1、2023 年 11 月第 59 卷 第 11 期铁 道 通 信 信 号Railway Signalling&CommunicationNovember 2023Vol.59 No.11基于Q/CR 783.42021标准的铁路视频安全平台研究汪明霞,艾博慧,崔宁,唐潇摘 要:依据铁路综合视频监控系统安全等级保护要求,对内部IT资产进行全方位监控与统一管理是确保其健康运行的关键措施。通过分析视频监控系统的安全管理需求,参考Q/CR 783.42021标准规范,提出一种视频安全平台的设计方案。通过研究平台的总体架构、关键技术及现场实际应用效果等,重点解决视频监控系统内各类IT资产管理不规范、风险难
2、判断、威胁检测不足、态势感知不明等问题;运用图表等多维度可视化手段,构建全局安全视图,实现安全状况的全局感知;同时,建立安全防御的动态管理机制,相比传统安全管理机制,提供更全面、更高效的安全监测手段,从根本上提高视频监控系统安全防御的实时性、精准性与有效性。关键词:铁路综合视频监控系统;安全等级保护;视频安全平台;IT资产;安全防御;安全视图中图分类号:U285.5 文献标识码:A Research on Video Security Platform Based on Q/CR 783.42021 StandardWANG Mingxia,AI Bohui,CUI Ning,TANG Xia
3、oAbstract:According to the requirements of the security level protection of the railway integrated video monitoring system,comprehensively monitoring and unified management its internal IT assets is a key measure to ensure its healthy operation.By analyzing the security management requirements of vi
4、deo monitoring system and referring to the Q/CR 783.42021 standard specifications,a design scheme for a video security platform is proposed.And the overall architecture,key technologies and practical application effects are studied.It focuses on solving the problems of irregular IT asset management,
5、difficult risk judgment,insufficient threat detection,and unclear situation awareness in the video monitoring system,which applies charts and other DOI:10.13879/j.issn.1000-7458.2023-11.23124扫码浏览下载汪明霞:通号通信信息集团有限公司 高级工程师 100070 北京艾博慧:通号通信信息集团有限公司 工程师 100070 北京崔 宁:通号通信信息集团有限公司 高级工程师 100070 北京唐 潇:通号通信信
6、息集团有限公司 工程师 100070 北京基金项目:通号通信信息集团有限公司(KJ0A-21005-)收稿日期:2023-05-04引用格式:汪明霞,艾博慧,崔宁,等.基于Q/CR 783.42021标准的铁路视频安全平台研究J.铁道通信信号,2023,59(11):55-61.Citation:WANG Mingxia,AI Bohui,CUI Ning,et al.Research on Video Security Platform Based on Q/CR 783.42021 StandardJ.Railway Signalling&Communication,2023,59(11)
7、:55-61.55铁道通信信号 2023年第59卷第11期multi-dimensional visualization means to construct a global security view and achieves global perception of security conditions.At the same time,the video security platform establishes a dynamic security defense management mechanism to provide more comprehensive and effi
8、cient security monitoring means compared to the traditional security management mechanism and fundamentally improve the timeliness,accuracy and effectiveness of video monitoring system.Key words:Railway integrated video monitoring system;Security level protection;Video safety platform;IT assets;Secu
9、rity defense;Security View铁路综合视频监控系统(简称“视频系统”)承担着监视铁路线路、车站、车辆段等区域运行环境、防范安全事故的重任,其安全性至关重要。近年来,为提高视频系统的安全性,围绕视频业务安全开展了深入研究1-2。当然,真正的安全不仅是系统业务数据的安全,更是系统运行环境的安全。文献 3 通过对视频系统5大类安全风险问题进行分析,提出多种有针对性的安全保障方案;文献 4 从铁路视频监控设备的安全防护未能形成合理的、统一的安全防护体系现状出发,研究视频安全防护平台,构建了一体化的安全防护体系。为规范视频系统的安全防护要求,实现视频系统安全的纵深化管理,2021年
10、底,国铁集团发布了铁路通信网络安全技术要求第4部分 综合铁路视频系统(Q/CR783.42021)规范,明确指出视频系统安全管理的技术要求,主要包括视频系统应满足的基本要求、视频系统安全域的划分原则,以及各安全域的具体防护要求等5。依据Q/CR783.42021标准,从标准层面实施视频系统安全管理的解决方案,可以有效改善安全资产难整合、威胁检测难及时、安全响应难协同、安全管理难统一、安全状况难掌控的现状,实现资产、事件、威胁之间的有效关联,深入资产管控的每个环节,推动视频系统安全管理的智能化、动态化与标准化。为此,视频系统的安全管理需要从整体着眼,不仅关注视频业务本身的安全,更要对支持系统运行
11、的各类IT资产实施统一有效的安全监控与管理,只有深入了解视频系统的安全状况,才能真正达到安全运营的目的。1需求分析视频系统是一个庞大的系统工程,其内部IT资产主要包括:服务器、主机等核心计算机设备,用于支持图像处理、存储、展示等关键功能;交换机、路由器等网络设备,是连接网络各节点与系统的重要基础设施;存储设备,用于存储视频数据;安全设备,用于网络安全防护与监测;应用软件,具有系统管理、视频采集、存储、展示等功能。目前视频系统在安全管理方面存在以下不足。1)安全运维自动化水平较低。缺乏统一管理平台与自动化监测手段,难以实现对系统风险的实时监测、快速预警与响应,难以提高安全防护与运维效率。2)技术
12、手段不协调。由于各安全设备、管理平台与监控工具缺乏很好的互通互操作性,导致无法实现安全日志、报警与事件的有效关联,难以全面掌握系统的安全态势。3)资产管理手段薄弱。资产信息基本以资产清单、统计表等形式保存,难以判断资产的合规性与安全状态,实施有针对性的管理与维护十分困难。4)相关标准与规范要求落实不到位。缺乏统一的技术标准,无法规范视频系统安全管理和监控的具体内容与范围。因此,需充分利用集成化与自动化的管理手段,弥补人工管理、被动防御、局部安全防护的不足6,从安全监控、资产统一、可视化管理等方面,构建一体化安全防护体系,做到实时监测视频系统网络环境的安全状况,跟踪资产运行状态、告警情况、攻击活
13、动、漏洞利用等信息,实现对视频系统整体安全态势的主动感知,为安全防护的优化调整和系统协同提供关键依据。2设计思路根据Q/CR 783.42021标准要求,以视频业务安全为目标,视频安全平台(简称“安全平台”)的设计思路侧重于实现整个视频系统的安全可视、可管、可控。56Railway Signalling&Communication Vol.59 No.11 20231)安全可视。关键在于采集所有相关的安全数据,通过可视化技术,实现资产全貌感知与物理部署监控、漏洞分布可视化监测、安全告警可视化跟踪与监控、风险分布的全局感知等。将各类安全监控数据在地理空间上进行关联与综合分析,形成视频系统整体安全
14、态势的直观展示,实现对全局安全状况的实时监测与态势判断。2)安全可管。关键在于对视频系统的各类资产与数据实施精细化管理,建立资产统一管理、用户统一调配、配置统一监测、告警统一规范、监控统一展示、策略统一推送等机制,跟踪各类资产的运行状态、性能指标、用户访问与策略执行情况,对资产实施统一管控。3)安全可控。关键在于构建安全事件管理机制,对检测到的各类事件与告警进行分类管理,实现对风险的第一时间感知和控制。进一步关联分析与挖掘,生成安全报表、事件热力图与风险传播路径等,实现对网络安全态势的直观管控。基于上述设计思路,本文围绕资产管理、策略管控、事件响应、安全监测等方面,对安全平台进行功能设计与实现
15、。3总体架构安全平台架构见图1,采用模块化设计思想,提高研发效率,降低维护成本。采集模块负责采集视频系统内部各类IT资产的性能数据与安全数据,业务模块负责下发和调整安全设备的安全防护策略,通过北向接口与安全管理中心7-8进行信息交互。1)采集模块与各数据源建立连接,采集不同格式的安全数据9-11,并对采集到的各类原始数据进行必要的规范化、清洗和转换,解决数据源之间格式的差异,将数据整合成标准格式,存入数据库,建立完整的数据集。2)业务模块基于数据库中的数据,提供安全平台的各项功能与应用,是安全平台的核心功能模块。从资产、策略、风险、漏洞、事件等多个维度入手,实现实时监测、威胁发现、关联分析等关
16、键业务。通过https协议将结果推送至Web客户端进行展示;通过rest协议与采集模块交互,完成安全策略的统一配置与调整;通过JDBC协议与数据库通信,完成数据的存储与调用。3)Web客户端以浏览器为主要形式,提供图形化的用户界面,以直观的表单、按钮、菜单等组件实现人机交互。通过https协议与Web服务模块交互,采用直观的图表、列表、图像等形式呈现后台业务数据,如资产分布图、告警统计报表、网络拓扑结构图等,实现数据的可视化展示与业务操作。视频安全平台铁路综合视频监控系统安全管理中心https协议安全设备入侵检测设备网络设备路由器交换机数据库服务器应用服务器终端设备snmprestsyslog
17、管理中心服务集群漏洞扫描设备防火墙北向接口应用软件视频软件图诊软件网关软件监控大屏客户端业务模块采集模块rest协议数据库JDBC协议JDBC协议restWeb客户端服务器、主机设备图1 安全平台架构57铁道通信信号 2023年第59卷第11期4)数据库是存储和管理各类安全数据的核心基础,结合业务需求建立表与表之间的关联,实现业务数据的高效检索与管理。主要包括存储资产、安全漏洞、告警事件、策略规则、各类操作日志、安全设备原始日志、用户与权限等数据。4关键业务安全平台的关键业务围绕实时监测、威胁发现、关联分析展开,见图2,三者相互结合,可以充分发挥安全平台的威胁防御与态势感知作用。1)实时监测需
18、做到第一时间发现存在的问题与威胁,主要监测各类资产的运行状况和告警情况。内容包括:资产管理,识别并收集资产的详细信息,建立资产清单和分类,监测资产运行状态与性能指标,跟踪、记录关键资产的变更情况;告警管理,采集和统计安全告警信息的数量、分布与趋势。2)威胁发现就是要主动查找潜在的风险与漏洞,通过分析漏洞与风险信息,判断资产存在的风险与威胁。内容包括:漏洞管理,发布新出现的漏洞信息与修复建议、分类汇总漏洞信息、跟踪漏洞修复情况;风险管理,根据资产关联性进行风险评估,识别高风险资产,分析不同资产之间内在关联,确定风险范围,依据风险资产所处的物理、逻辑区域汇总风险分布情况。3)关联分析。采用大数据分
19、析技术,发现事物之间的协同关系,实现对网络安全的全方位监测与深入了解。内容包括:资产关联,从逻辑依赖、网络连接、数据交互和日志关联等角度,分析资产之间的依赖关系;告警关联,分析告警信息之间的时间、空间、类型和模式等关联,判断是否存在更广泛或更深入的风险与威胁。5关键流程安全平台的主要业务流程为资产接入数据采集与处理资产入库事件关联分析威胁发现可视化展示等。以下重点介绍资产接入和威胁发现2个关键流程。5.1资产接入流程资产接入流程见图3,Web客户端将资产接入请求通过Web服务模块发送到管理模块,具体步骤如下。Step 1 校验资产接入请求的合法性。判断发起添加请求的账户是否有权限执行此操作,资
20、产基础信息是否完整等,以确认请求的合法性和合规性。Step 2 查询资产模板。根据识别的资产属性信息,如资产名称、型号等,查询资产的接入配置关键业务实时监测威胁发现关联分析资产管理告警管理资产信息收集 资产分类管理 资产状态监测 资产变更管理告警采集 告警统计 告警分布告警趋势漏洞管理风险管理 漏洞信息发布漏洞分类汇总 漏洞修复跟踪 识别高风险 风险范围 风险分布资产关联告警关联 逻辑依赖 网络连接 数据交互 日志关联 时间关联 空间关联 类型关联 模式关联 图2 关键业务视图资产接入请求合法合规查询模板信息是有匹配模板调取模板新建模板配置模板信息配置采集模块结束结束是否否图3 资产接入流程5
21、8Railway Signalling&Communication Vol.59 No.11 2023模板。模板中包含资产支持的数据采集方式,如syslog、snmp、事件类型、采集参数等信息。Step 3 配置资产接入参数。根据查询到的配置模板,配置资产的各种接入参数,如日志接收地址、snmp配置、满足表述性状态转移架构风格的应用程序接口等。Step 4 配置采集模块。向与新资产匹配的采集模块发送配置命令,接入新资产并开始采集数据。5.2威胁发现流程威胁发现流程见图4,根据安全匹配原则,对单条日志生成告警事件,依据关联规则对告警事件进行关联分析,识别资产存在的威胁,具体步骤如下。Step 1
22、 提取安全数据。从数据库中提取事件时间、源地址、目的地址、名称、内容等结构化信息。Step 2 规则匹配。根据事件种类与名称等信息,与预定义的告警规则进行匹配,如果超过设置的阈值,判断为告警事件。Step 3 告警分类。将确认的告警事件进行分类,如按告警级别、类型、资产类型等标准归类。Step 4 告警关联。对告警事件中的关键信息,如时间、源地址、目的地址或主机名,应用关联规则进行关联分析。Step 5 威胁识别。依据关联分析结果识别威胁。6关键技术在构建安全平台的过程中采用资产集中管理、多格式日志标准化、海量日志数据综合分析、协防联动等技术,实现资产监管集中化、日志数据标准化、数据分析智能化
23、和防御机制动态化。1)资产集中管理技术。视频系统的安全运行离不开其部署环境中各类IT资产的稳定运行,利用资产集中管理技术,对视频系统专网内大量异构资产进行统一识别、分类和管理,建立资产关系模型,为资产风险评估与漏洞管理提供基础数据支撑。2)多格式日志范式化技术。日志数据信息对视频系统的安全关联起到至关重要的作用。通过多种日志解析算法12对日志数据进行规范化处理,将多源异构的原始日志转化为结构清晰、描述准确的标准日志,便于后续集中存储与应用分析。3)海量日志数据综合分析技术。采用关联分析、统计分析与可视化技术13-15对日志数据进行挖掘,发现其中潜在的安全风险,生成可视化运维报表,对系统运行状态
24、和威胁活动进行实时监测与评估,映射资产网络拓扑,定位攻击源,评定风险分布范围。4)协防联动技术。为提高视频系统安全防御的密度与深度,视频安全平台支持各安全设备之间建立有效的协防联动机制。以威胁动态监测为基础,从多个维度对威胁因素进行分析判断,生成有针对性的阻断策略,实现威胁控制与保证业务连续性之间的平衡,将调整后的策略下发至各安全设备,迅速部署新策略,并通过不断调整与优化防御策略,有效提高系统的动态安全防御能力。7现场应用结合济南铁路局视频系统的安全防护需求,在视频区域节点部署安全平台,对区域内的网络安全进行全方位的监控与管理。安全平台采集区域内所有IT资产的状态信息与安全数据,通过资产管理、
25、漏洞管理、告警管理和风险管理等功能,将资产分布、告警信息、安全态势、高风险资产分析结果等以报表、图表等形式进行展示。视频安全平台安全态势主界面见图 5。安全平台的部署和应用,使原本杂乱无章的日常安全管理工作变得井井有条,管理人员可以清楚地掌握视威胁分析请求调取安全数据是否超过安全阈值告警确认告警归类告警关联结束是否威胁识别规则匹配结束图4 威胁发现流程59铁道通信信号 2023年第59卷第11期频系统中的资产分布与安全事件,发现安全管理的薄弱环节,避免单点产品管理带来的信息割裂,以及在多个管理界面之间频繁切换的弊端,实现了安全管理的一体化与高效化。8结束语对标Q/CR 783.4-2021标准
26、规范,借助视频安全平台,实现了视频系统 IT 资产的全面管理,监控关键应用,分析安全事件,并以直观的方式呈现结果,从单点防御提升为协同防御,帮助管理人员全面了解系统的安全态势。安全平台的成功试用,使之前复杂难行的安全管理工作变得简单易推进,为视频系统的安全运行提供了非常有效的手段和工具,也为大规模、跨地域的资产集中监管与安全可视提供了参考。后续研究的核心在于深化数据分析与人工智能技术的应用,实现对网络环境及安全状况的深入洞察,提高安全管理与防御的精细化水平。参考文献1 汪洋,王小妮.视频监控数据安全与防护系统设计J.传感器世界,2021,27(4):15-19.WANG Yang,WANG X
27、iaoni.Design of Video Surveillance Data Security and Protection SystemJ.Sensor World,2021,27(4):15-19.2 芦翔.视频系统信息安全防护J.保密科学技术,2021(5):25-31.LU Xiang.Information Security Protection of Video Monitoring SystemJ.Confidentiality Science and Technology,2021(5):25-31.3 诸叶刚.铁路综合视频监控系统网络安全防护体系构建思路探讨J.铁路通信信号
28、工程技术,2020,17(6):71-76.ZHU Yegang.Discussion on Construction of Network Security Protection System for Railway Integrated Video Monitoring SystemJ.Railway Communication and Signal Engineering Technology,2020,17(6):71-76.4 任启军,商秀月,王子渊.铁路综合铁路视频系统安全防护研究J.铁路通信信号,2019,55(10):49-53.REN Qijun,SHANG Xiuyue,W
29、ANG Ziyuan.Research on Safety Protection of Railway Integrated Video Monitoring SystemJ.Railway Signalling&Communication,2019,55(10):49-53.5 中国国家铁路集团有限公司.Q/CR 783.42021 铁路通信网络安全技术要求第4部分综合铁路视频系统S.2021.6 刘大为.铁路网络安全面临的严峻形势和主要对策研究J.铁道通信信号,2023,59(1):1-5.LIU Dawei.Analysis of the Challenges and Counterme
30、asures in Railway Cybersecurity ProtectionJ.Railway Signalling&Communication,2023,59(1):1-5.7 李继元.铁路通信网络安全防护研究J.中国铁路,2022(6):94-98.LI Jiyuan.Research on Security Protection of Railway Communication NetworkJ.China Railway,2022(6):94-98.8 陈丹晖,周耀胜.铁路通信骨干网云安全技术保障体系图5 视频安全平台安全态势主界面60Railway Signalling&Co
31、mmunication Vol.59 No.11 2023研究J.铁道通信信号,2023,59(2):50-54.CHEN Danhui,ZHOU Yaosheng.Research on Cloud Security Technical Guarantee System of Railway Communication Backbone NetworkJ.Railway Signalling&Communication,2023,59(2):50-54.9 吴兆松.Zabbix企业级分布式监控系统M.北京:电子工业出版社,2019.10宋玉峰.云平台下RESTful Web Service架
32、构的研究与实现D.成都:电子科技大学,2020.11刘磊,孙路强,周利霞,等.基于Syslog的网络日志管理平台J.电子技术与软件工程,2019(5):12-14.LIU Lei,SUN Luqiang,ZHOU Lixia,et al.Syslog Based Network Log Management PlatformJ.Electronic Technology and Software Engineering,2019(5):12-14.12刘吉强,何嘉豪,张建成,等.基于解析器树的日志压缩优化方法J.信息网络安全,2022,22(4):30-39.LIU Jixiang,HE Ji
33、ahao,ZHANG Jiancheng,et al.Optimization Method of Log Compression Based on Parser TreeJ.Netinfo Security,2022,22(4):30-39.13孙国辉,李佳奇,李超民.可视化多协议网络数据传输系统J.科技创新与应用,2021,11(34):48-51.SUN Guihui,LI Jiaqi,LI Chaomin.Visual Multi-Protocol Network Data Transmission SystemJ.Technology Innovation and Applicati
34、on,2021,11(34):48-51.14陈宝国,宋旸.基于模糊聚类的分布式Web日志挖掘方法J.太原师范学院学报(自然科学版),2020,19(3):54-58.CHEN Baoguo,SONG Yang.Distributed Web Log Mining Method Based on Fuzzy ClusteringJ.Journal of Taiyuan Normal University(Natural Science Edition),2020,19(3):54-58.15黄式敏.基于大数据的异构网络安全监控算法研究J.电脑知识与技术,2023,19(3):72-73,81.
35、HUANG Shimin.Research on Security Monitoring Algorithm of Heterogeneous Network Based on Big Data J.Computer Knowledge and Technology,2023,19(3):72-73,81.(责任编辑:王菲)高速铁路行车调度与控制一体化 正式出版本书为“高速铁路基础研究与技术创新丛书”之分册。高速铁路列车运行控制与调度指挥作为高速铁路系统的大脑和中枢神经的核心组成部分,对列车的安全、高效运行的作用至关重要。调度指挥通过下达调度控制命令,控制和监督列车运行,保证列车按计划准点运行
36、;列车运行控制实现列车在站间的运行控制,在满足安全和运行时分的前提下,保证列车平稳运行。高速铁路行车调度与控制一体化运用先进的感知、传输、控制方法和技术,实现智能调度和列车运行优化控制,进而深度融合调度指挥和列车运行控制,实现路网整体运行效率全局最优,全面提升及时应对突发事件能力。高速铁路行车调度与控制一体化通过打破既有高速铁路运营中调度指挥和运行控制的“分层”模式,增强对高速铁路运行环境的全面深度感知,在安全运营的前提下实现全局人、车、路、网资源的充分利用,全面提升高速铁路系统的运行效率。该书系统地论述了高速铁路调控一体化方面的最新成果,包括高速铁路行车调度与控制一体化内涵和架构、高速列车自动驾驶控制技术和态势预测方法、网络化高速铁路调控一体化建模与优化方法、调控一体化模型和典型应用场景分析等。该书适合高速铁路交通信息工程及控制领域的科研人员和工程技术人员参考,也可作为高等院校相关专业师生的拓展学习资料。由唐涛、宿帅、孟令云、阴佳腾编著。书号:978-7-113-30112-5。书讯61