■金 燚
(福建省交通信息通信與應(yīng)急處置中心,福州 350001)
交通運(yùn)輸是國民經(jīng)濟(jì)中基礎(chǔ)性、先導(dǎo)性和戰(zhàn)略性產(chǎn)業(yè),通過近30年的發(fā)展,在基礎(chǔ)設(shè)施建設(shè)、行業(yè)協(xié)同管理、智能管理與服務(wù)等方面都取得了長足發(fā)展。而交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施及核心業(yè)務(wù)系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,將會嚴(yán)重危害國家安全、國計(jì)民生、公共利益。
隨著“互聯(lián)網(wǎng)+交通”、“一帶一路”建設(shè)等規(guī)劃的實(shí)施和綜合交通的不斷發(fā)展,交通運(yùn)輸信息化內(nèi)涵和外延不斷豐富,政企合作不斷深入。在這樣的背景下,行業(yè)信息化整體發(fā)展體現(xiàn)出以下幾個特征:首先是網(wǎng)絡(luò)規(guī)模龐大,關(guān)鍵支撐作用逐漸增加;其次建設(shè)主體復(fù)雜多樣,管理難度大;再次是移動互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)廣泛應(yīng)用,交通運(yùn)輸新模式、新業(yè)態(tài)快速發(fā)展;第四是孤島式網(wǎng)絡(luò)結(jié)構(gòu)壁壘松動,信息共享和互聯(lián)互通成為趨勢;第五是交通運(yùn)輸智能化、合作化發(fā)展突飛猛進(jìn)。
這些特征決定了當(dāng)今的交通運(yùn)輸網(wǎng)絡(luò)安全,在未健全面向傳統(tǒng)網(wǎng)絡(luò)安全保障措施的情況下,已經(jīng)步入了新一代的網(wǎng)絡(luò)安全環(huán)境之中,在網(wǎng)絡(luò)整體架構(gòu)中,任意一點(diǎn)被攻破,都將造成整體性的網(wǎng)絡(luò)安全事故。開展交通運(yùn)輸網(wǎng)絡(luò)安全工作,必須做到全面規(guī)劃、突出重點(diǎn)、立足現(xiàn)代、展望未來城市智慧交通安全問題并不是單獨(dú)存在的,應(yīng)遵從行業(yè)信息安全的總體規(guī)劃,繼承并利用行業(yè)內(nèi)已有的成熟技術(shù)、經(jīng)驗(yàn),從而形成可行的、易于推廣的安全解決方案。
近年,我省交通行業(yè)網(wǎng)絡(luò)安全工作總體開展較好,制定了《福建省交通運(yùn)輸廳非涉密信息系統(tǒng)安全管理制度》等管理制度,逐步完善了安全防護(hù)措施、應(yīng)急響應(yīng)機(jī)制。新形勢下要針對交通運(yùn)輸網(wǎng)絡(luò)安全進(jìn)行主動防護(hù)試點(diǎn)研究工作。
隨著網(wǎng)絡(luò)應(yīng)用與普及,針對傳統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)的各類主機(jī)及關(guān)鍵節(jié)點(diǎn)的資產(chǎn)管理、態(tài)勢感知、威脅預(yù)警和應(yīng)急響應(yīng)等成套技術(shù)目前已取得較大進(jìn)展,并可綜合運(yùn)用3D、VR等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)管理的智能化和可視化。但在新一代交通運(yùn)輸網(wǎng)絡(luò)中,各類業(yè)務(wù)應(yīng)用不但包含傳統(tǒng)網(wǎng)絡(luò)部分,而且還涉及各類交通外場設(shè)施、載運(yùn)工具和移動終端等,這使得交通運(yùn)輸網(wǎng)絡(luò)一方面具有點(diǎn)多、線長、面廣等特點(diǎn),另一方面還具有移動和跨區(qū)域等特殊需求。而針對這些交通外場設(shè)施的安全管理,目前由于接口種類、通信協(xié)議等原因還無法實(shí)現(xiàn)統(tǒng)一管理,并且都是一些基本信息、特定屬性的查詢和可視化,無法實(shí)時了解各類交通外場設(shè)施的運(yùn)行狀態(tài)和正在面臨的網(wǎng)絡(luò)安全威脅等內(nèi)容,更不能對這些設(shè)施實(shí)現(xiàn)遠(yuǎn)程防護(hù)和應(yīng)急響應(yīng)等功能,還遠(yuǎn)遠(yuǎn)未達(dá)到智能化管理的應(yīng)用需求。
針對交通運(yùn)輸網(wǎng)絡(luò)中特有的交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備等,業(yè)內(nèi)尚缺乏對攻擊特征的積累,一旦遭受攻擊就可能是毫無防御能力的未知攻擊。同時,傳統(tǒng)安全產(chǎn)品,基于脆弱性、反應(yīng)性、邊界性的周界安全模型已經(jīng)不具備應(yīng)對和處置全球化、規(guī)?;?、快速演變的網(wǎng)絡(luò)攻擊的能力,持續(xù)衍變的先進(jìn)持續(xù)攻擊手段能夠有效地規(guī)避基于特征簽名的檢測,網(wǎng)絡(luò)環(huán)境的生存性和使命保障能力面對新的挑戰(zhàn)。當(dāng)未知網(wǎng)絡(luò)威脅來臨、內(nèi)部威脅增多,網(wǎng)絡(luò)邊界逐漸模糊化甚至消失后,以高級持續(xù)攻擊(APT)攻擊為代表的網(wǎng)絡(luò)攻擊往往采用多種綜合的攻擊手法,多種惡意軟件,甚至0day漏洞與社會工程方法,能夠繞開傳統(tǒng)基于規(guī)則的安全產(chǎn)品的檢測。面對日漸增多的高級威脅,傳統(tǒng)安全防護(hù)產(chǎn)品無法做到有效的發(fā)現(xiàn),失去防護(hù)能力,嚴(yán)重的可能造成全網(wǎng)癱瘓。
交通運(yùn)輸網(wǎng)絡(luò)安全面臨著前所未有的挑戰(zhàn)和威脅,同時由于交通系統(tǒng)涉及面廣、變化快、以及網(wǎng)絡(luò)新技術(shù)新業(yè)務(wù)層出不窮、信息系統(tǒng)基礎(chǔ)較薄弱等因素,網(wǎng)絡(luò)與信息安全工作尚處于被動的應(yīng)急救火階段,疲于應(yīng)對各種突發(fā)網(wǎng)絡(luò)安全問題,缺少主動防御和事前預(yù)警和事中監(jiān)測的有效手段,安全風(fēng)險難以得到持續(xù)受控、可控,安全問題層出不窮,嚴(yán)重制約深度安全建設(shè)以及業(yè)務(wù)快速發(fā)展。Gartner預(yù)計(jì)到2020年,快速檢測和響應(yīng)投資將從目前的10%增長到60%,以事前防范和預(yù)警防御為主的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)技術(shù)能力有待提升。
面對日益復(fù)雜的攻擊形式,單一的防護(hù)無法發(fā)現(xiàn)復(fù)雜的攻擊行為,同時基于已知規(guī)則監(jiān)測已不適應(yīng),需要考慮借助大數(shù)據(jù)和行為異常監(jiān)測分析理念開展數(shù)據(jù)分析。由于大數(shù)據(jù)形式與內(nèi)容的多樣性、獲取方式與來源的多元化以及數(shù)據(jù)高維特征引起的維數(shù)災(zāi)難等問題,給大數(shù)據(jù)的獲取和分析帶來了巨大困難。同時網(wǎng)絡(luò)安全事件的突發(fā)性,實(shí)時感知的海量數(shù)據(jù)還存在噪音多、混雜、質(zhì)量差和可信度低等問題,更增加了大數(shù)據(jù)分析和處理的難度,海量安全數(shù)據(jù)挖掘技術(shù)能力有待改進(jìn)。
面對新形勢下交通運(yùn)輸網(wǎng)絡(luò)所面臨的新風(fēng)險、新問題,本文設(shè)想從以下幾個方面著手解決:
隨著交通信息化的快速發(fā)展,大量的外場設(shè)備陸續(xù)接入交通專網(wǎng),但是針對這些外場設(shè)備,缺乏有效的安全管理手段。為此,急需建立起針對交通外場設(shè)施的指紋庫,同時整合行業(yè)漏洞信息,建立交通運(yùn)輸行業(yè)漏洞庫,通過擴(kuò)大漏洞收集和分析渠道,降低信息安全事件發(fā)生的可能性,提高交通運(yùn)輸網(wǎng)絡(luò)漏洞研究水平和安全預(yù)警能力,促進(jìn)交通運(yùn)輸網(wǎng)絡(luò)健康穩(wěn)步發(fā)展。
交通外場設(shè)施的分類如表1所示。
針對交通行業(yè)點(diǎn)多、線長、面廣,外場設(shè)施種類多的特征,研究適用于交通數(shù)據(jù)流的深度包檢測DPI技術(shù)(DeepPacketInspection)。通過對現(xiàn)有交通運(yùn)輸網(wǎng)絡(luò)(含互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、政務(wù)信息網(wǎng)、行業(yè)專網(wǎng)等)關(guān)鍵節(jié)點(diǎn)處的流量進(jìn)行報文重組、數(shù)據(jù)還原、代碼檢測分析,可以根據(jù)事先定義的策略對檢測流量進(jìn)行過濾控制,獲取需要的協(xié)議字段和樣本文件。最終為實(shí)現(xiàn)時間指紋、模式特征、行為模型、異常行為、安全威脅場景、資產(chǎn)的可視化分析等功能提供底層數(shù)據(jù)采集支撐。
表1 交通外場設(shè)施分類
DPI接收交通運(yùn)輸網(wǎng)絡(luò)中的流量,提供靈活配置獲取的網(wǎng)絡(luò)協(xié)議字段,支持將獲取的協(xié)議字段信息與后端管理端之間的安全數(shù)據(jù)傳輸,將捕獲分析的數(shù)據(jù)提供給數(shù)據(jù)分析模塊多個引擎進(jìn)程各一份數(shù)據(jù),進(jìn)行協(xié)議識別、分析、組包、組流等,針對不同節(jié)點(diǎn)的特征規(guī)則及過濾策略進(jìn)行匹配比對,全方位的檢測網(wǎng)絡(luò)數(shù)據(jù)流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來源及行為等內(nèi)容。工作原理如圖1所示。
DPI采用分布式流式數(shù)據(jù)處理框架,將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個處理節(jié)點(diǎn)上,以滿足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場景,及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問題。
研究海量大數(shù)據(jù)對網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù),從處理響應(yīng)實(shí)時性和關(guān)聯(lián)規(guī)則復(fù)雜度等方面都提出要求,研究大數(shù)據(jù)實(shí)時事件關(guān)聯(lián)分析技術(shù),采用分布式流式數(shù)據(jù)處理框架,將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個處理節(jié)點(diǎn)上,以滿足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場景,及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問題。
通過現(xiàn)有的成熟技術(shù)和基礎(chǔ)數(shù)據(jù)并結(jié)合各交通行業(yè)的實(shí)際安全業(yè)務(wù)要求,通過網(wǎng)絡(luò)安全態(tài)勢感知幫助解決“未知安全威脅”的探測和感知,從而做到事前發(fā)現(xiàn)安全威脅和風(fēng)險,及時通知管理者或安全設(shè)備完成威脅的阻擊和風(fēng)險的蔓延,最大的程度的把安全事件控制在最小范圍內(nèi)。通過分析交通運(yùn)輸網(wǎng)的全流量信息,基于時間流的算法,全方位的檢測流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來源及行為等內(nèi)容,以可視化的界面展示給安全管理者,幫助管理者及時知曉網(wǎng)絡(luò)安全態(tài)勢,保障交通運(yùn)輸網(wǎng)絡(luò)的安全運(yùn)行。
圖1 DPI技術(shù)工作原理
圖2 基于交通大數(shù)據(jù)的安全態(tài)勢業(yè)務(wù)模型
通過采集交通控制網(wǎng)絡(luò)中交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備的流量信息,系統(tǒng)依托共享模塊的設(shè)備指紋庫、漏洞庫、資產(chǎn)庫、安全事件庫、威脅情報庫、白名單庫等特征信息對交通網(wǎng)絡(luò)安全事件進(jìn)行分析,分析內(nèi)容包括對資產(chǎn)識別分析、入侵事件分析、文件檢測分析、攻擊鏈行為分析等,為交通控制網(wǎng)絡(luò)的態(tài)勢感知提供基礎(chǔ)。
基于交通數(shù)據(jù)的安全態(tài)勢分析是一種基于網(wǎng)絡(luò)邊界檢測、資產(chǎn)關(guān)聯(lián)與未知威脅發(fā)現(xiàn)的安全態(tài)勢感知技術(shù)。充分利用資產(chǎn)識別、入侵事件檢測、惡意文件檢測、攻擊鏈行為分析、大數(shù)據(jù)處理的技術(shù)優(yōu)勢,建立資產(chǎn)與安全的關(guān)聯(lián)機(jī)制、攻擊鏈行為分析模型。實(shí)現(xiàn)攻擊鏈識別、資產(chǎn)識、安全事件檢測、惡意文件檢測、追蹤取證,達(dá)到對交通控制網(wǎng)絡(luò)的流量異常預(yù)警、設(shè)備資產(chǎn)變更感知、事件行為告警、多維度攻擊來源展示的綜合性態(tài)勢感知能力。
根據(jù)國內(nèi)外交通運(yùn)輸技術(shù)和產(chǎn)業(yè)的發(fā)展建設(shè)經(jīng)驗(yàn),以及信息安全專項(xiàng)的技術(shù)特色和結(jié)合交通運(yùn)輸服務(wù)領(lǐng)域的新業(yè)態(tài),可以明確對新一代交通運(yùn)輸網(wǎng)絡(luò)安全保障技術(shù)研究是必要的。該方向的研究,可有效推進(jìn)交通運(yùn)輸信息化的快速發(fā)展。
未來的交通運(yùn)輸網(wǎng)絡(luò)通過物聯(lián)網(wǎng)和5G高速網(wǎng)絡(luò)對人-車-路的信息聯(lián)動,可對車輛跑偏、車輛碰撞、疲勞駕駛等交通事故及危險駕駛行為進(jìn)行預(yù)警,從而實(shí)現(xiàn)交通安全運(yùn)行;通過對交通樞紐的車流、運(yùn)力信息獲取、道路、車輛、客流,可對交通運(yùn)行狀況進(jìn)行主動偵測調(diào)節(jié),從而實(shí)現(xiàn)交通高效運(yùn)轉(zhuǎn);通過交通流量的動態(tài)獲取與主動管理,可緩解交通擁堵,提高道路利用率,促進(jìn)節(jié)能減排,降低交通資源占有率,綠色環(huán)保,最終形成安全、高效、環(huán)保的現(xiàn)代交通運(yùn)輸體系建設(shè);通過交通運(yùn)輸動態(tài)感知體系的建設(shè),可以使行業(yè)管理部門及時、全面地掌握交通運(yùn)營動態(tài),從而提高對交通的監(jiān)管能力和應(yīng)急處置能力。還可以為橋梁安全運(yùn)營提供可靠的技術(shù)保障,避免橋梁重大事故的發(fā)生,減少處于交通命脈的橋梁因事故所帶來的巨大經(jīng)濟(jì)和人員損失。