文/雒智奇 张兴宝

地铁综合监控系统架构与网络安全

文/雒智奇1张兴宝2

地铁综合监控系统(Integrated Supervision and Control System,ISCS)是地铁设备数据的集中采集、远程监控以及信息的综合管理系统。综合监控系统需要和企业网、Internet网的互联，如何保障系统的网络安全成为行业亟待解决的一个重要问题。本文介绍了地铁综合监控系统网络架构，从硬件和网络安全技术的角度提出了加强地铁综合监控系统的网络安全的措施。

地铁综合监控系统 网络安全 防御架构

1 地铁综合监控系统概述

1.1 概述

地铁综合监控系统 (Integrated Supervision and Control System,ISCS)是基于 SCADA(Supervisory Control and Data Acquisition，数据采集与监视控制系统)开发的地铁设备数据的集中采集、远程监控以及信息的综合管理系统。它能够将许多分立的系统进行互联，包括电力监控系统(PSCADA)、环境与设备监控系统(BAS)、火灾自动报警系统(FAS)、信号自动控制(ATC)系统、自动售检票系统(AFC)、屏蔽门系统(PSD)、广播系统(PA)、时钟系统(CLK)、乘客信息系统(PIS)等等。

1.2 综合监控的系统构成

综合监控系统一般采用两级管理三级控制的分层分布式结构。两级管理分别是中央级和车站级，三级控制分别是中央级、车站级和现场级。现场级控制是指在被控对象附近的就地控制，现场级控制功能由各相关系统来完成。

1.3 综合监控系统的网络架构

综合监控系统传输数据以上行为主，系统采用基于TCP/IP的以太网。现场层网络将各个监控对象连接起来汇集到车站级局域网，各个车站局域网将车站设备连接起来通过主干网汇集到控制中心。从物理结构的角度，网络系统可以分为中央级局域网、骨干网、车站局域网和就地级网络；从应用类型的角度，网络系统可分为主干层、局域层和现场层。

1.4 地铁综合监控系统面临的网络安全隐患

地铁综合监控系统的安全隐患有很多来源，归结起来，针对地铁综合监控系统网络的威胁主要有以下三点：

（1）人员的无意失误。操作员操作不当、用户密码选择不当或是用户将自己的帐号随意转借他人都可能给网络带来潜在的威胁。

（2）人为的恶意攻击。这也是地铁综合监控系统面临的最大威胁。

（3）网络系统软件的缺陷带来的威胁。任何一个网络软件都不可能是绝对安全的，都是有缺陷的，而且很多工业控制协议和软件设计时并没有考虑网络安全问题。

2 地铁综合监控系统网络安全架构研究

2.1 地铁综合监控系统深度防御架构

单一的安全产品、技术或是解决方案并不能充分的保护整个地铁综合监控系统网络。一个多层的策略可能涉及两个或两个以上不同的安全重复机制，深度防御技术可以最小化入侵攻击对网络的不利影响。它要求网络是一个多层系统，当其中一层失效，也不至于导致网络所有部分瘫痪，也就是说这种失效可以被限制在某个层面，根据这一分层思想，网络的漏洞也可以被限制在某一层，其它层则可以由于应用了各种安全策略而不受该漏洞的影响。

深度防御的地铁综合监控系统的安全架构包括多重防火墙的使用、DMZ的建立、拥有有效安全策略的入侵检测能力、事件响应机制、控制网安全区划分机制、网络地址转换等安全机制。如图1所示的是对一个地铁综合监控系统推荐的深度防御体系架构，防火墙，隔离区以及入侵检测机制贯穿于整个体系中，在地铁综合监控系统控制网的不同安全区域部署具有NAT功能的防火墙产品，利用DMZ网络实现控制网与企业网，企业网与Internet的隔离并提供有特权的访问。

图1：地铁综合监控系统推荐的深度防御体系架构

在该深度防御体系架构下，物理层上，将控制网通过VLAN技术划分为若干个控制子网，广播流量被限制在控制子网中，各子网之间的流量是被隔离的，实现子网的点到点通信，防止大部分基于网络监听的入侵手段。在网络层上，通过路由器或防火墙等网络设备限制进入控制网中的数据包数量，采用静态的网络地址转换技术，实现控制网地址对外网的屏蔽，控制子网地址分配采用静态地址分配策略，使得网络排除攻击及安全防护更加容易。传输层设计的对策不多，传输层安全由底层或应用层提供的，已经开发提供传输层安全的标准，即传输层安全或安全套接字。应用层上，采用特殊应用服务推荐的防火墙规则，如HTTP代理中需要配置防火墙来阻止所有的入站脚本和JAVA应用程序、FTP只有在有身份认证和加密通道的情况下控制网中出站的通信才允许等。

该架构能从网络的边界层、分布层、核心层和接入层实现网络的多层防御，并能从物理层、网络层、传输层、应用层实现多层的安全检查，入侵检测应用不同的规则集和数字签名实时检测网络的每一个区域。该架构是一种非常有效的地铁综合监控系统网络安全体系架构。

2.2 深度防御架构中推荐的防火墙规则

一旦在地铁综合监控系统中部署了深度防御策略，主要的工作要从确定允许通过防火墙的数据流开始，配置防火墙除特别允许的数据包外，尽可能阻断不必要的数据包，通过确定什么是企业的绝对需求来确定允许的数据包。

作为深度防御策略的综合监控系统网络防火墙应具备以下规则：

（1）基本的规则设置应该是阻断所有不必要的数据包；

（2）控制网和企业网间的端口和服务的接入必须要有授权；

（3）对每一个次出站或入站的数据流要有记录备份；

（4）对特殊IP地址或一定地址范围的数据流进行限制；

（5）阻止从控制网直接传输到企业网的通信流，所有的通信流应该终止于DMZ；

（6）明确控制网与DMZ之间允许的协议和DMZ与企业网之间不允许的协议；

（7）从控制网到企业网的所有出站数据流应该有源和目标限制；

（8）从控制网或DMZ出站的数据包只能向定向IP地址发送，这些IP地址是固定分配给控制网中的设备或DMZ中设备的；

（9）不允许控制网中的设备访问Internet；

（10）控制网不能直接与Internet相连。

3 结语

地铁综合监控系统是地铁中的重要系统，但运营单位对重要系统的网络安全问题重视程度不够，存在一定的安全风险。因此，首先需要运营单位对网络安全工作重视起来，然后根据系统设备实际情况，开展各项具体工作才会更加得力。主要措施有：减少不必要的预留网络接口，尤其是公共区域的预留接口；加强企业网的网络安全，建立防火墙，设置DMZ，降低通过企业网对综合监控的攻击；增加网络日志备份，增强网络访问的可追溯性；减少系统 “后门”并对“后门”使用进行管控。

[1]雷维加.计算机实验室网络安全防火墙初探[J].高校实验室工作研究,2010(01):33-35.

[2]张蓓,冯梅,靖小伟.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(04):36-38.

作者单位1.兰州市轨道交通有限公司运营分公司 甘肃省兰州市 730000
2.西安地铁运营分公司 陕西省西安市710016