地铁综合监控网络信息安全威胁及对策研究

　　摘 要：综合监控系统是实现地铁机电设备监控、信息互通、资源共享的大型综合自动化平台。文章从地铁网络信息安全威胁入手，全面分析了综合监控系统网络信息安全威胁，根据对网络信息安全对策的研究，结合投资和管理便利性，提出三种网络信息安全工程应用技术方案，可满足综合监控系统网络信息安全等级保护的要求，提升系统可靠性。

　　关键词：地铁;网络信息安全;威胁;对策

　　0 引 言

　　地鐵综合监控系统是根据地铁线路特点和技术发展情况量身定制的大型综合自动化平台，通过综合监控系统可实现地铁机电设备监控、信息互通、资源共享，并能够提升自动化水平，提高地铁运营服务的安全性、可靠性，最终达到减员增效的目的。

　　随着计算机技术和网络技术的发展，近年来，网络信息安全问题在交通、金融、电力、能源等行业日益突显，病毒入侵、黑客攻击、数据丢失等网络信息安全问题频繁出现，系统漏洞呈逐年增长趋势，不断威胁着相关行业信息系统安全。2014—2020年全球工控系统漏洞数量如图1所示(数据来源于国家工业信息安全发展研究中心《2020—2021年度工业信息安全形势分析》)。

　　综合监控系统作为地铁机电设备监控的重要系统，一旦发生网络信息安全事故导致系统不可用，将对整个地铁服务能力造成重要影响，严重情况下可能危及行车安全。笔者在地铁综合监控系统设计过程中，发现各项目综合监控系统设计和建设单位对网络信息安全重要性的认识不一，各项目采用的设计方案差异很大，系统定级有按二级和上级两种不统一的做法。为尽量优化和统一设计方案，为今后工程设计和应用提供参考和指导，本文基于对网络信息安全相关国家标准、规范的深入分析和理解，系统性地研究地铁综合监控系统网络信息安全威胁，并从合规、经济、可实施角度提出具体对策。

　　1 网络信息安全定义及属性

　　网络信息安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态并保障网络数据的完整性、保密性、可用性的能力。

　　网络信息安全具有机密性、完整性、可用性、抗抵赖性、可控性五个主要属性，如表1所示。

　　2 综合监控系统网络信息安全威胁研究

　　根据对国内多个城市地铁运行线路建设和运营的综合监控系统调研，地铁综合监控系统网络信息安全面临管理和技术两个层面的威胁。

　　2.1 管理层面

　　管理层面通过对组织机构、人员配置、管理制度和流程、应急响应等方面的研究，发现主要有如下问题：

　　(1)安全组织机构和人员配置不完善。部分城市地铁运营公司未设置网络信息安全专门管理机构，安全职责不明确，缺乏有经验的安全技术人员。

　　(2)安全管理制度和流程不完善。缺少完整的制度来保障网络信息安全，缺乏针对安全系统规划、建设、运维、报废的全生命周期的信息安全需求和设计管理。综合监控系统中存在少量默认配置和默认口令，存在一定的脆弱性。

　　(3)安全事件应急响应能力不足。发生信息安全事件后相关工作人员通常依靠经验判断安全事件发生的设备和影响范围，再逐一进行排查、修复，所需时间较长。

　　(4)对第三方人员管理机制不完善。地铁运维过程中，普遍存在将运维工作外包给设备商或集成商的情况，第三方人员在设备运维时，缺少运维操作审计，安全风险高。

　　2.2 技术层面

　　技术层面通过对安全域划分、安全措施、防病毒软件、备用端口管理、移动介质管理及安全测试等方面的研究，发现主要有如下问题：

　　(1)网络未划分安全域，区域间未设置访问控制措施。综合监控系统集成、互联范围广，各系统间有多种通信接口方案，系统之间往往没有进行访问控制，区域间安全监测和入侵防范措施也普遍缺失。

　　(2)缺少及时发现信息安全问题的技术措施。不能及时发现入侵行为、病毒、网络访问异常、网络拥塞等问题。

　　(3)工作站和服务器没装或很少装防病毒软件。综合监控系统工作站和服务器一般采用Windows或Unix操作系统，上线后极少持续对操作系统进行升级以及为系统漏洞安装补丁。

　　(4)网络设备备用端口缺少管理。交换机、前置处理器等备用端口未封闭。

　　(5)移动介质成为安全风险引入源。在综合监控系统运维和使用過程中，普遍存在使用U盘、光盘、移动硬盘等移动存储介质现象，成为病毒、木马等威胁进入生产系统的重要途径。

　　(6)系统上线前未进行网络信息安全测试。系统上线前未进行安全性测试，系统在上线后存在大量安全风险漏洞，安全配置薄弱，有的系统甚至带病毒运行。

　　3 网络信息安全对策研究

　　3.1 安全域的划分

　　安全域是具有相同安全要求的逻辑资产或物理资产的集合。每一个安全域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。安全域的划分可以使网络结构更加清晰，安全现状更加直观，安全隐患更加明显。

　　综合监控系统安全域的划分主要有将整个综合监控系统划分为一个安全域和将综合监控系统划分为控制区(安全区1)、非控制区(安全区2)、生产管理区三个安全域两种方案，如表2所示。

　　在满足规范要求的基础上，推荐采用将整个综合监控系统划分为一个安全域的方案。

　　3.2 定级分析

　　系统定级主要根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》实施。综合监控系统安全受到破坏后，主要是对地铁运营商自身(公民、法人和其他组织的合法权益)造成损害，损害程度为：特别严重损害，业务信息安全等级定为第二级。

　　综合监控系统服务安全受到破坏后，综合监控系统的功能和服务能力受到严重影响，电力及机电设备监控业务能力严重下降，严重影响系统功能和乘客服务能力，对社会秩序和公共利益造成较大范围的不良影响，损害程度为：严重损害。系统服务安全等级定为第三级。

　　根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》确定的定级方法，综合监控系统网络信息安全定级宜定为三级。

　　3.3 物理安全技术

　　在机房门设置门禁系统、在机房内设置温湿度传感器，系统的物理配置满足信息安全的防火、防盗、防雷击、防水、温湿度控制、电磁防护等要求。此外，综合监控系统按冗余的电力电缆线路为相关系统设备供电，确保了系统供电可靠性。

　　3.4 网络边界防护技术

　　为保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信，在综合监控系统与集成、互联系统的接口处(即不同安全域之间)设置工控防火墙，实现访问控制、威胁检测、工控协议深度解析、网络攻击防护等功能。

　　3.5 入侵检测与安全审计技术

　　入侵防检测一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。在综合监控系统关键网络节点处，设置入侵检测与安全审计系统，防范从外部或内部发起的网络攻击，并对重要用户行为和重要安全事件进行审计，宜采用基于白名单的入侵防范技术。通过入侵检测与安全审计系统实现工控协议深度解析、流量监测与告警、网络状态监测和关键操作行为监测与告警、工控网络审计及漏洞库管理等功能。

　　3.6 主机防护技术

　　在综合监控系统操作员工作站、服务器等工业现场主机安装主机防护软件，进行可执行程序管理，防止病毒木马等恶意程序感染，采用白名单机制，系统资源占用小，不影响综合监控系统监控软件和组态软件的正常使用。同时主机防护软件可进行外设管理、访问控制、主机审计及安全基线管理等，可有效阻止工控恶意程序或代码在工控主机上的执行、扩散。

　　3.7 统一安全管理平台

　　在综合监控系统控制中心设置统一安全管理平台对生产控制网络中的网络边界防护、入侵检测与安全审计、主机防护等安全产品进行集中管理，实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警，同时可对工控主机上报的非可信文件进行特征匹配，实现病毒及恶意代码程序的识别，帮助用户掌握综合监控系统网络的安全现状，降低运维成本、提高安全事件响应效率。某地铁工程统一安全管理平台界面如图2所示。

　　3.8 堡垒机

　　在综合监控系统控制中心设置堡垒机，提供统一的集中管理平台，集中管理用户账号、集中登录认证、集中用户授权和集中操作审计。通过账号管理实现唯一身份，通过认证管理明确“你是谁”，通过授权管理明确“你能干什么”，通过操作审计明确“你干了什么”。

　　3.9 数据库审计系统

　　数据库是综合监控系统核心数据的存储载体，数据的安全与稳定直接关系着业务系统的安全与稳定。数据库审计系统通过监控数据库的多重状态和通信内容，不仅能准确评估数据库所面临的风险，而且可以通过日志记录提供事后追查机制。

　　推荐阅读：《农业网络信息》杂志2015年最新征稿时间

期刊VIP网，您身边的高端学术顾问

文章名称： 地铁综合监控网络信息安全威胁及对策研究

文章地址： http://www.qikanvip.com/jisuanjixinxiguanli/58397.html