论文部分内容阅读
摘 要:综合轨道监控系统设计技术的深入研究和应用,为轨道交通中的综合监控优化设计提供了有效的技术解决方案。上海軌道交通运营管理现状,利用综合分析方法深入研究相关交通专业系统的相关整合设计方式,提出适用于上海轨道交通的城市综合交通监控管理系统相关整合技术设计方案,并重点提出综合交通监控系统综合的设置,为上海相关设计方案提供参考和技术指导。
关键词:上海地铁;问题;综合监控系统信息安全方案研究
0 引言
随着当前上海现代城市化建设进程的迅速推进发展,城市轨道公共交通在现代人们的社会日常生活中已经发挥着越来越重要的主导作用。为了稳定地实现城市轨道交通电力监测、环境和设备监测等功能,城市轨道交通综合监测系统信息安全问题备受关注。
1 存在的问题
网络建设增加了安全信息风险,而且城市综合移动监控信息系统基础网络建设需要同时连接用于城市轨道交通系统的大量大型机械信息处理系统,因此城市综合监控系统网络信息安全风险问题更加突出。主要特点集中在以下几个方面:
1.1 外部攻击的发展
综合工业监控信息系统已经采用了大量信息网络安全技术,使用中的工业自动控制系统信息网络技术的安全越来越容易进入工业黑客的主要研究领域范围,国内外大型工业信息安全问题交流学术会议已将解决工业自动控制系统信息安全问题作为重要学术讨论热点议题。随着网络黑客攻击分析技术的不断进步发展,攻击的使用手段正在日益多样化,对他们来说,入侵某些软件系统并成功实施破坏其系统完整性的攻击可能性很高。
1.2 内部威胁的加剧
根据网络信息安全研究中心的调查结果,信息安全的主要潜在威胁不是外部网络黑客攻击或内部病毒软件入侵,而是企业内部人员安全破坏和内部用户信息安全泄露。集成网络监控管理系统易于集成和相互连接的每个系统自动化监控系统通常都会缺乏一个网络端口访问和远程控制管理机制,计算机和其他子系统之间的网络通信通常缺乏系统认证和网络认证管理机制,只要在网络协议规定级别以下能够与其他子系统相互连接,就被许可修改子系统。
一般来说,对系统的最大操作权限进行限制不足,最大权限往往有足够能力完全控制系统和帐户数据,因此任何一种非法操作都非常有可能直接导致系统或帐户数据的非法修改和安全泄露。由于企业综合安全监测管理系统长期缺乏有效的事前审计和事后监测追踪管理工具,责任人的划分和安全威胁监测追踪工作变得更加困难。
2 综合监测系统信息安全方案研究
2.1 总体规划
为了满足综合监控系统信息安全保护建设的若干要求,特定品牌的产业防火墙、产业审计系统、入侵防护系统、产业泄漏清洗系统、综合运维平台、数据库审计系统、产业监督平台系统等硬件设备和产业经费软件产品分别位于控制中心、车站、车辆段等节点和设备维护系统、模拟测试平台、系统等。
综合监控系统多采用“多层控制、层管理”的基本体系结构。一般来说,可以分为二级管理、三级控制模式,整个系统可以分为中央控制层、站控制层和自动化子系统现场设备层。
综合监控系统中常见的第二次管理、第三次控制体系结构。
集中式综合监控系统:为部分子系统提供集成和互连功能,为其提供统计报告、程序控制、中心式关联、日程管理等更多样化、更便捷的监控功能。此外,该系统还提供数据共享传输渠道,向城市网络管理中心、地方调度中心、管理中心等提供相关数据。
逆向集成监控系统:该系统主要安装在各站点,提供与各自动化系统的集成和互联功能,实时记录和反映现场设备状态的变化,并提供控制发布功能,由辅助站点工作人员完成对各子系统的监控和控制。
2.2 安全的物理环境
通过安全设备和网络设备对安全域进行合理分类,实施访问控制和攻击保护,满足安全期间网络安全的一些要求。
2.3 安全通信网络
通过迂回监听和智能分析技术,对系统控制、收集请求、数据库访问、系统运行维护等主要行为进行审计,对攻击进行及时预警,满足安全审计的安全相关要求。
(1)控制中心网络风险分析。控制中心的安全通信网络保障通过产业审计系统和数据库审计系统的部署进行,产业审计通过迂回模式部署、交换机镜像流量方式分析数据源,并根据业务需求将产业审计系统部署到控制中心主交换机、软件测试平台内部和网络管理系统内部。其中,在控制中心上的产业审计使用单机部署,确保对风险的持续识别。
(2)车站网络风险分析。车站的安全通信网络保障是通过产业审计系统的部署进行的,产业审计通过迂回模式部署、镜像流量分析、双机保障,确保对风险的持续识别。
(3)车辆段网络风险分析。车辆段的安全通信网络保障是通过产业审计系统的部署进行的,产业审计是通过迂回模式部署进行的,通过交换机镜像流量方式收集和分析数据源。根据业务要求,行业审计系统将分别部署在车辆段主开关、培训系统内部和设备维护系统内部。其中,部署在车辆区间网络上的产业审计通过单级部署,确保对风险的持续识别。设备维护系统和培训系统安全域内的产业审计使用单级部署。
2.4 安全区域边界
(1)保护控制中心边界。控制中心应分为办公自动化系统,模拟测试系统、综合监测系统和子系统互联。根据区间的特性和保护要求,办公自动化系统区域应使用具有访问控制功能的入侵预防系统,其他区域应使用工业防火墙。具体部署位置为线网中心外部系统和中心综合监测连接处、前端通信机和中心综合监测系统接口处、网络管理系统交换机相联处、模拟测试系统交换机相联处。
(2)车站边界保护。站端应分为综合监控系统内部区域和系统互连区域,并根据区域之间的特性和保护要求,使用行业防火墙进行隔离。具体地说,部署位置在通信先进器和监控系统内联网之间。
(3)车辆段的边界保护。车辆段应分为系统安全域、设备维护系统安全域、综合监控系统内部区域和系统互连区域。应根据隔离区域之间的特性和保护要求,使用行业防火墙进行隔离。部署位置位于设备维护系统交换机的连接点、教育系统交换机的连接点、前端通信器和监控系统内部网之间。
2.5 安全计算环境
通过符合产业特色的终端安全保护软件,保护集成监控系统中使用的计算终端,防止误中病毒等情况,结合系统本身的安全相关设计,满足层保护中对主机安全、应用程序安全和数据安全的要求。
2.6 安全管理中心
通过综合安全管理平台,实现安全产品日志的综合收集、分析和主要保护设备的综合运行和维护,形成综合监控系统的安全运行中心,统一维护日常信息安全保护,为安全事件的紧急处置、攻击行为的发现提供技术支持。
3 结束语
进入21世纪后,大城市在城市空间结构优化、缓解城市交通拥挤、保护城市环境等诸多方面面临诸多挑战和难题,城市铁路交通的高速发展为解决这些问题提供了有益的途径。必须充分考虑网络安全保障问题,从2015年建立全国城市铁路轨道交通运输综合安全监控信息系统、系统规划、设计、实施、运营和维护到废弃的长寿命周期的所有阶段。在满足建设企业综合安全监控管理系统的需要同时,还要同时进行系统的信息安全建设工作。总之,加强对上海地铁交通综合工程监控技术系统实际应用关键问题的实际研究理论分析,取得良好的理论实践应用效果也就具有十分重要的现实意义,因此,在今后的上海地铁交通综合工程监控技术系统实际应用研究过程中,应继续加强对其应用关键和主要重点影响因素的分析重视,重视具体实施政策措施和解决方法的落实。
参考文献:
[1]张志学,刘佩,张长开,等.城市轨道交通综合监控人机交互系统技术要点[J].城市轨道交通研究,2019,22(11):108-112.
[2]元进辉,江开雄,王刚.城市轨道交通综合监控系统云的应用探索[J].城市轨道交通研究,2019,22(11):139-142.
[3]GB/T50636-2010,城市轨道交通综合监控系统工程设计规范[S].
关键词:上海地铁;问题;综合监控系统信息安全方案研究
0 引言
随着当前上海现代城市化建设进程的迅速推进发展,城市轨道公共交通在现代人们的社会日常生活中已经发挥着越来越重要的主导作用。为了稳定地实现城市轨道交通电力监测、环境和设备监测等功能,城市轨道交通综合监测系统信息安全问题备受关注。
1 存在的问题
网络建设增加了安全信息风险,而且城市综合移动监控信息系统基础网络建设需要同时连接用于城市轨道交通系统的大量大型机械信息处理系统,因此城市综合监控系统网络信息安全风险问题更加突出。主要特点集中在以下几个方面:
1.1 外部攻击的发展
综合工业监控信息系统已经采用了大量信息网络安全技术,使用中的工业自动控制系统信息网络技术的安全越来越容易进入工业黑客的主要研究领域范围,国内外大型工业信息安全问题交流学术会议已将解决工业自动控制系统信息安全问题作为重要学术讨论热点议题。随着网络黑客攻击分析技术的不断进步发展,攻击的使用手段正在日益多样化,对他们来说,入侵某些软件系统并成功实施破坏其系统完整性的攻击可能性很高。
1.2 内部威胁的加剧
根据网络信息安全研究中心的调查结果,信息安全的主要潜在威胁不是外部网络黑客攻击或内部病毒软件入侵,而是企业内部人员安全破坏和内部用户信息安全泄露。集成网络监控管理系统易于集成和相互连接的每个系统自动化监控系统通常都会缺乏一个网络端口访问和远程控制管理机制,计算机和其他子系统之间的网络通信通常缺乏系统认证和网络认证管理机制,只要在网络协议规定级别以下能够与其他子系统相互连接,就被许可修改子系统。
一般来说,对系统的最大操作权限进行限制不足,最大权限往往有足够能力完全控制系统和帐户数据,因此任何一种非法操作都非常有可能直接导致系统或帐户数据的非法修改和安全泄露。由于企业综合安全监测管理系统长期缺乏有效的事前审计和事后监测追踪管理工具,责任人的划分和安全威胁监测追踪工作变得更加困难。
2 综合监测系统信息安全方案研究
2.1 总体规划
为了满足综合监控系统信息安全保护建设的若干要求,特定品牌的产业防火墙、产业审计系统、入侵防护系统、产业泄漏清洗系统、综合运维平台、数据库审计系统、产业监督平台系统等硬件设备和产业经费软件产品分别位于控制中心、车站、车辆段等节点和设备维护系统、模拟测试平台、系统等。
综合监控系统多采用“多层控制、层管理”的基本体系结构。一般来说,可以分为二级管理、三级控制模式,整个系统可以分为中央控制层、站控制层和自动化子系统现场设备层。
综合监控系统中常见的第二次管理、第三次控制体系结构。
集中式综合监控系统:为部分子系统提供集成和互连功能,为其提供统计报告、程序控制、中心式关联、日程管理等更多样化、更便捷的监控功能。此外,该系统还提供数据共享传输渠道,向城市网络管理中心、地方调度中心、管理中心等提供相关数据。
逆向集成监控系统:该系统主要安装在各站点,提供与各自动化系统的集成和互联功能,实时记录和反映现场设备状态的变化,并提供控制发布功能,由辅助站点工作人员完成对各子系统的监控和控制。
2.2 安全的物理环境
通过安全设备和网络设备对安全域进行合理分类,实施访问控制和攻击保护,满足安全期间网络安全的一些要求。
2.3 安全通信网络
通过迂回监听和智能分析技术,对系统控制、收集请求、数据库访问、系统运行维护等主要行为进行审计,对攻击进行及时预警,满足安全审计的安全相关要求。
(1)控制中心网络风险分析。控制中心的安全通信网络保障通过产业审计系统和数据库审计系统的部署进行,产业审计通过迂回模式部署、交换机镜像流量方式分析数据源,并根据业务需求将产业审计系统部署到控制中心主交换机、软件测试平台内部和网络管理系统内部。其中,在控制中心上的产业审计使用单机部署,确保对风险的持续识别。
(2)车站网络风险分析。车站的安全通信网络保障是通过产业审计系统的部署进行的,产业审计通过迂回模式部署、镜像流量分析、双机保障,确保对风险的持续识别。
(3)车辆段网络风险分析。车辆段的安全通信网络保障是通过产业审计系统的部署进行的,产业审计是通过迂回模式部署进行的,通过交换机镜像流量方式收集和分析数据源。根据业务要求,行业审计系统将分别部署在车辆段主开关、培训系统内部和设备维护系统内部。其中,部署在车辆区间网络上的产业审计通过单级部署,确保对风险的持续识别。设备维护系统和培训系统安全域内的产业审计使用单级部署。
2.4 安全区域边界
(1)保护控制中心边界。控制中心应分为办公自动化系统,模拟测试系统、综合监测系统和子系统互联。根据区间的特性和保护要求,办公自动化系统区域应使用具有访问控制功能的入侵预防系统,其他区域应使用工业防火墙。具体部署位置为线网中心外部系统和中心综合监测连接处、前端通信机和中心综合监测系统接口处、网络管理系统交换机相联处、模拟测试系统交换机相联处。
(2)车站边界保护。站端应分为综合监控系统内部区域和系统互连区域,并根据区域之间的特性和保护要求,使用行业防火墙进行隔离。具体地说,部署位置在通信先进器和监控系统内联网之间。
(3)车辆段的边界保护。车辆段应分为系统安全域、设备维护系统安全域、综合监控系统内部区域和系统互连区域。应根据隔离区域之间的特性和保护要求,使用行业防火墙进行隔离。部署位置位于设备维护系统交换机的连接点、教育系统交换机的连接点、前端通信器和监控系统内部网之间。
2.5 安全计算环境
通过符合产业特色的终端安全保护软件,保护集成监控系统中使用的计算终端,防止误中病毒等情况,结合系统本身的安全相关设计,满足层保护中对主机安全、应用程序安全和数据安全的要求。
2.6 安全管理中心
通过综合安全管理平台,实现安全产品日志的综合收集、分析和主要保护设备的综合运行和维护,形成综合监控系统的安全运行中心,统一维护日常信息安全保护,为安全事件的紧急处置、攻击行为的发现提供技术支持。
3 结束语
进入21世纪后,大城市在城市空间结构优化、缓解城市交通拥挤、保护城市环境等诸多方面面临诸多挑战和难题,城市铁路交通的高速发展为解决这些问题提供了有益的途径。必须充分考虑网络安全保障问题,从2015年建立全国城市铁路轨道交通运输综合安全监控信息系统、系统规划、设计、实施、运营和维护到废弃的长寿命周期的所有阶段。在满足建设企业综合安全监控管理系统的需要同时,还要同时进行系统的信息安全建设工作。总之,加强对上海地铁交通综合工程监控技术系统实际应用关键问题的实际研究理论分析,取得良好的理论实践应用效果也就具有十分重要的现实意义,因此,在今后的上海地铁交通综合工程监控技术系统实际应用研究过程中,应继续加强对其应用关键和主要重点影响因素的分析重视,重视具体实施政策措施和解决方法的落实。
参考文献:
[1]张志学,刘佩,张长开,等.城市轨道交通综合监控人机交互系统技术要点[J].城市轨道交通研究,2019,22(11):108-112.
[2]元进辉,江开雄,王刚.城市轨道交通综合监控系统云的应用探索[J].城市轨道交通研究,2019,22(11):139-142.
[3]GB/T50636-2010,城市轨道交通综合监控系统工程设计规范[S].