李凱奇

摘 要：綜合軌道監(jiān)控系統(tǒng)設(shè)計(jì)技術(shù)的深入研究和應(yīng)用，為軌道交通中的綜合監(jiān)控優(yōu)化設(shè)計(jì)提供了有效的技術(shù)解決方案。上海軌道交通運(yùn)營管理現(xiàn)狀，利用綜合分析方法深入研究相關(guān)交通專業(yè)系統(tǒng)的相關(guān)整合設(shè)計(jì)方式，提出適用于上海軌道交通的城市綜合交通監(jiān)控管理系統(tǒng)相關(guān)整合技術(shù)設(shè)計(jì)方案，并重點(diǎn)提出綜合交通監(jiān)控系統(tǒng)綜合的設(shè)置，為上海相關(guān)設(shè)計(jì)方案提供參考和技術(shù)指導(dǎo)。

關(guān)鍵詞：上海地鐵;問題;綜合監(jiān)控系統(tǒng)信息安全方案研究

0 引言

隨著當(dāng)前上海現(xiàn)代城市化建設(shè)進(jìn)程的迅速推進(jìn)發(fā)展，城市軌道公共交通在現(xiàn)代人們的社會日常生活中已經(jīng)發(fā)揮著越來越重要的主導(dǎo)作用。為了穩(wěn)定地實(shí)現(xiàn)城市軌道交通電力監(jiān)測、環(huán)境和設(shè)備監(jiān)測等功能，城市軌道交通綜合監(jiān)測系統(tǒng)信息安全問題備受關(guān)注。

1 存在的問題

網(wǎng)絡(luò)建設(shè)增加了安全信息風(fēng)險，而且城市綜合移動監(jiān)控信息系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)需要同時連接用于城市軌道交通系統(tǒng)的大量大型機(jī)械信息處理系統(tǒng)，因此城市綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險問題更加突出。主要特點(diǎn)集中在以下幾個方面：

1.1 外部攻擊的發(fā)展

綜合工業(yè)監(jiān)控信息系統(tǒng)已經(jīng)采用了大量信息網(wǎng)絡(luò)安全技術(shù)，使用中的工業(yè)自動控制系統(tǒng)信息網(wǎng)絡(luò)技術(shù)的安全越來越容易進(jìn)入工業(yè)黑客的主要研究領(lǐng)域范圍，國內(nèi)外大型工業(yè)信息安全問題交流學(xué)術(shù)會議已將解決工業(yè)自動控制系統(tǒng)信息安全問題作為重要學(xué)術(shù)討論熱點(diǎn)議題。隨著網(wǎng)絡(luò)黑客攻擊分析技術(shù)的不斷進(jìn)步發(fā)展，攻擊的使用手段正在日益多樣化，對他們來說，入侵某些軟件系統(tǒng)并成功實(shí)施破壞其系統(tǒng)完整性的攻擊可能性很高。

1.2 內(nèi)部威脅的加劇

根據(jù)網(wǎng)絡(luò)信息安全研究中心的調(diào)查結(jié)果，信息安全的主要潛在威脅不是外部網(wǎng)絡(luò)黑客攻擊或內(nèi)部病毒軟件入侵，而是企業(yè)內(nèi)部人員安全破壞和內(nèi)部用戶信息安全泄露。集成網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)易于集成和相互連接的每個系統(tǒng)自動化監(jiān)控系統(tǒng)通常都會缺乏一個網(wǎng)絡(luò)端口訪問和遠(yuǎn)程控制管理機(jī)制，計(jì)算機(jī)和其他子系統(tǒng)之間的網(wǎng)絡(luò)通信通常缺乏系統(tǒng)認(rèn)證和網(wǎng)絡(luò)認(rèn)證管理機(jī)制，只要在網(wǎng)絡(luò)協(xié)議規(guī)定級別以下能夠與其他子系統(tǒng)相互連接，就被許可修改子系統(tǒng)。

一般來說，對系統(tǒng)的最大操作權(quán)限進(jìn)行限制不足，最大權(quán)限往往有足夠能力完全控制系統(tǒng)和帳戶數(shù)據(jù)，因此任何一種非法操作都非常有可能直接導(dǎo)致系統(tǒng)或帳戶數(shù)據(jù)的非法修改和安全泄露。由于企業(yè)綜合安全監(jiān)測管理系統(tǒng)長期缺乏有效的事前審計(jì)和事后監(jiān)測追蹤管理工具，責(zé)任人的劃分和安全威脅監(jiān)測追蹤工作變得更加困難。

2 綜合監(jiān)測系統(tǒng)信息安全方案研究

2.1 總體規(guī)劃

為了滿足綜合監(jiān)控系統(tǒng)信息安全保護(hù)建設(shè)的若干要求，特定品牌的產(chǎn)業(yè)防火墻、產(chǎn)業(yè)審計(jì)系統(tǒng)、入侵防護(hù)系統(tǒng)、產(chǎn)業(yè)泄漏清洗系統(tǒng)、綜合運(yùn)維平臺、數(shù)據(jù)庫審計(jì)系統(tǒng)、產(chǎn)業(yè)監(jiān)督平臺系統(tǒng)等硬件設(shè)備和產(chǎn)業(yè)經(jīng)費(fèi)軟件產(chǎn)品分別位于控制中心、車站、車輛段等節(jié)點(diǎn)和設(shè)備維護(hù)系統(tǒng)、模擬測試平臺、系統(tǒng)等。

綜合監(jiān)控系統(tǒng)多采用“多層控制、層管理”的基本體系結(jié)構(gòu)。一般來說，可以分為二級管理、三級控制模式，整個系統(tǒng)可以分為中央控制層、站控制層和自動化子系統(tǒng)現(xiàn)場設(shè)備層。

綜合監(jiān)控系統(tǒng)中常見的第二次管理、第三次控制體系結(jié)構(gòu)。

集中式綜合監(jiān)控系統(tǒng)：為部分子系統(tǒng)提供集成和互連功能，為其提供統(tǒng)計(jì)報告、程序控制、中心式關(guān)聯(lián)、日程管理等更多樣化、更便捷的監(jiān)控功能。此外，該系統(tǒng)還提供數(shù)據(jù)共享傳輸渠道，向城市網(wǎng)絡(luò)管理中心、地方調(diào)度中心、管理中心等提供相關(guān)數(shù)據(jù)。

逆向集成監(jiān)控系統(tǒng)：該系統(tǒng)主要安裝在各站點(diǎn)，提供與各自動化系統(tǒng)的集成和互聯(lián)功能，實(shí)時記錄和反映現(xiàn)場設(shè)備狀態(tài)的變化，并提供控制發(fā)布功能，由輔助站點(diǎn)工作人員完成對各子系統(tǒng)的監(jiān)控和控制。

2.2 安全的物理環(huán)境

通過安全設(shè)備和網(wǎng)絡(luò)設(shè)備對安全域進(jìn)行合理分類，實(shí)施訪問控制和攻擊保護(hù)，滿足安全期間網(wǎng)絡(luò)安全的一些要求。

2.3 安全通信網(wǎng)絡(luò)

通過迂回監(jiān)聽和智能分析技術(shù)，對系統(tǒng)控制、收集請求、數(shù)據(jù)庫訪問、系統(tǒng)運(yùn)行維護(hù)等主要行為進(jìn)行審計(jì)，對攻擊進(jìn)行及時預(yù)警，滿足安全審計(jì)的安全相關(guān)要求。

（1）控制中心網(wǎng)絡(luò)風(fēng)險分析?？刂浦行牡陌踩ㄐ啪W(wǎng)絡(luò)保障通過產(chǎn)業(yè)審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)的部署進(jìn)行，產(chǎn)業(yè)審計(jì)通過迂回模式部署、交換機(jī)鏡像流量方式分析數(shù)據(jù)源，并根據(jù)業(yè)務(wù)需求將產(chǎn)業(yè)審計(jì)系統(tǒng)部署到控制中心主交換機(jī)、軟件測試平臺內(nèi)部和網(wǎng)絡(luò)管理系統(tǒng)內(nèi)部。其中，在控制中心上的產(chǎn)業(yè)審計(jì)使用單機(jī)部署，確保對風(fēng)險的持續(xù)識別。

（2）車站網(wǎng)絡(luò)風(fēng)險分析。車站的安全通信網(wǎng)絡(luò)保障是通過產(chǎn)業(yè)審計(jì)系統(tǒng)的部署進(jìn)行的，產(chǎn)業(yè)審計(jì)通過迂回模式部署、鏡像流量分析、雙機(jī)保障，確保對風(fēng)險的持續(xù)識別。

（3）車輛段網(wǎng)絡(luò)風(fēng)險分析。車輛段的安全通信網(wǎng)絡(luò)保障是通過產(chǎn)業(yè)審計(jì)系統(tǒng)的部署進(jìn)行的，產(chǎn)業(yè)審計(jì)是通過迂回模式部署進(jìn)行的，通過交換機(jī)鏡像流量方式收集和分析數(shù)據(jù)源。根據(jù)業(yè)務(wù)要求，行業(yè)審計(jì)系統(tǒng)將分別部署在車輛段主開關(guān)、培訓(xùn)系統(tǒng)內(nèi)部和設(shè)備維護(hù)系統(tǒng)內(nèi)部。其中，部署在車輛區(qū)間網(wǎng)絡(luò)上的產(chǎn)業(yè)審計(jì)通過單級部署，確保對風(fēng)險的持續(xù)識別。設(shè)備維護(hù)系統(tǒng)和培訓(xùn)系統(tǒng)安全域內(nèi)的產(chǎn)業(yè)審計(jì)使用單級部署。

2.4 安全區(qū)域邊界

（1）保護(hù)控制中心邊界?？刂浦行膽?yīng)分為辦公自動化系統(tǒng)，模擬測試系統(tǒng)、綜合監(jiān)測系統(tǒng)和子系統(tǒng)互聯(lián)。根據(jù)區(qū)間的特性和保護(hù)要求，辦公自動化系統(tǒng)區(qū)域應(yīng)使用具有訪問控制功能的入侵預(yù)防系統(tǒng)，其他區(qū)域應(yīng)使用工業(yè)防火墻。具體部署位置為線網(wǎng)中心外部系統(tǒng)和中心綜合監(jiān)測連接處、前端通信機(jī)和中心綜合監(jiān)測系統(tǒng)接口處、網(wǎng)絡(luò)管理系統(tǒng)交換機(jī)相聯(lián)處、模擬測試系統(tǒng)交換機(jī)相聯(lián)處。

（2）車站邊界保護(hù)。站端應(yīng)分為綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域和系統(tǒng)互連區(qū)域，并根據(jù)區(qū)域之間的特性和保護(hù)要求，使用行業(yè)防火墻進(jìn)行隔離。具體地說，部署位置在通信先進(jìn)器和監(jiān)控系統(tǒng)內(nèi)聯(lián)網(wǎng)之間。

（3）車輛段的邊界保護(hù)。車輛段應(yīng)分為系統(tǒng)安全域、設(shè)備維護(hù)系統(tǒng)安全域、綜合監(jiān)控系統(tǒng)內(nèi)部區(qū)域和系統(tǒng)互連區(qū)域。應(yīng)根據(jù)隔離區(qū)域之間的特性和保護(hù)要求，使用行業(yè)防火墻進(jìn)行隔離。部署位置位于設(shè)備維護(hù)系統(tǒng)交換機(jī)的連接點(diǎn)、教育系統(tǒng)交換機(jī)的連接點(diǎn)、前端通信器和監(jiān)控系統(tǒng)內(nèi)部網(wǎng)之間。

2.5 安全計(jì)算環(huán)境

通過符合產(chǎn)業(yè)特色的終端安全保護(hù)軟件，保護(hù)集成監(jiān)控系統(tǒng)中使用的計(jì)算終端，防止誤中病毒等情況，結(jié)合系統(tǒng)本身的安全相關(guān)設(shè)計(jì)，滿足層保護(hù)中對主機(jī)安全、應(yīng)用程序安全和數(shù)據(jù)安全的要求。

2.6 安全管理中心

通過綜合安全管理平臺，實(shí)現(xiàn)安全產(chǎn)品日志的綜合收集、分析和主要保護(hù)設(shè)備的綜合運(yùn)行和維護(hù)，形成綜合監(jiān)控系統(tǒng)的安全運(yùn)行中心，統(tǒng)一維護(hù)日常信息安全保護(hù)，為安全事件的緊急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支持。

3 結(jié)束語

進(jìn)入21世紀(jì)后，大城市在城市空間結(jié)構(gòu)優(yōu)化、緩解城市交通擁擠、保護(hù)城市環(huán)境等諸多方面面臨諸多挑戰(zhàn)和難題，城市鐵路交通的高速發(fā)展為解決這些問題提供了有益的途徑。必須充分考慮網(wǎng)絡(luò)安全保障問題，從2015年建立全國城市鐵路軌道交通運(yùn)輸綜合安全監(jiān)控信息系統(tǒng)、系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)營和維護(hù)到廢棄的長壽命周期的所有階段。在滿足建設(shè)企業(yè)綜合安全監(jiān)控管理系統(tǒng)的需要同時，還要同時進(jìn)行系統(tǒng)的信息安全建設(shè)工作?？傊?，加強(qiáng)對上海地鐵交通綜合工程監(jiān)控技術(shù)系統(tǒng)實(shí)際應(yīng)用關(guān)鍵問題的實(shí)際研究理論分析，取得良好的理論實(shí)踐應(yīng)用效果也就具有十分重要的現(xiàn)實(shí)意義，因此，在今后的上海地鐵交通綜合工程監(jiān)控技術(shù)系統(tǒng)實(shí)際應(yīng)用研究過程中，應(yīng)繼續(xù)加強(qiáng)對其應(yīng)用關(guān)鍵和主要重點(diǎn)影響因素的分析重視，重視具體實(shí)施政策措施和解決方法的落實(shí)。

參考文獻(xiàn)：

[1]張志學(xué)，劉佩，張長開，等.城市軌道交通綜合監(jiān)控人機(jī)交互系統(tǒng)技術(shù)要點(diǎn)[J].城市軌道交通研究，2019，22（11）：108-112.

[2]元進(jìn)輝，江開雄，王剛.城市軌道交通綜合監(jiān)控系統(tǒng)云的應(yīng)用探索[J].城市軌道交通研究，2019，22（11）：139-142.

[3]GB/T50636-2010，城市軌道交通綜合監(jiān)控系統(tǒng)工程設(shè)計(jì)規(guī)范[S].