鐵路綜合視頻一體化安全防護平臺研究

艾博慧

(通號通信信息集團有限公司，北京 100070)

鐵路綜合視頻監控系統通過實時監視記錄鐵路運營情況和行車安全的信息，為鐵路安全運營提供重要的輔助手段。其安全性一直備受高度關注，特別是近年來等級保護制度的實施，對其安全防護提出了更高要求。近年來，中國國家鐵路集團有限公司積極推進鐵路通信網絡安全標準體系建設，已陸續制定和發布一系列網絡安全技術規范標準。其中《鐵路通信網絡安全技術要求 第4部分綜合鐵路視頻系統》（Q/CR 783.4-2021）規范[1]，從標準層面強化和規范鐵路綜合視頻監控系統網絡安全防護的建設要求。

為應對鐵路綜合視頻監控系統面臨的嚴峻網絡安全威脅，單一的防護手段是遠遠不夠的。任啟軍等專家[2]研究了一種視頻安全防護平臺，通過采取分層防御、多元防御等措施，集中管理各類安全設備和構建設備之間的聯動，將點狀防御手段提升為全方位防控手段。要從物理環境、區域邊界、通信網絡[3]等各個角度入手，構建全面的安全防護體系，融合多種安全手段與管理措施，提高整體安全防御能力。

本文在滿足視頻監控業務安全需求的基礎上，從整體上分析和設計一套較為完整的安全防護方案與平臺架構。從資產、策略、風險、漏洞與事件等多個維度入手，深入管控資產的每個環節，保障鐵路綜合視頻監控系統的安全穩定運行。

1 現狀分析

鐵路綜合視頻監控系統（簡稱視頻系統）是一個龐大的、功能豐富的網絡化信息系統，內部部署大量的網絡設備、監控硬件與軟件系統，其網絡安全防護現狀主要體現在以下幾點。

1）缺乏統一監管的安全防護措施。各類資產自身已采取一定的安全防護基礎措施，然而網絡中的資產往往較為分散與獨立，資產之間相互隔離，安全防護措施難以在視頻系統內統一規劃與應用。

2）安全防護范圍有限。安全設備主要在網絡邊界形成外圍防護墻，無法覆蓋內部區域，使網絡內核心資產的防護仍面臨較大風險。而且其防護功能獨立、散落，缺乏協調聯動機制，一旦某設備失效，網絡安全防線將出現較大漏洞，難以得到及時修補。

3）安全評估不系統。無法準確判斷視頻系統當前面臨的主要安全威脅與風險，安全防護措施的制定針對性不強，容易產生較大的防護漏洞。

綜上所述，現階段視頻監控系統網絡安全防護主要采取分散的安全措施和各類安全設備的外圍防護，導致安全資源耦合度低，威脅檢測相對滯后，安全響應周期過長，安全管理難以統一，安全狀況不易掌控。因此，構建一體化安全防護平臺，實現資產、事件、威脅之間的有效關聯，使安全防護工作由被動應急轉為主動防御[4]，共同推動安全防護的智能化與動態化。

2 設計思路

一體化安全防護平臺的設計思路應以保證視頻系統的網絡安全[5]管理為核心，從資產采集入手，至數據支撐和可視化應用終止，共同構建一體化的安全管理與防護體系。

1）構建統一的安全數據支撐中心。采集各類安全數據，如網絡設備信息、運行狀態、流量日志和事件報警等，建立結構化數據中心。

2）構建視覺化的安全數據管理。通過對資產運行狀態與事件的持續監測，識別資產風險與異常情況，實現對網絡安全狀況的實時監測與態勢感知。

3）部署智能化的管控功能。通過自動化地實施隔離、修復等響應，實施主動防御。如安全策略制定與推送、網絡訪問控制、防火墻與IPS配置、網絡設備健康管理等。

因此，一體化安全防護平臺采用系統化設計思路，加強資產管理與數據采集，實施主動防御與管控，實現視頻系統的安全可見、可控與可管[6]。

3 系統設計

3.1 總體架構

一體化安全防護平臺的總體架構可以分為采集層、數據層、業務層和展示層4部分。采集層采集數據，數據層存儲和處理數據，業務層實現安全管理與控制，展示層直觀呈現業務處理操作與結果展示，如圖1所示。

圖1 總體邏輯架構Fig.1 Overall logical architecture

1）采集層：主要負責各種相關安全數據的采集，重點在于數據的獲取。通過標準化的采集接口或代理方式[7-9]，定期采集服務器、網絡設備、安全設備等資產的配置信息、運行狀態等資產管理數據；以及操作日志、訪問日志、安全日志等管理數據和流量信息統計數據；從公開渠道采集網絡威脅、漏洞、病毒等威脅情報數據。實現對異構數據源的統一采集，形成安全數據池。

2）數據層：負責原始安全數據的預處理，依托數據庫來存儲和管理處理后的安全數據，為業務層和展示層提供數據支持。對采集的原始數據進行清洗、過濾，剔除無效數據與重復數據，完成標準化數據格式轉化。對數據進行分類和整理，形成資產數據、事件數據、威脅情報等分類，建立標準化的數據模型。實現數據的集中式存儲與管理，構建內部統一的安全數據中心。

3）業務層：基于結構化的安全數據，對視頻系統面臨的各類威脅與事件進行管理與防御，是一體化安全防護平臺的功能核心。平臺的業務模塊主要體現在資產管理、實時監測、告警管理、安全策略管理、漏洞管理、日志管理、風險管理和系統管理等方面，具體如下。

資產管理：發現管理范圍內的各類網絡設備、軟件系統、業務系統等資產，構建資產庫，識別資產間的依賴關系。

實時監測：通過監測設備數據信息來展示網絡探測結果和事件響應情況，使管理人員第一時間掌握網絡安全態勢。

告警管理：過濾無關告警、重復告警和錯誤報告，根據告警內容和影響范圍確定優先級，明確處理順序和響應時間，定期對告警數量、類型、來源和處理情況等信息進行統計分析。

安全策略管理：根據威脅態勢和風險評估結果制定相應的安全策略，統一推送與下發。實時監控資產運行狀態與策略執行情況，更新設備配置、修復新發現漏洞等。

漏洞管理：跟蹤管理范圍內資產的漏洞信息，提供漏洞數量統計、高危漏洞列表等信息。

日志管理：將不同日志進行關聯分析，判斷是否與同一事件相關聯。利用日志信息對系統或資產的操作行為進行審計，判斷操作是否規范合理。

風險管理：基于資產管理和告警管理結果評估資產面臨的風險，劃定風險范圍及分布，找出高風險資產與控制重點。

系統管理：負責配置和管理安全防護平臺的設備設施以及權限管理，建立統一的安全機制，實現安全防護平臺的高效集中管理。

4）展示層：通過專業的安全管理界面實現對數據層數據、業務層功能與結果的集成與展示?；诖笃聊槐O控墻或用戶終端，通過圖表、報表與 Web界面等多種形式，以直觀的信息或圖像形式展現視頻系統安全態勢和資產管理全貌。

3.2 運行機制

一體化安全防護平臺的業務機制貫穿資產管理、告警管理、漏洞管理、風險管理等全過程，通過漏洞修補和安全策略實行管控措施，并以直觀的形式展現管控效果。

1）資產管理機制

主要用于發現管理范圍內的各類資產，建立資產管理庫，并識別資產間的依賴關系。采集資產數據，并對資產信息進行解析與判斷，確定資產的具體類型，建立資產分類，按資產的關鍵屬性完成入庫。分析資產間的數據流向、網絡連接關系與業務依賴等，生成資產拓撲圖。通過持續采集新的資產數據與變更監控，更新資產管理庫，保證資產數據的準確性。

2）告警管理機制

主要用于對資產、漏洞的異常情況或超過閾值的情況實施告警。根據不同的監控對象設定相應的告警策略，并對資產運行數據、日志數據、網絡流量、入侵檢測結果等持續監測，檢測到超過告警閾值的異常情況或告警，生成相應的告警信息。同時具有告警去重機制和優先級劃分機制，將告警事件以短信、郵件、微信推送等形式發出，對處置結果進行管理與跟蹤，根據處理情況對告警進行歸檔或更新。

3）漏洞管理機制

主要用于集中管理與展示各類漏洞的相關信息。對漏洞數據進行采集、分析和統計，監測漏洞狀況的變化趨勢。根據漏洞的技術類型、危害程度、影響資產類別等屬性對漏洞進行分類，得到各類漏洞的具體數量。

4）風險管理機制

主要用于識別、評估和統計各種風險信息。識別視頻系統中存在的風險源，對識別出的各類風險源進行定量或定性評估，對各類安全告警、漏洞信息等分析，預估資產存在的風險，合理確定風險范圍。通過風險資產評估統計，識別關鍵資產及高風險資產，統計其數量與類型分布，是風險管理的重點防護對象。

4 關鍵技術

一體化安全防護平臺的關鍵技術主要圍繞資產集中管理、日志結構化、關聯分析、協同聯動與可視化等展開。

4.1 資產集中管理技術

利用資產集中管理技術，整合不同資產數據，實現其配置、運行狀態、日志與事件信息的統一管理，解決不同類型資產信息的隔離。識別資產之間的依賴關系，掌握各類資產的使用狀況，持續審計與跟蹤資產的變化情況，發現資產漏洞與風險，實施集中監控和訪問控制，有效提高資產及視頻系統的安全性。

4.2 日志結構化處理技術

由于原始日志的格式多種多樣、不規范，無法統一存儲和分析[10]。通過提取日志中的關鍵字段信息，重新封裝為統一的結構化格式，統一入庫管理，便于統計和分析處理、可視化與報表輸出，大大提高日志的可管理性、可操作性和可分析性，使原本獨立、格式不規范的各類日志數據實現關聯、集成與深入挖掘。

4.3 日志關聯分析技術

單一日志通常無法還原完整的攻擊活動過程，因此，將數據庫中各類結構化的日志進行整合，構建數據之間的關聯[11-13]。關聯日志時間、源地址/目標地址，追蹤威脅的來源點與傳播路徑；關聯不同設備與系統的日志，全面了解其運行狀態、性能指標與安全事件。

4.4 協同聯動技術

視頻系統中各安全設備獨立運行，無法進行有效的數據共享和功能協作，防護措施難以加成，無法針對復雜的網絡攻擊實現多層防護，安全性及威脅響應能力較弱。因此，通過協調聯動技術，使不同安全設備互相協作，匯集不同的監測數據與統計信息，構建全面的網絡運行狀況視圖和威脅態勢感知，發揮協同效應，達到“1＋1＞2”的防護管理效果。

4.5 可視化展示技術

由于安全數據具有信息量大、表現形式不直觀的特點，因此，利用可視化技術從大數據中提取有價值信息，統一數據表達方式、簡化理解，提供統一的管理界面，以圖表、圖形等形式直觀展示網絡的實時運行狀態與安全事件，快速感知安全變化，定位關鍵問題，提供豐富的交互操作。

5 現場應用

為滿足濟南鐵路局的安全防護需求，在視頻區域節點應用了安全防護平臺，用于全面監控和管理區域網絡安全狀況，如圖2所示。并取得了以下安全防護效果。

圖2 部署應用架構Fig.2 Deployment of application architecture

1）實現了對區域內所有IT資產的集中監控管理，統一掌握車站、線路、區域等節點的視頻系統資產狀況。

2）通過監控概覽界面如圖3所示，可以清晰全面地掌握視頻系統中的各類資產與安全情況，實現了安全管理的一體化和高效運轉。

圖3 監控概覽界面Fig.3 Monitoring overview interface

3）通過資產管理界面如圖4所示，清晰掌握各資產類別和目錄下的資產具體分布情況及運行狀態。

圖4 資產管理界面Fig.4 Asset management interface

4）持續監測區域網絡安全態勢，發現潛在威脅，并迅速響應各類安全事件。

安全防護平臺的部署應用，實現了區域視頻系統資產的集中統一管理，大幅提升系統的安防防護水平，達到了保障鐵路安全運行的目的要求。

6 結論

一體化安全防護平臺通過收集系統中各類資產信息，識別資產間的關聯關系，構建資產全景圖。分析各類安全事件與監控信息，挖掘隱藏在大數據背后的安全風險與問題，并以直觀方式全面展示視頻系統的安全全貌。平臺的成果應用，有效提高了視頻區域安全管理水平，也為網絡安全管理現代化和智能化的推進提供了有力支撐。后續研究重點應聚焦于移動端的接入與應用，方便管理人員的移動執勤與遠程管控；優化大數據分析算法，實現對異常事件和潛在威脅的主動識別與響應。