地铁综合监控系统信息安全方案的研究

(整期优先)网络出版时间:2021-06-04
/ 2

地铁综合监控系统信息安全方案的研究

高雄

西安市轨道交通集团有限公司 陕西西安 710000

摘要:经济的发展,城镇化进程的加快,促进交通建设项目的增多。在人们生活方式不断转变的过程中,地铁工程项目设计逐步创新,充分结合了现代技术中的现代化、信息化以及智能化特点,满足了人们的安全出行需求。在地铁工程设计中,综合监控系统因具有综合监控管理、指导调度维修及应急抢修等功能显得尤为重要,但在实际运行过程中存在人为等因素导致的综合监控系统不安全现象,因而对综合监控系统进行防护技术的构建,为现代地铁轨道交通监控系统的可持续发展提供保障。本文就地铁综合监控系统信息安全方案展开探讨。

关键词:轨道交通;综合监控系统;信息安全

引言

综合监控系统作为国内城市轨道交通应用领域里的新技术、新模式,为地铁车站提供了一个集中操作、运营管理的平台。尽管综合监控系统在全国各大城市的地铁项目中已经得到广泛应用,但不可忽略的是,在应用过程中,许多问题也随之出现,尤其是信息安全方面。

1综合监控信息安全建设目标

综合监控系统的信息安全建设目标,应结合相应的政策法规、国家标准、行业成功经验及项目建设面临的实际安全风险出发。综合上述视角,要真正做到综合监控系统的网络安全,应按照《计算机信息系统安全保护等级划分准则》中相关要求,将等级保护建设的思路作为最佳实践,以组织制度保障结合有效的技术措施:建立健全综合监控系统的信息安全管理制度和信息安全管理机构,完善信息安全管理体制;建立综合监控系统信息安全纵深防御技术体系,从网络结构到内部流量行为、再到主机本体的全方位技术防护措施,提供三级等级保护要求的相应软硬件及完整的信息安全设计,从而保障综合监控系统平稳、安全、高效运行。

2地铁综合监控系统信息防护对象

2.1PSCADA系统

在综合监控系统与PSCADA系统融合的过程中,形成了共同构成的全线电力监控系统,并通过对全线开闭所、牵引降压混合变电所以及降压变电所的设计,实现对供电设备实时监控状态的管理,提高监控管理工作的整体价值,并保障供电设备检修及调度方案使用的合理性,实现系统供电的可靠性。在PSCADA系统功能分析中,系统从实现对综合监控系统的控制、数据采集以及报警显示,逐渐升级为中央级、车站两级管理等。PSCADA系统会将监控重心作为重点,在车站控制室保留对供电设备的控制,并对设备运行状态进行综合性的分析,充分保障了综合控制系统与设备控制的集合性。

2.2BAS系统

BAS系统负责全线正常、阻塞、火灾工况下的机电设备如通风空调系统、冷水系统、给排水系统、照明系统、扶梯系统、自动扶梯、电梯等设备的运行状态监视和控制管理。BAS实行中央级、车站级两级管理,实行中央级、车站级、就地级三级控制方式。中央级主要负责全线BAS的日常调度、控制模式、运行统计等工作。车站级主要负责本站机电设备的单点控制、执行中央级模式控制、编辑临时时间表控制、显示各种工作状态与报警。

2.3FAS系统

在FAS系统运行中,会对车站、车辆段以及停车站、电缆通道的火警安全进行监控,也就说明,该种系统具有火灾探测以及报警处理功能,针对火灾状况发出指令,实现消防联动项目的处置。而且,在FAS系统实现的过程中,通过中央级、车站级管理模式的构建,可以对地铁运行环境进行实时监控,车站级负责对本站FAS的监控及管理。

3综合监控系统信息安全方案研究

3.1总体规划

城市轨道交通综合监控系统(ISCS)中集成和互联的对象包括:环境与设备监控系统(BAS)、火灾自动报警系统(FAS(含区间隧道感温光纤))、电力监控(SCADA)、站台门(PSD)、防淹门(FG)、电气火灾报警系统、消防电源监视系统、防火门监控系统、乘客信息显示系统(PIS)、广播系统(PA)、信号系统(SIG)、视频监控(CCTV)、自动售检票系统(AFC)、门禁系统(ACS)、时钟系统(CLK)、可视化接地系统、列车车载监视系统、通信集中告警系统、线网指挥系统(TCC)、信息管理系统(OA)、市火灾监控中心等[6]。由于ISCS接口众多,在车站、车辆段、停车场ISCS交换机出口部署工业防火墙,隔离与各接口系统,ISCS站级系统内部署工控网络安全监测与审计系统。在中央级ISCS交换机出口处部署工业防火墙,ISCS中央级部署安全管理区,区内部署主机防护系统集中监管平台、风险评估系统、工控安全管理中心系统、工控安全运维管理系统、工控网络安全监测与审计系统、信息安全管理工作站等。

3.2中央级综合监控系统安全防护体系

在中央级综合监控系统中控部署工业控制信息安全管理系统、工控异常监测系统、工业防火墙、操作站安全系统、现场运维审计与管理系统、工控漏洞扫描等。通过部署工业控制信息安全管理系统,对所有安全信息进行统一管理,统一呈现。基于流发现异常和访问关系,关联日志发现潜在威胁,同时检测PSCADA、BAS的业务异常——在具体业务中,系统发出控制命令是特定的、有限的,将正确的数据包作为标准,就可以快速发现异常数据包。通过部署工业防火墙可以控制外部网络对生产系统的访问,对数据包进行过滤,严格执行白名单机制,实现保护。通过部署操作站安全系统对主机的进程、软件基于白名单进行管理,对流量、移动存储介质的使用进行监控。通过部署现场运维审计与管理系统,审计远程或现场运维操作。通过部署工控漏洞扫描,扫描各网络设备和工业控制设备的漏洞。

3.3安全物理环境

严格贯彻安全物理环境需求,建立专有的电子门禁,配备防盗窃和防破坏,设置视频监控和电子门禁,配备专门存放光盘资料等介质的档案柜,有防盗报警系统,线路隐蔽铺设。设置避雷装置及自动消防系统,如温感、烟感探头、气体灭火系统等。采取防水和防潮措施,可铺设方静电瓷砖或防静电地板,机房配置精密空调机组,能根据温度、湿度的预设值自动调节温度与湿度,系统双路供电,具有UPS稳压过压保护,机房急设备均采用单独接地,防止外界电磁干扰。

3.4安全管理中心

安全管理中心在网络管理系统中部署,由工业监管平台,工业漏洞扫描系统、统一运维管理平台等系统组成。其中,工业监管平台(信息安全管理平台设备及软件)负责对日志的采集分析、对资产、风险的管理,对安全事件的处置分析和对主要安全设备、软件的统一运维。工业漏洞扫描系统通过定期扫描的形式发掘系统中存在的漏洞、问题。统一运维管理平台为运维堡垒机系统,对系统的运维操作进行审计和管理。

结语

总而言之,在地铁综合控制系统信息安全防护的过程中,通过信息安全防护机制的构建,可以将地铁综合控制系统的运行状况作为重点,结合防护对象存在的问题,进行防护策略的优化,以提升地铁综合监控系统的安全性,从而确保地铁运行的稳定性、安全性。

参考文献

[1]徐建,闫小楼.地铁综合监控系统的信息安全防护[J].工程技术:引文版,2018(8):107.

[2]陈亮.地铁综合监控系统的信息安全防护[J].工程技术:文摘版,2018(7):261.

[3]肖衍,苏立勇,刘新龙.地铁综合监控系统的信息安全防护[C]智慧城市与轨道交通,2019:376-379.

[4]GB/T25058-2019,信息安全技术网络安全等级保护实施指南[S].北京:中国标准出版社,2019.

[5]GB/T25070-2019,信息安全技术网络安全等级保护安全设计技术要求[S].北京:中国质检出版社,2019.