信息安全技術在城市地下綜合管廊監控系統中的應用

◆劉 航

（甘肅有色冶金職業技術學院 甘肅 737100）

地下綜合管廊是市政建設的主要內容，對其進行建設，不僅可以使城市景觀得到改善，還能夠延長管線的使用壽命。要想保證綜合管廊的作用得到充分發揮，利用信息安全技術對監控系統進行設計是必要的，本文所探討內容的具有重要實踐意義。

1 城市地下綜合管廊監控系統理論研究

1.1 軟件結構

負責維護管廊運行的單位和專業管線單位的關系是相互依存的，監控系統的任務，主要是監控公共環境和管線設備，這就要求上述單位具有互通、共享信息的平臺，即管理平臺（如圖1）。子系統向監控中心匯總監控信息，再由監控中心將經過處理的信息與排水、電力等單位共享。專業管線單位的職責，主要是共享可能給管廊公共環境帶來影響的信息，例如，水管爆管、電纜溫度高。管廊運維單位在接收到相關信息后，需要第一時間制定解決措施，避免造成更加嚴重的后果[1]。

圖1 管廊監控平臺框架

1.2 硬件結構

一般來說，管廊監控系統應包括以下硬件結構：環境監控、視頻監控、火災監控、監控中心與安全防范系統。不同管道設施對檢測控制設備的需求也存在顯著差異，檢測控制設備的作用是對管道故障、運行情況進行監測，以及收集管道信息。作為核心機構的監控中心，主要負責對管廊監控信息進行處理，具體工作內容如下：其一，對傳感器、子系統所傳輸信息進行接收；其二，處理所接收信息，根據處理結果發出指令或警報。另外，安全防范系統的作用也需要引起重視，該系統的任務，主要是監測、防止管廊內部有非法人員進入，如果出現上述情況，安全防范系統需在報警的同時為控制中心提供具體信息，以便于控制中心能夠第一時間對應對措施進行制定，在此過程中，信息安全技術發揮著重要的作用。

2 信息安全技術的應用分析

2.1 技術特點

隨著科學的發展，信息安全的內涵，由保密性向可控性、可用性和完整性等方面不斷延伸，最終形成以檢測、評估、管理、控制和防范攻擊為主的信息安全技術，在管理、維護和運行信息系統的過程中，得到了十分廣泛的應用。

2.2 深度應用

（1）身份認證

對設備、用戶身份是否合法進行確定，常見的身份認證技術，包括生物認證、身份識別、用戶名口令等。

（2）安全審計

數據庫、操作系統存在漏洞的情況難以避免，這也是導致網絡系統受到威脅的主要原因，主機加固的目的是加固、防護系統漏洞，使系統抵抗攻擊的能力得到提高。

（4）邊界防護

防止外部用戶利用技術手段，非法闖入內部網絡并獲取資源。常見設備為防火墻和入侵防護，作用是為內部網絡操作環境提供防護。

（5）檢測監控

適度檢測、監管并控制信息網絡流量與內容，避免流量被濫用的情況出現，切斷傳播有害信息、垃圾信息的渠道。

3 基于信息安全技術的監控系統的應用

2011 年，江蘇省內首條綜合管廊于蘇州建成，經過數年的發展，現已形成完善的監控系統和模式，信息安全技術的應用，又賦予了監控系統新的安全保障，可供其他地區參考。

3.1 需求分析

作為城市“生命線”的綜合管廊，是對電力、熱能、水資源等必需品進行供給的主要渠道，設計出安全、智能的監控系統，用來實時監控管廊結構、設備運行和空間環境，自然很有必要。現有監控系統的信息化水平有待提高，作用發揮也十分受限，基于信息安全技術的管廊監控系統應運而生。其作用主要體現在以下幾個方面：第一，可視信息管理，通過可視化的方式，顯示管廊信息。相關人員可以利用該系統，快速查詢并實時掌握管廊設備信息。第二，提高信息分配和集成的有效性。參與綜合管廊設計與運行的單位非常多，這就要求各單位對部分信息進行共享，避免出現管廊環境給專業管線運行帶來影響、專業管線給管廊運行帶來影響的情況。信息安全技術的作用，還包括合理分配、集成信息，確定信息保密與共享的邊界點。第三，實時采集管廊信息。以現有監控系統為依托，對管線、專業設備、管廊結構信息進行采集與上傳。第四，安全監測并報警。對管廊內部濕度、溫度、含氧量進行實時收集、監測和報警。利用設備監控系統，獲得設備運行的具體情況，對于火災、爆管等常見災害，應及時監測并報警。保證即使有設備故障、災害發生，相關人員也可以第一時間獲得詳細信息，使應急措施的制定獲得有力支持。

3.2 系統結構

（1）設計原則

高筋粉，制作面包主要用到高筋粉，其中蛋白質含量通常在12.2%以上[2]，面筋蛋白含量高，面粉的吸水率就高，制作出的面包口感柔軟，不容易老化，因此高筋粉也稱為面包粉。但是有些面包品種的筋力不是要求特別高，配方在調配過程中，往往添加一些低筋粉來降低面團的筋力。有些面粉廠家干脆將面粉調配成制作某種面包的專用面包粉，如法棍面包專用粉。通過了解面粉的特性，在制作面包時可以通過調節面粉的筋力改善面包品質。

監控系統的設計原則是“集中管理，分散控制”（如圖2）[2]。地下綜合管廊所適用監控系統，通常由監控終端層、中心控制層和區域監控層構成。監控終端層的構成，包括通信設備、采集器和現場控制器，作用是采集各類信息，控制水泵、風機和出入口設備。中心控制層又被稱為監控中心，負責管控、管理城市現有的地下管廊，監控管廊環境和管線運行，管理出入口、接入消防系統等。區域監控層的任務，主要是向中心控制層上傳監控終端提供的信息和數據，向中心控制層傳送監控終端所下達指令，遠程控制水泵、風機等終端。

（2）系統風險評估

以信息系統安全保護定級指南為依據，將監控系統的安保等級定為三級，具體來說，就是信息系統遭受破壞，會導致公共利益、社會秩序受損，甚至使國家安全受損。另外，根據安保基本要求，將綜合管廊的信息安全等級定為三級，具體來說，就是以特定安全策略為指導，給予系統以防護，避免威脅源、外部團體發起攻擊，導致資源受損；及時發現安全事件或漏洞，盡快恢復受損系統的大部分功能[3]。

圖2 城市地下綜合管廊管理系統

研究表明，地下綜合管廊的監控系統，所面臨風險因素，主要集中在以下三個方面：管理安全、物理安全和技術安全。其中，管理安全涉及流程、機構、制度和安全意識；物理安全涉及防盜、防雷和防火；技術安全涉及主機安全、設備安全和網絡安全。另外，系統軟件/硬件也存在面臨風險的可能，例如，軟件未配置充足的安全措施，漏洞始終沒有得到解決；用于防護硬件設備的物理措施不全面，沒有獲得授權的用戶，擅自接觸相關設備。

硬件風險通常發生在項目執行的過程中，供應商、投標商、用戶都可以對產品選擇信息進行獲取，如果潛在入侵者通過各種途徑對相關資源、信息進行了獲取，就可以利用數據挖掘工具、攻擊軟件，獲得控制權，從而導致安全風險的產生。要想彌補無線連接、硬件、監控、網絡配置存在的漏洞，關鍵是利用信息安全技術，對管廊監控系統加以完善。

（3）解決方案

首先是設備的選擇。一方面，嚴格按照信息系統安保等級，對硬件設備進行選擇，管廊監控系統所需硬件，包括服務器、交換機、路由器等，只有保證所選擇產品能夠順利通過安全認證，才能避免硬件風險的出現。另一方面，視情況采取監測、隔離等物理措施，為便攜設備、現場設備提供防護。

其次是網絡配置。網絡配置原則如下：綜合考慮數據傳輸、流量控制、訪問控制等因素，以設備冗余配置、物理環境控制為出發點，完成硬件的選擇。通過安裝防火墻的方式，對非法流量進行控制，生成詳細、準確的日志，為后續工作的開展提供參考[4]。另外，設計人員應對非法路徑進行禁止，轉而采用安全系數更高的通信協議，驗證設備、用戶身份后，按照不同層級的要求展開管理，校驗數據完整性，認證接入點與無線客戶端，為數據傳輸提供加密保護。

最后是防御架構。以現存安全隱患、系統網絡架構為依據，參考系統網絡所提出安全要求，完成防御架構策略的設計工作，將管廊監控系統劃分成數個區域，例如，遠程接入區域、監控中心、分站監控系統等。借助安全隔離平臺，隔離主站監控系統和分站監控系統，避免病毒相互感染或大范圍擴散。安全隔離平臺的任務，還包括過濾、監測、阻斷數據采集所面臨威脅，例如，病毒入侵、數據泄露等。監控中心應對安全審計平臺進行設置，作用是審計系統網絡的安全性，識別并告警外部攻擊、非法操作或異常事件。對安全監管平臺進行設置，用于安全網絡終端的部署和管理，對終端網絡的安全事件、數據流量進行監控，審計、分析并追蹤安全威脅。在信息管理層、監控中心的遠程接入端，對檢測、防御網絡邊界入侵的平臺進行部署，這樣做的目的是防止來自遠程接入端的病毒攻擊或感染。接入設備應通過設置安全隔離平臺的方式，達到隔離的目的。還應當注意一點，在完成管廊監控信息系統的設計工作后，設計人員應當對現實攻擊和威脅進行模擬，通過安全驗證的方式，明確現存漏洞并進行修正。

3.3 管理平臺

將監控管理軟件安裝在分控站、監控中心，集中監管地下綜合管廊，統一存儲、分析或展示監測數據。監控平臺的優勢，主要在于其對各監控系統進行了集成，以地理信息系統的設置為基礎，預留相應的監測接口。現階段，負責介入、集成子系統的監控管理平臺，通常被用來進行信息采集、綜合處理、數據通信等工作。以信息安全技術應用為核心，有選擇性地應用數據處理、安全防護、自動調度等技術，對監控管理信息平臺進行構建，在保證監控系統聯通的基礎上，為市政地理信息、管線監控平臺等設施的聯通奠定基礎[5]。本文所討論管理平臺的技術構架比較先進，具有易維護、可擴展、安全可靠等優勢。

監控管理平臺的核心是SOA 架構，通過集成所得的開發運行平臺，借助診斷、分析和展示數據的方式，改善管理。正常情況下，監控管理平臺所提供內容，涉及下列內容：其一，數據建模與分析組件；其二，生產語境、動態管理與決策調度。該平臺所提供功能模塊，滿足快速、靈活和動態的要求，與綜合管廊的管理業務適配。

要想將監控子系統的信息孤島消除，設計人員應保證所設計管理平臺，能夠為管理、數據、門戶、通信、應用和安全集成提供支持。管理集成是指通過管理平臺，管理各系統的運行，包括注冊、更新、維護軟件及設備。數據集成是指采集并分析多系統數據，達到數據關聯、共享的目的。門戶集成是指在同一門戶上，集成并管理子系統。通信集成是指借助先進的驅動庫、通訊技術，通過標準接口/非標接口，采集并控制前端設備、平臺信息的交換，提供信息交換所需的轉發協議[6]。應用集成是指以系統、網絡架構和三維導航展示為基礎，共享、交換、集成信息的應用。安全集成是指利用信息安全技術，對權限管理體系進行建立與實施，為子系統提供安全保護。

3.4 監控分區

研究表明，多數城市的地下綜合管廊，對防火分區都有特定的劃分原則，通過設置防火門的方式，將相鄰分區分割。正常情況下，監控分區的劃分原則與防火分區相似，監控分區的任務，主要是采集管廊溫濕度、淹積水和有害氣體，監控照明、水泵和風機。各監控分區都應設置以可編程控制器為核心的監控主機。經由AI 口將氣體探測器接入，經由DI 口將紅外探測器接入。由于管廊內照明、風機、門鎖、水泵的距離普遍較遠，因此，出于減少布線的考慮，決定利用I/O 模塊，經由控制總線連接監控主機，從而達到控制的目的。另外，各監控分區還應對工業交換機進行設置，將LED 屏、視頻信號等信息，向本地監控站匯集，再上傳至監控中心。

3.5 監控內容

其一，監控設施設備的運行狀態，為詳細資料的即時調閱提供便利；其二，對接視頻監控系統，提高視頻信息的清晰度；其三，根據噴淋感應器所感應信息，定位火災事故位置，自動進行報警；其四，監控并上傳人員出入信息，為安全性提供保證；其五，綜合門禁狀態、電子井蓋等信息，對人員出入性質是否為“入侵”進行判斷，發出相應的警報；其六，以感知設備所提供信息為依據，完成監控管廊濕度、溫度、電力等數據的工作，對報警值、報警方式進行預設，保證一旦出現數據異常的情況，監控系統可以第一時間進行報警。

4 結論

綜上所述，作為城市不可或缺的基礎設施，地下綜合管廊的運行狀況是否穩定、安全，直接決定著城市的宜居性和發展空間，將信息安全技術應用到城市地下綜合管廊的監控系統，應當引起專業技術人員的重視。希望本文中討論內容，可以在某些方面給從事系統設計工作的技術人員一些啟發，使得信息安全技術在城市地下綜合管廊監控系統中更好地應用。