鐵路綜合視頻一體化安全防護(hù)平臺(tái)研究

艾博慧

(通號(hào)通信信息集團(tuán)有限公司，北京 100070)

鐵路綜合視頻監(jiān)控系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)視記錄鐵路運(yùn)營(yíng)情況和行車(chē)安全的信息，為鐵路安全運(yùn)營(yíng)提供重要的輔助手段。其安全性一直備受高度關(guān)注，特別是近年來(lái)等級(jí)保護(hù)制度的實(shí)施，對(duì)其安全防護(hù)提出了更高要求。近年來(lái)，中國(guó)國(guó)家鐵路集團(tuán)有限公司積極推進(jìn)鐵路通信網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)，已陸續(xù)制定和發(fā)布一系列網(wǎng)絡(luò)安全技術(shù)規(guī)范標(biāo)準(zhǔn)。其中《鐵路通信網(wǎng)絡(luò)安全技術(shù)要求 第4部分綜合鐵路視頻系統(tǒng)》（Q/CR 783.4-2021）規(guī)范[1]，從標(biāo)準(zhǔn)層面強(qiáng)化和規(guī)范鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的建設(shè)要求。

為應(yīng)對(duì)鐵路綜合視頻監(jiān)控系統(tǒng)面臨的嚴(yán)峻網(wǎng)絡(luò)安全威脅，單一的防護(hù)手段是遠(yuǎn)遠(yuǎn)不夠的。任啟軍等專(zhuān)家[2]研究了一種視頻安全防護(hù)平臺(tái)，通過(guò)采取分層防御、多元防御等措施，集中管理各類(lèi)安全設(shè)備和構(gòu)建設(shè)備之間的聯(lián)動(dòng)，將點(diǎn)狀防御手段提升為全方位防控手段。要從物理環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)[3]等各個(gè)角度入手，構(gòu)建全面的安全防護(hù)體系，融合多種安全手段與管理措施，提高整體安全防御能力。

本文在滿足視頻監(jiān)控業(yè)務(wù)安全需求的基礎(chǔ)上，從整體上分析和設(shè)計(jì)一套較為完整的安全防護(hù)方案與平臺(tái)架構(gòu)。從資產(chǎn)、策略、風(fēng)險(xiǎn)、漏洞與事件等多個(gè)維度入手，深入管控資產(chǎn)的每個(gè)環(huán)節(jié)，保障鐵路綜合視頻監(jiān)控系統(tǒng)的安全穩(wěn)定運(yùn)行。

1 現(xiàn)狀分析

鐵路綜合視頻監(jiān)控系統(tǒng)（簡(jiǎn)稱(chēng)視頻系統(tǒng)）是一個(gè)龐大的、功能豐富的網(wǎng)絡(luò)化信息系統(tǒng)，內(nèi)部部署大量的網(wǎng)絡(luò)設(shè)備、監(jiān)控硬件與軟件系統(tǒng)，其網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀主要體現(xiàn)在以下幾點(diǎn)。

1）缺乏統(tǒng)一監(jiān)管的安全防護(hù)措施。各類(lèi)資產(chǎn)自身已采取一定的安全防護(hù)基礎(chǔ)措施，然而網(wǎng)絡(luò)中的資產(chǎn)往往較為分散與獨(dú)立，資產(chǎn)之間相互隔離，安全防護(hù)措施難以在視頻系統(tǒng)內(nèi)統(tǒng)一規(guī)劃與應(yīng)用。

2）安全防護(hù)范圍有限。安全設(shè)備主要在網(wǎng)絡(luò)邊界形成外圍防護(hù)墻，無(wú)法覆蓋內(nèi)部區(qū)域，使網(wǎng)絡(luò)內(nèi)核心資產(chǎn)的防護(hù)仍面臨較大風(fēng)險(xiǎn)。而且其防護(hù)功能獨(dú)立、散落，缺乏協(xié)調(diào)聯(lián)動(dòng)機(jī)制，一旦某設(shè)備失效，網(wǎng)絡(luò)安全防線將出現(xiàn)較大漏洞，難以得到及時(shí)修補(bǔ)。

3）安全評(píng)估不系統(tǒng)。無(wú)法準(zhǔn)確判斷視頻系統(tǒng)當(dāng)前面臨的主要安全威脅與風(fēng)險(xiǎn)，安全防護(hù)措施的制定針對(duì)性不強(qiáng)，容易產(chǎn)生較大的防護(hù)漏洞。

綜上所述，現(xiàn)階段視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)主要采取分散的安全措施和各類(lèi)安全設(shè)備的外圍防護(hù)，導(dǎo)致安全資源耦合度低，威脅檢測(cè)相對(duì)滯后，安全響應(yīng)周期過(guò)長(zhǎng)，安全管理難以統(tǒng)一，安全狀況不易掌控。因此，構(gòu)建一體化安全防護(hù)平臺(tái)，實(shí)現(xiàn)資產(chǎn)、事件、威脅之間的有效關(guān)聯(lián)，使安全防護(hù)工作由被動(dòng)應(yīng)急轉(zhuǎn)為主動(dòng)防御[4]，共同推動(dòng)安全防護(hù)的智能化與動(dòng)態(tài)化。

2 設(shè)計(jì)思路

一體化安全防護(hù)平臺(tái)的設(shè)計(jì)思路應(yīng)以保證視頻系統(tǒng)的網(wǎng)絡(luò)安全[5]管理為核心，從資產(chǎn)采集入手，至數(shù)據(jù)支撐和可視化應(yīng)用終止，共同構(gòu)建一體化的安全管理與防護(hù)體系。

1）構(gòu)建統(tǒng)一的安全數(shù)據(jù)支撐中心。采集各類(lèi)安全數(shù)據(jù)，如網(wǎng)絡(luò)設(shè)備信息、運(yùn)行狀態(tài)、流量日志和事件報(bào)警等，建立結(jié)構(gòu)化數(shù)據(jù)中心。

2）構(gòu)建視覺(jué)化的安全數(shù)據(jù)管理。通過(guò)對(duì)資產(chǎn)運(yùn)行狀態(tài)與事件的持續(xù)監(jiān)測(cè)，識(shí)別資產(chǎn)風(fēng)險(xiǎn)與異常情況，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況的實(shí)時(shí)監(jiān)測(cè)與態(tài)勢(shì)感知。

3）部署智能化的管控功能。通過(guò)自動(dòng)化地實(shí)施隔離、修復(fù)等響應(yīng)，實(shí)施主動(dòng)防御。如安全策略制定與推送、網(wǎng)絡(luò)訪問(wèn)控制、防火墻與IPS配置、網(wǎng)絡(luò)設(shè)備健康管理等。

因此，一體化安全防護(hù)平臺(tái)采用系統(tǒng)化設(shè)計(jì)思路，加強(qiáng)資產(chǎn)管理與數(shù)據(jù)采集，實(shí)施主動(dòng)防御與管控，實(shí)現(xiàn)視頻系統(tǒng)的安全可見(jiàn)、可控與可管[6]。

3 系統(tǒng)設(shè)計(jì)

3.1 總體架構(gòu)

一體化安全防護(hù)平臺(tái)的總體架構(gòu)可以分為采集層、數(shù)據(jù)層、業(yè)務(wù)層和展示層4部分。采集層采集數(shù)據(jù)，數(shù)據(jù)層存儲(chǔ)和處理數(shù)據(jù)，業(yè)務(wù)層實(shí)現(xiàn)安全管理與控制，展示層直觀呈現(xiàn)業(yè)務(wù)處理操作與結(jié)果展示，如圖1所示。

圖1 總體邏輯架構(gòu)Fig.1 Overall logical architecture

1）采集層：主要負(fù)責(zé)各種相關(guān)安全數(shù)據(jù)的采集，重點(diǎn)在于數(shù)據(jù)的獲取。通過(guò)標(biāo)準(zhǔn)化的采集接口或代理方式[7-9]，定期采集服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資產(chǎn)的配置信息、運(yùn)行狀態(tài)等資產(chǎn)管理數(shù)據(jù)；以及操作日志、訪問(wèn)日志、安全日志等管理數(shù)據(jù)和流量信息統(tǒng)計(jì)數(shù)據(jù)；從公開(kāi)渠道采集網(wǎng)絡(luò)威脅、漏洞、病毒等威脅情報(bào)數(shù)據(jù)。實(shí)現(xiàn)對(duì)異構(gòu)數(shù)據(jù)源的統(tǒng)一采集，形成安全數(shù)據(jù)池。

2）數(shù)據(jù)層：負(fù)責(zé)原始安全數(shù)據(jù)的預(yù)處理，依托數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)和管理處理后的安全數(shù)據(jù)，為業(yè)務(wù)層和展示層提供數(shù)據(jù)支持。對(duì)采集的原始數(shù)據(jù)進(jìn)行清洗、過(guò)濾，剔除無(wú)效數(shù)據(jù)與重復(fù)數(shù)據(jù)，完成標(biāo)準(zhǔn)化數(shù)據(jù)格式轉(zhuǎn)化。對(duì)數(shù)據(jù)進(jìn)行分類(lèi)和整理，形成資產(chǎn)數(shù)據(jù)、事件數(shù)據(jù)、威脅情報(bào)等分類(lèi)，建立標(biāo)準(zhǔn)化的數(shù)據(jù)模型。實(shí)現(xiàn)數(shù)據(jù)的集中式存儲(chǔ)與管理，構(gòu)建內(nèi)部統(tǒng)一的安全數(shù)據(jù)中心。

3）業(yè)務(wù)層：基于結(jié)構(gòu)化的安全數(shù)據(jù)，對(duì)視頻系統(tǒng)面臨的各類(lèi)威脅與事件進(jìn)行管理與防御，是一體化安全防護(hù)平臺(tái)的功能核心。平臺(tái)的業(yè)務(wù)模塊主要體現(xiàn)在資產(chǎn)管理、實(shí)時(shí)監(jiān)測(cè)、告警管理、安全策略管理、漏洞管理、日志管理、風(fēng)險(xiǎn)管理和系統(tǒng)管理等方面，具體如下。

資產(chǎn)管理：發(fā)現(xiàn)管理范圍內(nèi)的各類(lèi)網(wǎng)絡(luò)設(shè)備、軟件系統(tǒng)、業(yè)務(wù)系統(tǒng)等資產(chǎn)，構(gòu)建資產(chǎn)庫(kù)，識(shí)別資產(chǎn)間的依賴(lài)關(guān)系。

實(shí)時(shí)監(jiān)測(cè)：通過(guò)監(jiān)測(cè)設(shè)備數(shù)據(jù)信息來(lái)展示網(wǎng)絡(luò)探測(cè)結(jié)果和事件響應(yīng)情況，使管理人員第一時(shí)間掌握網(wǎng)絡(luò)安全態(tài)勢(shì)。

告警管理：過(guò)濾無(wú)關(guān)告警、重復(fù)告警和錯(cuò)誤報(bào)告，根據(jù)告警內(nèi)容和影響范圍確定優(yōu)先級(jí)，明確處理順序和響應(yīng)時(shí)間，定期對(duì)告警數(shù)量、類(lèi)型、來(lái)源和處理情況等信息進(jìn)行統(tǒng)計(jì)分析。

安全策略管理：根據(jù)威脅態(tài)勢(shì)和風(fēng)險(xiǎn)評(píng)估結(jié)果制定相應(yīng)的安全策略，統(tǒng)一推送與下發(fā)。實(shí)時(shí)監(jiān)控資產(chǎn)運(yùn)行狀態(tài)與策略執(zhí)行情況，更新設(shè)備配置、修復(fù)新發(fā)現(xiàn)漏洞等。

漏洞管理：跟蹤管理范圍內(nèi)資產(chǎn)的漏洞信息，提供漏洞數(shù)量統(tǒng)計(jì)、高危漏洞列表等信息。

日志管理：將不同日志進(jìn)行關(guān)聯(lián)分析，判斷是否與同一事件相關(guān)聯(lián)。利用日志信息對(duì)系統(tǒng)或資產(chǎn)的操作行為進(jìn)行審計(jì)，判斷操作是否規(guī)范合理。

風(fēng)險(xiǎn)管理：基于資產(chǎn)管理和告警管理結(jié)果評(píng)估資產(chǎn)面臨的風(fēng)險(xiǎn)，劃定風(fēng)險(xiǎn)范圍及分布，找出高風(fēng)險(xiǎn)資產(chǎn)與控制重點(diǎn)。

系統(tǒng)管理：負(fù)責(zé)配置和管理安全防護(hù)平臺(tái)的設(shè)備設(shè)施以及權(quán)限管理，建立統(tǒng)一的安全機(jī)制，實(shí)現(xiàn)安全防護(hù)平臺(tái)的高效集中管理。

4）展示層：通過(guò)專(zhuān)業(yè)的安全管理界面實(shí)現(xiàn)對(duì)數(shù)據(jù)層數(shù)據(jù)、業(yè)務(wù)層功能與結(jié)果的集成與展示。基于大屏幕監(jiān)控墻或用戶終端，通過(guò)圖表、報(bào)表與 Web界面等多種形式，以直觀的信息或圖像形式展現(xiàn)視頻系統(tǒng)安全態(tài)勢(shì)和資產(chǎn)管理全貌。

3.2 運(yùn)行機(jī)制

一體化安全防護(hù)平臺(tái)的業(yè)務(wù)機(jī)制貫穿資產(chǎn)管理、告警管理、漏洞管理、風(fēng)險(xiǎn)管理等全過(guò)程，通過(guò)漏洞修補(bǔ)和安全策略實(shí)行管控措施，并以直觀的形式展現(xiàn)管控效果。

1）資產(chǎn)管理機(jī)制

主要用于發(fā)現(xiàn)管理范圍內(nèi)的各類(lèi)資產(chǎn)，建立資產(chǎn)管理庫(kù)，并識(shí)別資產(chǎn)間的依賴(lài)關(guān)系。采集資產(chǎn)數(shù)據(jù)，并對(duì)資產(chǎn)信息進(jìn)行解析與判斷，確定資產(chǎn)的具體類(lèi)型，建立資產(chǎn)分類(lèi)，按資產(chǎn)的關(guān)鍵屬性完成入庫(kù)。分析資產(chǎn)間的數(shù)據(jù)流向、網(wǎng)絡(luò)連接關(guān)系與業(yè)務(wù)依賴(lài)等，生成資產(chǎn)拓?fù)鋱D。通過(guò)持續(xù)采集新的資產(chǎn)數(shù)據(jù)與變更監(jiān)控，更新資產(chǎn)管理庫(kù)，保證資產(chǎn)數(shù)據(jù)的準(zhǔn)確性。

2）告警管理機(jī)制

主要用于對(duì)資產(chǎn)、漏洞的異常情況或超過(guò)閾值的情況實(shí)施告警。根據(jù)不同的監(jiān)控對(duì)象設(shè)定相應(yīng)的告警策略，并對(duì)資產(chǎn)運(yùn)行數(shù)據(jù)、日志數(shù)據(jù)、網(wǎng)絡(luò)流量、入侵檢測(cè)結(jié)果等持續(xù)監(jiān)測(cè)，檢測(cè)到超過(guò)告警閾值的異常情況或告警，生成相應(yīng)的告警信息。同時(shí)具有告警去重機(jī)制和優(yōu)先級(jí)劃分機(jī)制，將告警事件以短信、郵件、微信推送等形式發(fā)出，對(duì)處置結(jié)果進(jìn)行管理與跟蹤，根據(jù)處理情況對(duì)告警進(jìn)行歸檔或更新。

3）漏洞管理機(jī)制

主要用于集中管理與展示各類(lèi)漏洞的相關(guān)信息。對(duì)漏洞數(shù)據(jù)進(jìn)行采集、分析和統(tǒng)計(jì)，監(jiān)測(cè)漏洞狀況的變化趨勢(shì)。根據(jù)漏洞的技術(shù)類(lèi)型、危害程度、影響資產(chǎn)類(lèi)別等屬性對(duì)漏洞進(jìn)行分類(lèi)，得到各類(lèi)漏洞的具體數(shù)量。

4）風(fēng)險(xiǎn)管理機(jī)制

主要用于識(shí)別、評(píng)估和統(tǒng)計(jì)各種風(fēng)險(xiǎn)信息。識(shí)別視頻系統(tǒng)中存在的風(fēng)險(xiǎn)源，對(duì)識(shí)別出的各類(lèi)風(fēng)險(xiǎn)源進(jìn)行定量或定性評(píng)估，對(duì)各類(lèi)安全告警、漏洞信息等分析，預(yù)估資產(chǎn)存在的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)范圍。通過(guò)風(fēng)險(xiǎn)資產(chǎn)評(píng)估統(tǒng)計(jì)，識(shí)別關(guān)鍵資產(chǎn)及高風(fēng)險(xiǎn)資產(chǎn)，統(tǒng)計(jì)其數(shù)量與類(lèi)型分布，是風(fēng)險(xiǎn)管理的重點(diǎn)防護(hù)對(duì)象。

4 關(guān)鍵技術(shù)

一體化安全防護(hù)平臺(tái)的關(guān)鍵技術(shù)主要圍繞資產(chǎn)集中管理、日志結(jié)構(gòu)化、關(guān)聯(lián)分析、協(xié)同聯(lián)動(dòng)與可視化等展開(kāi)。

4.1 資產(chǎn)集中管理技術(shù)

利用資產(chǎn)集中管理技術(shù)，整合不同資產(chǎn)數(shù)據(jù)，實(shí)現(xiàn)其配置、運(yùn)行狀態(tài)、日志與事件信息的統(tǒng)一管理，解決不同類(lèi)型資產(chǎn)信息的隔離。識(shí)別資產(chǎn)之間的依賴(lài)關(guān)系，掌握各類(lèi)資產(chǎn)的使用狀況，持續(xù)審計(jì)與跟蹤資產(chǎn)的變化情況，發(fā)現(xiàn)資產(chǎn)漏洞與風(fēng)險(xiǎn)，實(shí)施集中監(jiān)控和訪問(wèn)控制，有效提高資產(chǎn)及視頻系統(tǒng)的安全性。

4.2 日志結(jié)構(gòu)化處理技術(shù)

由于原始日志的格式多種多樣、不規(guī)范，無(wú)法統(tǒng)一存儲(chǔ)和分析[10]。通過(guò)提取日志中的關(guān)鍵字段信息，重新封裝為統(tǒng)一的結(jié)構(gòu)化格式，統(tǒng)一入庫(kù)管理，便于統(tǒng)計(jì)和分析處理、可視化與報(bào)表輸出，大大提高日志的可管理性、可操作性和可分析性，使原本獨(dú)立、格式不規(guī)范的各類(lèi)日志數(shù)據(jù)實(shí)現(xiàn)關(guān)聯(lián)、集成與深入挖掘。

4.3 日志關(guān)聯(lián)分析技術(shù)

單一日志通常無(wú)法還原完整的攻擊活動(dòng)過(guò)程，因此，將數(shù)據(jù)庫(kù)中各類(lèi)結(jié)構(gòu)化的日志進(jìn)行整合，構(gòu)建數(shù)據(jù)之間的關(guān)聯(lián)[11-13]。關(guān)聯(lián)日志時(shí)間、源地址/目標(biāo)地址，追蹤威脅的來(lái)源點(diǎn)與傳播路徑；關(guān)聯(lián)不同設(shè)備與系統(tǒng)的日志，全面了解其運(yùn)行狀態(tài)、性能指標(biāo)與安全事件。

4.4 協(xié)同聯(lián)動(dòng)技術(shù)

視頻系統(tǒng)中各安全設(shè)備獨(dú)立運(yùn)行，無(wú)法進(jìn)行有效的數(shù)據(jù)共享和功能協(xié)作，防護(hù)措施難以加成，無(wú)法針對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊實(shí)現(xiàn)多層防護(hù)，安全性及威脅響應(yīng)能力較弱。因此，通過(guò)協(xié)調(diào)聯(lián)動(dòng)技術(shù)，使不同安全設(shè)備互相協(xié)作，匯集不同的監(jiān)測(cè)數(shù)據(jù)與統(tǒng)計(jì)信息，構(gòu)建全面的網(wǎng)絡(luò)運(yùn)行狀況視圖和威脅態(tài)勢(shì)感知，發(fā)揮協(xié)同效應(yīng)，達(dá)到“1＋1＞2”的防護(hù)管理效果。

4.5 可視化展示技術(shù)

由于安全數(shù)據(jù)具有信息量大、表現(xiàn)形式不直觀的特點(diǎn)，因此，利用可視化技術(shù)從大數(shù)據(jù)中提取有價(jià)值信息，統(tǒng)一數(shù)據(jù)表達(dá)方式、簡(jiǎn)化理解，提供統(tǒng)一的管理界面，以圖表、圖形等形式直觀展示網(wǎng)絡(luò)的實(shí)時(shí)運(yùn)行狀態(tài)與安全事件，快速感知安全變化，定位關(guān)鍵問(wèn)題，提供豐富的交互操作。

5 現(xiàn)場(chǎng)應(yīng)用

為滿足濟(jì)南鐵路局的安全防護(hù)需求，在視頻區(qū)域節(jié)點(diǎn)應(yīng)用了安全防護(hù)平臺(tái)，用于全面監(jiān)控和管理區(qū)域網(wǎng)絡(luò)安全狀況，如圖2所示。并取得了以下安全防護(hù)效果。

圖2 部署應(yīng)用架構(gòu)Fig.2 Deployment of application architecture

1）實(shí)現(xiàn)了對(duì)區(qū)域內(nèi)所有IT資產(chǎn)的集中監(jiān)控管理，統(tǒng)一掌握車(chē)站、線路、區(qū)域等節(jié)點(diǎn)的視頻系統(tǒng)資產(chǎn)狀況。

2）通過(guò)監(jiān)控概覽界面如圖3所示，可以清晰全面地掌握視頻系統(tǒng)中的各類(lèi)資產(chǎn)與安全情況，實(shí)現(xiàn)了安全管理的一體化和高效運(yùn)轉(zhuǎn)。

圖3 監(jiān)控概覽界面Fig.3 Monitoring overview interface

3）通過(guò)資產(chǎn)管理界面如圖4所示，清晰掌握各資產(chǎn)類(lèi)別和目錄下的資產(chǎn)具體分布情況及運(yùn)行狀態(tài)。

圖4 資產(chǎn)管理界面Fig.4 Asset management interface

4）持續(xù)監(jiān)測(cè)區(qū)域網(wǎng)絡(luò)安全態(tài)勢(shì)，發(fā)現(xiàn)潛在威脅，并迅速響應(yīng)各類(lèi)安全事件。

安全防護(hù)平臺(tái)的部署應(yīng)用，實(shí)現(xiàn)了區(qū)域視頻系統(tǒng)資產(chǎn)的集中統(tǒng)一管理，大幅提升系統(tǒng)的安防防護(hù)水平，達(dá)到了保障鐵路安全運(yùn)行的目的要求。

6 結(jié)論

一體化安全防護(hù)平臺(tái)通過(guò)收集系統(tǒng)中各類(lèi)資產(chǎn)信息，識(shí)別資產(chǎn)間的關(guān)聯(lián)關(guān)系，構(gòu)建資產(chǎn)全景圖。分析各類(lèi)安全事件與監(jiān)控信息，挖掘隱藏在大數(shù)據(jù)背后的安全風(fēng)險(xiǎn)與問(wèn)題，并以直觀方式全面展示視頻系統(tǒng)的安全全貌。平臺(tái)的成果應(yīng)用，有效提高了視頻區(qū)域安全管理水平，也為網(wǎng)絡(luò)安全管理現(xiàn)代化和智能化的推進(jìn)提供了有力支撐。后續(xù)研究重點(diǎn)應(yīng)聚焦于移動(dòng)端的接入與應(yīng)用，方便管理人員的移動(dòng)執(zhí)勤與遠(yuǎn)程管控；優(yōu)化大數(shù)據(jù)分析算法，實(shí)現(xiàn)對(duì)異常事件和潛在威脅的主動(dòng)識(shí)別與響應(yīng)。