綜合監控系統由中央級監控系統、車站級監控系統和骨干網組成,綜合監控系統通過骨干網將中央級監控系統和車站級監控系統連接構成整個綜合監控系統。當中央級綜合監控系統發生故障時,車站級綜合監控系統能獨站運行。
綜合監控系統采用集成和互聯方式構建,集成子系統的全部功能由綜合監控系統實現,是綜合監控系統的一部分;互聯系統獨立運行,自身有完整的系統結構,與綜合監控系統通過外部接口進行信息交互,實現信息互通、共享和聯動控制。
綜合監控系統的監控對象包括電力監控、環境與設備監控、火災自動報警系統、列車自動監控系統、屏蔽門、防淹門、視頻監控系統、廣播系統、乘客信息系統、自動售檢票系統、門禁系統和時鐘系統等。
根據城市軌道交通運營分層次管理的職責和要求,綜合監控系統的監控和管理的功能分為中央級、車站級和現場級。中央級綜合監控對全線監控對象的狀態、參數數據進行實時收集和處理。車站級綜合監控系統對管轄范圍內的監控對象進行運行監控。
2 需求分析
2.1 技術需求分析
(1)網絡邊界安全
地鐵綜合監控系統內網通信系統邊界接入主要用于與綜合監控系統接口的集成或互聯系統的接入,因此邊界直接面臨多個子系統,使用環境復雜,面臨的安全風險極大,各類復合網絡攻擊手段以及針對網站的流量攻擊均是常見的安全威脅。所以,應予以嚴格的安全防護手段在此邊界進行設防,維護整個地鐵綜合監控系統不被侵入。
(2)終端行為的管理終端設備部署較為分散,操作人員的計算機水平也參差不齊,因此終端設備的安全管理成為對網絡管理人員來說最為棘手的安全問題。終端泄密、非授權訪問和內部攻擊都對數據中心安全造成威脅。各類終端和服務器系統的補丁管理同樣是一個重要問題。
(3)終端防病毒
病毒是對計算環境造成危害最大的隱患,特別是蠕蟲病毒,會立刻向其它子網迅速蔓延,這樣將大量占據正常業務十分有限的帶寬,造成網絡性能嚴重下降甚至網絡通信中斷,嚴重影響正常業務開展。
(4)網絡入侵行為檢測
攻擊行為不僅來自于大家公認的外部網絡,在內部同樣存在。通過部署安全措施,要實現主動阻斷針對信息系統的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描和DoS/DDoS等,能防御針對操作系統漏洞的攻擊,能夠實現應用層的安全防護,保護核心信息資產免受攻擊危害。
(5)應用安全管理
從用戶角度看,其業務系統的正常運轉是核心問題,而業務系統能否實施良好的監控管理則是關鍵因素之一。因此需要技術手段對應用系統的狀況進行全面監控,能夠全盤呈現業務環境,實施主動監控,進行運行趨勢分析,及時發現存在的問題。
2.2 安全管理需求分析
“技管結合”,除了采用信息安全技術措施應對信息安全威脅外,安全管理措施也是必不可少的手段。健全的安全管理體系能夠確保各種安全防范措施得以有效實施,保障網絡系統安全,安全技術措施和安全管理措施可以相互補充,共同構建全面、有效的信息安全保障體系。
3 安全方案設計
3.1 安全技術方案設計
按照“垂直分層,水平分區”的思路,綜合監控系統可以劃分為以下結構,如圖1所示。
圖1 綜合監控系統業務結構圖
垂直劃分三個層級,最頂層為中央控制中心,中間為車站控制層,下層為現場設備層。控制層的工作站可以對設備層的設備下發指令進行控制,但是控制層的工作站數量龐大,從理論上講,任何一臺工作站都可以控制全線的設備,因此有必要將所有的工作站分別對待,如:只有中央控制中心的總調工作站才可以對全線的設備進行控制,車站的工作站只能控制本站的設備,車站的設備只能被本站和中央控制中心的工作站控制。
由于綜合監控系統需要對環境、消防和供電等多個內部系統進行監控,還需要監控信號、AFC、CCTV和PIS等其它專業的數據,在水平方向與這些系統都有連接。因此也有必要對這些內部和外部系統進行分區管理,設置隔離措施,防止一損俱損。
按照“邊界控制,內部監測”的原則,與外部系統(其它專業如信號、AFC、CCTV和PIS等)的連接處屬于邊界,應進行訪問控制。對內部系統如環境、消防和安全門等進行監測,電力系統和環控系統是綜合監控系統的現場設備層,應獨立分區,并進行訪問控制。培訓系統與生產運行無直接關聯,應獨立組網進行隔離,如果確實需要與生產網相連,也應進行訪問控制。
因為安全系統也分布部署到車站、停車場和車輛段,安全管理中心也需要對全網的安全設備進行集中統一管理,建議在通信系統中給安全系統劃分獨立的管理通道,減少對生產系統的影響。
技術防護方案根據等級保護的要求,結合綜合監控系統的拓撲架構,從邊界防護、入侵檢測、安全審計、主機防護、安全統一管理和定期安全檢查等六方面進行設計。
(1)邊界防護
垂直方向,在綜合監控系統的控制層與現場設備層之間部署防火墻,控制綜合監控系統工作站對電力系統和環控系統的現場設備的底層訪問,防止繞過應用層的權限控制對現場設備進行非法訪問。
水平方向,在綜合監控系統與互聯系統的網絡邊界部署防火墻,保護綜合監控系統的網絡和接口設備,避免受到非法的網絡攻擊。
(2)入侵檢測
在中央控制中心、車站、車輛段和停車場分別部署入侵檢測系統對本地局域網進行監測,對網絡入侵、病毒蠕蟲和越權訪問等進行檢測。對網絡行為進行入侵分析,并向安全管理中心進行報警。
(3)安全審計
在中央控制中心、車站、車輛段和停車場分別部署網絡審計系統,對中央數據庫的網絡訪問進行應用安全審計,對中央級和車站級的本地局域網訪問進行網絡審計,審計記錄集中保存在安全管理中心。
在安全管理中心部署運維安全網關對運維操作進行集中認證、授權和審計。
在安全管理中心部署日志審計系統對全線的網絡設備、安全設備、服務器和工作站的安全日志進行集中統一存儲。
(4)主機防護
在綜合監控系統的服務器和工作站上安裝主機安全防護軟件,對主機進行系統級防護,包括安全補丁分發、安全基線管理、外設存儲管控、網絡外聯管控和病毒防護。
全線的安全防護軟件接受安全管理中心的集中管理,由安全管理中心設置統一的安全防護策略,統一進行補丁分發和病毒庫分發,使綜合監控系統的主機保持最佳的安全防護狀態。
(5)安全統一管理
設置安全管理中心,部署態勢感知系統和安全管理工作站,集中對全線的網絡設備、安全設備、服務器和工作站等網絡資產從網絡安全的視角進行集中統一監控,對網絡安全態勢進行感知和呈現。
集中保存和分析網絡安全日志,集中管理安全策略、病毒庫和補丁升級。
(6)定期安全檢查
在安全管理中心部署安全檢查工具——漏洞掃描系統和配置核查系統,對綜合監控系統的網絡資產進行漏洞掃描和安全配置基線核查,及時發現網絡安全問題,并進行跟蹤解決管理,不斷完善網絡安全防護措施。
結合以上六方面的網絡安全防護示意圖如圖2所示。
圖2 綜合監控系統網絡安全架構圖
3.2 安全管理方案設計
(1)安全管理制度
在信息安全中,最活躍的因素是人。這里所說的安全管理制度包括信息安全工作的總體方針、策略和規范各種安全管理活動的管理制度,以及管理人員或操作人員日常操作的規程。安全管理制度主要包括:制度管理、制定和發布、評審和修訂。要求形成信息安全管理制度體系,對管理制度的制定要求和發布過程進一步嚴格和規范。
(2)安全管理機構
安全管理機構主要包括:崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查等。對于崗位設置,不僅要求設置信息安全的職能部門,而且機構上層應有一定的領導小組全面負責機構的信息安全全局工作。授權審批方面加強了授權流程控制以及階段性審查。溝通與合作方面加強了與外部組織的溝通和合作,并聘用安全顧問。
(3)人員安全管理
對人員安全的管理,主要涉及兩方面:對內部人員的安全管理和對外部人員的安全管理。具體包括:人員錄用、人員離崗、人員考核、安全意識教育與培訓和外部人員訪問管理等。增強對關鍵崗位人員的錄用、離崗和考核要求,對人員的培訓教育更具有針對性,外部人員訪問要求更具體。
(4)系統建設管理
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括:系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇等。對建設過程的各項活動都要求進行制度化規范,按照制度要求開展活動。
(5)系統運維管理
根據基本要求進行信息系統日常運行維護管理,利用管理制度以及安全管理中心進行,包括:環境管理、資產管理、介質管理、設備管理、網絡安全管理、系統安全管理、惡意代碼防范管理和密碼管理等。使系統始終處于等級保護要求的安全狀態中。
4 小結
本方案針對綜合監控系統進行了符合等級保護(二級)要求的建設方案設計,包括技術設計方案和安全管理方案兩方面。技術方案根據等級保護(二級)的要求設計了基于綜合監控系統的安全防護體系,在控制中心從網絡邊界安全、網絡通信安全及綜合安全運維方面,進行了合理的安全部署設計,提供實際的安全防護產品部署建議。同時,也給出了信息安全管理制度方面的建議和意見。AP
作者簡介
金 晶(1990-),女,湖南岳陽人,學士,現任北京網御星云信息技術有限公司售前工程師,研究方向為網絡安全。
劉健帥(1984-),男,河北邯鄲人,高級工程師,碩士,現任啟明星辰信息技術集團股份有限公司高級咨詢顧問,研究方向為工業互聯網安全。
參考文獻:
摘自《工業控制系統信息安全專刊(第七輯)》
