基于Q/CR 783.4—2021標準的鐵路視頻安全平臺研究

汪明霞，艾博慧，崔 寧，唐 瀟

鐵路綜合視頻監(jiān)控系統(tǒng)（簡稱“視頻系統(tǒng)”）承擔著監(jiān)視鐵路線路、車站、車輛段等區(qū)域運行環(huán)境、防范安全事故的重任，其安全性至關(guān)重要。

近年來，為提高視頻系統(tǒng)的安全性，圍繞視頻業(yè)務(wù)安全開展了深入研究［1-2］。當然，真正的安全不僅是系統(tǒng)業(yè)務(wù)數(shù)據(jù)的安全，更是系統(tǒng)運行環(huán)境的安全。文獻［3］通過對視頻系統(tǒng)5 大類安全風險問題進行分析，提出多種有針對性的安全保障方案；文獻［4］從鐵路視頻監(jiān)控設(shè)備的安全防護未能形成合理的、統(tǒng)一的安全防護體系現(xiàn)狀出發(fā)，研究視頻安全防護平臺，構(gòu)建了一體化的安全防護體系。

為規(guī)范視頻系統(tǒng)的安全防護要求，實現(xiàn)視頻系統(tǒng)安全的縱深化管理，2021年底，國鐵集團發(fā)布了《鐵路通信網(wǎng)絡(luò)安全技術(shù)要求—第4部分 綜合鐵路視頻系統(tǒng)》（Q/CR783.4—2021）規(guī)范，明確指出視頻系統(tǒng)安全管理的技術(shù)要求，主要包括視頻系統(tǒng)應(yīng)滿足的基本要求、視頻系統(tǒng)安全域的劃分原則，以及各安全域的具體防護要求等［5］。依據(jù)Q/CR783.4—2021標準，從標準層面實施視頻系統(tǒng)安全管理的解決方案，可以有效改善安全資產(chǎn)難整合、威脅檢測難及時、安全響應(yīng)難協(xié)同、安全管理難統(tǒng)一、安全狀況難掌控的現(xiàn)狀，實現(xiàn)資產(chǎn)、事件、威脅之間的有效關(guān)聯(lián)，深入資產(chǎn)管控的每個環(huán)節(jié)，推動視頻系統(tǒng)安全管理的智能化、動態(tài)化與標準化。

為此，視頻系統(tǒng)的安全管理需要從整體著眼，不僅關(guān)注視頻業(yè)務(wù)本身的安全，更要對支持系統(tǒng)運行的各類IT 資產(chǎn)實施統(tǒng)一有效的安全監(jiān)控與管理，只有深入了解視頻系統(tǒng)的安全狀況，才能真正達到安全運營的目的。

1 需求分析

視頻系統(tǒng)是一個龐大的系統(tǒng)工程，其內(nèi)部IT資產(chǎn)主要包括：①服務(wù)器、主機等核心計算機設(shè)備，用于支持圖像處理、存儲、展示等關(guān)鍵功能；②交換機、路由器等網(wǎng)絡(luò)設(shè)備，是連接網(wǎng)絡(luò)各節(jié)點與系統(tǒng)的重要基礎(chǔ)設(shè)施；③存儲設(shè)備，用于存儲視頻數(shù)據(jù)；④安全設(shè)備，用于網(wǎng)絡(luò)安全防護與監(jiān)測；⑤應(yīng)用軟件，具有系統(tǒng)管理、視頻采集、存儲、展示等功能。

目前視頻系統(tǒng)在安全管理方面存在以下不足。

1）安全運維自動化水平較低。缺乏統(tǒng)一管理平臺與自動化監(jiān)測手段，難以實現(xiàn)對系統(tǒng)風險的實時監(jiān)測、快速預警與響應(yīng)，難以提高安全防護與運維效率。

2）技術(shù)手段不協(xié)調(diào)。由于各安全設(shè)備、管理平臺與監(jiān)控工具缺乏很好的互通互操作性，導致無法實現(xiàn)安全日志、報警與事件的有效關(guān)聯(lián)，難以全面掌握系統(tǒng)的安全態(tài)勢。

3）資產(chǎn)管理手段薄弱。資產(chǎn)信息基本以資產(chǎn)清單、統(tǒng)計表等形式保存，難以判斷資產(chǎn)的合規(guī)性與安全狀態(tài)，實施有針對性的管理與維護十分困難。

4）相關(guān)標準與規(guī)范要求落實不到位。缺乏統(tǒng)一的技術(shù)標準，無法規(guī)范視頻系統(tǒng)安全管理和監(jiān)控的具體內(nèi)容與范圍。

因此，需充分利用集成化與自動化的管理手段，彌補人工管理、被動防御、局部安全防護的不足［6］，從安全監(jiān)控、資產(chǎn)統(tǒng)一、可視化管理等方面，構(gòu)建一體化安全防護體系，做到實時監(jiān)測視頻系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全狀況，跟蹤資產(chǎn)運行狀態(tài)、告警情況、攻擊活動、漏洞利用等信息，實現(xiàn)對視頻系統(tǒng)整體安全態(tài)勢的主動感知，為安全防護的優(yōu)化調(diào)整和系統(tǒng)協(xié)同提供關(guān)鍵依據(jù)。

2 設(shè)計思路

根據(jù)Q/CR 783.4—2021 標準要求，以視頻業(yè)務(wù)安全為目標，視頻安全平臺（簡稱“安全平臺”）的設(shè)計思路側(cè)重于實現(xiàn)整個視頻系統(tǒng)的安全可視、可管、可控。

1）安全可視。關(guān)鍵在于采集所有相關(guān)的安全數(shù)據(jù)，通過可視化技術(shù)，實現(xiàn)資產(chǎn)全貌感知與物理部署監(jiān)控、漏洞分布可視化監(jiān)測、安全告警可視化跟蹤與監(jiān)控、風險分布的全局感知等。將各類安全監(jiān)控數(shù)據(jù)在地理空間上進行關(guān)聯(lián)與綜合分析，形成視頻系統(tǒng)整體安全態(tài)勢的直觀展示，實現(xiàn)對全局安全狀況的實時監(jiān)測與態(tài)勢判斷。

2）安全可管。關(guān)鍵在于對視頻系統(tǒng)的各類資產(chǎn)與數(shù)據(jù)實施精細化管理，建立資產(chǎn)統(tǒng)一管理、用戶統(tǒng)一調(diào)配、配置統(tǒng)一監(jiān)測、告警統(tǒng)一規(guī)范、監(jiān)控統(tǒng)一展示、策略統(tǒng)一推送等機制，跟蹤各類資產(chǎn)的運行狀態(tài)、性能指標、用戶訪問與策略執(zhí)行情況，對資產(chǎn)實施統(tǒng)一管控。

3）安全可控。關(guān)鍵在于構(gòu)建安全事件管理機制，對檢測到的各類事件與告警進行分類管理，實現(xiàn)對風險的第一時間感知和控制。進一步關(guān)聯(lián)分析與挖掘，生成安全報表、事件熱力圖與風險傳播路徑等，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的直觀管控。

基于上述設(shè)計思路，本文圍繞資產(chǎn)管理、策略管控、事件響應(yīng)、安全監(jiān)測等方面，對安全平臺進行功能設(shè)計與實現(xiàn)。

3 總體架構(gòu)

安全平臺架構(gòu)見圖1，采用模塊化設(shè)計思想，提高研發(fā)效率，降低維護成本。采集模塊負責采集視頻系統(tǒng)內(nèi)部各類IT 資產(chǎn)的性能數(shù)據(jù)與安全數(shù)據(jù)，業(yè)務(wù)模塊負責下發(fā)和調(diào)整安全設(shè)備的安全防護策略，通過北向接口與安全管理中心［7-8］進行信息交互。

1）采集模塊與各數(shù)據(jù)源建立連接，采集不同格式的安全數(shù)據(jù)［9-11］，并對采集到的各類原始數(shù)據(jù)進行必要的規(guī)范化、清洗和轉(zhuǎn)換，解決數(shù)據(jù)源之間格式的差異，將數(shù)據(jù)整合成標準格式，存入數(shù)據(jù)庫，建立完整的數(shù)據(jù)集。

2）業(yè)務(wù)模塊基于數(shù)據(jù)庫中的數(shù)據(jù)，提供安全平臺的各項功能與應(yīng)用，是安全平臺的核心功能模塊。從資產(chǎn)、策略、風險、漏洞、事件等多個維度入手，實現(xiàn)實時監(jiān)測、威脅發(fā)現(xiàn)、關(guān)聯(lián)分析等關(guān)鍵業(yè)務(wù)。通過https 協(xié)議將結(jié)果推送至Web 客戶端進行展示；通過rest協(xié)議與采集模塊交互，完成安全策略的統(tǒng)一配置與調(diào)整；通過JDBC 協(xié)議與數(shù)據(jù)庫通信，完成數(shù)據(jù)的存儲與調(diào)用。

3）Web客戶端以瀏覽器為主要形式，提供圖形化的用戶界面，以直觀的表單、按鈕、菜單等組件實現(xiàn)人機交互。通過https 協(xié)議與Web 服務(wù)模塊交互，采用直觀的圖表、列表、圖像等形式呈現(xiàn)后臺業(yè)務(wù)數(shù)據(jù)，如資產(chǎn)分布圖、告警統(tǒng)計報表、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖等，實現(xiàn)數(shù)據(jù)的可視化展示與業(yè)務(wù)操作。

4）數(shù)據(jù)庫是存儲和管理各類安全數(shù)據(jù)的核心基礎(chǔ)，結(jié)合業(yè)務(wù)需求建立表與表之間的關(guān)聯(lián)，實現(xiàn)業(yè)務(wù)數(shù)據(jù)的高效檢索與管理。主要包括存儲資產(chǎn)、安全漏洞、告警事件、策略規(guī)則、各類操作日志、安全設(shè)備原始日志、用戶與權(quán)限等數(shù)據(jù)。

4 關(guān)鍵業(yè)務(wù)

安全平臺的關(guān)鍵業(yè)務(wù)圍繞實時監(jiān)測、威脅發(fā)現(xiàn)、關(guān)聯(lián)分析展開，見圖2，三者相互結(jié)合，可以充分發(fā)揮安全平臺的威脅防御與態(tài)勢感知作用。

圖2 關(guān)鍵業(yè)務(wù)視圖

1）實時監(jiān)測需做到第一時間發(fā)現(xiàn)存在的問題與威脅，主要監(jiān)測各類資產(chǎn)的運行狀況和告警情況。內(nèi)容包括：①資產(chǎn)管理，識別并收集資產(chǎn)的詳細信息，建立資產(chǎn)清單和分類，監(jiān)測資產(chǎn)運行狀態(tài)與性能指標，跟蹤、記錄關(guān)鍵資產(chǎn)的變更情況；②告警管理，采集和統(tǒng)計安全告警信息的數(shù)量、分布與趨勢。

2）威脅發(fā)現(xiàn)就是要主動查找潛在的風險與漏洞，通過分析漏洞與風險信息，判斷資產(chǎn)存在的風險與威脅。內(nèi)容包括：①漏洞管理，發(fā)布新出現(xiàn)的漏洞信息與修復建議、分類匯總漏洞信息、跟蹤漏洞修復情況；②風險管理，根據(jù)資產(chǎn)關(guān)聯(lián)性進行風險評估，識別高風險資產(chǎn)，分析不同資產(chǎn)之間內(nèi)在關(guān)聯(lián)，確定風險范圍，依據(jù)風險資產(chǎn)所處的物理、邏輯區(qū)域匯總風險分布情況。

3）關(guān)聯(lián)分析。采用大數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)事物之間的協(xié)同關(guān)系，實現(xiàn)對網(wǎng)絡(luò)安全的全方位監(jiān)測與深入了解。內(nèi)容包括：①資產(chǎn)關(guān)聯(lián)，從邏輯依賴、網(wǎng)絡(luò)連接、數(shù)據(jù)交互和日志關(guān)聯(lián)等角度，分析資產(chǎn)之間的依賴關(guān)系；②告警關(guān)聯(lián)，分析告警信息之間的時間、空間、類型和模式等關(guān)聯(lián)，判斷是否存在更廣泛或更深入的風險與威脅。

5 關(guān)鍵流程

安全平臺的主要業(yè)務(wù)流程為資產(chǎn)接入→數(shù)據(jù)采集與處理→資產(chǎn)入庫→事件關(guān)聯(lián)分析→威脅發(fā)現(xiàn)→可視化展示等。以下重點介紹資產(chǎn)接入和威脅發(fā)現(xiàn)2個關(guān)鍵流程。

5.1 資產(chǎn)接入流程

資產(chǎn)接入流程見圖3，Web 客戶端將資產(chǎn)接入請求通過Web 服務(wù)模塊發(fā)送到管理模塊，具體步驟如下。

圖3 資產(chǎn)接入流程

Step 1校驗資產(chǎn)接入請求的合法性。判斷發(fā)起添加請求的賬戶是否有權(quán)限執(zhí)行此操作，資產(chǎn)基礎(chǔ)信息是否完整等，以確認請求的合法性和合規(guī)性。

Step 2查詢資產(chǎn)模板。根據(jù)識別的資產(chǎn)屬性信息，如資產(chǎn)名稱、型號等，查詢資產(chǎn)的接入配置模板。模板中包含資產(chǎn)支持的數(shù)據(jù)采集方式，如syslog、snmp、事件類型、采集參數(shù)等信息。

Step 3配置資產(chǎn)接入?yún)?shù)。根據(jù)查詢到的配置模板，配置資產(chǎn)的各種接入?yún)?shù)，如日志接收地址、snmp 配置、滿足表述性狀態(tài)轉(zhuǎn)移架構(gòu)風格的應(yīng)用程序接口等。

Step 4配置采集模塊。向與新資產(chǎn)匹配的采集模塊發(fā)送配置命令，接入新資產(chǎn)并開始采集數(shù)據(jù)。

5.2 威脅發(fā)現(xiàn)流程

威脅發(fā)現(xiàn)流程見圖4，根據(jù)安全匹配原則，對單條日志生成告警事件，依據(jù)關(guān)聯(lián)規(guī)則對告警事件進行關(guān)聯(lián)分析，識別資產(chǎn)存在的威脅，具體步驟如下。

圖4 威脅發(fā)現(xiàn)流程

Step 1提取安全數(shù)據(jù)。從數(shù)據(jù)庫中提取事件時間、源地址、目的地址、名稱、內(nèi)容等結(jié)構(gòu)化信息。

Step 2規(guī)則匹配。根據(jù)事件種類與名稱等信息，與預定義的告警規(guī)則進行匹配，如果超過設(shè)置的閾值，判斷為告警事件。

Step 3告警分類。將確認的告警事件進行分類，如按告警級別、類型、資產(chǎn)類型等標準歸類。

Step 4告警關(guān)聯(lián)。對告警事件中的關(guān)鍵信息，如時間、源地址、目的地址或主機名，應(yīng)用關(guān)聯(lián)規(guī)則進行關(guān)聯(lián)分析。

Step 5威脅識別。依據(jù)關(guān)聯(lián)分析結(jié)果識別威脅。

6 關(guān)鍵技術(shù)

在構(gòu)建安全平臺的過程中采用資產(chǎn)集中管理、多格式日志標準化、海量日志數(shù)據(jù)綜合分析、協(xié)防聯(lián)動等技術(shù)，實現(xiàn)資產(chǎn)監(jiān)管集中化、日志數(shù)據(jù)標準化、數(shù)據(jù)分析智能化和防御機制動態(tài)化。

1）資產(chǎn)集中管理技術(shù)。視頻系統(tǒng)的安全運行離不開其部署環(huán)境中各類IT 資產(chǎn)的穩(wěn)定運行，利用資產(chǎn)集中管理技術(shù)，對視頻系統(tǒng)專網(wǎng)內(nèi)大量異構(gòu)資產(chǎn)進行統(tǒng)一識別、分類和管理，建立資產(chǎn)關(guān)系模型，為資產(chǎn)風險評估與漏洞管理提供基礎(chǔ)數(shù)據(jù)支撐。

2）多格式日志范式化技術(shù)。日志數(shù)據(jù)信息對視頻系統(tǒng)的安全關(guān)聯(lián)起到至關(guān)重要的作用。通過多種日志解析算法［12］對日志數(shù)據(jù)進行規(guī)范化處理，將多源異構(gòu)的原始日志轉(zhuǎn)化為結(jié)構(gòu)清晰、描述準確的標準日志，便于后續(xù)集中存儲與應(yīng)用分析。

3）海量日志數(shù)據(jù)綜合分析技術(shù)。采用關(guān)聯(lián)分析、統(tǒng)計分析與可視化技術(shù)［13-15］對日志數(shù)據(jù)進行挖掘，發(fā)現(xiàn)其中潛在的安全風險，生成可視化運維報表，對系統(tǒng)運行狀態(tài)和威脅活動進行實時監(jiān)測與評估，映射資產(chǎn)網(wǎng)絡(luò)拓撲，定位攻擊源，評定風險分布范圍。

4）協(xié)防聯(lián)動技術(shù)。為提高視頻系統(tǒng)安全防御的密度與深度，視頻安全平臺支持各安全設(shè)備之間建立有效的協(xié)防聯(lián)動機制。以威脅動態(tài)監(jiān)測為基礎(chǔ)，從多個維度對威脅因素進行分析判斷，生成有針對性的阻斷策略，實現(xiàn)威脅控制與保證業(yè)務(wù)連續(xù)性之間的平衡，將調(diào)整后的策略下發(fā)至各安全設(shè)備，迅速部署新策略，并通過不斷調(diào)整與優(yōu)化防御策略，有效提高系統(tǒng)的動態(tài)安全防御能力。

7 現(xiàn)場應(yīng)用

結(jié)合濟南鐵路局視頻系統(tǒng)的安全防護需求，在視頻區(qū)域節(jié)點部署安全平臺，對區(qū)域內(nèi)的網(wǎng)絡(luò)安全進行全方位的監(jiān)控與管理。安全平臺采集區(qū)域內(nèi)所有IT 資產(chǎn)的狀態(tài)信息與安全數(shù)據(jù)，通過資產(chǎn)管理、漏洞管理、告警管理和風險管理等功能，將資產(chǎn)分布、告警信息、安全態(tài)勢、高風險資產(chǎn)分析結(jié)果等以報表、圖表等形式進行展示。視頻安全平臺安全態(tài)勢主界面見圖5。安全平臺的部署和應(yīng)用，使原本雜亂無章的日常安全管理工作變得井井有條，管理人員可以清楚地掌握視頻系統(tǒng)中的資產(chǎn)分布與安全事件，發(fā)現(xiàn)安全管理的薄弱環(huán)節(jié)，避免單點產(chǎn)品管理帶來的信息割裂，以及在多個管理界面之間頻繁切換的弊端，實現(xiàn)了安全管理的一體化與高效化。

圖5 視頻安全平臺安全態(tài)勢主界面

8 結(jié)束語

對標Q/CR 783.4-2021 標準規(guī)范，借助視頻安全平臺，實現(xiàn)了視頻系統(tǒng)IT 資產(chǎn)的全面管理，監(jiān)控關(guān)鍵應(yīng)用，分析安全事件，并以直觀的方式呈現(xiàn)結(jié)果，從單點防御提升為協(xié)同防御，幫助管理人員全面了解系統(tǒng)的安全態(tài)勢。安全平臺的成功試用，使之前復雜難行的安全管理工作變得簡單易推進，為視頻系統(tǒng)的安全運行提供了非常有效的手段和工具，也為大規(guī)模、跨地域的資產(chǎn)集中監(jiān)管與安全可視提供了參考。后續(xù)研究的核心在于深化數(shù)據(jù)分析與人工智能技術(shù)的應(yīng)用，實現(xiàn)對網(wǎng)絡(luò)環(huán)境及安全狀況的深入洞察，提高安全管理與防御的精細化水平。