轨道交通弱电系统信息安全等级保护整体防护思考
2021-03-17徐彦飞
徐彦飞
(昆明地铁运营有限公司,云南 昆明 650000)
随着城轨应用能力的增强,建立轨道交通指挥与安全管理中心必须要提上日程,只有这样,才能构建安全感知平台,从多角度完成安全防护体系的搭建,借此来实现事前防御、事后审计的具体目标,在此基础上进行全生命周期全方位防护。信息安全等级防护涉及到多项内容,对安全防护能力增强以及网络、信息安全保障帮助较大,可以提升业务应用的安全性,其应用具有积极意义。
1 整体防护方案设计原则
关于安全等级整体防护的思考需要多角度和全面,整个系统信息安全是首先要考虑的因素,围绕其打造安全防御体系,在防御体系设计时,要参考业务应用安全需求,将实际需求作为设计的基础,在此基础上,结合国家政策法规,完成安全防护体系的立体构建。在建设过程中,科学的理念一定要秉持,遵循统一规划的原则,注重适度保护,并且强化分布控制集中管理的核心思想,具体设计原则如下:第一,最小影响原则。最小影响原则属于基本原则,要求在安全防护建设阶段要保持系统不变,在原有系统体系的基础上新增安全防护设备,并且防护设备的新增要以不影响既有系统为前提,要始终保持理想的系统运行效果。第二,符合性原则。整体防护方案的设计与建立要以政策法规为支撑,遵循行业管理条例,体现出与行业发展较高的匹配度。第三,整体性原则。整体性原则在安全体系的实际建设中不容忽视,属于基本原则,信息安全的防护能力强弱往往是由最薄弱的环节决定的,因此不能孤立,整体性是必须要遵守的,决不能片面地思考相关问题,而应该具备大局观,应用系统工程的原理和方法来科学评判系统的安全指数,从而获得指导性意见,推动安全系统规划的顺利实施,不断完善设计方案,将安全系数提高,为安全系统的搭建创造便利条件[1]。现实应用中,安全系统可以发挥作用的一项重要原则就是采取统一管理策略,站在整体的角度完成对行为主体和客体的管理,只有这样,才能保证安全策略的可靠性,避免安全短板存在。与此同时,还要注重划分管理角色,通常情况下,应实现三权分立(系统、安全、审计),让三者相互监督,这样一来,可以避免角色权限过大,有利于系统的稳定。
2 整体防护方案
针对目前现有的情况,可以将城轨弱电系统保护等级进行统计,具体情况如表1所示。
表1 系统安全等级统计
目前存在的问题主要集中在常规轨道交通在保护等级建设中,没有形成统一整体,各系统均处于独立状态,无论是建设,还是后期的维护与运营,都是分开进行的,安全管理中心没有发挥作用,缺少合理的态势感知平台,这样安全等级保护存在弊端。针对上述问题,提出如下改进建议。
2.1 借助结构安全构建的防护方案
作为独立业务区域,在实际应用中信号系统控制中心拥有非常重要的地位,作用举足轻重,在安全防护中扮演重要的角色,主要负责调度交通,因此可以将信号系统控制中心看作是核心区域,直接关联区域网关,需要采取重点防护措施,使之形成有效隔离。想要达到理想防护效果,可以借助各类交换机,像比较常见的有ATS、ATC等,以此来提升系统的防御系数,帮助系统免遭侵袭,如果系统被入侵,则会在第一时间对入侵数据进行系统、全面的检测与分析,在此基础上完成对系统的监护,凭借发出的警报指令,监护人员可以作出准确判断,采取有效处理措施,避免各种病毒侵袭,防止木马等形成的伤害。与此同时,采用先进的ATS交换机,可以让审计系统更加完善,可根据不同危险信号发出警报,提高系统运维可靠性[2]。也可以利用防护网关点,帮助维护人员完成对信号系统的审核工作,提高工作效率。
实践表明,采用一体化防护方案可以达到预期的信息安全防护效果,应用价值较高。一体化防护的核心思想是要设置管理中心,实现集中化管理。在实际应用中,安全管理中心的地位非常凸显,可以将信号系统等设备资源进行整合,并将资源整合优势合理发挥,提高管理的效率,大大增强系统安全和稳定性能,保障各项功能。另外,要对系统的安全策略以及审计日志等功能统一管理。在此基础上将整体防护体系打造完成,将信息的集中与融合优势体现出来,以此来强化对安全态势的感知能力以及溯源和应急处理能力。为了确保统一安全管理中心可以发挥出理想的效果,需要设置交换机(三层),供信息安全专用,将安全防护网关和专用交换机连接,实现安全隔离。与此同时,将交换机接入不同的VLAN,这样既可以保证通信隔离,又可以借助路由的配置获取系统安全信息,应用效果较为理想。在此基础上,辅助云计算功能,可以让城市轨道信息系统运行更加高效、安全,通过一体化防护方案的实施,可以将信息安全等级提升。
图1 云计算助力下的城市轨道信息系统
2.2 利用持续性安全构建的防护方案
任何信息系统所采用的安全设备都需要高质量地定期维护,只有这样,才能保证各项性能良好,因此专业的维修队伍必不可少。在现实工作中,维修团队的核心任务就是采取合理手段确保各种设备性能良好,可以持续发挥作用,以此来巩固系统的安全运行,提升运行效率,这样就可以及时发现并排除隐患。为了提升安全性,安全软件要定期更新,防止各种病毒侵袭,将危害程度降到最低。值得注意的是,如有外界设备终端,应该重视网关安全防护的设置,以此提升系统的运行稳定性,并且做好通信网络安全的防护工作。
除了上述措施外,还要保证主机环境时刻处于安全的状态,也就是信息处理过程的安全性,主机构成相对复杂,包括终端、服务器等,还需要一些网络设备的辅助,因此主机运行环境是否安全是一项重要指标,属于城轨信息安全等级保护的核心内容。另外,在实际工作中,还要强调数据安全的重要性。数据安全涉及较多内容,在数据安全防护过程中,身份识别、安全审核、通信保密等都是数据安全的基础。想要对数据的安全性进行保障,就要发挥软件保护功能,在主机环境安全的配合下,提升安全防护等级。
2.3 利用行为安全搭建的防护方案
实践证明,在防护体系搭建完成的基础上,还要做好通信网络安全工作,确保信息的时效性。研究发现,通信网络是实现信息安全等级提升的主要通道,因此重视通信网络安全,是一项重要防护措施。想要达成理想目标,就要对通信双方可信度进行甄别,完成安全通道的建立,借助安全通道,让网络数据得到全方位的保护,既要保证私密性,又要强调完整性,避免重要信息被窃取或者是恶意篡改[3]。由于正线设备相对集中,在现实应用中,分布在主要区域,如果系统被入侵,此时想要提高防御能力,就要依靠ATS交换机来塑造完整的防御系统,以此来强化防御的功能,借助防御系统完成比对和分析工作,并及时发出警报,这样的设计,可以为应急方案的实施争取时间,将危险系数降低。
2.4 借助本体安全搭建的防护方案
前文已经提到过,城市轨道交通信号属于较为全面且科学的体系,应用性较强,系统构成相对复杂,主要配置核心内容较多,例如:工作站、服务器等,这些都是不可或缺的,在应用阶段,这两个设备的性能以及稳定性非常关键,可以直接影响调度水平与风险防御能力,同时还会对信号系统的运算能力造成影响,因此需要高度重视。为了发挥出工作站、服务器的作用,需要灵活制定防御方案,通过不同途径来帮助设备完成风险防御能力的大幅度提升,最大限度提高防御水平,为达到自我防御的良好性能提供保障,避免各类危害的侵袭。想要达到这一目标,就需要结合现状在各个终端安装性能优越的防护设备,构建防护体系,保证相关设备性能有效。
3 结束语
综上所述,针对城轨弱电系统的安全保护是一个持续性过程,安全保障体系的构建对城市轨道的发展至关重要,可以直接影响信息系统的稳定与安全。基于此,在实际工作中,要了解整体防护方案设计的基本原则,结合现实需求,完善防护体系,运用新技术、新设备,让防护性能提升,为安全等级保护提供持久性的动力。