公務(wù)員期刊網(wǎng) 論文中心 正文

軌道交通監(jiān)控系統(tǒng)信息安全建設(shè)方案

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了軌道交通監(jiān)控系統(tǒng)信息安全建設(shè)方案范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

軌道交通監(jiān)控系統(tǒng)信息安全建設(shè)方案

摘要:隨著城市軌道交通的高速發(fā)展,各類安全問(wèn)題也日益突出,其中城市軌道交通綜合監(jiān)控系統(tǒng)由于需要處理大量外部接口數(shù)據(jù),所面臨的安全風(fēng)險(xiǎn)尤為突出。詳細(xì)介紹了基于三級(jí)等保的信息安全管理體系,并在此基礎(chǔ)上提出了綜合監(jiān)控系統(tǒng)信息安全建設(shè)的要求及目標(biāo),并從技術(shù)方案和管理方案兩個(gè)層面入手,詳細(xì)闡述了綜合監(jiān)控系統(tǒng)安全防護(hù)的設(shè)計(jì)及建設(shè)方案。

關(guān)鍵詞:城市軌道交通;綜合監(jiān)控系統(tǒng);安全防護(hù);三級(jí)等保

進(jìn)入21世紀(jì)后,大型城市在城市空間結(jié)構(gòu)的優(yōu)化、城市交通擁擠狀況的緩解、城市環(huán)境保護(hù)等諸多方面均面臨著不少的挑戰(zhàn)和難題,而城市軌道交通的高速發(fā)展為解決上述問(wèn)題提供了一條有益的途徑。但與城市軌道交通高速發(fā)展相伴而生的各種安全問(wèn)題及安全風(fēng)險(xiǎn)也日漸突顯。其中,綜合監(jiān)控系統(tǒng)集成和互聯(lián)了軌道交通眾多信息化系統(tǒng),往往面臨較之傳統(tǒng)信息化系統(tǒng)更為嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。因此對(duì)于城市軌道交通綜合監(jiān)控系統(tǒng)的建設(shè),要從系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、上線、生產(chǎn)、運(yùn)維到廢棄的整個(gè)漫長(zhǎng)生命周期的各個(gè)階段考慮網(wǎng)絡(luò)安全問(wèn)題,要在綜合監(jiān)控系統(tǒng)建設(shè)的同時(shí),同步做好系統(tǒng)的信息安全建設(shè)工作。

1綜合監(jiān)控信息安全建設(shè)目標(biāo)

綜合監(jiān)控系統(tǒng)的信息安全建設(shè)目標(biāo),應(yīng)結(jié)合相應(yīng)的政策法規(guī)、國(guó)家標(biāo)準(zhǔn)、行業(yè)成功經(jīng)驗(yàn)及項(xiàng)目建設(shè)面臨的實(shí)際安全風(fēng)險(xiǎn)出發(fā)。綜合上述視角,要真正做到綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全,應(yīng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中相關(guān)要求,將等級(jí)保護(hù)建設(shè)的思路作為最佳實(shí)踐,以組織制度保障結(jié)合有效的技術(shù)措施:建立健全綜合監(jiān)控系統(tǒng)的信息安全管理制度和信息安全管理機(jī)構(gòu),完善信息安全管理體制;建立綜合監(jiān)控系統(tǒng)信息安全縱深防御技術(shù)體系,從網(wǎng)絡(luò)結(jié)構(gòu)到內(nèi)部流量行為、再到主機(jī)本體的全方位技術(shù)防護(hù)措施,提供三級(jí)等級(jí)保護(hù)要求的相應(yīng)軟硬件及完整的信息安全設(shè)計(jì),從而保障綜合監(jiān)控系統(tǒng)平穩(wěn)、安全、高效運(yùn)行。

2基于三級(jí)等保的信息安全管理體系

根據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等相關(guān)標(biāo)準(zhǔn),將等級(jí)保護(hù)分為技術(shù)和管理兩大模塊,其中技術(shù)部分包含:網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、運(yùn)維管理共五個(gè)方面;管理部分包含:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、物理環(huán)境管理五個(gè)方面。如圖1所示。信息安全管理以多個(gè)子策略構(gòu)成了三層結(jié)構(gòu)的完備體系,采用自頂向下的樹(shù)型結(jié)構(gòu),頂部把握原則方向等宏觀層面,向下逐步過(guò)渡到具體措施等微觀層面。在信息安全管理樹(shù)型結(jié)構(gòu)中,樹(shù)頂代表了信息安全管理體系的最高綱領(lǐng),是對(duì)整個(gè)安全管理體系的必要性、基本原則及宏觀策略的闡述,以凝練的語(yǔ)言描述了信息安全在技術(shù)和管理兩個(gè)方面的內(nèi)容。樹(shù)干部分代表了一系列的管理規(guī)定和技術(shù)規(guī)范,是對(duì)最高綱領(lǐng)的分解和進(jìn)一步闡述,側(cè)重于具體要求的實(shí)現(xiàn)方法及途徑,并總結(jié)在技術(shù)和管理方面的共性問(wèn)題,以更好的指導(dǎo)安全工作;樹(shù)根部分代表了操作層面,基于樹(shù)頂和樹(shù)干的相關(guān)策略要求,在樹(shù)根層面要與實(shí)際的網(wǎng)絡(luò)和應(yīng)用環(huán)境相結(jié)合,以閉環(huán)、動(dòng)態(tài)作為基本的管理原則,編制具體的細(xì)則、流程,具備最直觀的可操作性。

3綜合監(jiān)控安全防護(hù)技術(shù)方案設(shè)計(jì)

3.1防護(hù)總體思路

為滿足綜合監(jiān)控系統(tǒng)信息安全防護(hù)建設(shè)中的若干需求,采用某品牌的工業(yè)防火墻、工業(yè)審計(jì)系統(tǒng)、入侵防御系統(tǒng)、工業(yè)漏掃系統(tǒng)、統(tǒng)一運(yùn)維管理平臺(tái)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、工業(yè)監(jiān)管平臺(tái)系統(tǒng)等硬件設(shè)備及工業(yè)衛(wèi)士軟件產(chǎn)品分別在控制中心、車站、車輛段等節(jié)點(diǎn)及設(shè)備維護(hù)系統(tǒng)、仿真測(cè)試平臺(tái)、培訓(xùn)系統(tǒng)等系統(tǒng)按需部署安全防護(hù)措施,達(dá)到等保合規(guī)并解決安全隱患的方案效果。根據(jù)需求背景和等保技術(shù)防護(hù)思想,通過(guò)技術(shù)手段實(shí)現(xiàn)的防護(hù)主要包含如下幾個(gè)層面:1)安全區(qū)域邊界:通過(guò)安全設(shè)備及網(wǎng)絡(luò)設(shè)備合理劃分安全域,實(shí)施訪問(wèn)控制及攻擊防護(hù)滿足等保中網(wǎng)絡(luò)安全的部分要求;2)安全通信網(wǎng)絡(luò):通過(guò)旁路監(jiān)聽(tīng)與智能分析技術(shù),對(duì)系統(tǒng)的控制、采集請(qǐng)求,數(shù)據(jù)庫(kù)存取、系統(tǒng)運(yùn)維等關(guān)鍵行為進(jìn)行審計(jì),對(duì)攻擊及時(shí)預(yù)警,滿足等保中網(wǎng)絡(luò)安全部分關(guān)于安全審計(jì)的相關(guān)要求;3)安全計(jì)算環(huán)境:通過(guò)符合工業(yè)特色的終端安全防護(hù)軟件對(duì)綜合監(jiān)控系統(tǒng)中使用的計(jì)算終端進(jìn)行保護(hù),防止誤中病毒等情況的出現(xiàn),配合系統(tǒng)自身的安全性有關(guān)設(shè)計(jì),滿足等級(jí)保護(hù)中關(guān)于主機(jī)安全、應(yīng)用安全及數(shù)據(jù)安全的相關(guān)需求;4)安全管理中心:通過(guò)綜合的安全管理平臺(tái),實(shí)現(xiàn)對(duì)安全產(chǎn)品日志的統(tǒng)一采集、分析及主要防護(hù)設(shè)備的統(tǒng)一運(yùn)維,形成綜合監(jiān)控系統(tǒng)中的安全運(yùn)營(yíng)中心,統(tǒng)一維護(hù)日常的信息安全防護(hù),對(duì)安全事件的應(yīng)急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。

3.2安全區(qū)域邊界

(1)控制中心邊界防護(hù)在控制中心端,應(yīng)劃分為辦公自動(dòng)化系統(tǒng)互聯(lián)區(qū)域、線網(wǎng)中心互聯(lián)區(qū)域、培訓(xùn)系統(tǒng)區(qū)域、仿真測(cè)試系統(tǒng)區(qū)域、綜合監(jiān)控系統(tǒng)和子系統(tǒng)互聯(lián)區(qū)域。根據(jù)所隔離區(qū)域間的流量特征和防護(hù)需求,辦公自動(dòng)化系統(tǒng)系統(tǒng)區(qū)域應(yīng)采用具備訪問(wèn)控制功能的入侵防御系統(tǒng)進(jìn)行隔離,其他區(qū)域間采用工業(yè)防火墻進(jìn)行隔離。具體部署位置為包括:線網(wǎng)中心外部系統(tǒng)與中心綜合監(jiān)控連接處、前置通訊機(jī)與中心綜合監(jiān)控系統(tǒng)接口處、網(wǎng)管系統(tǒng)交換機(jī)上聯(lián)處、仿真測(cè)試系統(tǒng)交換機(jī)上聯(lián)處,如圖2所示。(2)車站邊界防護(hù)在車站端,應(yīng)劃分為綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域和系統(tǒng)互聯(lián)區(qū)域,根據(jù)所隔離區(qū)域間的流量特征和防護(hù)需求,區(qū)域間采用工業(yè)防火墻進(jìn)行隔離,具體部署位置為通訊前置機(jī)與監(jiān)控系統(tǒng)內(nèi)網(wǎng)之間,如圖3所示。(3)車輛段邊界防護(hù)在車輛段,應(yīng)劃分為培訓(xùn)系統(tǒng)安全域、設(shè)備維護(hù)系統(tǒng)安全域、綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域和系統(tǒng)互聯(lián)區(qū)域,根據(jù)所隔離區(qū)域間的流量特征和防護(hù)需求,區(qū)域間采用工業(yè)防火墻進(jìn)行隔離,具體部署位置為設(shè)備維護(hù)系統(tǒng)交換機(jī)上聯(lián)處、培訓(xùn)系統(tǒng)交換機(jī)上聯(lián)處、前置通訊機(jī)與監(jiān)控系統(tǒng)內(nèi)網(wǎng)之間,如圖4所示。

3.3安全通信網(wǎng)絡(luò)

(1)控制中心網(wǎng)絡(luò)風(fēng)險(xiǎn)分析控制中心的安全通信網(wǎng)絡(luò)保障通過(guò)工業(yè)審計(jì)系統(tǒng)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的部署實(shí)現(xiàn),工業(yè)審計(jì)通過(guò)旁路模式部署,通過(guò)交換機(jī)鏡像流量方式獲取數(shù)據(jù)源進(jìn)行分析,根據(jù)業(yè)務(wù)需求,工業(yè)審計(jì)系統(tǒng)分別部署在控制中心主交換機(jī)、軟件測(cè)試平臺(tái)內(nèi)部及網(wǎng)絡(luò)管理系統(tǒng)內(nèi)部,見(jiàn)圖2。其中,部署在控制中心骨干網(wǎng)絡(luò)的工業(yè)審計(jì)采用雙機(jī)部署保障對(duì)風(fēng)險(xiǎn)的不間斷識(shí)別;網(wǎng)絡(luò)管理系統(tǒng)與軟件測(cè)試平臺(tái)安全域內(nèi)部的工業(yè)審計(jì)采用單機(jī)部署。此外,數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過(guò)旁路部署的方式,部署在網(wǎng)絡(luò)管理系統(tǒng)安全域內(nèi),通過(guò)該系統(tǒng)對(duì)數(shù)據(jù)庫(kù)所面臨的風(fēng)險(xiǎn)進(jìn)行多方位的評(píng)估,還可以通過(guò)審計(jì)功能對(duì)數(shù)據(jù)庫(kù)所有操作進(jìn)行審計(jì),提供事后追查機(jī)制。(2)車站網(wǎng)絡(luò)風(fēng)險(xiǎn)分析車站的安全通信網(wǎng)絡(luò)保障通過(guò)工業(yè)審計(jì)系統(tǒng)的部署實(shí)現(xiàn),工業(yè)審計(jì)采用旁路模式部署,通過(guò)鏡像流量進(jìn)行分析,采用雙機(jī)保障對(duì)風(fēng)險(xiǎn)的不間斷識(shí)別,見(jiàn)圖3。(3)車輛段網(wǎng)絡(luò)風(fēng)險(xiǎn)分析車輛段的安全通信網(wǎng)絡(luò)保障通過(guò)工業(yè)審計(jì)系統(tǒng)的部署實(shí)現(xiàn),工業(yè)審計(jì)通過(guò)旁路模式部署,通過(guò)交換機(jī)鏡像流量方式獲取數(shù)據(jù)源進(jìn)行分析,根據(jù)業(yè)務(wù)需求,工業(yè)審計(jì)系統(tǒng)分別部署在車輛段主交換機(jī)、培訓(xùn)系統(tǒng)內(nèi)部及設(shè)備維護(hù)系統(tǒng)內(nèi)部,見(jiàn)圖4。其中,部署在車輛段主干網(wǎng)絡(luò)的工業(yè)審計(jì)采用雙機(jī)部署保障對(duì)風(fēng)險(xiǎn)的不間斷識(shí)別;設(shè)備維護(hù)系統(tǒng)與培訓(xùn)系統(tǒng)安全域內(nèi)部的工業(yè)審計(jì)采用單級(jí)部署。

3.4安全計(jì)算環(huán)境

在控制中心、車輛段及車站對(duì)工業(yè)終端及工業(yè)終端承載的應(yīng)用業(yè)務(wù)、核心數(shù)據(jù)的防護(hù)通過(guò)在終端部署工業(yè)衛(wèi)士軟件實(shí)現(xiàn),需要在控制中心、車輛段、車站的各類工作站、值班站、服務(wù)器上部署工業(yè)衛(wèi)士。工業(yè)衛(wèi)士采用輕量級(jí)的軟件“白名單”機(jī)制,僅允許運(yùn)行受信任的PE文件,完善相應(yīng)的加固策略,提升安全級(jí)別,有效阻止病毒、木馬等惡意軟件的執(zhí)行和被利用,實(shí)現(xiàn)工控主機(jī)從啟動(dòng)、加載、運(yùn)行等過(guò)程全生命周期的安全保障。同時(shí)對(duì)USB端口等接口進(jìn)行全面管控,U盤等未授權(quán)設(shè)備無(wú)法接入終端計(jì)算機(jī),有效防范通過(guò)USB接口發(fā)起的高級(jí)攻擊。綜合監(jiān)控系統(tǒng)在控制中心網(wǎng)絡(luò)管理系統(tǒng)機(jī)房中設(shè)置了信息安全管理中心,可以利用其對(duì)全部信息安全設(shè)備進(jìn)行整體而全面的管控。

3.5安全管理中心

安全管理中心在網(wǎng)絡(luò)管理系統(tǒng)中部署,由工業(yè)監(jiān)管平臺(tái),工業(yè)漏洞掃描系統(tǒng)、統(tǒng)一運(yùn)維管理平臺(tái)等系統(tǒng)組成。其中,工業(yè)監(jiān)管平臺(tái)(信息安全管理平臺(tái)設(shè)備及軟件)負(fù)責(zé)對(duì)日志的采集分析、對(duì)資產(chǎn)、風(fēng)險(xiǎn)的管理,對(duì)安全事件的處置分析和對(duì)主要安全設(shè)備、軟件的統(tǒng)一運(yùn)維。工業(yè)漏洞掃描系統(tǒng)通過(guò)定期掃描的形式發(fā)掘系統(tǒng)中存在的漏洞、問(wèn)題。統(tǒng)一運(yùn)維管理平臺(tái)為運(yùn)維堡壘機(jī)系統(tǒng),對(duì)系統(tǒng)的運(yùn)維操作進(jìn)行審計(jì)和管理。

4結(jié)束語(yǔ)

本文針對(duì)綜合監(jiān)控系統(tǒng)進(jìn)行了符合等級(jí)保護(hù)(三級(jí))要求的建設(shè)方案設(shè)計(jì)。方案根據(jù)等級(jí)保護(hù)(三級(jí))的要求設(shè)計(jì)了基于綜合監(jiān)控系統(tǒng)內(nèi)生特性的安全防護(hù)體系,對(duì)控制中心、車站、車輛段、培訓(xùn)中心、網(wǎng)管中心、維護(hù)管理系統(tǒng)等從網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)通信安全、主機(jī)安全及綜合安全運(yùn)維方面,進(jìn)行了合理的安全部署設(shè)計(jì)和安全服務(wù)咨詢?cè)O(shè)想,為今后軌道交通綜合監(jiān)控項(xiàng)目安全防護(hù)建設(shè)提供了參考。

參考文獻(xiàn)

[1]青嵐昊.城市軌道交通信息網(wǎng)絡(luò)安全設(shè)計(jì)[J].鐵路通信信號(hào)工程技術(shù),2011(4):53-55,64

[2]阿曼江•阿不都外力.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)措施[J].新疆職業(yè)大學(xué)學(xué)報(bào),2012(3):70-72

[3]于力.防火墻與計(jì)算機(jī)安全研究[J].軟件導(dǎo)刊,2010(2):127-129

[4]張冬.信息安全中等級(jí)保護(hù)三級(jí)系統(tǒng)應(yīng)用設(shè)計(jì)[J].信息與電腦,2016(21):145-146

作者:林曉偉 單位:國(guó)電南瑞科技股份有限公司