艾博慧

(通号通信信息集团有限公司，北京 100070)

铁路综合视频监控系统通过实时监视记录铁路运营情况和行车安全的信息，为铁路安全运营提供重要的辅助手段。其安全性一直备受高度关注，特别是近年来等级保护制度的实施，对其安全防护提出了更高要求。近年来，中国国家铁路集团有限公司积极推进铁路通信网络安全标准体系建设，已陆续制定和发布一系列网络安全技术规范标准。其中《铁路通信网络安全技术要求 第4部分综合铁路视频系统》（Q/CR 783.4-2021）规范[1]，从标准层面强化和规范铁路综合视频监控系统网络安全防护的建设要求。

为应对铁路综合视频监控系统面临的严峻网络安全威胁，单一的防护手段是远远不够的。任启军等专家[2]研究了一种视频安全防护平台，通过采取分层防御、多元防御等措施，集中管理各类安全设备和构建设备之间的联动，将点状防御手段提升为全方位防控手段。要从物理环境、区域边界、通信网络[3]等各个角度入手，构建全面的安全防护体系，融合多种安全手段与管理措施，提高整体安全防御能力。

本文在满足视频监控业务安全需求的基础上，从整体上分析和设计一套较为完整的安全防护方案与平台架构。从资产、策略、风险、漏洞与事件等多个维度入手，深入管控资产的每个环节，保障铁路综合视频监控系统的安全稳定运行。

1 现状分析

铁路综合视频监控系统（简称视频系统）是一个庞大的、功能丰富的网络化信息系统，内部部署大量的网络设备、监控硬件与软件系统，其网络安全防护现状主要体现在以下几点。

1）缺乏统一监管的安全防护措施。各类资产自身已采取一定的安全防护基础措施，然而网络中的资产往往较为分散与独立，资产之间相互隔离，安全防护措施难以在视频系统内统一规划与应用。

2）安全防护范围有限。安全设备主要在网络边界形成外围防护墙，无法覆盖内部区域，使网络内核心资产的防护仍面临较大风险。而且其防护功能独立、散落，缺乏协调联动机制，一旦某设备失效，网络安全防线将出现较大漏洞，难以得到及时修补。

3）安全评估不系统。无法准确判断视频系统当前面临的主要安全威胁与风险，安全防护措施的制定针对性不强，容易产生较大的防护漏洞。

综上所述，现阶段视频监控系统网络安全防护主要采取分散的安全措施和各类安全设备的外围防护，导致安全资源耦合度低，威胁检测相对滞后，安全响应周期过长，安全管理难以统一，安全状况不易掌控。因此，构建一体化安全防护平台，实现资产、事件、威胁之间的有效关联，使安全防护工作由被动应急转为主动防御[4]，共同推动安全防护的智能化与动态化。

2 设计思路

一体化安全防护平台的设计思路应以保证视频系统的网络安全[5]管理为核心，从资产采集入手，至数据支撑和可视化应用终止，共同构建一体化的安全管理与防护体系。

1）构建统一的安全数据支撑中心。采集各类安全数据，如网络设备信息、运行状态、流量日志和事件报警等，建立结构化数据中心。

2）构建视觉化的安全数据管理。通过对资产运行状态与事件的持续监测，识别资产风险与异常情况，实现对网络安全状况的实时监测与态势感知。

3）部署智能化的管控功能。通过自动化地实施隔离、修复等响应，实施主动防御。如安全策略制定与推送、网络访问控制、防火墙与IPS配置、网络设备健康管理等。

因此，一体化安全防护平台采用系统化设计思路，加强资产管理与数据采集，实施主动防御与管控，实现视频系统的安全可见、可控与可管[6]。

3 系统设计

3.1 总体架构

一体化安全防护平台的总体架构可以分为采集层、数据层、业务层和展示层4部分。采集层采集数据，数据层存储和处理数据，业务层实现安全管理与控制，展示层直观呈现业务处理操作与结果展示，如图1所示。

图1 总体逻辑架构Fig.1 Overall logical architecture

1）采集层：主要负责各种相关安全数据的采集，重点在于数据的获取。通过标准化的采集接口或代理方式[7-9]，定期采集服务器、网络设备、安全设备等资产的配置信息、运行状态等资产管理数据；以及操作日志、访问日志、安全日志等管理数据和流量信息统计数据；从公开渠道采集网络威胁、漏洞、病毒等威胁情报数据。实现对异构数据源的统一采集，形成安全数据池。

2）数据层：负责原始安全数据的预处理，依托数据库来存储和管理处理后的安全数据，为业务层和展示层提供数据支持。对采集的原始数据进行清洗、过滤，剔除无效数据与重复数据，完成标准化数据格式转化。对数据进行分类和整理，形成资产数据、事件数据、威胁情报等分类，建立标准化的数据模型。实现数据的集中式存储与管理，构建内部统一的安全数据中心。

3）业务层：基于结构化的安全数据，对视频系统面临的各类威胁与事件进行管理与防御，是一体化安全防护平台的功能核心。平台的业务模块主要体现在资产管理、实时监测、告警管理、安全策略管理、漏洞管理、日志管理、风险管理和系统管理等方面，具体如下。

资产管理：发现管理范围内的各类网络设备、软件系统、业务系统等资产，构建资产库，识别资产间的依赖关系。

实时监测：通过监测设备数据信息来展示网络探测结果和事件响应情况，使管理人员第一时间掌握网络安全态势。

告警管理：过滤无关告警、重复告警和错误报告，根据告警内容和影响范围确定优先级，明确处理顺序和响应时间，定期对告警数量、类型、来源和处理情况等信息进行统计分析。

安全策略管理：根据威胁态势和风险评估结果制定相应的安全策略，统一推送与下发。实时监控资产运行状态与策略执行情况，更新设备配置、修复新发现漏洞等。

漏洞管理：跟踪管理范围内资产的漏洞信息，提供漏洞数量统计、高危漏洞列表等信息。

日志管理：将不同日志进行关联分析，判断是否与同一事件相关联。利用日志信息对系统或资产的操作行为进行审计，判断操作是否规范合理。

风险管理：基于资产管理和告警管理结果评估资产面临的风险，划定风险范围及分布，找出高风险资产与控制重点。

系统管理：负责配置和管理安全防护平台的设备设施以及权限管理，建立统一的安全机制，实现安全防护平台的高效集中管理。

4）展示层：通过专业的安全管理界面实现对数据层数据、业务层功能与结果的集成与展示。基于大屏幕监控墙或用户终端，通过图表、报表与 Web界面等多种形式，以直观的信息或图像形式展现视频系统安全态势和资产管理全貌。

3.2 运行机制

一体化安全防护平台的业务机制贯穿资产管理、告警管理、漏洞管理、风险管理等全过程，通过漏洞修补和安全策略实行管控措施，并以直观的形式展现管控效果。

1）资产管理机制

主要用于发现管理范围内的各类资产，建立资产管理库，并识别资产间的依赖关系。采集资产数据，并对资产信息进行解析与判断，确定资产的具体类型，建立资产分类，按资产的关键属性完成入库。分析资产间的数据流向、网络连接关系与业务依赖等，生成资产拓扑图。通过持续采集新的资产数据与变更监控，更新资产管理库，保证资产数据的准确性。

2）告警管理机制

主要用于对资产、漏洞的异常情况或超过阈值的情况实施告警。根据不同的监控对象设定相应的告警策略，并对资产运行数据、日志数据、网络流量、入侵检测结果等持续监测，检测到超过告警阈值的异常情况或告警，生成相应的告警信息。同时具有告警去重机制和优先级划分机制，将告警事件以短信、邮件、微信推送等形式发出，对处置结果进行管理与跟踪，根据处理情况对告警进行归档或更新。

3）漏洞管理机制

主要用于集中管理与展示各类漏洞的相关信息。对漏洞数据进行采集、分析和统计，监测漏洞状况的变化趋势。根据漏洞的技术类型、危害程度、影响资产类别等属性对漏洞进行分类，得到各类漏洞的具体数量。

4）风险管理机制

主要用于识别、评估和统计各种风险信息。识别视频系统中存在的风险源，对识别出的各类风险源进行定量或定性评估，对各类安全告警、漏洞信息等分析，预估资产存在的风险，合理确定风险范围。通过风险资产评估统计，识别关键资产及高风险资产，统计其数量与类型分布，是风险管理的重点防护对象。

4 关键技术

一体化安全防护平台的关键技术主要围绕资产集中管理、日志结构化、关联分析、协同联动与可视化等展开。

4.1 资产集中管理技术

利用资产集中管理技术，整合不同资产数据，实现其配置、运行状态、日志与事件信息的统一管理，解决不同类型资产信息的隔离。识别资产之间的依赖关系，掌握各类资产的使用状况，持续审计与跟踪资产的变化情况，发现资产漏洞与风险，实施集中监控和访问控制，有效提高资产及视频系统的安全性。

4.2 日志结构化处理技术

由于原始日志的格式多种多样、不规范，无法统一存储和分析[10]。通过提取日志中的关键字段信息，重新封装为统一的结构化格式，统一入库管理，便于统计和分析处理、可视化与报表输出，大大提高日志的可管理性、可操作性和可分析性，使原本独立、格式不规范的各类日志数据实现关联、集成与深入挖掘。

4.3 日志关联分析技术

单一日志通常无法还原完整的攻击活动过程，因此，将数据库中各类结构化的日志进行整合，构建数据之间的关联[11-13]。关联日志时间、源地址/目标地址，追踪威胁的来源点与传播路径；关联不同设备与系统的日志，全面了解其运行状态、性能指标与安全事件。

4.4 协同联动技术

视频系统中各安全设备独立运行，无法进行有效的数据共享和功能协作，防护措施难以加成，无法针对复杂的网络攻击实现多层防护，安全性及威胁响应能力较弱。因此，通过协调联动技术，使不同安全设备互相协作，汇集不同的监测数据与统计信息，构建全面的网络运行状况视图和威胁态势感知，发挥协同效应，达到“1＋1＞2”的防护管理效果。

4.5 可视化展示技术

由于安全数据具有信息量大、表现形式不直观的特点，因此，利用可视化技术从大数据中提取有价值信息，统一数据表达方式、简化理解，提供统一的管理界面，以图表、图形等形式直观展示网络的实时运行状态与安全事件，快速感知安全变化，定位关键问题，提供丰富的交互操作。

5 现场应用

为满足济南铁路局的安全防护需求，在视频区域节点应用了安全防护平台，用于全面监控和管理区域网络安全状况，如图2所示。并取得了以下安全防护效果。

图2 部署应用架构Fig.2 Deployment of application architecture

1）实现了对区域内所有IT资产的集中监控管理，统一掌握车站、线路、区域等节点的视频系统资产状况。

2）通过监控概览界面如图3所示，可以清晰全面地掌握视频系统中的各类资产与安全情况，实现了安全管理的一体化和高效运转。

图3 监控概览界面Fig.3 Monitoring overview interface

3）通过资产管理界面如图4所示，清晰掌握各资产类别和目录下的资产具体分布情况及运行状态。

图4 资产管理界面Fig.4 Asset management interface

4）持续监测区域网络安全态势，发现潜在威胁，并迅速响应各类安全事件。

安全防护平台的部署应用，实现了区域视频系统资产的集中统一管理，大幅提升系统的安防防护水平，达到了保障铁路安全运行的目的要求。

6 结论

一体化安全防护平台通过收集系统中各类资产信息，识别资产间的关联关系，构建资产全景图。分析各类安全事件与监控信息，挖掘隐藏在大数据背后的安全风险与问题，并以直观方式全面展示视频系统的安全全貌。平台的成果应用，有效提高了视频区域安全管理水平，也为网络安全管理现代化和智能化的推进提供了有力支撑。后续研究重点应聚焦于移动端的接入与应用，方便管理人员的移动执勤与远程管控；优化大数据分析算法，实现对异常事件和潜在威胁的主动识别与响应。