汪明霞，艾博慧，崔 宁，唐 潇

铁路综合视频监控系统（简称“视频系统”）承担着监视铁路线路、车站、车辆段等区域运行环境、防范安全事故的重任，其安全性至关重要。

近年来，为提高视频系统的安全性，围绕视频业务安全开展了深入研究［1-2］。当然，真正的安全不仅是系统业务数据的安全，更是系统运行环境的安全。文献［3］通过对视频系统5 大类安全风险问题进行分析，提出多种有针对性的安全保障方案；文献［4］从铁路视频监控设备的安全防护未能形成合理的、统一的安全防护体系现状出发，研究视频安全防护平台，构建了一体化的安全防护体系。

为规范视频系统的安全防护要求，实现视频系统安全的纵深化管理，2021年底，国铁集团发布了《铁路通信网络安全技术要求—第4部分 综合铁路视频系统》（Q/CR783.4—2021）规范，明确指出视频系统安全管理的技术要求，主要包括视频系统应满足的基本要求、视频系统安全域的划分原则，以及各安全域的具体防护要求等［5］。依据Q/CR783.4—2021标准，从标准层面实施视频系统安全管理的解决方案，可以有效改善安全资产难整合、威胁检测难及时、安全响应难协同、安全管理难统一、安全状况难掌控的现状，实现资产、事件、威胁之间的有效关联，深入资产管控的每个环节，推动视频系统安全管理的智能化、动态化与标准化。

为此，视频系统的安全管理需要从整体着眼，不仅关注视频业务本身的安全，更要对支持系统运行的各类IT 资产实施统一有效的安全监控与管理，只有深入了解视频系统的安全状况，才能真正达到安全运营的目的。

1 需求分析

视频系统是一个庞大的系统工程，其内部IT资产主要包括：①服务器、主机等核心计算机设备，用于支持图像处理、存储、展示等关键功能；②交换机、路由器等网络设备，是连接网络各节点与系统的重要基础设施；③存储设备，用于存储视频数据；④安全设备，用于网络安全防护与监测；⑤应用软件，具有系统管理、视频采集、存储、展示等功能。

目前视频系统在安全管理方面存在以下不足。

1）安全运维自动化水平较低。缺乏统一管理平台与自动化监测手段，难以实现对系统风险的实时监测、快速预警与响应，难以提高安全防护与运维效率。

2）技术手段不协调。由于各安全设备、管理平台与监控工具缺乏很好的互通互操作性，导致无法实现安全日志、报警与事件的有效关联，难以全面掌握系统的安全态势。

3）资产管理手段薄弱。资产信息基本以资产清单、统计表等形式保存，难以判断资产的合规性与安全状态，实施有针对性的管理与维护十分困难。

4）相关标准与规范要求落实不到位。缺乏统一的技术标准，无法规范视频系统安全管理和监控的具体内容与范围。

因此，需充分利用集成化与自动化的管理手段，弥补人工管理、被动防御、局部安全防护的不足［6］，从安全监控、资产统一、可视化管理等方面，构建一体化安全防护体系，做到实时监测视频系统网络环境的安全状况，跟踪资产运行状态、告警情况、攻击活动、漏洞利用等信息，实现对视频系统整体安全态势的主动感知，为安全防护的优化调整和系统协同提供关键依据。

2 设计思路

根据Q/CR 783.4—2021 标准要求，以视频业务安全为目标，视频安全平台（简称“安全平台”）的设计思路侧重于实现整个视频系统的安全可视、可管、可控。

1）安全可视。关键在于采集所有相关的安全数据，通过可视化技术，实现资产全貌感知与物理部署监控、漏洞分布可视化监测、安全告警可视化跟踪与监控、风险分布的全局感知等。将各类安全监控数据在地理空间上进行关联与综合分析，形成视频系统整体安全态势的直观展示，实现对全局安全状况的实时监测与态势判断。

2）安全可管。关键在于对视频系统的各类资产与数据实施精细化管理，建立资产统一管理、用户统一调配、配置统一监测、告警统一规范、监控统一展示、策略统一推送等机制，跟踪各类资产的运行状态、性能指标、用户访问与策略执行情况，对资产实施统一管控。

3）安全可控。关键在于构建安全事件管理机制，对检测到的各类事件与告警进行分类管理，实现对风险的第一时间感知和控制。进一步关联分析与挖掘，生成安全报表、事件热力图与风险传播路径等，实现对网络安全态势的直观管控。

基于上述设计思路，本文围绕资产管理、策略管控、事件响应、安全监测等方面，对安全平台进行功能设计与实现。

3 总体架构

安全平台架构见图1，采用模块化设计思想，提高研发效率，降低维护成本。采集模块负责采集视频系统内部各类IT 资产的性能数据与安全数据，业务模块负责下发和调整安全设备的安全防护策略，通过北向接口与安全管理中心［7-8］进行信息交互。

1）采集模块与各数据源建立连接，采集不同格式的安全数据［9-11］，并对采集到的各类原始数据进行必要的规范化、清洗和转换，解决数据源之间格式的差异，将数据整合成标准格式，存入数据库，建立完整的数据集。

2）业务模块基于数据库中的数据，提供安全平台的各项功能与应用，是安全平台的核心功能模块。从资产、策略、风险、漏洞、事件等多个维度入手，实现实时监测、威胁发现、关联分析等关键业务。通过https 协议将结果推送至Web 客户端进行展示；通过rest协议与采集模块交互，完成安全策略的统一配置与调整；通过JDBC 协议与数据库通信，完成数据的存储与调用。

3）Web客户端以浏览器为主要形式，提供图形化的用户界面，以直观的表单、按钮、菜单等组件实现人机交互。通过https 协议与Web 服务模块交互，采用直观的图表、列表、图像等形式呈现后台业务数据，如资产分布图、告警统计报表、网络拓扑结构图等，实现数据的可视化展示与业务操作。

4）数据库是存储和管理各类安全数据的核心基础，结合业务需求建立表与表之间的关联，实现业务数据的高效检索与管理。主要包括存储资产、安全漏洞、告警事件、策略规则、各类操作日志、安全设备原始日志、用户与权限等数据。

4 关键业务

安全平台的关键业务围绕实时监测、威胁发现、关联分析展开，见图2，三者相互结合，可以充分发挥安全平台的威胁防御与态势感知作用。

图2 关键业务视图

1）实时监测需做到第一时间发现存在的问题与威胁，主要监测各类资产的运行状况和告警情况。内容包括：①资产管理，识别并收集资产的详细信息，建立资产清单和分类，监测资产运行状态与性能指标，跟踪、记录关键资产的变更情况；②告警管理，采集和统计安全告警信息的数量、分布与趋势。

2）威胁发现就是要主动查找潜在的风险与漏洞，通过分析漏洞与风险信息，判断资产存在的风险与威胁。内容包括：①漏洞管理，发布新出现的漏洞信息与修复建议、分类汇总漏洞信息、跟踪漏洞修复情况；②风险管理，根据资产关联性进行风险评估，识别高风险资产，分析不同资产之间内在关联，确定风险范围，依据风险资产所处的物理、逻辑区域汇总风险分布情况。

3）关联分析。采用大数据分析技术，发现事物之间的协同关系，实现对网络安全的全方位监测与深入了解。内容包括：①资产关联，从逻辑依赖、网络连接、数据交互和日志关联等角度，分析资产之间的依赖关系；②告警关联，分析告警信息之间的时间、空间、类型和模式等关联，判断是否存在更广泛或更深入的风险与威胁。

5 关键流程

安全平台的主要业务流程为资产接入→数据采集与处理→资产入库→事件关联分析→威胁发现→可视化展示等。以下重点介绍资产接入和威胁发现2个关键流程。

5.1 资产接入流程

资产接入流程见图3，Web 客户端将资产接入请求通过Web 服务模块发送到管理模块，具体步骤如下。

图3 资产接入流程

Step 1校验资产接入请求的合法性。判断发起添加请求的账户是否有权限执行此操作，资产基础信息是否完整等，以确认请求的合法性和合规性。

Step 2查询资产模板。根据识别的资产属性信息，如资产名称、型号等，查询资产的接入配置模板。模板中包含资产支持的数据采集方式，如syslog、snmp、事件类型、采集参数等信息。

Step 3配置资产接入参数。根据查询到的配置模板，配置资产的各种接入参数，如日志接收地址、snmp 配置、满足表述性状态转移架构风格的应用程序接口等。

Step 4配置采集模块。向与新资产匹配的采集模块发送配置命令，接入新资产并开始采集数据。

5.2 威胁发现流程

威胁发现流程见图4，根据安全匹配原则，对单条日志生成告警事件，依据关联规则对告警事件进行关联分析，识别资产存在的威胁，具体步骤如下。

图4 威胁发现流程

Step 1提取安全数据。从数据库中提取事件时间、源地址、目的地址、名称、内容等结构化信息。

Step 2规则匹配。根据事件种类与名称等信息，与预定义的告警规则进行匹配，如果超过设置的阈值，判断为告警事件。

Step 3告警分类。将确认的告警事件进行分类，如按告警级别、类型、资产类型等标准归类。

Step 4告警关联。对告警事件中的关键信息，如时间、源地址、目的地址或主机名，应用关联规则进行关联分析。

Step 5威胁识别。依据关联分析结果识别威胁。

6 关键技术

在构建安全平台的过程中采用资产集中管理、多格式日志标准化、海量日志数据综合分析、协防联动等技术，实现资产监管集中化、日志数据标准化、数据分析智能化和防御机制动态化。

1）资产集中管理技术。视频系统的安全运行离不开其部署环境中各类IT 资产的稳定运行，利用资产集中管理技术，对视频系统专网内大量异构资产进行统一识别、分类和管理，建立资产关系模型，为资产风险评估与漏洞管理提供基础数据支撑。

2）多格式日志范式化技术。日志数据信息对视频系统的安全关联起到至关重要的作用。通过多种日志解析算法［12］对日志数据进行规范化处理，将多源异构的原始日志转化为结构清晰、描述准确的标准日志，便于后续集中存储与应用分析。

3）海量日志数据综合分析技术。采用关联分析、统计分析与可视化技术［13-15］对日志数据进行挖掘，发现其中潜在的安全风险，生成可视化运维报表，对系统运行状态和威胁活动进行实时监测与评估，映射资产网络拓扑，定位攻击源，评定风险分布范围。

4）协防联动技术。为提高视频系统安全防御的密度与深度，视频安全平台支持各安全设备之间建立有效的协防联动机制。以威胁动态监测为基础，从多个维度对威胁因素进行分析判断，生成有针对性的阻断策略，实现威胁控制与保证业务连续性之间的平衡，将调整后的策略下发至各安全设备，迅速部署新策略，并通过不断调整与优化防御策略，有效提高系统的动态安全防御能力。

7 现场应用

结合济南铁路局视频系统的安全防护需求，在视频区域节点部署安全平台，对区域内的网络安全进行全方位的监控与管理。安全平台采集区域内所有IT 资产的状态信息与安全数据，通过资产管理、漏洞管理、告警管理和风险管理等功能，将资产分布、告警信息、安全态势、高风险资产分析结果等以报表、图表等形式进行展示。视频安全平台安全态势主界面见图5。安全平台的部署和应用，使原本杂乱无章的日常安全管理工作变得井井有条，管理人员可以清楚地掌握视频系统中的资产分布与安全事件，发现安全管理的薄弱环节，避免单点产品管理带来的信息割裂，以及在多个管理界面之间频繁切换的弊端，实现了安全管理的一体化与高效化。

图5 视频安全平台安全态势主界面

8 结束语

对标Q/CR 783.4-2021 标准规范，借助视频安全平台，实现了视频系统IT 资产的全面管理，监控关键应用，分析安全事件，并以直观的方式呈现结果，从单点防御提升为协同防御，帮助管理人员全面了解系统的安全态势。安全平台的成功试用，使之前复杂难行的安全管理工作变得简单易推进，为视频系统的安全运行提供了非常有效的手段和工具，也为大规模、跨地域的资产集中监管与安全可视提供了参考。后续研究的核心在于深化数据分析与人工智能技术的应用，实现对网络环境及安全状况的深入洞察，提高安全管理与防御的精细化水平。