作者：天津市市政工程设计研究总院 张泳

摘要：以某城市综合管廊监控系统设计为例，探讨城市综合管廊监控系统信息安全设计。

关键词：城市综合管廊；工业控制系统（ICS）；信息安全

1　引言

2015年出台的《国务院办公厅关于推进城市地下综合管廊建设的指导意见》指出，“地下综合管廊是指在城市地下用于集中敷设电力、通信、广播电视、给水、排水、热力、燃气等市政管线的公共隧道”。“推进城市地下综合管廊建设，统筹各类市政管线规划、建设和管理，解决反复开挖路面、架空线网密集、管线事故频发等问题，有利于保障城市安全、完善城市功能、美化城市景观、促进城市集约高效和转型发展，有利于提高城市综合承载能力和城镇化发展质量，有利于增加公共产品有效投资、拉动社会资本投入、打造经济发展新动力。”

在国务院的持续推动下，各地方开始高度重视地下管网等城市基础设施建设。多省市积极出台相关规划，地下综合管廊建设正加速推进。浙江省发布了《关于推进全省城市地下综合管廊建设的实施意见》，提出浙江省地下综合管廊建设的主要目标：2016~2020年全省开工建地下综合管廊200公里以上，2016年开工建设80公里以上，到2020年建成150公里以上具有国内先进水平的地下综合管廊。古城西安陆续开建了9条综合管廊和14条缆线管廊，到2020年全部完工后，将建成全长73.13公里的干支线管廊、182.5公里的缆线管廊，为古都的城市运转提供动力和保障。佛山市发布的《佛山市加快建设城市地下综合管廊工作方案》要求，2016年至2020年全市新建地下综合管廊力争达到100公里，2017年全市新开工项目共7项，计划建设规模25.83公里。雄安新区规划建设起步区面积约100平方公里，中期发展区面积约200平方公里，远期控制区面积约2000平方公里,按照住建部、发改委发布的《全国城市市政基础设施规划建设“十三五”规划》设立的综合管廊建设目标：到2020年，城市新区新建道路综合管廊建设率达到30%，城市道路综合管廊配建率达到2%，则雄安新区近、中、长期相应的地下管廊长度分别为96、192、1920公里。

相关统计数据显示，截至2016年底，全国147个城市28个县已累计开工建设城市地下综合管廊2005公里，已建成的城市地下综合管廊总长度为75.4公里。

地下综合管廊是城市的超级大动脉，在实际规划建设中，城市管线种类繁多，涉及管线单位十余家乃至二十余家，相关企业从技术性、安全性考虑，或从本企业利益出发，均有不同诉求。设计单位要在满足技术性要求的前提下，设计出符合行业特点的安全策略，建立完善的系统防御，既保障相关管线单位行业信息的交互畅通，又保障这一关系到国计民生的基础设施的安全、稳定运行。

2　城市综合管廊监控系统简介

按照GB50838-2015《城市综合管廊工程技术规范》，一般将城市综合管廊监控系统分以下主要子系统，如图1所示。

图1 城市综合管廊监控系统

2.1　环境与设备监控系统

环境监控系统对综合管廊内环境参数进行实时监测，包括气体含量（含氧气、甲烷、硫化氢）、温湿度和集水井水位情况，出现异常情况时报警；同时对综合管廊内通风设备、排水泵和照明设备等进行状态监测和控制。

2.2　安全防范系统

视频监控系统对综合管廊内部环境、综合管廊出入口等重要位置处实时全方位的图像监控，使监控中心值班人员清楚了解综合管廊现场实际情况，并及时获得意外情况的图像信息。防入侵监测系统采用红外对射技术，当综合管廊现场出现“非法入侵”情况，联动现场声光报警器，同时其报警信号通过区域控制单元送入监控中心监控工作站，监控画面相应位置闪烁，并产生语音报警信号。门禁系统通过门禁控制，对监控中心和综合管廊出入口等处实施出入管理，强化综合管廊安全防范功能。电子巡查系统对综合管廊现场巡查行为进行记录并进行监管和考核，能有效地对管理维护人员的巡逻工作进行管理。

2.3　通信系统

应急通信与调度系统通过以太网实现各电话之间的相互呼叫，并通过设置的语音网关实现与外部市话联系功能。系统通过应急调度平台和综合管廊现场扬声器广播，实现远程调度功能。无线通信与人员定位系统对综合管廊内部实现无线信号覆盖，在手机上安装相应的APP软件，结合应急通信与调度系统实现无线语音通话功能。工作人员携带定位卡或智能手机（预装APP软件）进入综合管廊，实现人员定位功能，在紧急情况下指导综合管廊现场人员及时疏散，确保人身安全。

2.4　预警与报警系统

火灾自动报警系统实时接收感温光缆的火灾检测信号或手动火灾报警按钮的报警信号，在综合管廊内部进行声光报警，以警示管廊内部的工作人员。同时监控中心进行声光报警，软件界面弹窗报警，系统联动视频监控系统切换至火灾报警区域画面，警示监控中心工作人员采取相关措施。当燃气管线入廊时，系统对可燃气体含量进行实时监测，当浓度出现异常时进行报警并与通风系统进行联动。

2.5　消防系统

消防系统一般独立于其他子系统，在综合管廊现场每个防火分区设置气体灭火控制器、灭火装置、灭火装置动作指示灯和紧急启停按钮等设备。当火灾发生时，远程控制或者本地按下紧急启停按钮，灭火控制器启动管廊内部的灭火装置。

2.6　地理信息系统

采用地理特征数据库技术，管理多类型、大规模地理特征数据，提供精确的空间分析计算。帮助人们较直观地了解到管线现状，为管网设施运维提供依据，实现与管网设施相关的应急响应辅助决策，帮助用户提高综合管线事故的快速处置能力。

3　城市综合管廊监控系统设计

城市综合管廊监控系统一般由监控中心、监控室、现场检测及控制三部分组成。通过集成和互联管廊内的自动化系统，为运维人员提供一个完整的、统一的监控平台。监控中心是整个监控系统的核心，它联系、协调、控制和管理各子系统的工作。监控室一般设置大屏幕，用于监控综合管廊内的实时情况。现场检测及控制部分主要由接入层交换机、网络摄像头、现场区域控制器ACU等组成。其中ACU负责采集管廊内的检测信号，并根据信号对管廊内设备进行控制。综合管廊监控系统主要由上位监控软件平台、监控主干网、各子系统等组成。

以我院设计的某城市综合管廊监控系统为例：

3.1　环境与设备监控系统

在变电站及防火分区设置控制单元ACU，采集该区域内通风机、排水泵、照明系统、配电系统、电源装置、液位、液压井盖等设备工况；根据预设运行控制管理原则，控制该区域内通风机、排水泵、照明系统、液压井盖等设备。

在监控中心设置监控计算机、管理计算机、数据库服务器、安防工作站、UPS电源、打印机、拼接大屏幕系统等，并采集配电系统等设备工况。

3.2　安全防范系统

在管廊每个防火分区内每隔一定距离、每个投料口设置摄像机，对管廊内情况进行跟踪监视；在每个投料口和防火门两侧设置红外对射报警装置，用于非法入侵报警；在每个人员出入口、监控中心等入口处设置门禁系统，对出入人员进行限制，对出入事件进行记录；采用离线式电子巡查系统，管廊内每个分区设置巡查点，巡查人员使用巡查机对巡查点进行读取，巡查机通过通信机座将数据传输到安防工作站。

3.3　通信系统

在控制中心配置通信机柜，引入市话中继线，用于控制中心内对外通信联系，及控制中心与管廊内光纤电话通信；每个防火分区构建无线覆盖网络，接入该区域以太网控制网路中，并获取该分区接入设备地址和信息，巡检人员通过配备的专用设备或者可穿戴设备，进入管廊中做日常维护，各个控制器都能够知道该人员在哪个分区，并通知控制中心该人员具体位置。

3.4　消防系统

监控中心消防控制室设置火灾自动报警系统中央工作站、线性感温光纤探测系统主机，各变电站设置分布式集中报警控制器，其内设火灾集中报警控制器主机、气体灭火控制器、电气火灾监控主机、线性感温光纤检测系统主机等。各分布式集中报警控制器通过信号总线及总线I/O模块对现场消防系统设备进行监控。

4　城市综合管廊监控系统信息安全设计

4.1　系统风险评估

4.1.1　信息系统安全保护等级的确定

根据GB/T22240-2008《信息安全技术 信息系统安全等级保护定级指南》，确定该管廊信息系统安全保护等级为第三级，即“信息系统受破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。”同时，根据GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》，确定该管廊基本安全保护能力为第三级，即“能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。”

4.1.2　风险因素

通常ICS（Industrial Control System，工业控制系统）风险评估的范围主要包含三个大的方面：物理安全、技术安全和管理安全。物理安全包含防雷、防火、防盗、温湿度控制等方面；技术安全包括设备安全、网络安全、主机的安全等；管理安全通常涉及制度、流程、安全意识、机构等。

ICS在硬件方面存在的风险包括，硬件配置的脆弱性，对关键设备（包括监控中心设备、现场设备、便携设备、移动设备、外存储设备等）的物理防护措施不充分，未授权用户接触ICS设备，远程访问，系统组成未经审计的调整和变更等；软件方面存在的风险包括，软件配置的安全措施不足，ICS系统内的明文传输，现场总线协议的公开性与安全性之间的矛盾，专用软件的漏洞等。

对于市政管廊项目，ICS硬件方面的风险在项目执行过程中就已经产生，ICS中的产品选择、标准等，可以被投标商、供应商、承包商、最终用户等获得相关信息，甚至被他人通过互联网上获得相关信息。当这些信息和资源被提供给潜在的入侵者，攻击者就可以用其所掌握的控制系统知识，采用网络上的攻击软件和数据挖掘工具，获得未经授权的访问ICS的控制权。

ICS网络方面的脆弱性，包括网络配置漏洞、硬件漏洞、网络边界漏洞、监控和记录漏洞、无线连接漏洞等。

对于市政管廊项目，远程访问的需求与系统安全的矛盾尤其突出。不仅管廊工程的ICS维护工程师和技术人员有远程监视和操控ICS系统需求，入廊的各管线产权企业更希望其企业网络与管廊ICS网络之间无缝连接，可以使其企业决策者获得与其有关的管线的关键数据。但两者对可靠性的要求存在较大差异，ICS系统是将人员和设备的安全作为首要目标，而IT系统一般将性能、数据的完整性和保密性作为首要需求。ISC厂商越来越多的使用OPC协议，包括TCP/IP的标准化技术，这些开放的协议、标准的使用，增加了ICS网络的脆弱性。

4.2　设计解决方案

4.2.1　ICS平台

（1）设备的选择

ICS内硬件设备的选择，必须严格按照项目确定的信息系统安全保护等级进行选择。按照国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会2017年1号文“关于发布《网络关键设备和网络安全专用产品目录（第一批）的公告》”（以下简称“产品目录”）的要求，路由器、交换机、服务器（机架式）、可编程逻辑控制器（PLC）等，均需采用安全认证合格或符合安全检测要求的产品。

（2） 对关键设备设计必要的物理防护措施

访问和使用监控中心及其设备、现场设备、便携设备、移动存储设备等，设置包括物理访问隔离、控制、监测等措施。

4.2.2　网络

（1） 基本原则

在网络配置方面需要考虑的因素包括：数据流量控制、安全设备配置、数据加密传输、网络设备密码、访问控制措施等。

在网络硬件上需考虑网络设备的物理防护、物理环境的控制、关键网络设备的冗余配置等。

定义网络边界。在网络边界处安装防火墙，进行非法流量控制，自动生成日志，安装安全监控设备。

在通信方面，禁止非法路径，采用更安全的通信协议，对身份（用户、设备等）进行验证及分级管理，对数据的完整性进行校验，对无线客户端和接入点进行必要的认证，对无线客户端和接入点之间数据传输进行加密保护。

（2）防御架构

基于系统网络架构和存在的安全隐患，结合系统网络安全要求，设计了一套深度防御架构策略，将整个系统划分为分站控系统（N组）、站控系统（M组），监控中心、管理信息层以及远程接入等几个区域。

将各个分站控系统、站控系统通过安全隔离平台进行相互隔离，防止站控系统内病毒扩散，相互感染。该安全隔离平台对数据采集过程中遇到的数据泄露、病毒入侵等威胁进行全面监测、过滤、报警和阻断。

在监控中心设置安全审计平台，用于对本项目的网络进行安全审计，快速识别系统中存在的非法操作、异常事件、外部攻击及实时告警；设置安全监管平台，统一管理、部署各网络安全终端，监控终端所在网络的数据流量与安全事件，对安全威胁进行分析、审计、追踪、日志管理等。

在监控中心和信息管理层、管线产权单位远程接入端之间部署专业的网络边界入侵检测及防御平台，防止来自信息管理层网、管线产权单位远程接入端针对管廊项目ICS的攻击和病毒感染。

对于网络中的USB接入设备、无线接入设备等，均设置相应的安全隔离平台进行隔离。

上述安全隔离平台、安全审计平台、安全监管平台、网络边界入侵检测及防御平台等，均需满足“产品目录”的要求。

根据上述原则，最终确定的本项目ICS系统信息安全设计方案如图2所示（未包括消防报警系统、通信系统）。

该系统信息安全设计完成后，还应模拟现实威胁和攻击进行安全验证，并在项目的整个生命周期内不断地进行监测和修正。

图2 ICS信息安全设计方案

5　结语

2015年《国务院办公厅关于推进城市地下综合管廊建设的指导意见》指出，“地下综合管廊应配套建设消防、供电、照明、通风、给排水、视频、标识、安全与报警、智能管理等附属设施，提高智能化监控管理水平，确保管廊安全运行。要满足各类管线独立运行维护和安全管理需要，避免产生相互干扰。”2017年6月1日，《中华人民共和国网络安全法》正式实施，将网络安全提高到了一个前所未有的高度。在第三章“网络运行安全”第二节“关键信息基础设施的运行安全”中明确说明：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

地下综合管廊是城市的超级大动脉，容纳了城市的能源、公共通信、给水、排水等重要的市政公用设施，作为关键基础设施，保障其安全、稳定地运行，就是保障城市的安全、宜居、可持续发展，其工业控制系统信息安全需要重点关注、重点保护。综合管廊项目的ICS设计工程师在项目设计之初，应该与工业信息安全工程师、IT工程师一起，仔细评估系统风险，推敲设计架构，从ICS自身、网络等方面，全面设计综合管廊的工业控制系统信息安全策略，保障综合管廊工业控制系统信息安全，确保城市超级大动脉的安全运行。

作者简介：

张泳（1971-），男，硕士，教授级高级工程师。现任天津市市政工程设计研究总院第四设计研究院电气自动化专业技术负责人，青年首席设计师。自参加工作以来，一直从事市政工程中的电气、自动化设计工作，具有扎实的理论基础和工程设计经验，担任多项大型市政工程、重点项目的专业负责人（郑州市污水处理厂、石家庄桥西污水处理厂中水回用、湖北省宜昌市三峡坝区固体废弃物处理场、天津市咸阳路污水处理厂、安哥拉万博市供水系统改造、郑州市马头岗污水处理厂、咸阳路污水处理厂升级改造工程、中新天津生态城污水库治理、天津市张贵庄污水处理及再生利用工程等），并有针对性地提出了若干控制策略指导工程实践。

摘自《自动化博览》2018年1月刊