摘要:国内轨道交通综合监控系统的信息化建设呈现快速稳步的发展。对整个综合监控系统遵循以下设计原则来设计:①信息安全的实用性原则,②信息安全的综合性原则,③信息安全的可靠性原则,④安全性评价与平衡原则,⑤标准化与一致性原则,⑥技术与管理相结合原则,⑦统筹规划、分步实施原则,⑧等级性原则,⑨动态发展原则,⑩易操作性原则。基于此,本文主要就轨道交通综合监控系统的中央级综合监控系统和安全子系统的信息安全问题进行分析讨论。
关键词:轨道交通;信息安全;综合监控
一、轨道交通综合监控系统中央级综合监控系统
在中央控制中心设置安全管理区域,划分独立VLAN,设置安全管理平台,集中部署/管理安全产品和安全设备。中央级综合监控系统在设备室部署工业防火墙、工业异常检测引擎,在系统内部署防病毒系统、工作站安全系统等。在用户安全管理工作区部署信息安全管理平台、审计系统、漏洞扫描、配置核查等设备和系统。在与其它专业系统的外部边界部署工业防火墙。在Web服务器前端部署Web应用防火墙。
1、信息安全管理平台。信息安全管理系统用于集中管理系统中的各类安全信息。基于网络内信息流识别各类数据访问和发现信息异常,通过日志分析发现潜在威胁,通过比对各业务系统特定控制指令数据包快速发现异常业务数据。
2、工业防火墙。工业防火墙用于控制外部系统(如信号,AFC等)对综合监控系统,以及综合监控系统内部不同区域之间(如中央到车站)的访问控制,对数据包进行过滤,通过白名单机制隔离非法业务数据,实现信息保护。工业防火墙还可以对工业控制协议进行深度解析,通过预设、自学习等方法识别非法或违规的工业控制指令及控制参数,并进行阻断,避免工业控制设备受到网络攻击。
3、工控异常检测。工控异常检测通过对系统中的应用层协议进行深度解析检验协议格式,并与规则策略对比验证内容合规性,可实现对应用系统的入侵检测和分析业务操作异常。能自动发现工业网络中的活动设备,设备开放的端口以及设备的网络连接,并通过预设、自学习等方法制定白名单策略,自动监视异常的违规业务。可对网络中传播的病毒、木马以及对系统已知漏洞的攻击行为进行检测。
4、网络防病毒系统。病毒、木马会导致终端运行效率降低,对文件进行破坏从而造成系统瘫痪。而且由于工作站通过网络互联,会引起交叉感染现象,很难彻底清除某些感染性较强的病毒,因此要安装网络防病毒软件对工作站主机进行病毒查杀。
5、工作站安全系统。工作站主机通过安装工作站安全系统可对访问进行控制,根据安全策略控制对操作员工作站资源的访问,对工作站主机的进程、应用软件进行权限管理,控制移动存储介质的使用。对工作站联接到互联网的行为进行检查,准确定位并进行阻断。
6、数据库审计。数据库审计系统是通过网络对数据库的操作合规性进行颗粒度审计的管理系统。它通过对被授权人员访问数据库的操作进行记录、分析,帮助用户事前预防、实时监视、违规拦截、事后报告、事故追踪溯源,加强行为监管,保障数据库的正常运行。
7、现场运维审计堡垒机。运维审计系统是通过网络对系统的操作合规性进行颗粒度审计的管理系统。它通过对被授权人员对系统的维护行为进行记录、分析,帮助用户事前预防、实时监控、违规拦截、事后报告、事故追踪溯源,加强行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运行。
8、漏洞扫描系统。
期刊文章分类查询,尽在期刊图书馆漏洞扫描系统能够快速发现网络资产,准确识别资产属性,全面扫描安全漏洞,准确识别安全风险,提供相应的修复建议和预防措施,并审核系统中配置的风险控制策略,使安全管理人员在系统全面评估的基础上实现安全自主掌控。
9、配置核查。安全基线配置核查系统是检查安全配置的自动化工具,可对主机设备、网络设备、安全设备、数据库、中间件等系统配置进行安全检查。检查内容应包括操作系统和网络设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等和安全相关配置,帮助安全人员对工作站主机进行定期检查和安全加固。
10、Web应用防火墙。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供第七层保护的一款产品。WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的Web安全防护设备。
二、轨道交通综合监控系统安全子系统
1、安全管理平台。系统重点实现对综合监控系统全系统设备安全、安全风险、安全事件、行为的全方位监控,形成综合监控系统的信息安全管理系统。①展示层。展示层实现整个系统的灵活展示和配置管理。通过图形化人机界面进行全系统设备安全监控、安全设备调度、系统运维、知识库管理等,提供有效报警、进行风险识别,降低安全事件的发生概率,降低连带损失;同时可为用户提供各类报表,网络拓扑,地理信息等辅助信息。②功能层。功能层是整个系统的业务核心,用于实现各功能模块的主要功能。包括设备安全管理、工控安全综合分析、辅助安全管理、系统运维管理四个方面。设备安全管理实现全网设备的安全监控,支持设备自动拓扑发现,能够将被管理设备进行分组、分域的统一维护。工控安全综合分析包括工控网络业务流量分析、安全事件管理、安全风险管理。辅助安全管理包括告警和报表的管理。系统运维管理包括采集器管理、级联管理、系统自管理、权限管理。③采集层。管理中心即可通过SNMPTrap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、NetBIOS、OPSEC等多种方式完成日志收集功能。采集的数据包括工控环境所有的交换机、服务器、网络安全设备、OPC服务器、操作员站、DCS系统、PLC系统等。采集信息类型主要分为事件、流量、性能数据。④数据库层。数据库层集中存储了系统所有的关键数据,包括设备库、拓扑库、性能数据库、事件库、关联分析规则库、行为合规规则库、威胁库、漏洞库、配置基线库、知识库、系统自身的配置维护数据库等等。⑤应用接口层。应用接口层是指本系统与外部系统的接口模块。接口模块内置信息加密、安全认证等安全防护手段。实现安全系统与工业控制系统、运维系统、网管系统及其他系统的接口,以便在识别出安全事件后,系统能够及时响应处理。
2、网络防病毒系统。系统主要为了达到如下目的:提高安全管理员工作效率,减轻日常工作强度;对终端进行统一的优化清理,提高终端运行效率;加强企业内部终端安全的统一管理,防止病毒木马入侵;网络防病毒系统由控制中心和终端两部分组成。①控制中心。控制中心是网络防病毒的管理平台,部署在服务器端,采用B/S架构,可以通过浏览器访问。主要负责终端分组管理、体检任务下发(统一(杀毒、统一漏洞修复)、全网健康状况监测、生成报表、查询日志和升级终端软件等。②终端。企业终端部署在需要被保护的企业内部服务器或者PC终端,接受控制中心下发的各种任务,执行最终的杀毒扫描、漏洞修复等安全操作,并向安全控制中心发送相应的安全报告。
三、小结
综上所述,本文主要对轨道交通综合监控系统的中央级综合监控系统和安全子系统进行详细阐述,以期最大限度地保障综合监控系统的信息安全,为轨道交通安全出行奠定良好的基础。
参考文献
[1]中华人民共和国计算机信息系统安全保护条例:国务院147号令[S].1994-02-18.
[2]国家信息化领导小组关于加强信息安全保障工作的意见:中办发[2003]27号[Z].2003-09-07.
论文作者:王幸滋
论文发表刊物:《电力设备》2019年第10期
论文发表时间:2019/10/21
标签:系统论文; 监控系统论文; 终端论文; 信息安全论文; 设备论文; 网络论文; 工作站论文; 《电力设备》2019年第10期论文;