1　引言

近年來，城市綜合管廊作為市政行業一項新興的工程類別，建設項目逐年增多。綜合管廊亦稱共同溝，是一種集給水、雨水、污水、再生水、天然氣、熱力、電力、通信等各種市政管線于一體，同時設置專門的檢修口、吊裝口、排水設施、消防設施、通風設施和監測控制系統的地下集成化隧道，實行“統一規劃、統一建設、統一管理”，以做到地下空間的綜合利用和資源共享[1~3]。綜合管廊是城市的超級大動脈，作為城市關鍵基礎設施，其工業控制系統信息安全需要重點關注。基于管廊自身特點，為了保證管廊正常運行及人員安全，應建立綜合管廊監控與報警系統、工業控制系統信息安全策略，借助自動化、信息化技術，有效提升綜合管廊的運行管理自動化水平。

本文結合保定市東風路西延綜合管廊對監控與報警系統、工業控制信息安全系統中各子系統的設備構成、布置原則及系統設計要點做了詳細闡述。

2　保定市東風路西延管廊簡介

保定市東風路西延管廊位于保定市市區，全長4公里，不超過200米設置一個防火分區，共設置23個防火分區。根據各類管線專項規劃，東風路西延管廊為干線管廊，敷設的管線有給水、中水、供熱、電力、通信、天燃氣等管線。采用矩形斷面，四艙布置形式，給水、中水、電信共用一艙，電力管線、供熱管線和天燃氣管線各單獨一艙，沿線設置有人員出入口、投料口、自然通風口、機械通風口、管線引出口及端井等特殊節點。東風路西延管廊標準斷面尺寸為4350×2400+4350×4400mm+4350×3800+3000×2200（mm），如圖1所示。

圖1 管廊標準斷面示意圖

3　監控與報警系統構成

綜合管廊監控與報警系統包括：環境與設備監控系統、安全防范系統、通信系統、預警與報警系統、統一管理信息平臺[4~6]。監控與報警系統集成圖如圖2所示。

圖2 監控與報警系統集成圖

綜合管廊運行管理采用集散型控制模式，分為三層結構：信息層、控制層和設備層[7~8]。統一管理平臺設于監控中心，控制層由管廊沿線內部各現場控制站組成。各現場控制站通過配置的工業以太網交換機組成環網。監控中心內部的監控計算機通過以太網與現場控制站通訊，利用軟件形象地反映出管廊內部各設備的狀態、儀表監測數據和動力配電箱的實時數據，監控計算機通過現場控制站實現設備的啟停控制。統一管理平臺將綜合管廊監控與報警系統各個子系統集成為一個相互關聯和協調的綜合系統，實現各系統統一管理、信息共享及相互聯動控制，統一管理平臺具有與各專業管線單位信息共享的功能[9~10]。

4　監控與報警系統設計

以管廊的一個防火分區劃分為一個監控與報警分區。

4.1　環境與設備監控系統

環境與設備監控系統的功能是對綜合管廊全域內環境和設備的參數和狀態進行全程監控，將實時監控信息準確、及時地傳輸到監控中心的統一管理信息平臺。

（1）環境監測

在每段綜合管廊進風口、控制站以及各防火分區的中部位置設置溫濕度儀、氣體探測儀（氧氣、甲烷及硫化氫）；在集水井處設置水位傳感器。

系統主要功能：

· 當監測到氧氣、甲烷、硫化氫等氣體含量超過一定標準時，系統立即報警，并可在自動模式下聯動相應區域風機進行強制換氣；

· 系統實時監測集水井水位超限信號，并根據水位超限信息進行水泵控制操作；

· 系統具備環境參量超標自動告警功能，并通過監控平臺以圖形、語音、短信等方式進行報警與通知相關人員。

（2）設備控制

設備控制主要包括管廊現場防火門、風機、風閥、排水泵、照明系統等設備的控制，現場相應配有設備各自的控制箱，監控系統能通過區域現場控制單元對控制設備發出相應控制信號，控制信號可以是Modbus通訊信號或者干接點信號。

· 風機控制

當環境監測系統檢測到氣體、濕度異常并引發報警時，可聯動相關區段的風機進行強制換氣。當火災報警系統發出火情警報時，可聯動確保相關區段的風機關閉。

· 照明系統控制

綜合管廊綜合監控平臺軟件通過以太環網系統控制管廊現場的照明設備啟閉。當集中監控平臺接收到非法入侵報警或者其它監測系統報警，需要輔助攝像頭做現場確認時，遠程開啟管廊現場照明設備，控制信號由當前區段控制單元輸出。

· 防火門控制

綜合管廊綜合監控平臺軟件可控制管廊現場的防火門啟閉。當管廊現場出現火情，系統聯動人員定位、視頻系統確認現場無人員后，設置防火門關閉，避免火情蔓延，并聯動消防系統實現隔離滅火功能。

· 排水控制

綜合管廊內積水坑內設置有排水泵，并配置液位計、液位開關，實現排水泵的自動啟、停控制。

· 供配電設備的監視

電氣參數監測，實時采集供配電系統各段母線的電壓、各回路的電流、各段線路的開關狀態、能耗指標等參數。

4.2　安全防范系統

安防系統包含五部分：智能視頻監控系統、入侵報警系統、出入口門禁控制系統、電子巡查系統和人員定位系統。

（1）智能視頻監控系統

在管廊中需要重點監視的地方（分叉地段、管廊出入口、投料口等）安裝紅外夜視高清網絡攝像機，可以使值班工作人員通過綜合監控軟件平臺實時監控管廊環境狀態。

智能視頻監控系統同時具備圖像分析處理能力，對于進入禁區的非法闖入行為自動報警。

（2）入侵報警系統

在管廊的人員出入口、投料口、通風口、逃生口等處設置紅外對射入侵報警系統，針對非法進出入管廊的人員進行監視和管理，防止非法入侵。如遇非法入侵能夠自動報警，配以視頻監控能實時而直觀地觀察和記錄現場的實際情況。

（3）人員定位系統

本系統為基于射頻識別技術RFID的人員定位系統，在管廊出入口及艙室內相隔一定間距設置RFID讀寫器，通過RFID接收器將信息反饋至監控中心。

（4）電子巡查系統

電子巡查系統是對管廊現場巡查行為進行記錄并進行監管和考核的系統，是安防系統的重要組成部分，能提高管廊巡檢工作的規范化及科學化水平，有效保障被巡檢設施處于良好狀態，實現綜合管廊管理的規范化、科學化和及時消除隱患等功能。

（5）出入口門禁控制系統

在管廊的人員出入口、管廊區域監控站出入口設置門禁控制系統，門禁控制系統應具有對非正常開啟、出入口長時間未關閉、通訊中斷、設備故障等非正常情況的實時報警功能。

4.3　通信系統

（1）固定式通信系統

在管廊內每個防火分區現場控制分站設置IP電話主機，在每個艙室設置IP電話副機。監控中心設有電話接入主機、工作站、接警電話等設備。管廊現場電話通過光纖環網可以實現各電話之間以及現場與監控中心的相互語音通話及音頻廣播，并可接入市話外線。

（2）無線通信系統

在管廊內采用無線局域網可實現管廊內移動語音通信。在每個防火分區各艙室設置無線接入點AP，實現管廊內無線通信覆蓋。監控中心設有無線接入控制器AC，實現對管廊內AP的集中管理。巡檢人員通過手持VoIP手機通訊。

4.4　預警與報警系統

預警與報警系統包括：火災探測及自動報警系統、爆管監測系統、可燃氣體探測報警系統。

（1）火災探測及自動報警系統

在含有電力管線的艙室內設感煙探測器和火災聲光報警器，管廊內部設置手動火災報警按鈕和火災報警器，手動火災報警按鈕處設置電話插孔。在中壓及高壓電纜表面敷設纜式線型感溫光纜用于監控電纜溫度。

火災自動報警系統具有聯動功能，當火災確認后，消防聯動控制器應聯動關閉著火分區及同艙室相鄰防火分區通風機和防火閥；應啟動管廊內同艙室所有的火災聲光報警器；打開著火分區及同艙室相鄰防火分區應急照明；聯動相關攝像機監視報警現場，供監控中心確認并記錄；應聯動人員出入口控制系統，釋放相應出入口控制裝置；火災報警控制器應聯動自動滅火控制器，啟動消防滅火系統。

在綜合管廊控制中心內設火災報警上位機一臺、圖形控制系統一套及手動控制柜一套，通過光纖網絡與設置在管廊現場控制站的區域火災報警控制器聯網。圖形控制系統可以顯示整個火災報警網絡系統的狀態。

（2）爆管監測系統

在含有熱力管線的艙室內應設置爆管監測系統，在每根供熱管道上平行捆綁敷設一根感溫光纖，光纖接入相應區間的感溫光纖主機，各主機通過通信系統將數據上傳至監控中心報警主機。

（3）可燃氣體探測報警系統

在燃氣艙每個防火分區設置一套可燃氣體報警控制器，在燃氣艙設可燃氣體探測器，探測器形式為紅外激光探測式。當天然氣濃度超過閾值時，應由可燃氣體控制器或消防聯動控制器聯動啟動天然氣事故段分區及其相鄰分區的事故通風設備。

5　工業控制系統信息安全系統設計

近年來工業控制系統安全事故頻發并出現逐年上升趨勢，工業控制系統信息安全引起了國內外高度重視[11~15]。綜合管廊作為城市的超級大動脈，屬于國家關鍵基礎設施，應依照國家標準加強網絡安全防護。根據GB 51354-2019《城市地下綜合管廊運行維護及安全技術標準》，綜合管廊信息系統及其設備應具備防病毒和防網絡入侵措施[16~18]。根據GB/T 22240-2008《信息安全技術信息系統安全等級保護定級指南》及GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》，確定該綜合管廊信息系統安全保護等級及基本安全保護能力為第三級[19]。

為實現工控系統等級保護安全合規的建設需求，保障綜合管廊工業控制系統信息安全，本設計引入一系列安全軟硬件進行安全防護，具體如下。

5.1　工業防火墻系統

在生產網和工程師操作站交換機之間部署工業防火墻進行邊界防護和邏輯隔離，同時進行訪問控制，防止來自工程師站的網絡攻擊。

在綜合管廊統一管理平臺與各專業管線單位外網之間部署工業防火墻，防火墻支持VPN功能，實現了內外網隔離，既能防止傳統的IT攻擊，也能識別OT攻擊，滿足了安全接入智慧城市建設要求。

工業防火墻具備工業入侵檢測功能，擁有工業特征庫、威脅特征庫和漏洞庫，防火墻具有AI模塊，通過部署在網絡中識別工控協議流量，可對網絡中的威脅流量進行告警和阻斷。

5.2　入侵檢測系統

在核心交換機旁路部署入侵檢測系統，入侵檢測技術：支持基于IP碎片重組、TCP流重組、會話狀態跟蹤、應用層協議解碼等數據流處理方式的攻擊識別；支持模式匹配、異常檢測、統計分析，以及抗IDS/IPS逃逸等多種檢測技術。

協議分析： 可依據端口識別協議類型， 分析HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多種協議。

特征規則：內置攻擊特征庫，特征數量超過2500條，并可自定義攻擊特征，可阻擋蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區溢出、掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊。

5.3　工業審計系統

在每個生產區域網絡邊界位置的交換機上旁路部署一套工業審計系統，對工業控制系統的網絡傳輸信息的實時采集、實時分析、實時告警及日志存儲進行審計。展現異常主機接入事件、工業異常行為事件、工業網絡入侵事件，對網絡攻擊行為留存證據，發現工業控制系統網絡潛在的威脅者。記錄工業控制系統的訪問日志和事件日志，日志可以實時上傳給工業監管平臺。

5.4　工業主機衛士

所有操作員站，監控主機上部署工業衛士軟件。工業衛士軟件具有白名單功能，打造安全管理中心，白環境僅允許運行受信任的PE文件，完善相應的加固策略，提升安全級別，有效阻止病毒、木馬等惡意軟件的執行和被利用，實現工控主機從啟動、加載、運行等過程全生命周期的安全保障。

5.5　工業監管平臺

工業控制系統在做好信息安全的相關建設或整改后，增加了網絡安全性，但也增加了一定的管理難度。在控制層部署工業監管平臺系統，對所使用的安全設備進行統一管理，主要包括數據監測、日志收集和報警展示，運維管理人員可通過工業監管平臺系統監控全網的報警信息，發生安全事件后，可第一時間采取處置措施。

5.6　工業漏洞掃描系統

網絡邊界部署工業漏洞掃描系統。發現可能存在的已知漏洞，并在充分測評評估后，及時修補漏洞。工業漏掃系統能夠全面、精準地檢測信息系統中存在的各種脆弱性問題，包括各種安全漏洞、安全配置問題、不合規行為等。在信息系統受到危害之前為管理員提供專業、有效的漏洞分析和修補建議。并結合可信的漏洞管理流程對漏洞進行預警、掃描、修復、審計，防患于未然。定期開展安全測評，形成安全測評報告，采取措施應對發現的安全問題。

5.7　日志審計系統

在核心交換機部署日志審計系統，審計覆蓋到每個終端、網絡設備、工控系統等系統的用戶行為和安全事件。日志記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他審計相關的信息。提供安全事件的實時監控和多維度統計，通過事件列表展示當前網絡的實時活動，依據IP地址、事件類型等維度進行安全事件的統計，以可視化的餅狀圖、柱狀圖、堆積圖等形式進行展示。

6　結語

隨著我國綜合管廊建設規模的日益擴大及國家的政策支持，管廊設計的科學化和規范化尤為重要。繼國家標準GB 50838-2015《城市綜合管廊工程技術規范》發布之后，針對監控與報警系統、工業控制系統信息安全等陸續編制了更為詳細的規范標準及設計圖集，如GB/T 51274-2017《城鎮綜合管廊監控與報警系統工程技術標準》、17GL603《綜合管廊監控及報警系統設計與施工》、GB 51354-2019《城市地下綜合管廊運行維護及安全技術標準》等，結合管廊建設過程中的設計經驗，管廊監控與報警系統設計、管廊工業控制系統信息安全設計將更加科學合理，以達到保障綜合管廊安全穩定運行、提升維護管理水平的目的。

作者簡介：

解存福（1986-），男，河北邢臺人，工程師，碩士，現就職于中國市政工程華北設計研究總院有限公司，主要從事市政工程電氣自控設計工作。

參考文獻：

[1] 曹政柳, 鄭恒軍. 綜合管廊配套電氣設計要點探究[J]. 工程技術研究, 2019, 4 (4) : 194 - 195.

[2] 王偉. 城市地下綜合管廊建設的困境與對策研究[J]. 工程技術研究, 2019, 4 (20) : 231 - 232.

[3] 馬鴻敏, 馬建勛, 李宗文, 等. 我國地下綜合管廊建設現狀與展望[J]. 市政技術, 2017, 35 (3) : 93 - 96.

[4] GB 50838-2015. 城市綜合管廊工程技術規范[S].

[5] GB/T 51274-2017. 城鎮綜合管廊監控與報警系統工程技術標準[S].

[6] 張偉. 綜合管廊監控與報警系統的探討[J]. 通訊世界, 2020, 27 (3) : 36 - 38.

[7] 錢中陽, 康潛. 城市綜合管廊工程電氣自控設計探討[J]. 建筑電氣, 2017, 36 (11) : 8 - 12.

[8] 沈曉偉, 李炎, 馬瑩瑩, 等. 基于GIS技術的環境監測系統在綜合管廊中的應用[J]. 市政技術, 2019, 37 (05) : 220 - 222.

[9] 張學群, 楊超, 張祥武. 包頭市110國道綜合管廊監控與報警系統設計[J]. 數字技術與應用, 2017, (10) : 149 - 152.

[10] 李永生. 某地下綜合管廊的弱電與火災報警系統設計[J]. 機電信息, 2017, (18) : 64 - 65.

[11] 肖建榮. 工業控制系統信息安全技術分析與探討[J]. 自動化博覽, 2015, (6) : 74 - 77.

[12] 區和堅. 工業控制系統信息安全研究綜述[J].自動化儀表, 2017, 38 (7) : 4 - 8.

[13] 許光濘. 工業控制系統安全防護體系研究[J].石油化工自動化, 2020, 56 (3) : 1 - 6.

[14] 康天嬌, 鄒春明. 工業控制系統網絡安全產品研究分析[J]. 網絡空間安全, 2020, 11 (1) : 34 - 38.

[15] 靳江紅, 莫昌瑜, 李剛. 工業控制系統功能安全與信息安全一體化防護措施研究[J]. 工業安全與環保, 2020, 46 (1) : 53 - 60.

[16] GB 51354-2019. 城市地下綜合管廊運行維護及安全技術標準[S].

[17] 劉航. 信息安全技術在城市地下綜合管廊監控系統中的應用[J]. 網絡安全技術與應用, 2020, (4) : 143 - 146.

[18] 王曄, 陳麗娟, 衣然. 等保2.0時代城市軌道交通信號系統網絡安全防護新思路[J]. 信息技術與網絡安全, 2020, 39 (3) : 1 - 5.

[19] 張泳. 城市綜合管廊監控系統信息安全設計[J]. 自動化博覽, 2018, (1) : 40 - 44.

摘自《自動化博覽》2021年4月刊