汪明霞,艾博慧,崔 宁,唐 潇
铁路综合视频监控系统(简称“视频系统”)承担着监视铁路线路、车站、车辆段等区域运行环境、防范安全事故的重任,其安全性至关重要。
近年来,为提高视频系统的安全性,围绕视频业务安全开展了深入研究[1-2]。当然,真正的安全不仅是系统业务数据的安全,更是系统运行环境的安全。文献[3]通过对视频系统5 大类安全风险问题进行分析,提出多种有针对性的安全保障方案;文献[4]从铁路视频监控设备的安全防护未能形成合理的、统一的安全防护体系现状出发,研究视频安全防护平台,构建了一体化的安全防护体系。
为规范视频系统的安全防护要求,实现视频系统安全的纵深化管理,2021年底,国铁集团发布了《铁路通信网络安全技术要求—第4部分 综合铁路视频系统》(Q/CR783.4—2021)规范,明确指出视频系统安全管理的技术要求,主要包括视频系统应满足的基本要求、视频系统安全域的划分原则,以及各安全域的具体防护要求等[5]。依据Q/CR783.4—2021标准,从标准层面实施视频系统安全管理的解决方案,可以有效改善安全资产难整合、威胁检测难及时、安全响应难协同、安全管理难统一、安全状况难掌控的现状,实现资产、事件、威胁之间的有效关联,深入资产管控的每个环节,推动视频系统安全管理的智能化、动态化与标准化。
为此,视频系统的安全管理需要从整体着眼,不仅关注视频业务本身的安全,更要对支持系统运行的各类IT 资产实施统一有效的安全监控与管理,只有深入了解视频系统的安全状况,才能真正达到安全运营的目的。
视频系统是一个庞大的系统工程,其内部IT资产主要包括:①服务器、主机等核心计算机设备,用于支持图像处理、存储、展示等关键功能;②交换机、路由器等网络设备,是连接网络各节点与系统的重要基础设施;③存储设备,用于存储视频数据;④安全设备,用于网络安全防护与监测;⑤应用软件,具有系统管理、视频采集、存储、展示等功能。
目前视频系统在安全管理方面存在以下不足。
1)安全运维自动化水平较低。缺乏统一管理平台与自动化监测手段,难以实现对系统风险的实时监测、快速预警与响应,难以提高安全防护与运维效率。
2)技术手段不协调。由于各安全设备、管理平台与监控工具缺乏很好的互通互操作性,导致无法实现安全日志、报警与事件的有效关联,难以全面掌握系统的安全态势。
3)资产管理手段薄弱。资产信息基本以资产清单、统计表等形式保存,难以判断资产的合规性与安全状态,实施有针对性的管理与维护十分困难。
4)相关标准与规范要求落实不到位。缺乏统一的技术标准,无法规范视频系统安全管理和监控的具体内容与范围。
因此,需充分利用集成化与自动化的管理手段,弥补人工管理、被动防御、局部安全防护的不足[6],从安全监控、资产统一、可视化管理等方面,构建一体化安全防护体系,做到实时监测视频系统网络环境的安全状况,跟踪资产运行状态、告警情况、攻击活动、漏洞利用等信息,实现对视频系统整体安全态势的主动感知,为安全防护的优化调整和系统协同提供关键依据。
根据Q/CR 783.4—2021 标准要求,以视频业务安全为目标,视频安全平台(简称“安全平台”)的设计思路侧重于实现整个视频系统的安全可视、可管、可控。
1)安全可视。关键在于采集所有相关的安全数据,通过可视化技术,实现资产全貌感知与物理部署监控、漏洞分布可视化监测、安全告警可视化跟踪与监控、风险分布的全局感知等。将各类安全监控数据在地理空间上进行关联与综合分析,形成视频系统整体安全态势的直观展示,实现对全局安全状况的实时监测与态势判断。
2)安全可管。关键在于对视频系统的各类资产与数据实施精细化管理,建立资产统一管理、用户统一调配、配置统一监测、告警统一规范、监控统一展示、策略统一推送等机制,跟踪各类资产的运行状态、性能指标、用户访问与策略执行情况,对资产实施统一管控。
3)安全可控。关键在于构建安全事件管理机制,对检测到的各类事件与告警进行分类管理,实现对风险的第一时间感知和控制。进一步关联分析与挖掘,生成安全报表、事件热力图与风险传播路径等,实现对网络安全态势的直观管控。
基于上述设计思路,本文围绕资产管理、策略管控、事件响应、安全监测等方面,对安全平台进行功能设计与实现。
安全平台架构见图1,采用模块化设计思想,提高研发效率,降低维护成本。采集模块负责采集视频系统内部各类IT 资产的性能数据与安全数据,业务模块负责下发和调整安全设备的安全防护策略,通过北向接口与安全管理中心[7-8]进行信息交互。
1)采集模块与各数据源建立连接,采集不同格式的安全数据[9-11],并对采集到的各类原始数据进行必要的规范化、清洗和转换,解决数据源之间格式的差异,将数据整合成标准格式,存入数据库,建立完整的数据集。
2)业务模块基于数据库中的数据,提供安全平台的各项功能与应用,是安全平台的核心功能模块。从资产、策略、风险、漏洞、事件等多个维度入手,实现实时监测、威胁发现、关联分析等关键业务。通过https 协议将结果推送至Web 客户端进行展示;通过rest协议与采集模块交互,完成安全策略的统一配置与调整;通过JDBC 协议与数据库通信,完成数据的存储与调用。
3)Web客户端以浏览器为主要形式,提供图形化的用户界面,以直观的表单、按钮、菜单等组件实现人机交互。通过https 协议与Web 服务模块交互,采用直观的图表、列表、图像等形式呈现后台业务数据,如资产分布图、告警统计报表、网络拓扑结构图等,实现数据的可视化展示与业务操作。
4)数据库是存储和管理各类安全数据的核心基础,结合业务需求建立表与表之间的关联,实现业务数据的高效检索与管理。主要包括存储资产、安全漏洞、告警事件、策略规则、各类操作日志、安全设备原始日志、用户与权限等数据。
安全平台的关键业务围绕实时监测、威胁发现、关联分析展开,见图2,三者相互结合,可以充分发挥安全平台的威胁防御与态势感知作用。
图2 关键业务视图
1)实时监测需做到第一时间发现存在的问题与威胁,主要监测各类资产的运行状况和告警情况。内容包括:①资产管理,识别并收集资产的详细信息,建立资产清单和分类,监测资产运行状态与性能指标,跟踪、记录关键资产的变更情况;②告警管理,采集和统计安全告警信息的数量、分布与趋势。
2)威胁发现就是要主动查找潜在的风险与漏洞,通过分析漏洞与风险信息,判断资产存在的风险与威胁。内容包括:①漏洞管理,发布新出现的漏洞信息与修复建议、分类汇总漏洞信息、跟踪漏洞修复情况;②风险管理,根据资产关联性进行风险评估,识别高风险资产,分析不同资产之间内在关联,确定风险范围,依据风险资产所处的物理、逻辑区域汇总风险分布情况。
3)关联分析。采用大数据分析技术,发现事物之间的协同关系,实现对网络安全的全方位监测与深入了解。内容包括:①资产关联,从逻辑依赖、网络连接、数据交互和日志关联等角度,分析资产之间的依赖关系;②告警关联,分析告警信息之间的时间、空间、类型和模式等关联,判断是否存在更广泛或更深入的风险与威胁。
安全平台的主要业务流程为资产接入→数据采集与处理→资产入库→事件关联分析→威胁发现→可视化展示等。以下重点介绍资产接入和威胁发现2个关键流程。
资产接入流程见图3,Web 客户端将资产接入请求通过Web 服务模块发送到管理模块,具体步骤如下。
图3 资产接入流程
Step 1校验资产接入请求的合法性。判断发起添加请求的账户是否有权限执行此操作,资产基础信息是否完整等,以确认请求的合法性和合规性。
Step 2查询资产模板。根据识别的资产属性信息,如资产名称、型号等,查询资产的接入配置模板。模板中包含资产支持的数据采集方式,如syslog、snmp、事件类型、采集参数等信息。
Step 3配置资产接入参数。根据查询到的配置模板,配置资产的各种接入参数,如日志接收地址、snmp 配置、满足表述性状态转移架构风格的应用程序接口等。
Step 4配置采集模块。向与新资产匹配的采集模块发送配置命令,接入新资产并开始采集数据。
威胁发现流程见图4,根据安全匹配原则,对单条日志生成告警事件,依据关联规则对告警事件进行关联分析,识别资产存在的威胁,具体步骤如下。
图4 威胁发现流程
Step 1提取安全数据。从数据库中提取事件时间、源地址、目的地址、名称、内容等结构化信息。
Step 2规则匹配。根据事件种类与名称等信息,与预定义的告警规则进行匹配,如果超过设置的阈值,判断为告警事件。
Step 3告警分类。将确认的告警事件进行分类,如按告警级别、类型、资产类型等标准归类。
Step 4告警关联。对告警事件中的关键信息,如时间、源地址、目的地址或主机名,应用关联规则进行关联分析。
Step 5威胁识别。依据关联分析结果识别威胁。
在构建安全平台的过程中采用资产集中管理、多格式日志标准化、海量日志数据综合分析、协防联动等技术,实现资产监管集中化、日志数据标准化、数据分析智能化和防御机制动态化。
1)资产集中管理技术。视频系统的安全运行离不开其部署环境中各类IT 资产的稳定运行,利用资产集中管理技术,对视频系统专网内大量异构资产进行统一识别、分类和管理,建立资产关系模型,为资产风险评估与漏洞管理提供基础数据支撑。
2)多格式日志范式化技术。日志数据信息对视频系统的安全关联起到至关重要的作用。通过多种日志解析算法[12]对日志数据进行规范化处理,将多源异构的原始日志转化为结构清晰、描述准确的标准日志,便于后续集中存储与应用分析。
3)海量日志数据综合分析技术。采用关联分析、统计分析与可视化技术[13-15]对日志数据进行挖掘,发现其中潜在的安全风险,生成可视化运维报表,对系统运行状态和威胁活动进行实时监测与评估,映射资产网络拓扑,定位攻击源,评定风险分布范围。
4)协防联动技术。为提高视频系统安全防御的密度与深度,视频安全平台支持各安全设备之间建立有效的协防联动机制。以威胁动态监测为基础,从多个维度对威胁因素进行分析判断,生成有针对性的阻断策略,实现威胁控制与保证业务连续性之间的平衡,将调整后的策略下发至各安全设备,迅速部署新策略,并通过不断调整与优化防御策略,有效提高系统的动态安全防御能力。
结合济南铁路局视频系统的安全防护需求,在视频区域节点部署安全平台,对区域内的网络安全进行全方位的监控与管理。安全平台采集区域内所有IT 资产的状态信息与安全数据,通过资产管理、漏洞管理、告警管理和风险管理等功能,将资产分布、告警信息、安全态势、高风险资产分析结果等以报表、图表等形式进行展示。视频安全平台安全态势主界面见图5。安全平台的部署和应用,使原本杂乱无章的日常安全管理工作变得井井有条,管理人员可以清楚地掌握视频系统中的资产分布与安全事件,发现安全管理的薄弱环节,避免单点产品管理带来的信息割裂,以及在多个管理界面之间频繁切换的弊端,实现了安全管理的一体化与高效化。
图5 视频安全平台安全态势主界面
对标Q/CR 783.4-2021 标准规范,借助视频安全平台,实现了视频系统IT 资产的全面管理,监控关键应用,分析安全事件,并以直观的方式呈现结果,从单点防御提升为协同防御,帮助管理人员全面了解系统的安全态势。安全平台的成功试用,使之前复杂难行的安全管理工作变得简单易推进,为视频系统的安全运行提供了非常有效的手段和工具,也为大规模、跨地域的资产集中监管与安全可视提供了参考。后续研究的核心在于深化数据分析与人工智能技术的应用,实现对网络环境及安全状况的深入洞察,提高安全管理与防御的精细化水平。