综合监控系统由中央级监控系统、车站级监控系统和骨干网组成,综合监控系统通过骨干网将中央级监控系统和车站级监控系统连接构成整个综合监控系统。当中央级综合监控系统发生故障时,车站级综合监控系统能独站运行。
综合监控系统采用集成和互联方式构建,集成子系统的全部功能由综合监控系统实现,是综合监控系统的一部分;互联系统独立运行,自身有完整的系统结构,与综合监控系统通过外部接口进行信息交互,实现信息互通、共享和联动控制。
综合监控系统的监控对象包括电力监控、环境与设备监控、火灾自动报警系统、列车自动监控系统、屏蔽门、防淹门、视频监控系统、广播系统、乘客信息系统、自动售检票系统、门禁系统和时钟系统等。
根据城市轨道交通运营分层次管理的职责和要求,综合监控系统的监控和管理的功能分为中央级、车站级和现场级。中央级综合监控对全线监控对象的状态、参数数据进行实时收集和处理。车站级综合监控系统对管辖范围内的监控对象进行运行监控。
2 需求分析
2.1 技术需求分析
(1)网络边界安全
地铁综合监控系统内网通信系统边界接入主要用于与综合监控系统接口的集成或互联系统的接入,因此边界直接面临多个子系统,使用环境复杂,面临的安全风险极大,各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。所以,应予以严格的安全防护手段在此边界进行设防,维护整个地铁综合监控系统不被侵入。
(2)终端行为的管理终端设备部署较为分散,操作人员的计算机水平也参差不齐,因此终端设备的安全管理成为对网络管理人员来说最为棘手的安全问题。终端泄密、非授权访问和内部攻击都对数据中心安全造成威胁。各类终端和服务器系统的补丁管理同样是一个重要问题。
(3)终端防病毒
病毒是对计算环境造成危害最大的隐患,特别是蠕虫病毒,会立刻向其它子网迅速蔓延,这样将大量占据正常业务十分有限的带宽,造成网络性能严重下降甚至网络通信中断,严重影响正常业务开展。
(4)网络入侵行为检测
攻击行为不仅来自于大家公认的外部网络,在内部同样存在。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描和DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产免受攻击危害。
(5)应用安全管理
从用户角度看,其业务系统的正常运转是核心问题,而业务系统能否实施良好的监控管理则是关键因素之一。因此需要技术手段对应用系统的状况进行全面监控,能够全盘呈现业务环境,实施主动监控,进行运行趋势分析,及时发现存在的问题。
2.2 安全管理需求分析
“技管结合”,除了采用信息安全技术措施应对信息安全威胁外,安全管理措施也是必不可少的手段。健全的安全管理体系能够确保各种安全防范措施得以有效实施,保障网络系统安全,安全技术措施和安全管理措施可以相互补充,共同构建全面、有效的信息安全保障体系。
3 安全方案设计
3.1 安全技术方案设计
按照“垂直分层,水平分区”的思路,综合监控系统可以划分为以下结构,如图1所示。
图1 综合监控系统业务结构图
垂直划分三个层级,最顶层为中央控制中心,中间为车站控制层,下层为现场设备层。控制层的工作站可以对设备层的设备下发指令进行控制,但是控制层的工作站数量庞大,从理论上讲,任何一台工作站都可以控制全线的设备,因此有必要将所有的工作站分别对待,如:只有中央控制中心的总调工作站才可以对全线的设备进行控制,车站的工作站只能控制本站的设备,车站的设备只能被本站和中央控制中心的工作站控制。
由于综合监控系统需要对环境、消防和供电等多个内部系统进行监控,还需要监控信号、AFC、CCTV和PIS等其它专业的数据,在水平方向与这些系统都有连接。因此也有必要对这些内部和外部系统进行分区管理,设置隔离措施,防止一损俱损。
按照“边界控制,内部监测”的原则,与外部系统(其它专业如信号、AFC、CCTV和PIS等)的连接处属于边界,应进行访问控制。对内部系统如环境、消防和安全门等进行监测,电力系统和环控系统是综合监控系统的现场设备层,应独立分区,并进行访问控制。培训系统与生产运行无直接关联,应独立组网进行隔离,如果确实需要与生产网相连,也应进行访问控制。
因为安全系统也分布部署到车站、停车场和车辆段,安全管理中心也需要对全网的安全设备进行集中统一管理,建议在通信系统中给安全系统划分独立的管理通道,减少对生产系统的影响。
技术防护方案根据等级保护的要求,结合综合监控系统的拓扑架构,从边界防护、入侵检测、安全审计、主机防护、安全统一管理和定期安全检查等六方面进行设计。
(1)边界防护
垂直方向,在综合监控系统的控制层与现场设备层之间部署防火墙,控制综合监控系统工作站对电力系统和环控系统的现场设备的底层访问,防止绕过应用层的权限控制对现场设备进行非法访问。
水平方向,在综合监控系统与互联系统的网络边界部署防火墙,保护综合监控系统的网络和接口设备,避免受到非法的网络攻击。
(2)入侵检测
在中央控制中心、车站、车辆段和停车场分别部署入侵检测系统对本地局域网进行监测,对网络入侵、病毒蠕虫和越权访问等进行检测。对网络行为进行入侵分析,并向安全管理中心进行报警。
(3)安全审计
在中央控制中心、车站、车辆段和停车场分别部署网络审计系统,对中央数据库的网络访问进行应用安全审计,对中央级和车站级的本地局域网访问进行网络审计,审计记录集中保存在安全管理中心。
在安全管理中心部署运维安全网关对运维操作进行集中认证、授权和审计。
在安全管理中心部署日志审计系统对全线的网络设备、安全设备、服务器和工作站的安全日志进行集中统一存储。
(4)主机防护
在综合监控系统的服务器和工作站上安装主机安全防护软件,对主机进行系统级防护,包括安全补丁分发、安全基线管理、外设存储管控、网络外联管控和病毒防护。
全线的安全防护软件接受安全管理中心的集中管理,由安全管理中心设置统一的安全防护策略,统一进行补丁分发和病毒库分发,使综合监控系统的主机保持最佳的安全防护状态。
(5)安全统一管理
设置安全管理中心,部署态势感知系统和安全管理工作站,集中对全线的网络设备、安全设备、服务器和工作站等网络资产从网络安全的视角进行集中统一监控,对网络安全态势进行感知和呈现。
集中保存和分析网络安全日志,集中管理安全策略、病毒库和补丁升级。
(6)定期安全检查
在安全管理中心部署安全检查工具——漏洞扫描系统和配置核查系统,对综合监控系统的网络资产进行漏洞扫描和安全配置基线核查,及时发现网络安全问题,并进行跟踪解决管理,不断完善网络安全防护措施。
结合以上六方面的网络安全防护示意图如图2所示。
图2 综合监控系统网络安全架构图
3.2 安全管理方案设计
(1)安全管理制度
在信息安全中,最活跃的因素是人。这里所说的安全管理制度包括信息安全工作的总体方针、策略和规范各种安全管理活动的管理制度,以及管理人员或操作人员日常操作的规程。安全管理制度主要包括:制度管理、制定和发布、评审和修订。要求形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。
(2)安全管理机构
安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等。对于岗位设置,不仅要求设置信息安全的职能部门,而且机构上层应有一定的领导小组全面负责机构的信息安全全局工作。授权审批方面加强了授权流程控制以及阶段性审查。沟通与合作方面加强了与外部组织的沟通和合作,并聘用安全顾问。
(3)人员安全管理
对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。具体包括:人员录用、人员离岗、人员考核、安全意识教育与培训和外部人员访问管理等。增强对关键岗位人员的录用、离岗和考核要求,对人员的培训教育更具有针对性,外部人员访问要求更具体。
(4)系统建设管理
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等。对建设过程的各项活动都要求进行制度化规范,按照制度要求开展活动。
(5)系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理和密码管理等。使系统始终处于等级保护要求的安全状态中。
4 小结
本方案针对综合监控系统进行了符合等级保护(二级)要求的建设方案设计,包括技术设计方案和安全管理方案两方面。技术方案根据等级保护(二级)的要求设计了基于综合监控系统的安全防护体系,在控制中心从网络边界安全、网络通信安全及综合安全运维方面,进行了合理的安全部署设计,提供实际的安全防护产品部署建议。同时,也给出了信息安全管理制度方面的建议和意见。AP
作者简介
金 晶(1990-),女,湖南岳阳人,学士,现任北京网御星云信息技术有限公司售前工程师,研究方向为网络安全。
刘健帅(1984-),男,河北邯郸人,高级工程师,硕士,现任启明星辰信息技术集团股份有限公司高级咨询顾问,研究方向为工业互联网安全。
参考文献:
摘自《工业控制系统信息安全专刊(第七辑)》