武汉地铁运营有限公司
摘要:基于各种新型技术在城市轨道交通系统中的有效运用,促使其朝着更好的方向前进。充分保障信息系统网络与信息安全是确保城市轨道可以顺利运作的基础。鉴于此,本文以武汉市为例,从中央级综合监控系统、车站/车辆段综合监控系统、综合监控系统安全子系统这几方面围绕着该城市轨道交通综合监控系统网络安全防护展开论述,旨在推动武汉城市轨道交通的健康发展。
关键词:城市轨道交通;综合监控;信息安全
引言
随着武汉市近几年轨道交通的快速发展,信息化与轨道交通自动化的深度融合,轨道交通自动化与控制网络也向着分布式、 智能化的方向迅速发展。然而在轨道交通系统越来越开放的同时,也削弱了其控制系统与外界的隔离和安全保护,各种病毒、木马和网络攻击层出不穷,网络系统与相关的设备遭受到严重的侵袭,致使城市轨道网络信息系统遭受着严重的考验。显然,本文针对城市轨道交通综合监控系统网络安全防护进行探讨具有一定的现实意义。
1中央级综合监控系统
第一,信息安全管理平台。武汉城市轨道交通系统应当结合实际状况构建中央级综合监控系统,该系统能够基于网络内信息流判断各种数据访问与找到信息异常点,借助于日志分析发现隐藏的安全隐患,通过对比所有业务系统特定控制指令数据包来实现对异常业务数据的科学追踪。
第二,工业防火墙。针对工业防火墙来说,其通常用于控制外部系统对综合监控系统,及其综合监控系统中各区域之间的访问控制,有效过滤数据包,借助于白名单制度将非法数据信息挑出来,以此来实现对信息的科学防护。
第三,工控异常检测。站在客观的立场出发来讲,工控异常检测简单地说是经过对系统内部的应用层协议来探索检验协议格式,同时还要和规则策略对比证明内容科学性,继而实现对应用系统的入侵检测以及探究业务操作的异常检测。不只是这样,工控异常检测可以及时发现以下内容:一是工业网络里面的活动设备;二是设备开放的端口;三是设备的网络连接等,并采取自学习、预设等各种手段制定出切实可行的白名单措施,以此来实现对违规业务的全面监督。
第四,网络防病毒系统。不管是针对病毒还是木马来说,均会致使终端运作水平不理想,甚至还会增加系统瘫痪情况出现的概率。不只是这样,因为工作站通过网络连接,所以很容易增加交叉感染情况发生的次数,无法全面清理掉某些病毒,所以应当部署网络防病毒软件来实现对工作站病毒的全面查杀。
第五,工作站安全系统。该城市工作站主机就可以通过部署安全系统的方式来实现对访问的科学把控,结合安全措施控制对操作员工作站资源的访问,对工作站主机的进程、应用软件进行权限管理,科学把控好移动存储介质的使用。不只是这样,还可以实现对工作站连接到互联网行为的全面检测,科学定位并加以隔离。
第六,数据库审计。就该系统而言,其简单地说是通过网络对相关数据库的操作科学性进行准确审计的管理系统。其通过记载被授权人员访问数据库的操作行为,协助用户经过以下几个步骤来确保数据库的顺利运作的:一是事前预防;二是实时监视;三是违规拦截;四是事后报告;五是事故追踪溯源;六是加大行为监督力度。
第七,现场运维审计堡垒机。对运维审计系统进行分析后,可以发现:其是经过网络对系统的操作合规性进行颗粒度审计的管理系统。其通过记载被授权人员访问数据库的维护行为,协助用户经过以下几个步骤来确保数据库的顺利运作的:一是事前预防;二是实时监视;三是违规拦截;四是事后报告;五是事故追踪溯源;六是加大行为监督力度。
第八,漏洞扫描系统。众所周知,该系统可以在第一时间发现网络资产,对资产属性进行科学判断,全方位扫描安全漏洞,以便可以供应与之相匹配的预防手段,继而令相关管理者早日实现科学控制。
第九,配置核查。针对安全基线配置系统来说,其简单地说是检查安全配置的一种工具,能够实现对以下几点的科学检查:一是主机设备;二是安全设备;三是中间件;四是网络设备;五是数据库等。一般检查内容主要涵盖以下几点:一是操作系统以及网络设备;二是数据库以及中间件等相关的口令、启动项等,以便可以为相关工作者对工作站主机加大检查力度提供应有的保障。
第十,Web应用防火墙。该防火墙实际上是通过实施相关安全措施来为Web应用供应第七层保护的产品之一。该防火墙是由以下几个部分一起组成的Web安全防护设备:一是WEB防护;二是网页保护;三是负载均衡;应用交付等。具体内容请看图1所示。
.png)
图1 Web 应用防火墙示意图
2车站/车辆段综合监控系统
针对该系统来说,其往往在设备室中部署以下设备:一是工业防火墙;二是工控异常监测引擎,同时在系统当中部署工作站安全系统、防病毒系统等。
就车站级综合监控系统与其它专业系统的边界来说,其通常部署工业防火墙,并在此基础上进行访问控制,在关键的地方布置与之相匹配的防火墙来实现访问的科学控制。与此同时,还要在车站核心交换机旁路安装与之相匹配的异常检测引擎,实时监督内部网络。
最后还应当在操作员工作站部署以下两种系统:一是网络防病毒系统;二是终端安全系统,对病毒加大防治力度,以此来实现对主机的有效防护。
3综合监控系统安全子系统
3.1安全管理平台
第一,展示层。主要是借助于图形化人机界面进行以下操作:一是全系统设备安全监控;二是系统运维;三是知识库管理等,同时还提供报警、进行安全隐患判断,降低事故出现的次数。不只是这样,还能够为用户提供与之相匹配的报表,地理信息等。
第二,功能层。针对功能层来说,其主要涵盖以下几个方面:一是设备安全管理,其是实现全网设备的科学控制,支撑设备自动拓扑发现,可以实现对管理设备的科学防护;二是工控安全综合分析,其涵盖很多内容,像工控网络业务流量分析、安全风险管理等;三是辅助安全管理,主要包含以下几个部分:一部分是告警的管理;另一部分是报表的管理;四是系统运维安全,主要包含以下几个部分:一是采集器管理;二是级联管理;三是系统自管理;四是权限管理。
第三,采集层。从客观的角度出发来讲,管理中心能够通过SNMPTrap、文件\文件夹、、NetBIOS等各种手段完成日志收集功能。一般采集的数据主要涵盖以下几点:一是交换机;二是安全设备;三是操作员站;四是PLC系统等。
第四,数据库层。通常情况下,数据库层集中保存了系统全部的重要数据,主要体现在以下几个方面:一是设备库;二是性能数据库;三是关联分析规则库;四是威胁库;五是配置基线库;六是配置维护数据库等。
第五,应用接口层。对应用接口层进行分析后可知,其是本系统和外部系统之间的接口模块。针对该接口模块来说,其能够快速实现运维系统、其他系统等接口,便于判断出安全事件之后,系统可以在第一时间响应处理。
3.2网络防病毒系统
第一,控制中心。该中心通常以B/S架构为主,能够通过浏览器访问。该中心主要对以下几点进行全权负责:一是终端分组管理;二是生成报表;三是升级终端软件等。
第二,终端。针对终端来说,其应当安装在以下几个地方:一是需要被保护的服务器;二是需要被保护的PC端,以便可以及时接收相关任务,实施杀毒、修复等一系列操作,并将安全报告反馈到指定的地方。
4 结语
综上,针对综合监控系统配置信息安全防护体系来说,其是充分保障系统安全、减少隐患的主要方式之一,需要得到广泛的关注。
参考文献:
[1]孙超.城市轨道交通综合监控系统信息安全保护[J].城市轨道交通研究,2018,21(S2):47-49.
[2]杨青.城市轨道交通综合监控系统网络组成及实施初探[J].建材与装饰,2018(41):286-287.
[3]罗远辉. 城市轨道交通DCS网络信息安全的研究及网络监控系统的实现[D].北京交通大学,2017.
[4]叶海权,张翠云.城市轨道交通综合监控系统网络结构分析[J].微型机与应用,2013,32(21):55-58.