今日頭條
官方微信
官方抖音
資訊頻道作者:天津市市政工程設(shè)計(jì)研究總院 張泳
摘要:以某城市綜合管廊監(jiān)控系統(tǒng)設(shè)計(jì)為例,探討城市綜合管廊監(jiān)控系統(tǒng)信息安全設(shè)計(jì)。
關(guān)鍵詞:城市綜合管廊;工業(yè)控制系統(tǒng)(ICS);信息安全
1 引言
2015年出臺(tái)的《國務(wù)院辦公廳關(guān)于推進(jìn)城市地下綜合管廊建設(shè)的指導(dǎo)意見》指出,“地下綜合管廊是指在城市地下用于集中敷設(shè)電力、通信、廣播電視、給水、排水、熱力、燃?xì)獾仁姓芫€的公共隧道”。“推進(jìn)城市地下綜合管廊建設(shè),統(tǒng)籌各類市政管線規(guī)劃、建設(shè)和管理,解決反復(fù)開挖路面、架空線網(wǎng)密集、管線事故頻發(fā)等問題,有利于保障城市安全、完善城市功能、美化城市景觀、促進(jìn)城市集約高效和轉(zhuǎn)型發(fā)展,有利于提高城市綜合承載能力和城鎮(zhèn)化發(fā)展質(zhì)量,有利于增加公共產(chǎn)品有效投資、拉動(dòng)社會(huì)資本投入、打造經(jīng)濟(jì)發(fā)展新動(dòng)力。”
在國務(wù)院的持續(xù)推動(dòng)下,各地方開始高度重視地下管網(wǎng)等城市基礎(chǔ)設(shè)施建設(shè)。多省市積極出臺(tái)相關(guān)規(guī)劃,地下綜合管廊建設(shè)正加速推進(jìn)。浙江省發(fā)布了《關(guān)于推進(jìn)全省城市地下綜合管廊建設(shè)的實(shí)施意見》,提出浙江省地下綜合管廊建設(shè)的主要目標(biāo):2016~2020年全省開工建地下綜合管廊200公里以上,2016年開工建設(shè)80公里以上,到2020年建成150公里以上具有國內(nèi)先進(jìn)水平的地下綜合管廊。古城西安陸續(xù)開建了9條綜合管廊和14條纜線管廊,到2020年全部完工后,將建成全長73.13公里的干支線管廊、182.5公里的纜線管廊,為古都的城市運(yùn)轉(zhuǎn)提供動(dòng)力和保障。佛山市發(fā)布的《佛山市加快建設(shè)城市地下綜合管廊工作方案》要求,2016年至2020年全市新建地下綜合管廊力爭(zhēng)達(dá)到100公里,2017年全市新開工項(xiàng)目共7項(xiàng),計(jì)劃建設(shè)規(guī)模25.83公里。雄安新區(qū)規(guī)劃建設(shè)起步區(qū)面積約100平方公里,中期發(fā)展區(qū)面積約200平方公里,遠(yuǎn)期控制區(qū)面積約2000平方公里,按照住建部、發(fā)改委發(fā)布的《全國城市市政基礎(chǔ)設(shè)施規(guī)劃建設(shè)“十三五”規(guī)劃》設(shè)立的綜合管廊建設(shè)目標(biāo):到2020年,城市新區(qū)新建道路綜合管廊建設(shè)率達(dá)到30%,城市道路綜合管廊配建率達(dá)到2%,則雄安新區(qū)近、中、長期相應(yīng)的地下管廊長度分別為96、192、1920公里。
相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示,截至2016年底,全國147個(gè)城市28個(gè)縣已累計(jì)開工建設(shè)城市地下綜合管廊2005公里,已建成的城市地下綜合管廊總長度為75.4公里。
地下綜合管廊是城市的超級(jí)大動(dòng)脈,在實(shí)際規(guī)劃建設(shè)中,城市管線種類繁多,涉及管線單位十余家乃至二十余家,相關(guān)企業(yè)從技術(shù)性、安全性考慮,或從本企業(yè)利益出發(fā),均有不同訴求。設(shè)計(jì)單位要在滿足技術(shù)性要求的前提下,設(shè)計(jì)出符合行業(yè)特點(diǎn)的安全策略,建立完善的系統(tǒng)防御,既保障相關(guān)管線單位行業(yè)信息的交互暢通,又保障這一關(guān)系到國計(jì)民生的基礎(chǔ)設(shè)施的安全、穩(wěn)定運(yùn)行。
2 城市綜合管廊監(jiān)控系統(tǒng)簡(jiǎn)介
按照GB50838-2015《城市綜合管廊工程技術(shù)規(guī)范》,一般將城市綜合管廊監(jiān)控系統(tǒng)分以下主要子系統(tǒng),如圖1所示。
圖1 城市綜合管廊監(jiān)控系統(tǒng)
2.1 環(huán)境與設(shè)備監(jiān)控系統(tǒng)
環(huán)境監(jiān)控系統(tǒng)對(duì)綜合管廊內(nèi)環(huán)境參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè),包括氣體含量(含氧氣、甲烷、硫化氫)、溫濕度和集水井水位情況,出現(xiàn)異常情況時(shí)報(bào)警;同時(shí)對(duì)綜合管廊內(nèi)通風(fēng)設(shè)備、排水泵和照明設(shè)備等進(jìn)行狀態(tài)監(jiān)測(cè)和控制。
2.2 安全防范系統(tǒng)
視頻監(jiān)控系統(tǒng)對(duì)綜合管廊內(nèi)部環(huán)境、綜合管廊出入口等重要位置處實(shí)時(shí)全方位的圖像監(jiān)控,使監(jiān)控中心值班人員清楚了解綜合管廊現(xiàn)場(chǎng)實(shí)際情況,并及時(shí)獲得意外情況的圖像信息。防入侵監(jiān)測(cè)系統(tǒng)采用紅外對(duì)射技術(shù),當(dāng)綜合管廊現(xiàn)場(chǎng)出現(xiàn)“非法入侵”情況,聯(lián)動(dòng)現(xiàn)場(chǎng)聲光報(bào)警器,同時(shí)其報(bào)警信號(hào)通過區(qū)域控制單元送入監(jiān)控中心監(jiān)控工作站,監(jiān)控畫面相應(yīng)位置閃爍,并產(chǎn)生語音報(bào)警信號(hào)。門禁系統(tǒng)通過門禁控制,對(duì)監(jiān)控中心和綜合管廊出入口等處實(shí)施出入管理,強(qiáng)化綜合管廊安全防范功能。電子巡查系統(tǒng)對(duì)綜合管廊現(xiàn)場(chǎng)巡查行為進(jìn)行記錄并進(jìn)行監(jiān)管和考核,能有效地對(duì)管理維護(hù)人員的巡邏工作進(jìn)行管理。
2.3 通信系統(tǒng)
應(yīng)急通信與調(diào)度系統(tǒng)通過以太網(wǎng)實(shí)現(xiàn)各電話之間的相互呼叫,并通過設(shè)置的語音網(wǎng)關(guān)實(shí)現(xiàn)與外部市話聯(lián)系功能。系統(tǒng)通過應(yīng)急調(diào)度平臺(tái)和綜合管廊現(xiàn)場(chǎng)揚(yáng)聲器廣播,實(shí)現(xiàn)遠(yuǎn)程調(diào)度功能。無線通信與人員定位系統(tǒng)對(duì)綜合管廊內(nèi)部實(shí)現(xiàn)無線信號(hào)覆蓋,在手機(jī)上安裝相應(yīng)的APP軟件,結(jié)合應(yīng)急通信與調(diào)度系統(tǒng)實(shí)現(xiàn)無線語音通話功能。工作人員攜帶定位卡或智能手機(jī)(預(yù)裝APP軟件)進(jìn)入綜合管廊,實(shí)現(xiàn)人員定位功能,在緊急情況下指導(dǎo)綜合管廊現(xiàn)場(chǎng)人員及時(shí)疏散,確保人身安全。
2.4 預(yù)警與報(bào)警系統(tǒng)
火災(zāi)自動(dòng)報(bào)警系統(tǒng)實(shí)時(shí)接收感溫光纜的火災(zāi)檢測(cè)信號(hào)或手動(dòng)火災(zāi)報(bào)警按鈕的報(bào)警信號(hào),在綜合管廊內(nèi)部進(jìn)行聲光報(bào)警,以警示管廊內(nèi)部的工作人員。同時(shí)監(jiān)控中心進(jìn)行聲光報(bào)警,軟件界面彈窗報(bào)警,系統(tǒng)聯(lián)動(dòng)視頻監(jiān)控系統(tǒng)切換至火災(zāi)報(bào)警區(qū)域畫面,警示監(jiān)控中心工作人員采取相關(guān)措施。當(dāng)燃?xì)夤芫€入廊時(shí),系統(tǒng)對(duì)可燃?xì)怏w含量進(jìn)行實(shí)時(shí)監(jiān)測(cè),當(dāng)濃度出現(xiàn)異常時(shí)進(jìn)行報(bào)警并與通風(fēng)系統(tǒng)進(jìn)行聯(lián)動(dòng)。
2.5 消防系統(tǒng)
消防系統(tǒng)一般獨(dú)立于其他子系統(tǒng),在綜合管廊現(xiàn)場(chǎng)每個(gè)防火分區(qū)設(shè)置氣體滅火控制器、滅火裝置、滅火裝置動(dòng)作指示燈和緊急啟停按鈕等設(shè)備。當(dāng)火災(zāi)發(fā)生時(shí),遠(yuǎn)程控制或者本地按下緊急啟停按鈕,滅火控制器啟動(dòng)管廊內(nèi)部的滅火裝置。
2.6 地理信息系統(tǒng)
采用地理特征數(shù)據(jù)庫技術(shù),管理多類型、大規(guī)模地理特征數(shù)據(jù),提供精確的空間分析計(jì)算。幫助人們較直觀地了解到管線現(xiàn)狀,為管網(wǎng)設(shè)施運(yùn)維提供依據(jù),實(shí)現(xiàn)與管網(wǎng)設(shè)施相關(guān)的應(yīng)急響應(yīng)輔助決策,幫助用戶提高綜合管線事故的快速處置能力。
3 城市綜合管廊監(jiān)控系統(tǒng)設(shè)計(jì)
城市綜合管廊監(jiān)控系統(tǒng)一般由監(jiān)控中心、監(jiān)控室、現(xiàn)場(chǎng)檢測(cè)及控制三部分組成。通過集成和互聯(lián)管廊內(nèi)的自動(dòng)化系統(tǒng),為運(yùn)維人員提供一個(gè)完整的、統(tǒng)一的監(jiān)控平臺(tái)。監(jiān)控中心是整個(gè)監(jiān)控系統(tǒng)的核心,它聯(lián)系、協(xié)調(diào)、控制和管理各子系統(tǒng)的工作。監(jiān)控室一般設(shè)置大屏幕,用于監(jiān)控綜合管廊內(nèi)的實(shí)時(shí)情況。現(xiàn)場(chǎng)檢測(cè)及控制部分主要由接入層交換機(jī)、網(wǎng)絡(luò)攝像頭、現(xiàn)場(chǎng)區(qū)域控制器ACU等組成。其中ACU負(fù)責(zé)采集管廊內(nèi)的檢測(cè)信號(hào),并根據(jù)信號(hào)對(duì)管廊內(nèi)設(shè)備進(jìn)行控制。綜合管廊監(jiān)控系統(tǒng)主要由上位監(jiān)控軟件平臺(tái)、監(jiān)控主干網(wǎng)、各子系統(tǒng)等組成。
以我院設(shè)計(jì)的某城市綜合管廊監(jiān)控系統(tǒng)為例:
3.1 環(huán)境與設(shè)備監(jiān)控系統(tǒng)
在變電站及防火分區(qū)設(shè)置控制單元ACU,采集該區(qū)域內(nèi)通風(fēng)機(jī)、排水泵、照明系統(tǒng)、配電系統(tǒng)、電源裝置、液位、液壓井蓋等設(shè)備工況;根據(jù)預(yù)設(shè)運(yùn)行控制管理原則,控制該區(qū)域內(nèi)通風(fēng)機(jī)、排水泵、照明系統(tǒng)、液壓井蓋等設(shè)備。
在監(jiān)控中心設(shè)置監(jiān)控計(jì)算機(jī)、管理計(jì)算機(jī)、數(shù)據(jù)庫服務(wù)器、安防工作站、UPS電源、打印機(jī)、拼接大屏幕系統(tǒng)等,并采集配電系統(tǒng)等設(shè)備工況。
3.2 安全防范系統(tǒng)
在管廊每個(gè)防火分區(qū)內(nèi)每隔一定距離、每個(gè)投料口設(shè)置攝像機(jī),對(duì)管廊內(nèi)情況進(jìn)行跟蹤監(jiān)視;在每個(gè)投料口和防火門兩側(cè)設(shè)置紅外對(duì)射報(bào)警裝置,用于非法入侵報(bào)警;在每個(gè)人員出入口、監(jiān)控中心等入口處設(shè)置門禁系統(tǒng),對(duì)出入人員進(jìn)行限制,對(duì)出入事件進(jìn)行記錄;采用離線式電子巡查系統(tǒng),管廊內(nèi)每個(gè)分區(qū)設(shè)置巡查點(diǎn),巡查人員使用巡查機(jī)對(duì)巡查點(diǎn)進(jìn)行讀取,巡查機(jī)通過通信機(jī)座將數(shù)據(jù)傳輸?shù)桨卜拦ぷ髡尽?/p>
3.3 通信系統(tǒng)
在控制中心配置通信機(jī)柜,引入市話中繼線,用于控制中心內(nèi)對(duì)外通信聯(lián)系,及控制中心與管廊內(nèi)光纖電話通信;每個(gè)防火分區(qū)構(gòu)建無線覆蓋網(wǎng)絡(luò),接入該區(qū)域以太網(wǎng)控制網(wǎng)路中,并獲取該分區(qū)接入設(shè)備地址和信息,巡檢人員通過配備的專用設(shè)備或者可穿戴設(shè)備,進(jìn)入管廊中做日常維護(hù),各個(gè)控制器都能夠知道該人員在哪個(gè)分區(qū),并通知控制中心該人員具體位置。
3.4 消防系統(tǒng)
監(jiān)控中心消防控制室設(shè)置火災(zāi)自動(dòng)報(bào)警系統(tǒng)中央工作站、線性感溫光纖探測(cè)系統(tǒng)主機(jī),各變電站設(shè)置分布式集中報(bào)警控制器,其內(nèi)設(shè)火災(zāi)集中報(bào)警控制器主機(jī)、氣體滅火控制器、電氣火災(zāi)監(jiān)控主機(jī)、線性感溫光纖檢測(cè)系統(tǒng)主機(jī)等。各分布式集中報(bào)警控制器通過信號(hào)總線及總線I/O模塊對(duì)現(xiàn)場(chǎng)消防系統(tǒng)設(shè)備進(jìn)行監(jiān)控。
4 城市綜合管廊監(jiān)控系統(tǒng)信息安全設(shè)計(jì)
4.1 系統(tǒng)風(fēng)險(xiǎn)評(píng)估
4.1.1 信息系統(tǒng)安全保護(hù)等級(jí)的確定
根據(jù)GB/T22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,確定該管廊信息系統(tǒng)安全保護(hù)等級(jí)為第三級(jí),即“信息系統(tǒng)受破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害。”同時(shí),根據(jù)GB/T22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,確定該管廊基本安全保護(hù)能力為第三級(jí),即“能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)害,以及其他相當(dāng)危害程度的威脅所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠較快恢復(fù)絕大部分功能。”
4.1.2 風(fēng)險(xiǎn)因素
通常ICS(Industrial Control System,工業(yè)控制系統(tǒng))風(fēng)險(xiǎn)評(píng)估的范圍主要包含三個(gè)大的方面:物理安全、技術(shù)安全和管理安全。物理安全包含防雷、防火、防盜、溫濕度控制等方面;技術(shù)安全包括設(shè)備安全、網(wǎng)絡(luò)安全、主機(jī)的安全等;管理安全通常涉及制度、流程、安全意識(shí)、機(jī)構(gòu)等。
ICS在硬件方面存在的風(fēng)險(xiǎn)包括,硬件配置的脆弱性,對(duì)關(guān)鍵設(shè)備(包括監(jiān)控中心設(shè)備、現(xiàn)場(chǎng)設(shè)備、便攜設(shè)備、移動(dòng)設(shè)備、外存儲(chǔ)設(shè)備等)的物理防護(hù)措施不充分,未授權(quán)用戶接觸ICS設(shè)備,遠(yuǎn)程訪問,系統(tǒng)組成未經(jīng)審計(jì)的調(diào)整和變更等;軟件方面存在的風(fēng)險(xiǎn)包括,軟件配置的安全措施不足,ICS系統(tǒng)內(nèi)的明文傳輸,現(xiàn)場(chǎng)總線協(xié)議的公開性與安全性之間的矛盾,專用軟件的漏洞等。
對(duì)于市政管廊項(xiàng)目,ICS硬件方面的風(fēng)險(xiǎn)在項(xiàng)目執(zhí)行過程中就已經(jīng)產(chǎn)生,ICS中的產(chǎn)品選擇、標(biāo)準(zhǔn)等,可以被投標(biāo)商、供應(yīng)商、承包商、最終用戶等獲得相關(guān)信息,甚至被他人通過互聯(lián)網(wǎng)上獲得相關(guān)信息。當(dāng)這些信息和資源被提供給潛在的入侵者,攻擊者就可以用其所掌握的控制系統(tǒng)知識(shí),采用網(wǎng)絡(luò)上的攻擊軟件和數(shù)據(jù)挖掘工具,獲得未經(jīng)授權(quán)的訪問ICS的控制權(quán)。
ICS網(wǎng)絡(luò)方面的脆弱性,包括網(wǎng)絡(luò)配置漏洞、硬件漏洞、網(wǎng)絡(luò)邊界漏洞、監(jiān)控和記錄漏洞、無線連接漏洞等。
對(duì)于市政管廊項(xiàng)目,遠(yuǎn)程訪問的需求與系統(tǒng)安全的矛盾尤其突出。不僅管廊工程的ICS維護(hù)工程師和技術(shù)人員有遠(yuǎn)程監(jiān)視和操控ICS系統(tǒng)需求,入廊的各管線產(chǎn)權(quán)企業(yè)更希望其企業(yè)網(wǎng)絡(luò)與管廊ICS網(wǎng)絡(luò)之間無縫連接,可以使其企業(yè)決策者獲得與其有關(guān)的管線的關(guān)鍵數(shù)據(jù)。但兩者對(duì)可靠性的要求存在較大差異,ICS系統(tǒng)是將人員和設(shè)備的安全作為首要目標(biāo),而IT系統(tǒng)一般將性能、數(shù)據(jù)的完整性和保密性作為首要需求。ISC廠商越來越多的使用OPC協(xié)議,包括TCP/IP的標(biāo)準(zhǔn)化技術(shù),這些開放的協(xié)議、標(biāo)準(zhǔn)的使用,增加了ICS網(wǎng)絡(luò)的脆弱性。
4.2 設(shè)計(jì)解決方案
4.2.1 ICS平臺(tái)
(1)設(shè)備的選擇
ICS內(nèi)硬件設(shè)備的選擇,必須嚴(yán)格按照項(xiàng)目確定的信息系統(tǒng)安全保護(hù)等級(jí)進(jìn)行選擇。按照國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)2017年1號(hào)文“關(guān)于發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)的公告》”(以下簡(jiǎn)稱“產(chǎn)品目錄”)的要求,路由器、交換機(jī)、服務(wù)器(機(jī)架式)、可編程邏輯控制器(PLC)等,均需采用安全認(rèn)證合格或符合安全檢測(cè)要求的產(chǎn)品。
(2) 對(duì)關(guān)鍵設(shè)備設(shè)計(jì)必要的物理防護(hù)措施
訪問和使用監(jiān)控中心及其設(shè)備、現(xiàn)場(chǎng)設(shè)備、便攜設(shè)備、移動(dòng)存儲(chǔ)設(shè)備等,設(shè)置包括物理訪問隔離、控制、監(jiān)測(cè)等措施。
4.2.2 網(wǎng)絡(luò)
(1) 基本原則
在網(wǎng)絡(luò)配置方面需要考慮的因素包括:數(shù)據(jù)流量控制、安全設(shè)備配置、數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)設(shè)備密碼、訪問控制措施等。
在網(wǎng)絡(luò)硬件上需考慮網(wǎng)絡(luò)設(shè)備的物理防護(hù)、物理環(huán)境的控制、關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余配置等。
定義網(wǎng)絡(luò)邊界。在網(wǎng)絡(luò)邊界處安裝防火墻,進(jìn)行非法流量控制,自動(dòng)生成日志,安裝安全監(jiān)控設(shè)備。
在通信方面,禁止非法路徑,采用更安全的通信協(xié)議,對(duì)身份(用戶、設(shè)備等)進(jìn)行驗(yàn)證及分級(jí)管理,對(duì)數(shù)據(jù)的完整性進(jìn)行校驗(yàn),對(duì)無線客戶端和接入點(diǎn)進(jìn)行必要的認(rèn)證,對(duì)無線客戶端和接入點(diǎn)之間數(shù)據(jù)傳輸進(jìn)行加密保護(hù)。
(2)防御架構(gòu)
基于系統(tǒng)網(wǎng)絡(luò)架構(gòu)和存在的安全隱患,結(jié)合系統(tǒng)網(wǎng)絡(luò)安全要求,設(shè)計(jì)了一套深度防御架構(gòu)策略,將整個(gè)系統(tǒng)劃分為分站控系統(tǒng)(N組)、站控系統(tǒng)(M組),監(jiān)控中心、管理信息層以及遠(yuǎn)程接入等幾個(gè)區(qū)域。
將各個(gè)分站控系統(tǒng)、站控系統(tǒng)通過安全隔離平臺(tái)進(jìn)行相互隔離,防止站控系統(tǒng)內(nèi)病毒擴(kuò)散,相互感染。該安全隔離平臺(tái)對(duì)數(shù)據(jù)采集過程中遇到的數(shù)據(jù)泄露、病毒入侵等威脅進(jìn)行全面監(jiān)測(cè)、過濾、報(bào)警和阻斷。
在監(jiān)控中心設(shè)置安全審計(jì)平臺(tái),用于對(duì)本項(xiàng)目的網(wǎng)絡(luò)進(jìn)行安全審計(jì),快速識(shí)別系統(tǒng)中存在的非法操作、異常事件、外部攻擊及實(shí)時(shí)告警;設(shè)置安全監(jiān)管平臺(tái),統(tǒng)一管理、部署各網(wǎng)絡(luò)安全終端,監(jiān)控終端所在網(wǎng)絡(luò)的數(shù)據(jù)流量與安全事件,對(duì)安全威脅進(jìn)行分析、審計(jì)、追蹤、日志管理等。
在監(jiān)控中心和信息管理層、管線產(chǎn)權(quán)單位遠(yuǎn)程接入端之間部署專業(yè)的網(wǎng)絡(luò)邊界入侵檢測(cè)及防御平臺(tái),防止來自信息管理層網(wǎng)、管線產(chǎn)權(quán)單位遠(yuǎn)程接入端針對(duì)管廊項(xiàng)目ICS的攻擊和病毒感染。
對(duì)于網(wǎng)絡(luò)中的USB接入設(shè)備、無線接入設(shè)備等,均設(shè)置相應(yīng)的安全隔離平臺(tái)進(jìn)行隔離。
上述安全隔離平臺(tái)、安全審計(jì)平臺(tái)、安全監(jiān)管平臺(tái)、網(wǎng)絡(luò)邊界入侵檢測(cè)及防御平臺(tái)等,均需滿足“產(chǎn)品目錄”的要求。
根據(jù)上述原則,最終確定的本項(xiàng)目ICS系統(tǒng)信息安全設(shè)計(jì)方案如圖2所示(未包括消防報(bào)警系統(tǒng)、通信系統(tǒng))。
該系統(tǒng)信息安全設(shè)計(jì)完成后,還應(yīng)模擬現(xiàn)實(shí)威脅和攻擊進(jìn)行安全驗(yàn)證,并在項(xiàng)目的整個(gè)生命周期內(nèi)不斷地進(jìn)行監(jiān)測(cè)和修正。
圖2 ICS信息安全設(shè)計(jì)方案
5 結(jié)語
2015年《國務(wù)院辦公廳關(guān)于推進(jìn)城市地下綜合管廊建設(shè)的指導(dǎo)意見》指出,“地下綜合管廊應(yīng)配套建設(shè)消防、供電、照明、通風(fēng)、給排水、視頻、標(biāo)識(shí)、安全與報(bào)警、智能管理等附屬設(shè)施,提高智能化監(jiān)控管理水平,確保管廊安全運(yùn)行。要滿足各類管線獨(dú)立運(yùn)行維護(hù)和安全管理需要,避免產(chǎn)生相互干擾。”2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,將網(wǎng)絡(luò)安全提高到了一個(gè)前所未有的高度。在第三章“網(wǎng)絡(luò)運(yùn)行安全”第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”中明確說明:“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
地下綜合管廊是城市的超級(jí)大動(dòng)脈,容納了城市的能源、公共通信、給水、排水等重要的市政公用設(shè)施,作為關(guān)鍵基礎(chǔ)設(shè)施,保障其安全、穩(wěn)定地運(yùn)行,就是保障城市的安全、宜居、可持續(xù)發(fā)展,其工業(yè)控制系統(tǒng)信息安全需要重點(diǎn)關(guān)注、重點(diǎn)保護(hù)。綜合管廊項(xiàng)目的ICS設(shè)計(jì)工程師在項(xiàng)目設(shè)計(jì)之初,應(yīng)該與工業(yè)信息安全工程師、IT工程師一起,仔細(xì)評(píng)估系統(tǒng)風(fēng)險(xiǎn),推敲設(shè)計(jì)架構(gòu),從ICS自身、網(wǎng)絡(luò)等方面,全面設(shè)計(jì)綜合管廊的工業(yè)控制系統(tǒng)信息安全策略,保障綜合管廊工業(yè)控制系統(tǒng)信息安全,確保城市超級(jí)大動(dòng)脈的安全運(yùn)行。
作者簡(jiǎn)介:
張泳(1971-),男,碩士,教授級(jí)高級(jí)工程師。現(xiàn)任天津市市政工程設(shè)計(jì)研究總院第四設(shè)計(jì)研究院電氣自動(dòng)化專業(yè)技術(shù)負(fù)責(zé)人,青年首席設(shè)計(jì)師。自參加工作以來,一直從事市政工程中的電氣、自動(dòng)化設(shè)計(jì)工作,具有扎實(shí)的理論基礎(chǔ)和工程設(shè)計(jì)經(jīng)驗(yàn),擔(dān)任多項(xiàng)大型市政工程、重點(diǎn)項(xiàng)目的專業(yè)負(fù)責(zé)人(鄭州市污水處理廠、石家莊橋西污水處理廠中水回用、湖北省宜昌市三峽壩區(qū)固體廢棄物處理場(chǎng)、天津市咸陽路污水處理廠、安哥拉萬博市供水系統(tǒng)改造、鄭州市馬頭崗污水處理廠、咸陽路污水處理廠升級(jí)改造工程、中新天津生態(tài)城污水庫治理、天津市張貴莊污水處理及再生利用工程等),并有針對(duì)性地提出了若干控制策略指導(dǎo)工程實(shí)踐。
摘自《自動(dòng)化博覽》2018年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)