新形勢下交通運(yùn)輸網(wǎng)絡(luò)安全面臨的問題與思考

■金 燚

(福建省交通信息通信與應(yīng)急處置中心，福州 350001)

1 前言

交通運(yùn)輸是國民經(jīng)濟(jì)中基礎(chǔ)性、先導(dǎo)性和戰(zhàn)略性產(chǎn)業(yè)，通過近30年的發(fā)展，在基礎(chǔ)設(shè)施建設(shè)、行業(yè)協(xié)同管理、智能管理與服務(wù)等方面都取得了長足發(fā)展。而交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施及核心業(yè)務(wù)系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，將會嚴(yán)重危害國家安全、國計(jì)民生、公共利益。

隨著“互聯(lián)網(wǎng)+交通”、“一帶一路”建設(shè)等規(guī)劃的實(shí)施和綜合交通的不斷發(fā)展，交通運(yùn)輸信息化內(nèi)涵和外延不斷豐富，政企合作不斷深入。在這樣的背景下，行業(yè)信息化整體發(fā)展體現(xiàn)出以下幾個特征：首先是網(wǎng)絡(luò)規(guī)模龐大，關(guān)鍵支撐作用逐漸增加；其次建設(shè)主體復(fù)雜多樣，管理難度大；再次是移動互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)廣泛應(yīng)用，交通運(yùn)輸新模式、新業(yè)態(tài)快速發(fā)展；第四是孤島式網(wǎng)絡(luò)結(jié)構(gòu)壁壘松動，信息共享和互聯(lián)互通成為趨勢；第五是交通運(yùn)輸智能化、合作化發(fā)展突飛猛進(jìn)。

這些特征決定了當(dāng)今的交通運(yùn)輸網(wǎng)絡(luò)安全，在未健全面向傳統(tǒng)網(wǎng)絡(luò)安全保障措施的情況下，已經(jīng)步入了新一代的網(wǎng)絡(luò)安全環(huán)境之中，在網(wǎng)絡(luò)整體架構(gòu)中，任意一點(diǎn)被攻破，都將造成整體性的網(wǎng)絡(luò)安全事故。開展交通運(yùn)輸網(wǎng)絡(luò)安全工作，必須做到全面規(guī)劃、突出重點(diǎn)、立足現(xiàn)代、展望未來城市智慧交通安全問題并不是單獨(dú)存在的，應(yīng)遵從行業(yè)信息安全的總體規(guī)劃，繼承并利用行業(yè)內(nèi)已有的成熟技術(shù)、經(jīng)驗(yàn)，從而形成可行的、易于推廣的安全解決方案。

近年，我省交通行業(yè)網(wǎng)絡(luò)安全工作總體開展較好，制定了《福建省交通運(yùn)輸廳非涉密信息系統(tǒng)安全管理制度》等管理制度，逐步完善了安全防護(hù)措施、應(yīng)急響應(yīng)機(jī)制。新形勢下要針對交通運(yùn)輸網(wǎng)絡(luò)安全進(jìn)行主動防護(hù)試點(diǎn)研究工作。

2 新形勢下交通運(yùn)輸網(wǎng)絡(luò)面臨的主要安全問題

2.1 交通外場設(shè)備已經(jīng)成為網(wǎng)絡(luò)安全保障盲點(diǎn)

隨著網(wǎng)絡(luò)應(yīng)用與普及，針對傳統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)的各類主機(jī)及關(guān)鍵節(jié)點(diǎn)的資產(chǎn)管理、態(tài)勢感知、威脅預(yù)警和應(yīng)急響應(yīng)等成套技術(shù)目前已取得較大進(jìn)展，并可綜合運(yùn)用3D、VR等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)管理的智能化和可視化。但在新一代交通運(yùn)輸網(wǎng)絡(luò)中，各類業(yè)務(wù)應(yīng)用不但包含傳統(tǒng)網(wǎng)絡(luò)部分，而且還涉及各類交通外場設(shè)施、載運(yùn)工具和移動終端等，這使得交通運(yùn)輸網(wǎng)絡(luò)一方面具有點(diǎn)多、線長、面廣等特點(diǎn)，另一方面還具有移動和跨區(qū)域等特殊需求。而針對這些交通外場設(shè)施的安全管理，目前由于接口種類、通信協(xié)議等原因還無法實(shí)現(xiàn)統(tǒng)一管理，并且都是一些基本信息、特定屬性的查詢和可視化，無法實(shí)時了解各類交通外場設(shè)施的運(yùn)行狀態(tài)和正在面臨的網(wǎng)絡(luò)安全威脅等內(nèi)容，更不能對這些設(shè)施實(shí)現(xiàn)遠(yuǎn)程防護(hù)和應(yīng)急響應(yīng)等功能，還遠(yuǎn)遠(yuǎn)未達(dá)到智能化管理的應(yīng)用需求。

2.2 網(wǎng)絡(luò)未知威脅感知技術(shù)能力尚顯不足

針對交通運(yùn)輸網(wǎng)絡(luò)中特有的交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備等，業(yè)內(nèi)尚缺乏對攻擊特征的積累，一旦遭受攻擊就可能是毫無防御能力的未知攻擊。同時，傳統(tǒng)安全產(chǎn)品，基于脆弱性、反應(yīng)性、邊界性的周界安全模型已經(jīng)不具備應(yīng)對和處置全球化、規(guī)?；?、快速演變的網(wǎng)絡(luò)攻擊的能力，持續(xù)衍變的先進(jìn)持續(xù)攻擊手段能夠有效地規(guī)避基于特征簽名的檢測，網(wǎng)絡(luò)環(huán)境的生存性和使命保障能力面對新的挑戰(zhàn)。當(dāng)未知網(wǎng)絡(luò)威脅來臨、內(nèi)部威脅增多，網(wǎng)絡(luò)邊界逐漸模糊化甚至消失后，以高級持續(xù)攻擊(APT)攻擊為代表的網(wǎng)絡(luò)攻擊往往采用多種綜合的攻擊手法，多種惡意軟件，甚至0day漏洞與社會工程方法，能夠繞開傳統(tǒng)基于規(guī)則的安全產(chǎn)品的檢測。面對日漸增多的高級威脅，傳統(tǒng)安全防護(hù)產(chǎn)品無法做到有效的發(fā)現(xiàn)，失去防護(hù)能力，嚴(yán)重的可能造成全網(wǎng)癱瘓。

2.3 安全事件應(yīng)急響應(yīng)技術(shù)能力亟待提升

交通運(yùn)輸網(wǎng)絡(luò)安全面臨著前所未有的挑戰(zhàn)和威脅，同時由于交通系統(tǒng)涉及面廣、變化快、以及網(wǎng)絡(luò)新技術(shù)新業(yè)務(wù)層出不窮、信息系統(tǒng)基礎(chǔ)較薄弱等因素，網(wǎng)絡(luò)與信息安全工作尚處于被動的應(yīng)急救火階段，疲于應(yīng)對各種突發(fā)網(wǎng)絡(luò)安全問題，缺少主動防御和事前預(yù)警和事中監(jiān)測的有效手段，安全風(fēng)險難以得到持續(xù)受控、可控，安全問題層出不窮，嚴(yán)重制約深度安全建設(shè)以及業(yè)務(wù)快速發(fā)展。Gartner預(yù)計(jì)到2020年，快速檢測和響應(yīng)投資將從目前的10%增長到60%，以事前防范和預(yù)警防御為主的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)技術(shù)能力有待提升。

2.4 海量安全數(shù)據(jù)挖掘技術(shù)能力有待改進(jìn)

面對日益復(fù)雜的攻擊形式，單一的防護(hù)無法發(fā)現(xiàn)復(fù)雜的攻擊行為，同時基于已知規(guī)則監(jiān)測已不適應(yīng)，需要考慮借助大數(shù)據(jù)和行為異常監(jiān)測分析理念開展數(shù)據(jù)分析。由于大數(shù)據(jù)形式與內(nèi)容的多樣性、獲取方式與來源的多元化以及數(shù)據(jù)高維特征引起的維數(shù)災(zāi)難等問題，給大數(shù)據(jù)的獲取和分析帶來了巨大困難。同時網(wǎng)絡(luò)安全事件的突發(fā)性，實(shí)時感知的海量數(shù)據(jù)還存在噪音多、混雜、質(zhì)量差和可信度低等問題，更增加了大數(shù)據(jù)分析和處理的難度，海量安全數(shù)據(jù)挖掘技術(shù)能力有待改進(jìn)。

3 交通運(yùn)輸網(wǎng)絡(luò)安全應(yīng)對措施

面對新形勢下交通運(yùn)輸網(wǎng)絡(luò)所面臨的新風(fēng)險、新問題，本文設(shè)想從以下幾個方面著手解決：

3.1 完善形成交通外場設(shè)施的設(shè)備指紋庫和漏洞庫

隨著交通信息化的快速發(fā)展，大量的外場設(shè)備陸續(xù)接入交通專網(wǎng)，但是針對這些外場設(shè)備，缺乏有效的安全管理手段。為此，急需建立起針對交通外場設(shè)施的指紋庫，同時整合行業(yè)漏洞信息，建立交通運(yùn)輸行業(yè)漏洞庫，通過擴(kuò)大漏洞收集和分析渠道，降低信息安全事件發(fā)生的可能性，提高交通運(yùn)輸網(wǎng)絡(luò)漏洞研究水平和安全預(yù)警能力，促進(jìn)交通運(yùn)輸網(wǎng)絡(luò)健康穩(wěn)步發(fā)展。

交通外場設(shè)施的分類如表1所示。

3.2 研究基于分布式特征的交通網(wǎng)絡(luò)探針技術(shù)

針對交通行業(yè)點(diǎn)多、線長、面廣，外場設(shè)施種類多的特征，研究適用于交通數(shù)據(jù)流的深度包檢測DPI技術(shù)(DeepPacketInspection)。通過對現(xiàn)有交通運(yùn)輸網(wǎng)絡(luò)(含互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、政務(wù)信息網(wǎng)、行業(yè)專網(wǎng)等)關(guān)鍵節(jié)點(diǎn)處的流量進(jìn)行報文重組、數(shù)據(jù)還原、代碼檢測分析，可以根據(jù)事先定義的策略對檢測流量進(jìn)行過濾控制，獲取需要的協(xié)議字段和樣本文件。最終為實(shí)現(xiàn)時間指紋、模式特征、行為模型、異常行為、安全威脅場景、資產(chǎn)的可視化分析等功能提供底層數(shù)據(jù)采集支撐。

表1 交通外場設(shè)施分類

DPI接收交通運(yùn)輸網(wǎng)絡(luò)中的流量，提供靈活配置獲取的網(wǎng)絡(luò)協(xié)議字段，支持將獲取的協(xié)議字段信息與后端管理端之間的安全數(shù)據(jù)傳輸，將捕獲分析的數(shù)據(jù)提供給數(shù)據(jù)分析模塊多個引擎進(jìn)程各一份數(shù)據(jù)，進(jìn)行協(xié)議識別、分析、組包、組流等，針對不同節(jié)點(diǎn)的特征規(guī)則及過濾策略進(jìn)行匹配比對，全方位的檢測網(wǎng)絡(luò)數(shù)據(jù)流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來源及行為等內(nèi)容。工作原理如圖1所示。

DPI采用分布式流式數(shù)據(jù)處理框架，將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個處理節(jié)點(diǎn)上，以滿足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場景，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問題。

3.3 研究基于交通大數(shù)據(jù)的安全態(tài)勢分析技術(shù)

研究海量大數(shù)據(jù)對網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)，從處理響應(yīng)實(shí)時性和關(guān)聯(lián)規(guī)則復(fù)雜度等方面都提出要求，研究大數(shù)據(jù)實(shí)時事件關(guān)聯(lián)分析技術(shù)，采用分布式流式數(shù)據(jù)處理框架，將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個處理節(jié)點(diǎn)上，以滿足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場景，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問題。

通過現(xiàn)有的成熟技術(shù)和基礎(chǔ)數(shù)據(jù)并結(jié)合各交通行業(yè)的實(shí)際安全業(yè)務(wù)要求，通過網(wǎng)絡(luò)安全態(tài)勢感知幫助解決“未知安全威脅”的探測和感知，從而做到事前發(fā)現(xiàn)安全威脅和風(fēng)險，及時通知管理者或安全設(shè)備完成威脅的阻擊和風(fēng)險的蔓延，最大的程度的把安全事件控制在最小范圍內(nèi)。通過分析交通運(yùn)輸網(wǎng)的全流量信息，基于時間流的算法，全方位的檢測流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來源及行為等內(nèi)容，以可視化的界面展示給安全管理者，幫助管理者及時知曉網(wǎng)絡(luò)安全態(tài)勢，保障交通運(yùn)輸網(wǎng)絡(luò)的安全運(yùn)行。

圖1 DPI技術(shù)工作原理

圖2 基于交通大數(shù)據(jù)的安全態(tài)勢業(yè)務(wù)模型

通過采集交通控制網(wǎng)絡(luò)中交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備的流量信息，系統(tǒng)依托共享模塊的設(shè)備指紋庫、漏洞庫、資產(chǎn)庫、安全事件庫、威脅情報庫、白名單庫等特征信息對交通網(wǎng)絡(luò)安全事件進(jìn)行分析，分析內(nèi)容包括對資產(chǎn)識別分析、入侵事件分析、文件檢測分析、攻擊鏈行為分析等，為交通控制網(wǎng)絡(luò)的態(tài)勢感知提供基礎(chǔ)。

基于交通數(shù)據(jù)的安全態(tài)勢分析是一種基于網(wǎng)絡(luò)邊界檢測、資產(chǎn)關(guān)聯(lián)與未知威脅發(fā)現(xiàn)的安全態(tài)勢感知技術(shù)。充分利用資產(chǎn)識別、入侵事件檢測、惡意文件檢測、攻擊鏈行為分析、大數(shù)據(jù)處理的技術(shù)優(yōu)勢，建立資產(chǎn)與安全的關(guān)聯(lián)機(jī)制、攻擊鏈行為分析模型。實(shí)現(xiàn)攻擊鏈識別、資產(chǎn)識、安全事件檢測、惡意文件檢測、追蹤取證，達(dá)到對交通控制網(wǎng)絡(luò)的流量異常預(yù)警、設(shè)備資產(chǎn)變更感知、事件行為告警、多維度攻擊來源展示的綜合性態(tài)勢感知能力。

4 結(jié)論

根據(jù)國內(nèi)外交通運(yùn)輸技術(shù)和產(chǎn)業(yè)的發(fā)展建設(shè)經(jīng)驗(yàn)，以及信息安全專項(xiàng)的技術(shù)特色和結(jié)合交通運(yùn)輸服務(wù)領(lǐng)域的新業(yè)態(tài)，可以明確對新一代交通運(yùn)輸網(wǎng)絡(luò)安全保障技術(shù)研究是必要的。該方向的研究，可有效推進(jìn)交通運(yùn)輸信息化的快速發(fā)展。

未來的交通運(yùn)輸網(wǎng)絡(luò)通過物聯(lián)網(wǎng)和5G高速網(wǎng)絡(luò)對人-車-路的信息聯(lián)動，可對車輛跑偏、車輛碰撞、疲勞駕駛等交通事故及危險駕駛行為進(jìn)行預(yù)警，從而實(shí)現(xiàn)交通安全運(yùn)行；通過對交通樞紐的車流、運(yùn)力信息獲取、道路、車輛、客流，可對交通運(yùn)行狀況進(jìn)行主動偵測調(diào)節(jié)，從而實(shí)現(xiàn)交通高效運(yùn)轉(zhuǎn)；通過交通流量的動態(tài)獲取與主動管理，可緩解交通擁堵，提高道路利用率，促進(jìn)節(jié)能減排，降低交通資源占有率，綠色環(huán)保，最終形成安全、高效、環(huán)保的現(xiàn)代交通運(yùn)輸體系建設(shè)；通過交通運(yùn)輸動態(tài)感知體系的建設(shè)，可以使行業(yè)管理部門及時、全面地掌握交通運(yùn)營動態(tài)，從而提高對交通的監(jiān)管能力和應(yīng)急處置能力。還可以為橋梁安全運(yùn)營提供可靠的技術(shù)保障，避免橋梁重大事故的發(fā)生，減少處于交通命脈的橋梁因事故所帶來的巨大經(jīng)濟(jì)和人員損失。