信息安全技术在城市地下综合管廊监控系统中的应用

◆刘 航

（甘肃有色冶金职业技术学院 甘肃 737100）

地下综合管廊是市政建设的主要内容，对其进行建设，不仅可以使城市景观得到改善，还能够延长管线的使用寿命。要想保证综合管廊的作用得到充分发挥，利用信息安全技术对监控系统进行设计是必要的，本文所探讨内容的具有重要实践意义。

1 城市地下综合管廊监控系统理论研究

1.1 软件结构

负责维护管廊运行的单位和专业管线单位的关系是相互依存的，监控系统的任务，主要是监控公共环境和管线设备，这就要求上述单位具有互通、共享信息的平台，即管理平台（如图1）。子系统向监控中心汇总监控信息，再由监控中心将经过处理的信息与排水、电力等单位共享。专业管线单位的职责，主要是共享可能给管廊公共环境带来影响的信息，例如，水管爆管、电缆温度高。管廊运维单位在接收到相关信息后，需要第一时间制定解决措施，避免造成更加严重的后果[1]。

图1 管廊监控平台框架

1.2 硬件结构

一般来说，管廊监控系统应包括以下硬件结构：环境监控、视频监控、火灾监控、监控中心与安全防范系统。不同管道设施对检测控制设备的需求也存在显著差异，检测控制设备的作用是对管道故障、运行情况进行监测，以及收集管道信息。作为核心机构的监控中心，主要负责对管廊监控信息进行处理，具体工作内容如下：其一，对传感器、子系统所传输信息进行接收；其二，处理所接收信息，根据处理结果发出指令或警报。另外，安全防范系统的作用也需要引起重视，该系统的任务，主要是监测、防止管廊内部有非法人员进入，如果出现上述情况，安全防范系统需在报警的同时为控制中心提供具体信息，以便于控制中心能够第一时间对应对措施进行制定，在此过程中，信息安全技术发挥着重要的作用。

2 信息安全技术的应用分析

2.1 技术特点

随着科学的发展，信息安全的内涵，由保密性向可控性、可用性和完整性等方面不断延伸，最终形成以检测、评估、管理、控制和防范攻击为主的信息安全技术，在管理、维护和运行信息系统的过程中，得到了十分广泛的应用。

2.2 深度应用

（1）身份认证

对设备、用户身份是否合法进行确定，常见的身份认证技术，包括生物认证、身份识别、用户名口令等。

（2）安全审计

数据库、操作系统存在漏洞的情况难以避免，这也是导致网络系统受到威胁的主要原因，主机加固的目的是加固、防护系统漏洞，使系统抵抗攻击的能力得到提高。

（4）边界防护

防止外部用户利用技术手段，非法闯入内部网络并获取资源。常见设备为防火墙和入侵防护，作用是为内部网络操作环境提供防护。

（5）检测监控

适度检测、监管并控制信息网络流量与内容，避免流量被滥用的情况出现，切断传播有害信息、垃圾信息的渠道。

3 基于信息安全技术的监控系统的应用

2011 年，江苏省内首条综合管廊于苏州建成，经过数年的发展，现已形成完善的监控系统和模式，信息安全技术的应用，又赋予了监控系统新的安全保障，可供其他地区参考。

3.1 需求分析

作为城市“生命线”的综合管廊，是对电力、热能、水资源等必需品进行供给的主要渠道，设计出安全、智能的监控系统，用来实时监控管廊结构、设备运行和空间环境，自然很有必要。现有监控系统的信息化水平有待提高，作用发挥也十分受限，基于信息安全技术的管廊监控系统应运而生。其作用主要体现在以下几个方面：第一，可视信息管理，通过可视化的方式，显示管廊信息。相关人员可以利用该系统，快速查询并实时掌握管廊设备信息。第二，提高信息分配和集成的有效性。参与综合管廊设计与运行的单位非常多，这就要求各单位对部分信息进行共享，避免出现管廊环境给专业管线运行带来影响、专业管线给管廊运行带来影响的情况。信息安全技术的作用，还包括合理分配、集成信息，确定信息保密与共享的边界点。第三，实时采集管廊信息。以现有监控系统为依托，对管线、专业设备、管廊结构信息进行采集与上传。第四，安全监测并报警。对管廊内部湿度、温度、含氧量进行实时收集、监测和报警。利用设备监控系统，获得设备运行的具体情况，对于火灾、爆管等常见灾害，应及时监测并报警。保证即使有设备故障、灾害发生，相关人员也可以第一时间获得详细信息，使应急措施的制定获得有力支持。

3.2 系统结构

（1）设计原则

高筋粉，制作面包主要用到高筋粉，其中蛋白质含量通常在12.2%以上[2]，面筋蛋白含量高，面粉的吸水率就高，制作出的面包口感柔软，不容易老化，因此高筋粉也称为面包粉。但是有些面包品种的筋力不是要求特别高，配方在调配过程中，往往添加一些低筋粉来降低面团的筋力。有些面粉厂家干脆将面粉调配成制作某种面包的专用面包粉，如法棍面包专用粉。通过了解面粉的特性，在制作面包时可以通过调节面粉的筋力改善面包品质。

监控系统的设计原则是“集中管理，分散控制”（如图2）[2]。地下综合管廊所适用监控系统，通常由监控终端层、中心控制层和区域监控层构成。监控终端层的构成，包括通信设备、采集器和现场控制器，作用是采集各类信息，控制水泵、风机和出入口设备。中心控制层又被称为监控中心，负责管控、管理城市现有的地下管廊，监控管廊环境和管线运行，管理出入口、接入消防系统等。区域监控层的任务，主要是向中心控制层上传监控终端提供的信息和数据，向中心控制层传送监控终端所下达指令，远程控制水泵、风机等终端。

（2）系统风险评估

以信息系统安全保护定级指南为依据，将监控系统的安保等级定为三级，具体来说，就是信息系统遭受破坏，会导致公共利益、社会秩序受损，甚至使国家安全受损。另外，根据安保基本要求，将综合管廊的信息安全等级定为三级，具体来说，就是以特定安全策略为指导，给予系统以防护，避免威胁源、外部团体发起攻击，导致资源受损；及时发现安全事件或漏洞，尽快恢复受损系统的大部分功能[3]。

图2 城市地下综合管廊管理系统

研究表明，地下综合管廊的监控系统，所面临风险因素，主要集中在以下三个方面：管理安全、物理安全和技术安全。其中，管理安全涉及流程、机构、制度和安全意识；物理安全涉及防盗、防雷和防火；技术安全涉及主机安全、设备安全和网络安全。另外，系统软件/硬件也存在面临风险的可能，例如，软件未配置充足的安全措施，漏洞始终没有得到解决；用于防护硬件设备的物理措施不全面，没有获得授权的用户，擅自接触相关设备。

硬件风险通常发生在项目执行的过程中，供应商、投标商、用户都可以对产品选择信息进行获取，如果潜在入侵者通过各种途径对相关资源、信息进行了获取，就可以利用数据挖掘工具、攻击软件，获得控制权，从而导致安全风险的产生。要想弥补无线连接、硬件、监控、网络配置存在的漏洞，关键是利用信息安全技术，对管廊监控系统加以完善。

（3）解决方案

首先是设备的选择。一方面，严格按照信息系统安保等级，对硬件设备进行选择，管廊监控系统所需硬件，包括服务器、交换机、路由器等，只有保证所选择产品能够顺利通过安全认证，才能避免硬件风险的出现。另一方面，视情况采取监测、隔离等物理措施，为便携设备、现场设备提供防护。

其次是网络配置。网络配置原则如下：综合考虑数据传输、流量控制、访问控制等因素，以设备冗余配置、物理环境控制为出发点，完成硬件的选择。通过安装防火墙的方式，对非法流量进行控制，生成详细、准确的日志，为后续工作的开展提供参考[4]。另外，设计人员应对非法路径进行禁止，转而采用安全系数更高的通信协议，验证设备、用户身份后，按照不同层级的要求展开管理，校验数据完整性，认证接入点与无线客户端，为数据传输提供加密保护。

最后是防御架构。以现存安全隐患、系统网络架构为依据，参考系统网络所提出安全要求，完成防御架构策略的设计工作，将管廊监控系统划分成数个区域，例如，远程接入区域、监控中心、分站监控系统等。借助安全隔离平台，隔离主站监控系统和分站监控系统，避免病毒相互感染或大范围扩散。安全隔离平台的任务，还包括过滤、监测、阻断数据采集所面临威胁，例如，病毒入侵、数据泄露等。监控中心应对安全审计平台进行设置，作用是审计系统网络的安全性，识别并告警外部攻击、非法操作或异常事件。对安全监管平台进行设置，用于安全网络终端的部署和管理，对终端网络的安全事件、数据流量进行监控，审计、分析并追踪安全威胁。在信息管理层、监控中心的远程接入端，对检测、防御网络边界入侵的平台进行部署，这样做的目的是防止来自远程接入端的病毒攻击或感染。接入设备应通过设置安全隔离平台的方式，达到隔离的目的。还应当注意一点，在完成管廊监控信息系统的设计工作后，设计人员应当对现实攻击和威胁进行模拟，通过安全验证的方式，明确现存漏洞并进行修正。

3.3 管理平台

将监控管理软件安装在分控站、监控中心，集中监管地下综合管廊，统一存储、分析或展示监测数据。监控平台的优势，主要在于其对各监控系统进行了集成，以地理信息系统的设置为基础，预留相应的监测接口。现阶段，负责介入、集成子系统的监控管理平台，通常被用来进行信息采集、综合处理、数据通信等工作。以信息安全技术应用为核心，有选择性地应用数据处理、安全防护、自动调度等技术，对监控管理信息平台进行构建，在保证监控系统联通的基础上，为市政地理信息、管线监控平台等设施的联通奠定基础[5]。本文所讨论管理平台的技术构架比较先进，具有易维护、可扩展、安全可靠等优势。

监控管理平台的核心是SOA 架构，通过集成所得的开发运行平台，借助诊断、分析和展示数据的方式，改善管理。正常情况下，监控管理平台所提供内容，涉及下列内容：其一，数据建模与分析组件；其二，生产语境、动态管理与决策调度。该平台所提供功能模块，满足快速、灵活和动态的要求，与综合管廊的管理业务适配。

要想将监控子系统的信息孤岛消除，设计人员应保证所设计管理平台，能够为管理、数据、门户、通信、应用和安全集成提供支持。管理集成是指通过管理平台，管理各系统的运行，包括注册、更新、维护软件及设备。数据集成是指采集并分析多系统数据，达到数据关联、共享的目的。门户集成是指在同一门户上，集成并管理子系统。通信集成是指借助先进的驱动库、通讯技术，通过标准接口/非标接口，采集并控制前端设备、平台信息的交换，提供信息交换所需的转发协议[6]。应用集成是指以系统、网络架构和三维导航展示为基础，共享、交换、集成信息的应用。安全集成是指利用信息安全技术，对权限管理体系进行建立与实施，为子系统提供安全保护。

3.4 监控分区

研究表明，多数城市的地下综合管廊，对防火分区都有特定的划分原则，通过设置防火门的方式，将相邻分区分割。正常情况下，监控分区的划分原则与防火分区相似，监控分区的任务，主要是采集管廊温湿度、淹积水和有害气体，监控照明、水泵和风机。各监控分区都应设置以可编程控制器为核心的监控主机。经由AI 口将气体探测器接入，经由DI 口将红外探测器接入。由于管廊内照明、风机、门锁、水泵的距离普遍较远，因此，出于减少布线的考虑，决定利用I/O 模块，经由控制总线连接监控主机，从而达到控制的目的。另外，各监控分区还应对工业交换机进行设置，将LED 屏、视频信号等信息，向本地监控站汇集，再上传至监控中心。

3.5 监控内容

其一，监控设施设备的运行状态，为详细资料的即时调阅提供便利；其二，对接视频监控系统，提高视频信息的清晰度；其三，根据喷淋感应器所感应信息，定位火灾事故位置，自动进行报警；其四，监控并上传人员出入信息，为安全性提供保证；其五，综合门禁状态、电子井盖等信息，对人员出入性质是否为“入侵”进行判断，发出相应的警报；其六，以感知设备所提供信息为依据，完成监控管廊湿度、温度、电力等数据的工作，对报警值、报警方式进行预设，保证一旦出现数据异常的情况，监控系统可以第一时间进行报警。

4 结论

综上所述，作为城市不可或缺的基础设施，地下综合管廊的运行状况是否稳定、安全，直接决定着城市的宜居性和发展空间，将信息安全技术应用到城市地下综合管廊的监控系统，应当引起专业技术人员的重视。希望本文中讨论内容，可以在某些方面给从事系统设计工作的技术人员一些启发，使得信息安全技术在城市地下综合管廊监控系统中更好地应用。