作者：天津市市政工程設計研究總院 張泳

摘要：以某城市綜合管廊監控系統設計為例，探討城市綜合管廊監控系統信息安全設計。

關(guān)鍵詞：城市綜合管廊；工業(yè)控制系統（ICS）；信息安全

1　引言

2015年出臺的《國務(wù)院辦公廳關(guān)于推進(jìn)城市地下綜合管廊建設的指導意見(jiàn)》指出，“地下綜合管廊是指在城市地下用于集中敷設電力、通信、廣播電視、給水、排水、熱力、燃氣等市政管線(xiàn)的公共隧道”?！巴七M(jìn)城市地下綜合管廊建設，統籌各類(lèi)市政管線(xiàn)規劃、建設和管理，解決反復開(kāi)挖路面、架空線(xiàn)網(wǎng)密集、管線(xiàn)事故頻發(fā)等問(wèn)題，有利于保障城市安全、完善城市功能、美化城市景觀(guān)、促進(jìn)城市集約高效和轉型發(fā)展，有利于提高城市綜合承載能力和城鎮化發(fā)展質(zhì)量，有利于增加公共產(chǎn)品有效投資、拉動(dòng)社會(huì )資本投入、打造經(jīng)濟發(fā)展新動(dòng)力?！?/p>

在國務(wù)院的持續推動(dòng)下，各地方開(kāi)始高度重視地下管網(wǎng)等城市基礎設施建設。多省市積極出臺相關(guān)規劃，地下綜合管廊建設正加速推進(jìn)。浙江省發(fā)布了《關(guān)于推進(jìn)全省城市地下綜合管廊建設的實(shí)施意見(jiàn)》，提出浙江省地下綜合管廊建設的主要目標：2016~2020年全省開(kāi)工建地下綜合管廊200公里以上，2016年開(kāi)工建設80公里以上，到2020年建成150公里以上具有國內先進(jìn)水平的地下綜合管廊。古城西安陸續開(kāi)建了9條綜合管廊和14條纜線(xiàn)管廊，到2020年全部完工后，將建成全長(cháng)73.13公里的干支線(xiàn)管廊、182.5公里的纜線(xiàn)管廊，為古都的城市運轉提供動(dòng)力和保障。佛山市發(fā)布的《佛山市加快建設城市地下綜合管廊工作方案》要求，2016年至2020年全市新建地下綜合管廊力爭達到100公里，2017年全市新開(kāi)工項目共7項，計劃建設規模25.83公里。雄安新區規劃建設起步區面積約100平方公里，中期發(fā)展區面積約200平方公里，遠期控制區面積約2000平方公里,按照住建部、發(fā)改委發(fā)布的《全國城市市政基礎設施規劃建設“十三五”規劃》設立的綜合管廊建設目標：到2020年，城市新區新建道路綜合管廊建設率達到30%，城市道路綜合管廊配建率達到2%，則雄安新區近、中、長(cháng)期相應的地下管廊長(cháng)度分別為96、192、1920公里。

相關(guān)統計數據顯示，截至2016年底，全國147個(gè)城市28個(gè)縣已累計開(kāi)工建設城市地下綜合管廊2005公里，已建成的城市地下綜合管廊總長(cháng)度為75.4公里。

地下綜合管廊是城市的超級大動(dòng)脈，在實(shí)際規劃建設中，城市管線(xiàn)種類(lèi)繁多，涉及管線(xiàn)單位十余家乃至二十余家，相關(guān)企業(yè)從技術(shù)性、安全性考慮，或從本企業(yè)利益出發(fā)，均有不同訴求。設計單位要在滿(mǎn)足技術(shù)性要求的前提下，設計出符合行業(yè)特點(diǎn)的安全策略，建立完善的系統防御，既保障相關(guān)管線(xiàn)單位行業(yè)信息的交互暢通，又保障這一關(guān)系到國計民生的基礎設施的安全、穩定運行。

2　城市綜合管廊監控系統簡(jiǎn)介

按照GB50838-2015《城市綜合管廊工程技術(shù)規范》，一般將城市綜合管廊監控系統分以下主要子系統，如圖1所示。

圖1 城市綜合管廊監控系統

2.1　環(huán)境與設備監控系統

環(huán)境監控系統對綜合管廊內環(huán)境參數進(jìn)行實(shí)時(shí)監測，包括氣體含量（含氧氣、甲烷、硫化氫）、溫濕度和集水井水位情況，出現異常情況時(shí)報警；同時(shí)對綜合管廊內通風(fēng)設備、排水泵和照明設備等進(jìn)行狀態(tài)監測和控制。

2.2　安全防范系統

視頻監控系統對綜合管廊內部環(huán)境、綜合管廊出入口等重要位置處實(shí)時(shí)全方位的圖像監控，使監控中心值班人員清楚了解綜合管廊現場(chǎng)實(shí)際情況，并及時(shí)獲得意外情況的圖像信息。防入侵監測系統采用紅外對射技術(shù)，當綜合管廊現場(chǎng)出現“非法入侵”情況，聯(lián)動(dòng)現場(chǎng)聲光報警器，同時(shí)其報警信號通過(guò)區域控制單元送入監控中心監控工作站，監控畫(huà)面相應位置閃爍，并產(chǎn)生語(yǔ)音報警信號。門(mén)禁系統通過(guò)門(mén)禁控制，對監控中心和綜合管廊出入口等處實(shí)施出入管理，強化綜合管廊安全防范功能。電子巡查系統對綜合管廊現場(chǎng)巡查行為進(jìn)行記錄并進(jìn)行監管和考核，能有效地對管理維護人員的巡邏工作進(jìn)行管理。

2.3　通信系統

應急通信與調度系統通過(guò)以太網(wǎng)實(shí)現各電話(huà)之間的相互呼叫，并通過(guò)設置的語(yǔ)音網(wǎng)關(guān)實(shí)現與外部市話(huà)聯(lián)系功能。系統通過(guò)應急調度平臺和綜合管廊現場(chǎng)揚聲器廣播，實(shí)現遠程調度功能。無(wú)線(xiàn)通信與人員定位系統對綜合管廊內部實(shí)現無(wú)線(xiàn)信號覆蓋，在手機上安裝相應的APP軟件，結合應急通信與調度系統實(shí)現無(wú)線(xiàn)語(yǔ)音通話(huà)功能。工作人員攜帶定位卡或智能手機（預裝APP軟件）進(jìn)入綜合管廊，實(shí)現人員定位功能，在緊急情況下指導綜合管廊現場(chǎng)人員及時(shí)疏散，確保人身安全。

2.4　預警與報警系統

火災自動(dòng)報警系統實(shí)時(shí)接收感溫光纜的火災檢測信號或手動(dòng)火災報警按鈕的報警信號，在綜合管廊內部進(jìn)行聲光報警，以警示管廊內部的工作人員。同時(shí)監控中心進(jìn)行聲光報警，軟件界面彈窗報警，系統聯(lián)動(dòng)視頻監控系統切換至火災報警區域畫(huà)面，警示監控中心工作人員采取相關(guān)措施。當燃氣管線(xiàn)入廊時(shí)，系統對可燃氣體含量進(jìn)行實(shí)時(shí)監測，當濃度出現異常時(shí)進(jìn)行報警并與通風(fēng)系統進(jìn)行聯(lián)動(dòng)。

2.5　消防系統

消防系統一般獨立于其他子系統，在綜合管廊現場(chǎng)每個(gè)防火分區設置氣體滅火控制器、滅火裝置、滅火裝置動(dòng)作指示燈和緊急啟停按鈕等設備。當火災發(fā)生時(shí)，遠程控制或者本地按下緊急啟停按鈕，滅火控制器啟動(dòng)管廊內部的滅火裝置。

2.6　地理信息系統

采用地理特征數據庫技術(shù)，管理多類(lèi)型、大規模地理特征數據，提供精確的空間分析計算。幫助人們較直觀(guān)地了解到管線(xiàn)現狀，為管網(wǎng)設施運維提供依據，實(shí)現與管網(wǎng)設施相關(guān)的應急響應輔助決策，幫助用戶(hù)提高綜合管線(xiàn)事故的快速處置能力。

3　城市綜合管廊監控系統設計

城市綜合管廊監控系統一般由監控中心、監控室、現場(chǎng)檢測及控制三部分組成。通過(guò)集成和互聯(lián)管廊內的自動(dòng)化系統，為運維人員提供一個(gè)完整的、統一的監控平臺。監控中心是整個(gè)監控系統的核心，它聯(lián)系、協(xié)調、控制和管理各子系統的工作。監控室一般設置大屏幕，用于監控綜合管廊內的實(shí)時(shí)情況?，F場(chǎng)檢測及控制部分主要由接入層交換機、網(wǎng)絡(luò )攝像頭、現場(chǎng)區域控制器ACU等組成。其中ACU負責采集管廊內的檢測信號，并根據信號對管廊內設備進(jìn)行控制。綜合管廊監控系統主要由上位監控軟件平臺、監控主干網(wǎng)、各子系統等組成。

以我院設計的某城市綜合管廊監控系統為例：

3.1　環(huán)境與設備監控系統

在變電站及防火分區設置控制單元ACU，采集該區域內通風(fēng)機、排水泵、照明系統、配電系統、電源裝置、液位、液壓井蓋等設備工況；根據預設運行控制管理原則，控制該區域內通風(fēng)機、排水泵、照明系統、液壓井蓋等設備。

在監控中心設置監控計算機、管理計算機、數據庫服務(wù)器、安防工作站、UPS電源、打印機、拼接大屏幕系統等，并采集配電系統等設備工況。

3.2　安全防范系統

在管廊每個(gè)防火分區內每隔一定距離、每個(gè)投料口設置攝像機，對管廊內情況進(jìn)行跟蹤監視；在每個(gè)投料口和防火門(mén)兩側設置紅外對射報警裝置，用于非法入侵報警；在每個(gè)人員出入口、監控中心等入口處設置門(mén)禁系統，對出入人員進(jìn)行限制，對出入事件進(jìn)行記錄；采用離線(xiàn)式電子巡查系統，管廊內每個(gè)分區設置巡查點(diǎn)，巡查人員使用巡查機對巡查點(diǎn)進(jìn)行讀取，巡查機通過(guò)通信機座將數據傳輸到安防工作站。

3.3　通信系統

在控制中心配置通信機柜，引入市話(huà)中繼線(xiàn)，用于控制中心內對外通信聯(lián)系，及控制中心與管廊內光纖電話(huà)通信；每個(gè)防火分區構建無(wú)線(xiàn)覆蓋網(wǎng)絡(luò )，接入該區域以太網(wǎng)控制網(wǎng)路中，并獲取該分區接入設備地址和信息，巡檢人員通過(guò)配備的專(zhuān)用設備或者可穿戴設備，進(jìn)入管廊中做日常維護，各個(gè)控制器都能夠知道該人員在哪個(gè)分區，并通知控制中心該人員具體位置。

3.4　消防系統

監控中心消防控制室設置火災自動(dòng)報警系統中央工作站、線(xiàn)性感溫光纖探測系統主機，各變電站設置分布式集中報警控制器，其內設火災集中報警控制器主機、氣體滅火控制器、電氣火災監控主機、線(xiàn)性感溫光纖檢測系統主機等。各分布式集中報警控制器通過(guò)信號總線(xiàn)及總線(xiàn)I/O模塊對現場(chǎng)消防系統設備進(jìn)行監控。

4　城市綜合管廊監控系統信息安全設計

4.1　系統風(fēng)險評估

4.1.1　信息系統安全保護等級的確定

根據GB/T22240-2008《信息安全技術(shù) 信息系統安全等級保護定級指南》，確定該管廊信息系統安全保護等級為第三級，即“信息系統受破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害?！蓖瑫r(shí)，根據GB/T22239-2008《信息安全技術(shù) 信息系統安全等級保護基本要求》，確定該管廊基本安全保護能力為第三級，即“能夠在統一安全策略下防護系統免受來(lái)自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災害，以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現安全漏洞和安全事件，在系統遭到損害后，能夠較快恢復絕大部分功能?！?/p>

4.1.2　風(fēng)險因素

通常ICS（Industrial Control System，工業(yè)控制系統）風(fēng)險評估的范圍主要包含三個(gè)大的方面：物理安全、技術(shù)安全和管理安全。物理安全包含防雷、防火、防盜、溫濕度控制等方面；技術(shù)安全包括設備安全、網(wǎng)絡(luò )安全、主機的安全等；管理安全通常涉及制度、流程、安全意識、機構等。

ICS在硬件方面存在的風(fēng)險包括，硬件配置的脆弱性，對關(guān)鍵設備（包括監控中心設備、現場(chǎng)設備、便攜設備、移動(dòng)設備、外存儲設備等）的物理防護措施不充分，未授權用戶(hù)接觸ICS設備，遠程訪(fǎng)問(wèn)，系統組成未經(jīng)審計的調整和變更等；軟件方面存在的風(fēng)險包括，軟件配置的安全措施不足，ICS系統內的明文傳輸，現場(chǎng)總線(xiàn)協(xié)議的公開(kāi)性與安全性之間的矛盾，專(zhuān)用軟件的漏洞等。

對于市政管廊項目，ICS硬件方面的風(fēng)險在項目執行過(guò)程中就已經(jīng)產(chǎn)生，ICS中的產(chǎn)品選擇、標準等，可以被投標商、供應商、承包商、最終用戶(hù)等獲得相關(guān)信息，甚至被他人通過(guò)互聯(lián)網(wǎng)上獲得相關(guān)信息。當這些信息和資源被提供給潛在的入侵者，攻擊者就可以用其所掌握的控制系統知識，采用網(wǎng)絡(luò )上的攻擊軟件和數據挖掘工具，獲得未經(jīng)授權的訪(fǎng)問(wèn)ICS的控制權。

ICS網(wǎng)絡(luò )方面的脆弱性，包括網(wǎng)絡(luò )配置漏洞、硬件漏洞、網(wǎng)絡(luò )邊界漏洞、監控和記錄漏洞、無(wú)線(xiàn)連接漏洞等。

對于市政管廊項目，遠程訪(fǎng)問(wèn)的需求與系統安全的矛盾尤其突出。不僅管廊工程的ICS維護工程師和技術(shù)人員有遠程監視和操控ICS系統需求，入廊的各管線(xiàn)產(chǎn)權企業(yè)更希望其企業(yè)網(wǎng)絡(luò )與管廊ICS網(wǎng)絡(luò )之間無(wú)縫連接，可以使其企業(yè)決策者獲得與其有關(guān)的管線(xiàn)的關(guān)鍵數據。但兩者對可靠性的要求存在較大差異，ICS系統是將人員和設備的安全作為首要目標，而IT系統一般將性能、數據的完整性和保密性作為首要需求。ISC廠(chǎng)商越來(lái)越多的使用OPC協(xié)議，包括TCP/IP的標準化技術(shù)，這些開(kāi)放的協(xié)議、標準的使用，增加了ICS網(wǎng)絡(luò )的脆弱性。

4.2　設計解決方案

4.2.1　ICS平臺

（1）設備的選擇

ICS內硬件設備的選擇，必須嚴格按照項目確定的信息系統安全保護等級進(jìn)行選擇。按照國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認證認可監督管理委員會(huì )2017年1號文“關(guān)于發(fā)布《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄（第一批）的公告》”（以下簡(jiǎn)稱(chēng)“產(chǎn)品目錄”）的要求，路由器、交換機、服務(wù)器（機架式）、可編程邏輯控制器（PLC）等，均需采用安全認證合格或符合安全檢測要求的產(chǎn)品。

（2） 對關(guān)鍵設備設計必要的物理防護措施

訪(fǎng)問(wèn)和使用監控中心及其設備、現場(chǎng)設備、便攜設備、移動(dòng)存儲設備等，設置包括物理訪(fǎng)問(wèn)隔離、控制、監測等措施。

4.2.2　網(wǎng)絡(luò )

（1） 基本原則

在網(wǎng)絡(luò )配置方面需要考慮的因素包括：數據流量控制、安全設備配置、數據加密傳輸、網(wǎng)絡(luò )設備密碼、訪(fǎng)問(wèn)控制措施等。

在網(wǎng)絡(luò )硬件上需考慮網(wǎng)絡(luò )設備的物理防護、物理環(huán)境的控制、關(guān)鍵網(wǎng)絡(luò )設備的冗余配置等。

定義網(wǎng)絡(luò )邊界。在網(wǎng)絡(luò )邊界處安裝防火墻，進(jìn)行非法流量控制，自動(dòng)生成日志，安裝安全監控設備。

在通信方面，禁止非法路徑，采用更安全的通信協(xié)議，對身份（用戶(hù)、設備等）進(jìn)行驗證及分級管理，對數據的完整性進(jìn)行校驗，對無(wú)線(xiàn)客戶(hù)端和接入點(diǎn)進(jìn)行必要的認證，對無(wú)線(xiàn)客戶(hù)端和接入點(diǎn)之間數據傳輸進(jìn)行加密保護。

（2）防御架構

基于系統網(wǎng)絡(luò )架構和存在的安全隱患，結合系統網(wǎng)絡(luò )安全要求，設計了一套深度防御架構策略，將整個(gè)系統劃分為分站控系統（N組）、站控系統（M組），監控中心、管理信息層以及遠程接入等幾個(gè)區域。

將各個(gè)分站控系統、站控系統通過(guò)安全隔離平臺進(jìn)行相互隔離，防止站控系統內病毒擴散，相互感染。該安全隔離平臺對數據采集過(guò)程中遇到的數據泄露、病毒入侵等威脅進(jìn)行全面監測、過(guò)濾、報警和阻斷。

在監控中心設置安全審計平臺，用于對本項目的網(wǎng)絡(luò )進(jìn)行安全審計，快速識別系統中存在的非法操作、異常事件、外部攻擊及實(shí)時(shí)告警；設置安全監管平臺，統一管理、部署各網(wǎng)絡(luò )安全終端，監控終端所在網(wǎng)絡(luò )的數據流量與安全事件，對安全威脅進(jìn)行分析、審計、追蹤、日志管理等。

在監控中心和信息管理層、管線(xiàn)產(chǎn)權單位遠程接入端之間部署專(zhuān)業(yè)的網(wǎng)絡(luò )邊界入侵檢測及防御平臺，防止來(lái)自信息管理層網(wǎng)、管線(xiàn)產(chǎn)權單位遠程接入端針對管廊項目ICS的攻擊和病毒感染。

對于網(wǎng)絡(luò )中的USB接入設備、無(wú)線(xiàn)接入設備等，均設置相應的安全隔離平臺進(jìn)行隔離。

上述安全隔離平臺、安全審計平臺、安全監管平臺、網(wǎng)絡(luò )邊界入侵檢測及防御平臺等，均需滿(mǎn)足“產(chǎn)品目錄”的要求。

根據上述原則，最終確定的本項目ICS系統信息安全設計方案如圖2所示（未包括消防報警系統、通信系統）。

該系統信息安全設計完成后，還應模擬現實(shí)威脅和攻擊進(jìn)行安全驗證，并在項目的整個(gè)生命周期內不斷地進(jìn)行監測和修正。

圖2 ICS信息安全設計方案

5　結語(yǔ)

2015年《國務(wù)院辦公廳關(guān)于推進(jìn)城市地下綜合管廊建設的指導意見(jiàn)》指出，“地下綜合管廊應配套建設消防、供電、照明、通風(fēng)、給排水、視頻、標識、安全與報警、智能管理等附屬設施，提高智能化監控管理水平，確保管廊安全運行。要滿(mǎn)足各類(lèi)管線(xiàn)獨立運行維護和安全管理需要，避免產(chǎn)生相互干擾?！?017年6月1日，《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施，將網(wǎng)絡(luò )安全提高到了一個(gè)前所未有的高度。在第三章“網(wǎng)絡(luò )運行安全”第二節“關(guān)鍵信息基礎設施的運行安全”中明確說(shuō)明：“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！?/p>

地下綜合管廊是城市的超級大動(dòng)脈，容納了城市的能源、公共通信、給水、排水等重要的市政公用設施，作為關(guān)鍵基礎設施，保障其安全、穩定地運行，就是保障城市的安全、宜居、可持續發(fā)展，其工業(yè)控制系統信息安全需要重點(diǎn)關(guān)注、重點(diǎn)保護。綜合管廊項目的ICS設計工程師在項目設計之初，應該與工業(yè)信息安全工程師、IT工程師一起，仔細評估系統風(fēng)險，推敲設計架構，從ICS自身、網(wǎng)絡(luò )等方面，全面設計綜合管廊的工業(yè)控制系統信息安全策略，保障綜合管廊工業(yè)控制系統信息安全，確保城市超級大動(dòng)脈的安全運行。

作者簡(jiǎn)介：

張泳（1971-），男，碩士，教授級高級工程師?，F任天津市市政工程設計研究總院第四設計研究院電氣自動(dòng)化專(zhuān)業(yè)技術(shù)負責人，青年首席設計師。自參加工作以來(lái)，一直從事市政工程中的電氣、自動(dòng)化設計工作，具有扎實(shí)的理論基礎和工程設計經(jīng)驗，擔任多項大型市政工程、重點(diǎn)項目的專(zhuān)業(yè)負責人（鄭州市污水處理廠(chǎng)、石家莊橋西污水處理廠(chǎng)中水回用、湖北省宜昌市三峽壩區固體廢棄物處理場(chǎng)、天津市咸陽(yáng)路污水處理廠(chǎng)、安哥拉萬(wàn)博市供水系統改造、鄭州市馬頭崗污水處理廠(chǎng)、咸陽(yáng)路污水處理廠(chǎng)升級改造工程、中新天津生態(tài)城污水庫治理、天津市張貴莊污水處理及再生利用工程等），并有針對性地提出了若干控制策略指導工程實(shí)踐。

摘自《自動(dòng)化博覽》2018年1月刊