shù)不斷創(chuàng)新，尤其結(jié)合現(xiàn)在快速發(fā)展的人工智能、5G、云計(jì)算等新興技術(shù)，為人們出行需求帶來(lái)了極大的變革。在地鐵建設(shè)項(xiàng)目中，綜合監(jiān)控系統(tǒng)作為一套綜合機(jī)電管理系統(tǒng)，其具有監(jiān)控管理，調(diào)度維修，應(yīng)急搶修、系統(tǒng)聯(lián)動(dòng)等重要功能，其信息安全水平受到了業(yè)內(nèi)的極大關(guān)注。因此，本文結(jié)合筆者的實(shí)踐工程經(jīng)驗(yàn)，對(duì)如何進(jìn)行地鐵綜合監(jiān)控系統(tǒng)信息安全監(jiān)管設(shè)計(jì)進(jìn)行了探討。

1 地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)建設(shè)的必要性

城市軌道交通抗風(fēng)險(xiǎn)能力較弱，安全防范工作難度較大，一旦發(fā)生突發(fā)事件，可能會(huì)造成重大人員傷亡和財(cái)產(chǎn)損失，產(chǎn)生不良的社會(huì)影響。由于基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，所以信息安全成為國(guó)家安全的重要組成部分。為了保障我國(guó)關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國(guó)的基本國(guó)情，制定了等級(jí)保護(hù)制度。城市軌道交通作為國(guó)家最重要的公共基礎(chǔ)設(shè)施之一，其工業(yè)控制網(wǎng)絡(luò)龐大且復(fù)雜，它所面臨的信息安全問(wèn)題也日益嚴(yán)重，因此按照信息安全等級(jí)保護(hù)制度，提高軌道交通ISCS系統(tǒng)信息安全的工作也迫在眉睫。

2 地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)設(shè)計(jì)流程

地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)的設(shè)計(jì)流程分為五個(gè)步驟。首先是系統(tǒng)識(shí)別與定級(jí)，以確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)，其次是總體規(guī)劃，根據(jù)《信息安全等級(jí)保護(hù)基本要求》，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)保護(hù)差距性分析。通過(guò)差距性分析，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù);第三是方案設(shè)計(jì)，根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案;第四是安全建設(shè)，根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)并要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御;最后是持續(xù)安全運(yùn)維，通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。

3 地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)詳細(xì)方案

3.1網(wǎng)絡(luò)安全防護(hù)

在網(wǎng)絡(luò)安全方面，可以加強(qiáng)對(duì)訪問(wèn)控制、邊界完整性檢查、安全監(jiān)測(cè)設(shè)計(jì)以及入侵防范、統(tǒng)一管理等方面的要求。為了滿足等級(jí)保護(hù)網(wǎng)絡(luò)安全基本要求，可在控制中心的互聯(lián)系統(tǒng)接口位置，部署智能工業(yè)防火墻。部署示意圖如下：

3.2主機(jī)安全防護(hù)

監(jiān)管系統(tǒng)在主機(jī)安全防護(hù)層面，主要的防范有惡意代碼防范，入侵防范，安全審計(jì)，身份鑒別，訪問(wèn)控制等。以惡意代碼防范為例，需安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)，同時(shí)還需支持防惡意代碼的統(tǒng)一管理。

3.3 數(shù)據(jù)安全防護(hù)

監(jiān)管系統(tǒng)在數(shù)據(jù)安全防護(hù)層面，主要考慮數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等功能。其中數(shù)據(jù)完整性能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞;數(shù)據(jù)保密性，采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性;而備份和恢復(fù)，則能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)，提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。對(duì)于數(shù)據(jù)安全的其他要求，則可以根據(jù)實(shí)際情況采用通過(guò)對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全加固等措施來(lái)實(shí)現(xiàn)。

3.4 應(yīng)用運(yùn)行防護(hù)

監(jiān)管系統(tǒng)在應(yīng)用安全防護(hù)方面，可提供身份鑒別、訪問(wèn)控制、通信完整性、通信保密性、軟件容錯(cuò)以及資源控制等功能。以身份識(shí)別為例，可提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;同時(shí)也可以提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用;針對(duì)登錄失敗，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

3.5 安全運(yùn)行維護(hù)

監(jiān)管系統(tǒng)在安全運(yùn)行維護(hù)方面具體的方案主要包括威脅管理，風(fēng)險(xiǎn)評(píng)估，制定調(diào)整安全策略和網(wǎng)絡(luò)安全事件響應(yīng)機(jī)制。首先，根據(jù)針對(duì)ISCS系統(tǒng)中的設(shè)備協(xié)議、流程、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)行為等對(duì)象的整體性進(jìn)行分析，通過(guò)整套創(chuàng)新性的威脅管理科學(xué)方法，對(duì)用ISCS系統(tǒng)網(wǎng)絡(luò)執(zhí)行全面安全分析并提供專業(yè)威脅評(píng)估報(bào)告;其次，以資產(chǎn)為導(dǎo)向?qū)SCS系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，從整體上掌握ISCS系統(tǒng)安全風(fēng)險(xiǎn)態(tài)勢(shì)，以全面梳理網(wǎng)絡(luò)資產(chǎn)，了解網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)和安全隱患，并有針對(duì)性地進(jìn)行安全加固;最后制定符合ISCS系統(tǒng)業(yè)務(wù)的設(shè)備安全策略，同時(shí)應(yīng)建立安全管理機(jī)制，用管理的手段保證ISCS系統(tǒng)網(wǎng)絡(luò)安全。

四、結(jié)束語(yǔ)

總之，通過(guò)本文構(gòu)建的地鐵綜合監(jiān)控信息安全監(jiān)管系統(tǒng)，可以有效針對(duì)地鐵綜合監(jiān)控系統(tǒng)信息防護(hù)存在的安全問(wèn)題，進(jìn)行防護(hù)技術(shù)和防護(hù)策略的優(yōu)化，以進(jìn)一步提升綜合監(jiān)控系統(tǒng)的安全性，從而確保地鐵運(yùn)行的穩(wěn)定性，安全性。

參考文獻(xiàn)：

[1]郭闊，王曉玲.地鐵綜合監(jiān)控系統(tǒng)建設(shè)與信息安全防護(hù)分析[J].中國(guó)新技術(shù)新產(chǎn)品，2018（12）：31-32.

[2]張博凱.芻議地鐵自動(dòng)化系統(tǒng)的信息安全防御策略[J].通訊世界，2017（13）：270-271.

[3]肖衍，蘇立勇，劉新龍. 地鐵綜合監(jiān)控系統(tǒng)的信息安全防護(hù)[C]. 中國(guó)城市科學(xué)研究會(huì)軌道交通學(xué)組.智慧城市與軌道交通2016.中國(guó)城市科學(xué)研究會(huì)軌道交通學(xué)組：北京國(guó)建信文化發(fā)展中心，2016：383-386.

作者簡(jiǎn)介：

趙健（1984-），男，深圳市賽為智能股份有限公司技術(shù)中心技術(shù)總監(jiān)，兼任馬鞍山學(xué)院軌道交通信號(hào)與控制專業(yè)負(fù)責(zé)人，安徽省教育廳軌道交通自動(dòng)化重點(diǎn)實(shí)驗(yàn)室副主任，碩士學(xué)歷，工程師職稱，研究方向?yàn)槌鞘熊壍澜煌ā?/p>

課題來(lái)源：馬鞍山學(xué)院軌道交通自動(dòng)化安徽高校聯(lián)合重點(diǎn)實(shí)驗(yàn)室2019年度重點(diǎn)科研項(xiàng)目《基于Wincc OA的綜合監(jiān)控系統(tǒng)設(shè)備維護(hù)管理系統(tǒng)（DMS）開(kāi)發(fā)研究》（項(xiàng)目編號(hào)KJ2019A0918）、2020年度重點(diǎn)科研項(xiàng)目《基于Wincc OA的綜合監(jiān)控系統(tǒng)培訓(xùn)管理系統(tǒng)（TMS）開(kāi)發(fā)研究》（項(xiàng)目編號(hào)KJ2020A0847）

[1]馬鞍山學(xué)院軌道交通自動(dòng)化安徽高校聯(lián)合重點(diǎn)實(shí)驗(yàn)室，安徽 馬鞍山? 243000;

[2][2]深圳市賽為智能股份有限公司，廣東 深圳? 518000;

[3]合肥賽為智能有限公司，安徽 合肥? 230000