1　引言

近年来，城市综合管廊作为市政行业一项新兴的工程类别，建设项目逐年增多。综合管廊亦称共同沟，是一种集给水、雨水、污水、再生水、天然气、热力、电力、通信等各种市政管线于一体，同时设置专门的检修口、吊装口、排水设施、消防设施、通风设施和监测控制系统的地下集成化隧道，实行“统一规划、统一建设、统一管理”，以做到地下空间的综合利用和资源共享[1~3]。综合管廊是城市的超级大动脉，作为城市关键基础设施，其工业控制系统信息安全需要重点关注。基于管廊自身特点，为了保证管廊正常运行及人员安全，应建立综合管廊监控与报警系统、工业控制系统信息安全策略，借助自动化、信息化技术，有效提升综合管廊的运行管理自动化水平。

本文结合保定市东风路西延综合管廊对监控与报警系统、工业控制信息安全系统中各子系统的设备构成、布置原则及系统设计要点做了详细阐述。

2　保定市东风路西延管廊简介

保定市东风路西延管廊位于保定市市区，全长4公里，不超过200米设置一个防火分区，共设置23个防火分区。根据各类管线专项规划，东风路西延管廊为干线管廊，敷设的管线有给水、中水、供热、电力、通信、天燃气等管线。采用矩形断面，四舱布置形式，给水、中水、电信共用一舱，电力管线、供热管线和天燃气管线各单独一舱，沿线设置有人员出入口、投料口、自然通风口、机械通风口、管线引出口及端井等特殊节点。东风路西延管廊标准断面尺寸为4350×2400+4350×4400mm+4350×3800+3000×2200（mm），如图1所示。

图1 管廊标准断面示意图

3　监控与报警系统构成

综合管廊监控与报警系统包括：环境与设备监控系统、安全防范系统、通信系统、预警与报警系统、统一管理信息平台[4~6]。监控与报警系统集成图如图2所示。

图2 监控与报警系统集成图

综合管廊运行管理采用集散型控制模式，分为三层结构：信息层、控制层和设备层[7~8]。统一管理平台设于监控中心，控制层由管廊沿线内部各现场控制站组成。各现场控制站通过配置的工业以太网交换机组成环网。监控中心内部的监控计算机通过以太网与现场控制站通讯，利用软件形象地反映出管廊内部各设备的状态、仪表监测数据和动力配电箱的实时数据，监控计算机通过现场控制站实现设备的启停控制。统一管理平台将综合管廊监控与报警系统各个子系统集成为一个相互关联和协调的综合系统，实现各系统统一管理、信息共享及相互联动控制，统一管理平台具有与各专业管线单位信息共享的功能[9~10]。

4　监控与报警系统设计

以管廊的一个防火分区划分为一个监控与报警分区。

4.1　环境与设备监控系统

环境与设备监控系统的功能是对综合管廊全域内环境和设备的参数和状态进行全程监控，将实时监控信息准确、及时地传输到监控中心的统一管理信息平台。

（1）环境监测

在每段综合管廊进风口、控制站以及各防火分区的中部位置设置温湿度仪、气体探测仪（氧气、甲烷及硫化氢）；在集水井处设置水位传感器。

系统主要功能：

· 当监测到氧气、甲烷、硫化氢等气体含量超过一定标准时，系统立即报警，并可在自动模式下联动相应区域风机进行强制换气；

· 系统实时监测集水井水位超限信号，并根据水位超限信息进行水泵控制操作；

· 系统具备环境参量超标自动告警功能，并通过监控平台以图形、语音、短信等方式进行报警与通知相关人员。

（2）设备控制

设备控制主要包括管廊现场防火门、风机、风阀、排水泵、照明系统等设备的控制，现场相应配有设备各自的控制箱，监控系统能通过区域现场控制单元对控制设备发出相应控制信号，控制信号可以是Modbus通讯信号或者干接点信号。

· 风机控制

当环境监测系统检测到气体、湿度异常并引发报警时，可联动相关区段的风机进行强制换气。当火灾报警系统发出火情警报时，可联动确保相关区段的风机关闭。

· 照明系统控制

综合管廊综合监控平台软件通过以太环网系统控制管廊现场的照明设备启闭。当集中监控平台接收到非法入侵报警或者其它监测系统报警，需要辅助摄像头做现场确认时，远程开启管廊现场照明设备，控制信号由当前区段控制单元输出。

· 防火门控制

综合管廊综合监控平台软件可控制管廊现场的防火门启闭。当管廊现场出现火情，系统联动人员定位、视频系统确认现场无人员后，设置防火门关闭，避免火情蔓延，并联动消防系统实现隔离灭火功能。

· 排水控制

综合管廊内积水坑内设置有排水泵，并配置液位计、液位开关，实现排水泵的自动启、停控制。

· 供配电设备的监视

电气参数监测，实时采集供配电系统各段母线的电压、各回路的电流、各段线路的开关状态、能耗指标等参数。

4.2　安全防范系统

安防系统包含五部分：智能视频监控系统、入侵报警系统、出入口门禁控制系统、电子巡查系统和人员定位系统。

（1）智能视频监控系统

在管廊中需要重点监视的地方（分叉地段、管廊出入口、投料口等）安装红外夜视高清网络摄像机，可以使值班工作人员通过综合监控软件平台实时监控管廊环境状态。

智能视频监控系统同时具备图像分析处理能力，对于进入禁区的非法闯入行为自动报警。

（2）入侵报警系统

在管廊的人员出入口、投料口、通风口、逃生口等处设置红外对射入侵报警系统，针对非法进出入管廊的人员进行监视和管理，防止非法入侵。如遇非法入侵能够自动报警，配以视频监控能实时而直观地观察和记录现场的实际情况。

（3）人员定位系统

本系统为基于射频识别技术RFID的人员定位系统，在管廊出入口及舱室内相隔一定间距设置RFID读写器，通过RFID接收器将信息反馈至监控中心。

（4）电子巡查系统

电子巡查系统是对管廊现场巡查行为进行记录并进行监管和考核的系统，是安防系统的重要组成部分，能提高管廊巡检工作的规范化及科学化水平，有效保障被巡检设施处于良好状态，实现综合管廊管理的规范化、科学化和及时消除隐患等功能。

（5）出入口门禁控制系统

在管廊的人员出入口、管廊区域监控站出入口设置门禁控制系统，门禁控制系统应具有对非正常开启、出入口长时间未关闭、通讯中断、设备故障等非正常情况的实时报警功能。

4.3　通信系统

（1）固定式通信系统

在管廊内每个防火分区现场控制分站设置IP电话主机，在每个舱室设置IP电话副机。监控中心设有电话接入主机、工作站、接警电话等设备。管廊现场电话通过光纤环网可以实现各电话之间以及现场与监控中心的相互语音通话及音频广播，并可接入市话外线。

（2）无线通信系统

在管廊内采用无线局域网可实现管廊内移动语音通信。在每个防火分区各舱室设置无线接入点AP，实现管廊内无线通信覆盖。监控中心设有无线接入控制器AC，实现对管廊内AP的集中管理。巡检人员通过手持VoIP手机通讯。

4.4　预警与报警系统

预警与报警系统包括：火灾探测及自动报警系统、爆管监测系统、可燃气体探测报警系统。

（1）火灾探测及自动报警系统

在含有电力管线的舱室内设感烟探测器和火灾声光报警器，管廊内部设置手动火灾报警按钮和火灾报警器，手动火灾报警按钮处设置电话插孔。在中压及高压电缆表面敷设缆式线型感温光缆用于监控电缆温度。

火灾自动报警系统具有联动功能，当火灾确认后，消防联动控制器应联动关闭着火分区及同舱室相邻防火分区通风机和防火阀；应启动管廊内同舱室所有的火灾声光报警器；打开着火分区及同舱室相邻防火分区应急照明；联动相关摄像机监视报警现场，供监控中心确认并记录；应联动人员出入口控制系统，释放相应出入口控制装置；火灾报警控制器应联动自动灭火控制器，启动消防灭火系统。

在综合管廊控制中心内设火灾报警上位机一台、图形控制系统一套及手动控制柜一套，通过光纤网络与设置在管廊现场控制站的区域火灾报警控制器联网。图形控制系统可以显示整个火灾报警网络系统的状态。

（2）爆管监测系统

在含有热力管线的舱室内应设置爆管监测系统，在每根供热管道上平行捆绑敷设一根感温光纤，光纤接入相应区间的感温光纤主机，各主机通过通信系统将数据上传至监控中心报警主机。

（3）可燃气体探测报警系统

在燃气舱每个防火分区设置一套可燃气体报警控制器，在燃气舱设可燃气体探测器，探测器形式为红外激光探测式。当天然气浓度超过阈值时，应由可燃气体控制器或消防联动控制器联动启动天然气事故段分区及其相邻分区的事故通风设备。

5　工业控制系统信息安全系统设计

近年来工业控制系统安全事故频发并出现逐年上升趋势，工业控制系统信息安全引起了国内外高度重视[11~15]。综合管廊作为城市的超级大动脉，属于国家关键基础设施，应依照国家标准加强网络安全防护。根据GB 51354-2019《城市地下综合管廊运行维护及安全技术标准》，综合管廊信息系统及其设备应具备防病毒和防网络入侵措施[16~18]。根据GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》及GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》，确定该综合管廊信息系统安全保护等级及基本安全保护能力为第三级[19]。

为实现工控系统等级保护安全合规的建设需求，保障综合管廊工业控制系统信息安全，本设计引入一系列安全软硬件进行安全防护，具体如下。

5.1　工业防火墙系统

在生产网和工程师操作站交换机之间部署工业防火墙进行边界防护和逻辑隔离，同时进行访问控制，防止来自工程师站的网络攻击。

在综合管廊统一管理平台与各专业管线单位外网之间部署工业防火墙，防火墙支持VPN功能，实现了内外网隔离，既能防止传统的IT攻击，也能识别OT攻击，满足了安全接入智慧城市建设要求。

工业防火墙具备工业入侵检测功能，拥有工业特征库、威胁特征库和漏洞库，防火墙具有AI模块，通过部署在网络中识别工控协议流量，可对网络中的威胁流量进行告警和阻断。

5.2　入侵检测系统

在核心交换机旁路部署入侵检测系统，入侵检测技术：支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别；支持模式匹配、异常检测、统计分析，以及抗IDS/IPS逃逸等多种检测技术。

协议分析： 可依据端口识别协议类型， 分析HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多种协议。

特征规则：内置攻击特征库，特征数量超过2500条，并可自定义攻击特征，可阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击。

5.3　工业审计系统

在每个生产区域网络边界位置的交换机上旁路部署一套工业审计系统，对工业控制系统的网络传输信息的实时采集、实时分析、实时告警及日志存储进行审计。展现异常主机接入事件、工业异常行为事件、工业网络入侵事件，对网络攻击行为留存证据，发现工业控制系统网络潜在的威胁者。记录工业控制系统的访问日志和事件日志，日志可以实时上传给工业监管平台。

5.4　工业主机卫士

所有操作员站，监控主机上部署工业卫士软件。工业卫士软件具有白名单功能，打造安全管理中心，白环境仅允许运行受信任的PE文件，完善相应的加固策略，提升安全级别，有效阻止病毒、木马等恶意软件的执行和被利用，实现工控主机从启动、加载、运行等过程全生命周期的安全保障。

5.5　工业监管平台

工业控制系统在做好信息安全的相关建设或整改后，增加了网络安全性，但也增加了一定的管理难度。在控制层部署工业监管平台系统，对所使用的安全设备进行统一管理，主要包括数据监测、日志收集和报警展示，运维管理人员可通过工业监管平台系统监控全网的报警信息，发生安全事件后，可第一时间采取处置措施。

5.6　工业漏洞扫描系统

网络边界部署工业漏洞扫描系统。发现可能存在的已知漏洞，并在充分测评评估后，及时修补漏洞。工业漏扫系统能够全面、精准地检测信息系统中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等。在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计，防患于未然。定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

5.7　日志审计系统

在核心交换机部署日志审计系统，审计覆盖到每个终端、网络设备、工控系统等系统的用户行为和安全事件。日志记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息。提供安全事件的实时监控和多维度统计，通过事件列表展示当前网络的实时活动，依据IP地址、事件类型等维度进行安全事件的统计，以可视化的饼状图、柱状图、堆积图等形式进行展示。

6　结语

随着我国综合管廊建设规模的日益扩大及国家的政策支持，管廊设计的科学化和规范化尤为重要。继国家标准GB 50838-2015《城市综合管廊工程技术规范》发布之后，针对监控与报警系统、工业控制系统信息安全等陆续编制了更为详细的规范标准及设计图集，如GB/T 51274-2017《城镇综合管廊监控与报警系统工程技术标准》、17GL603《综合管廊监控及报警系统设计与施工》、GB 51354-2019《城市地下综合管廊运行维护及安全技术标准》等，结合管廊建设过程中的设计经验，管廊监控与报警系统设计、管廊工业控制系统信息安全设计将更加科学合理，以达到保障综合管廊安全稳定运行、提升维护管理水平的目的。

作者简介：

解存福（1986-），男，河北邢台人，工程师，硕士，现就职于中国市政工程华北设计研究总院有限公司，主要从事市政工程电气自控设计工作。

参考文献：

[1] 曹政柳, 郑恒军. 综合管廊配套电气设计要点探究[J]. 工程技术研究, 2019, 4 (4) : 194 - 195.

[2] 王伟. 城市地下综合管廊建设的困境与对策研究[J]. 工程技术研究, 2019, 4 (20) : 231 - 232.

[3] 马鸿敏, 马建勋, 李宗文, 等. 我国地下综合管廊建设现状与展望[J]. 市政技术, 2017, 35 (3) : 93 - 96.

[4] GB 50838-2015. 城市综合管廊工程技术规范[S].

[5] GB/T 51274-2017. 城镇综合管廊监控与报警系统工程技术标准[S].

[6] 张伟. 综合管廊监控与报警系统的探讨[J]. 通讯世界, 2020, 27 (3) : 36 - 38.

[7] 钱中阳, 康潜. 城市综合管廊工程电气自控设计探讨[J]. 建筑电气, 2017, 36 (11) : 8 - 12.

[8] 沈晓伟, 李炎, 马莹莹, 等. 基于GIS技术的环境监测系统在综合管廊中的应用[J]. 市政技术, 2019, 37 (05) : 220 - 222.

[9] 张学群, 杨超, 张祥武. 包头市110国道综合管廊监控与报警系统设计[J]. 数字技术与应用, 2017, (10) : 149 - 152.

[10] 李永生. 某地下综合管廊的弱电与火灾报警系统设计[J]. 机电信息, 2017, (18) : 64 - 65.

[11] 肖建荣. 工业控制系统信息安全技术分析与探讨[J]. 自动化博览, 2015, (6) : 74 - 77.

[12] 区和坚. 工业控制系统信息安全研究综述[J].自动化仪表, 2017, 38 (7) : 4 - 8.

[13] 许光泞. 工业控制系统安全防护体系研究[J].石油化工自动化, 2020, 56 (3) : 1 - 6.

[14] 康天娇, 邹春明. 工业控制系统网络安全产品研究分析[J]. 网络空间安全, 2020, 11 (1) : 34 - 38.

[15] 靳江红, 莫昌瑜, 李刚. 工业控制系统功能安全与信息安全一体化防护措施研究[J]. 工业安全与环保, 2020, 46 (1) : 53 - 60.

[16] GB 51354-2019. 城市地下综合管廊运行维护及安全技术标准[S].

[17] 刘航. 信息安全技术在城市地下综合管廊监控系统中的应用[J]. 网络安全技术与应用, 2020, (4) : 143 - 146.

[18] 王晔, 陈丽娟, 衣然. 等保2.0时代城市轨道交通信号系统网络安全防护新思路[J]. 信息技术与网络安全, 2020, 39 (3) : 1 - 5.

[19] 张泳. 城市综合管廊监控系统信息安全设计[J]. 自动化博览, 2018, (1) : 40 - 44.

摘自《自动化博览》2021年4月刊