地方鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全防護(hù)體系研究
——以朔黃鐵路智能運(yùn)維系統(tǒng)為例

彭麗宇，張進(jìn)川，茍娟瓊，李學(xué)偉

(1.北京交通大學(xué) 經(jīng)濟(jì)管理學(xué)院，北京 100044；2.朔黃鐵路發(fā)展有限責(zé)任公司，河北 滄州 062350)

一、引 言

隨著信息化、數(shù)字化、智能化技術(shù)在現(xiàn)代鐵路系統(tǒng)的廣泛應(yīng)用，鐵路信息系統(tǒng)中包含的大量信息已經(jīng)成為寶貴資產(chǎn)，在鐵路的安全生產(chǎn)和運(yùn)行指揮過程中發(fā)揮的作用越來越大，如何保護(hù)和運(yùn)用好這些信息已成為十分重要的課題，因此，引起了學(xué)者們的關(guān)注和重視。近年來，學(xué)者們從安全體系構(gòu)建、信息安全管理和智能運(yùn)維系統(tǒng)平臺設(shè)計等方面就相關(guān)問題開展了一系列研究?？桌赱1](2016)研究了大數(shù)據(jù)背景下的城市軌道交通公共安全體系的建設(shè)背景、核心概念、發(fā)展現(xiàn)狀和體系架構(gòu),分析了體系的三個主要組成部分——公共安全框架、風(fēng)險治理模型和應(yīng)急管理平臺的核心內(nèi)容,描述了建設(shè)公共安全體系需要的相關(guān)大數(shù)據(jù)技術(shù)；王令朝[2](2010)從我國鐵路信息安全管理現(xiàn)狀入手,在闡述和分析國內(nèi)外信息安全的標(biāo)準(zhǔn)化情況基礎(chǔ)上,提出包括策劃準(zhǔn)備、范圍確定、調(diào)查評估、框架建立、文件編寫、運(yùn)行改進(jìn)和體系審核等內(nèi)容的鐵路信息安全管理及其標(biāo)準(zhǔn)體系的創(chuàng)建思路。高春霞等[3](2015)針對我國鐵路信息系統(tǒng)的信息安全保障體系進(jìn)行研究,包括信息安全管理體系和信息安全技術(shù)框架,并對鐵路信息安全的管理方針、組織保障、安全意識管理進(jìn)行探討,提出鐵路信息系統(tǒng)安全管理制度體系。韓帥[4](2012)對云計算環(huán)境下面臨的安全挑戰(zhàn)、具有的安全優(yōu)勢和采取的防護(hù)措施進(jìn)行了歸納總結(jié)，介紹了云計算數(shù)據(jù)存儲安全體系架構(gòu)。朱超平等[5](2017)在大西試驗(yàn)CTCS智能運(yùn)維系統(tǒng)基礎(chǔ)上,提出一種集成現(xiàn)有的各類電務(wù)系統(tǒng),運(yùn)用大數(shù)據(jù)技術(shù),結(jié)合設(shè)備狀態(tài)維修理論的智能運(yùn)維平臺方案,實(shí)現(xiàn)對電務(wù)設(shè)備全生命周期的狀態(tài)監(jiān)測與故障管理。王志等[6](2017)介紹了數(shù)據(jù)安全所面臨的問題,以及中國機(jī)車遠(yuǎn)程監(jiān)測與診斷系統(tǒng)(CMD系統(tǒng))在設(shè)計過程中就數(shù)據(jù)安全在數(shù)據(jù)采集、傳輸、存儲、應(yīng)用及數(shù)據(jù)管理等環(huán)節(jié)采取的應(yīng)對手段,探究CMD系統(tǒng)數(shù)據(jù)的安全性。

上述文獻(xiàn)主要對軌道交通或者鐵路系統(tǒng)的信息安全保障和管理體系，或電務(wù)智能運(yùn)維平臺、CMD系統(tǒng)數(shù)據(jù)安全等問題進(jìn)行了研究，對地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全的研究尚不多見。地方貨運(yùn)鐵路和國家大鐵路在機(jī)車智能運(yùn)維系統(tǒng)車載設(shè)備、車地網(wǎng)絡(luò)架構(gòu)上大體一致，但是地方鐵路沒有國家大鐵路，鐵路總公司、路局、機(jī)務(wù)段等多層級機(jī)構(gòu)，其信息在地面的存儲節(jié)點(diǎn)、分布范圍和傳輸路徑方面會相對簡單，安全漏洞相對減少，防護(hù)難度相對降低。但是地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)方面存在的信息安全風(fēng)險和漏洞，在國家大鐵路中也可能普遍存在。因此，本文以朔黃鐵路智能運(yùn)維系統(tǒng)為例，從車載設(shè)備、網(wǎng)絡(luò)通信、應(yīng)用平臺和信息數(shù)據(jù)資源方面，就地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)存在的一些安全性風(fēng)險和漏洞進(jìn)行分析，并在此基礎(chǔ)上提出有針對性的信息安全防護(hù)措施，以期為建立地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全防護(hù)體系有所貢獻(xiàn)，有利于確保地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的安全高效運(yùn)行，為國家大鐵路機(jī)車智能運(yùn)維系統(tǒng)的信息安全建設(shè)起到拋磚引玉的作用。

二、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)架構(gòu)

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)是支持地方鐵路貨運(yùn)機(jī)車運(yùn)用、檢修、維護(hù)和綜合保障一體化的智能應(yīng)用系統(tǒng)，可提供地方貨運(yùn)鐵路機(jī)務(wù)運(yùn)維一站式解決方案?，F(xiàn)階段越來越多的機(jī)車信息采集后回傳到地面大數(shù)據(jù)云平臺服務(wù)器集群中，進(jìn)行數(shù)據(jù)挖掘、關(guān)聯(lián)性分析和趨勢性分析，通過構(gòu)建地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)，實(shí)現(xiàn)了遠(yuǎn)程監(jiān)視、故障報警、專家診斷、健康管理等智能應(yīng)用功能。例如朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)綜合應(yīng)用了大數(shù)據(jù)、智能化手段，提供地方貨運(yùn)鐵路機(jī)務(wù)運(yùn)維一站式解決方案，該系統(tǒng)包括平臺和應(yīng)用兩個部分。其平臺部分，通過搭建朔黃機(jī)務(wù)運(yùn)維大數(shù)據(jù)基礎(chǔ)平臺，接入檢修、技術(shù)、運(yùn)用、監(jiān)控、調(diào)度等相關(guān)業(yè)務(wù)數(shù)據(jù)，打通信息孤島，實(shí)現(xiàn)對日常運(yùn)維狀況的數(shù)據(jù)監(jiān)控；應(yīng)用部分，通過對數(shù)據(jù)的挖掘、整理、融合分析等智能化手段，實(shí)現(xiàn)對機(jī)車狀態(tài)的遠(yuǎn)程監(jiān)視、故障診斷、應(yīng)急處置、故障預(yù)警、壽命預(yù)測等機(jī)車智能化運(yùn)維應(yīng)用功能，支撐機(jī)車的運(yùn)用、管理和維修，實(shí)現(xiàn)機(jī)車運(yùn)行環(huán)境、線路狀態(tài)以及自然環(huán)境的實(shí)時監(jiān)測與預(yù)警，實(shí)現(xiàn)多維度數(shù)據(jù)的聚合分析和綜合展示，實(shí)現(xiàn)趨勢性分析與BI展示。具體功能框架如圖1所示。

朔黃鐵路智能運(yùn)維系統(tǒng)中，數(shù)據(jù)接入存儲主要通過兩種途徑：一類是車載設(shè)備各類數(shù)據(jù)通過3G/4G/WLAN網(wǎng)絡(luò)將實(shí)時車載數(shù)據(jù)及離線記錄文件發(fā)送到地面服務(wù)器，通過負(fù)載均衡、報文處理、消息隊列緩存等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的接入、分發(fā)及云平臺存儲；另一類是地勤、檢修、運(yùn)安等業(yè)務(wù)系統(tǒng)數(shù)據(jù)，通過采集、處理等組件實(shí)現(xiàn)數(shù)據(jù)的定時增量或全量抓取、解析、處理并存儲到云平臺。

圖2展示了朔黃鐵路智能運(yùn)維系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，在該系統(tǒng)中各種機(jī)車車載設(shè)備組成車載系統(tǒng)，是所有信息的源頭，生成和記錄各種機(jī)車設(shè)備和系統(tǒng)的運(yùn)行狀態(tài)信息。這些信息通過車載網(wǎng)絡(luò)傳輸?shù)杰囕d網(wǎng)關(guān)，如果是在途機(jī)車，車載網(wǎng)關(guān)將通過3G/4G將實(shí)時數(shù)據(jù)傳輸?shù)酱髷?shù)據(jù)云平臺服務(wù)器集群中；如果是入庫機(jī)車，車載網(wǎng)關(guān)則通過WLAN將數(shù)據(jù)文件傳輸?shù)奖镜鼐钟蚓W(wǎng)服務(wù)器，然后再由數(shù)據(jù)服務(wù)器通過有線網(wǎng)絡(luò)匯集到大數(shù)據(jù)云平臺服務(wù)器集群中。大數(shù)據(jù)云平臺服務(wù)集群和本地辦公網(wǎng)(局域網(wǎng))服務(wù)器構(gòu)成了地面應(yīng)用平臺，該應(yīng)用平臺是收集、存儲、分析各種機(jī)車信息的主要功能單元，經(jīng)過處理和分析的信息將通過局域網(wǎng)終端和互聯(lián)網(wǎng)終端進(jìn)行展示，便于工作人員進(jìn)行查閱、操作和處理。

本文通過對朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)中存在的信息安全風(fēng)險進(jìn)行分析，找出機(jī)車智能運(yùn)維系統(tǒng)中可能存在的信息安全漏洞，并針對這些風(fēng)險提出相應(yīng)的安全防護(hù)措施，實(shí)現(xiàn)車載設(shè)備、網(wǎng)絡(luò)傳輸、應(yīng)用平臺和信息數(shù)據(jù)的安全防護(hù)，構(gòu)建一套完善的貫穿信息生成、信息傳輸、信息應(yīng)用到信息銷毀全生命周期的安全防護(hù)體系。

三、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全風(fēng)險分析

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)融合海量信息的采集和存儲、公共網(wǎng)絡(luò)通信和傳輸、信息系統(tǒng)的分析和應(yīng)用等功能，其涉及的設(shè)備和系統(tǒng)越來越多，網(wǎng)絡(luò)傳輸壓力越來越大，信息集成融合度越來越高，車載設(shè)備、網(wǎng)絡(luò)、系統(tǒng)已不再是信息孤島，其對外暴露的設(shè)備接口、網(wǎng)絡(luò)設(shè)備、通信鏈路、數(shù)據(jù)協(xié)議等很多方面都缺少安全防護(hù)，這大大增加了遭受惡意攻擊的風(fēng)險。攻擊者可以通過非法訪問設(shè)備，非法入侵網(wǎng)絡(luò)，攻擊破壞應(yīng)用平臺，以及竊取、篡改、偽造數(shù)據(jù)等手段入侵設(shè)備、網(wǎng)絡(luò)、系統(tǒng)，從而造成不可估量的損失。根據(jù)朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)的框架，其安全風(fēng)險主要存在于車載設(shè)備、通信網(wǎng)絡(luò)、應(yīng)用平臺和信息數(shù)據(jù)四個方面。

(一)車載設(shè)備智能化漏洞增多

從朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)來看，越來越多的機(jī)車車載設(shè)備采用微處理器、嵌入式操作系統(tǒng)和應(yīng)用軟件相結(jié)合的體系架構(gòu)，以滿足日益復(fù)雜的智能化需求。通用的操作系統(tǒng)和應(yīng)用軟件普遍存在的安全漏洞使得智能化設(shè)備較以往的機(jī)械化設(shè)備更易受到惡意攻擊，面臨攻擊范圍擴(kuò)大、擴(kuò)散速度增加、漏洞影響惡化等威脅。而且機(jī)車車載設(shè)備系統(tǒng)固件的更新非常不便，漏洞修復(fù)和補(bǔ)丁升級的不及時可能造成攻擊者通過這些漏洞非法入侵設(shè)備。而且，因?yàn)楫?dāng)前的車載設(shè)備對訪問未進(jìn)行身份驗(yàn)證和對權(quán)限管理的控制不足，攻擊者也可以通過車載設(shè)備的各種接口非法接入，甚至對整個車載系統(tǒng)進(jìn)行訪問、竊取、篡改和破壞車載設(shè)備信息，監(jiān)聽車載系統(tǒng)中的信息交互，甚至可以通過這些漏洞向車載設(shè)備植入惡意代碼，輕則竊取各類信息，重則降低車載設(shè)備的運(yùn)行效率，甚至使設(shè)備及系統(tǒng)崩潰癱瘓，影響機(jī)車的運(yùn)行安全。

(二)公有網(wǎng)絡(luò)應(yīng)用造成網(wǎng)絡(luò)安全問題蔓延

目前,朔黃鐵路機(jī)車的實(shí)時數(shù)據(jù)傳輸，普遍通過3G/4G網(wǎng)絡(luò)，采用傳輸層協(xié)議下發(fā)到地面通信服務(wù)器，或通過WLAN網(wǎng)絡(luò)采用應(yīng)用層文件傳輸協(xié)議將機(jī)車數(shù)據(jù)文件下發(fā)到地面通信服務(wù)器。現(xiàn)在的網(wǎng)絡(luò)傳輸協(xié)議沒有采用任何安全防護(hù)措施，報文數(shù)據(jù)明文傳輸，很容易被截獲竊取。文件傳輸協(xié)議僅僅采用了用戶名和密碼進(jìn)行身份認(rèn)證，其安全防護(hù)措施也非常薄弱，用戶名、密碼、報文數(shù)據(jù)也都是明文傳輸，因此，數(shù)據(jù)文件的安全性存在很大漏洞。通過這些安全性欠缺的網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸，其數(shù)據(jù)很容易被竊取、篡改、偽造和破壞。另外，目前機(jī)車的車載網(wǎng)絡(luò)普遍沒有安全防護(hù)，當(dāng)采用公用網(wǎng)絡(luò)，如3G/4G或WLAN進(jìn)行網(wǎng)絡(luò)傳輸時，車載網(wǎng)絡(luò)將面臨非法入侵或攻擊，可能造成網(wǎng)絡(luò)癱瘓，從而造成系統(tǒng)故障，影響機(jī)車運(yùn)行安全。

(三)應(yīng)用平臺系統(tǒng)安全保護(hù)機(jī)制欠缺導(dǎo)致信息泄露和系統(tǒng)被破壞

隨著朔黃鐵路機(jī)車數(shù)據(jù)呈現(xiàn)海量增長的趨勢，地面應(yīng)用平臺采用了Hadoop的系統(tǒng)架構(gòu)。由于Hadoop架構(gòu)在設(shè)計之初并非企業(yè)級工具，并未考慮太多安全性問題，所以存在一些安全漏洞，比如缺乏統(tǒng)一的跨引擎的數(shù)據(jù)訪問權(quán)限管理機(jī)制，用戶登錄授權(quán)管理機(jī)制不足等，攻擊者可以利用這些漏洞對大數(shù)據(jù)平臺中存儲的信息進(jìn)行非法訪問、竊取、篡改或破壞，造成平臺服務(wù)的延遲、中斷、停止甚至崩潰。而且由于信息量越來越大，需要借助本地數(shù)據(jù)服務(wù)器進(jìn)行轉(zhuǎn)儲以保證信息傳輸?shù)姆€(wěn)定性，并節(jié)約信息傳輸?shù)某杀?。如果信息存儲在這些介質(zhì)中且沒有任何保護(hù)機(jī)制，很容易被盜取和破壞，造成轉(zhuǎn)存至數(shù)據(jù)平臺時出現(xiàn)信息錯誤、損壞和不可用，影響其最后的分析結(jié)果。

(四)數(shù)據(jù)體量增大、結(jié)構(gòu)復(fù)雜，增加了惡意攻擊風(fēng)險

智能運(yùn)維的核心是數(shù)據(jù)，目前,朔黃鐵路機(jī)車數(shù)據(jù)體量在不斷增大，種類不斷增多，結(jié)構(gòu)也日趨復(fù)雜，并且出現(xiàn)數(shù)據(jù)在內(nèi)部與外部網(wǎng)絡(luò)之間的雙向流動共享?，F(xiàn)階段機(jī)車系統(tǒng)中對于數(shù)據(jù)采集、傳輸、存儲和處理各環(huán)節(jié)基本都是明文處理，這大大增加了數(shù)據(jù)被竊取、篡改、破壞、偽造以及未授權(quán)使用的風(fēng)險。數(shù)據(jù)的安全風(fēng)險將增加設(shè)備、網(wǎng)絡(luò)、系統(tǒng)遭受惡意攻擊的可能性，對系統(tǒng)整體也將造成極大的影響。

四、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全防護(hù)體系的構(gòu)建

針對地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)在設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)四個方面的風(fēng)險漏洞，可參考信息系統(tǒng)安全等級保護(hù)第三級的相關(guān)要求，采取相應(yīng)防護(hù)措施，構(gòu)建地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)安全防護(hù)體系，以確保智能運(yùn)維系統(tǒng)的安全運(yùn)行。

在加強(qiáng)車載設(shè)備安全性方面，采取增強(qiáng)固件安全、修復(fù)安全漏洞、標(biāo)記設(shè)備身份、控制設(shè)備訪問等措施；在加強(qiáng)網(wǎng)絡(luò)安全性方面，通過強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)、加密通信傳輸、安全監(jiān)測審計等措施，加強(qiáng)車載和地面內(nèi)部網(wǎng)絡(luò)以及車地傳輸?shù)陌踩?；在加?qiáng)應(yīng)用平臺安全性方面，采取管控用戶安全、加固平臺安全、安全監(jiān)測審計等措施；在加強(qiáng)數(shù)據(jù)安全性方面，通過數(shù)據(jù)安全存儲、數(shù)據(jù)訪問控制、安全數(shù)據(jù)分析等措施加強(qiáng)數(shù)據(jù)在采集、存儲、傳輸和應(yīng)用等多環(huán)節(jié)的安全性。這四個方面的安全措施形成完善的信息安全防護(hù)體系，可以保證地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)中各類信息的安全性，使系統(tǒng)整體安全可靠高效的運(yùn)行。地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全框架如圖3所示。

(一)車載設(shè)備安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維設(shè)備主要是指與機(jī)車運(yùn)維系統(tǒng)相關(guān)的車載設(shè)備，包括單個智能模塊以及成套智能平臺。可以通過增強(qiáng)操作系統(tǒng)內(nèi)核和及時掃描、挖掘和修復(fù)安全漏洞加固車載設(shè)備的操作系統(tǒng)和應(yīng)用軟件，防止利用安全漏洞對車載設(shè)備的滲透；通過硬件芯片的唯一性對設(shè)備進(jìn)行身份認(rèn)證，防止未授權(quán)的車載設(shè)備接入系統(tǒng)；通過對設(shè)備訪問進(jìn)行身份認(rèn)證和權(quán)限控制彌補(bǔ)設(shè)備訪問控制不足的問題，防止對車載設(shè)備的未授權(quán)和越權(quán)訪問。

1.增強(qiáng)操作系統(tǒng)內(nèi)核來增強(qiáng)設(shè)備固件的安全性

設(shè)備固件可從操作系統(tǒng)內(nèi)核方面進(jìn)行增強(qiáng)，實(shí)現(xiàn)對文件、注冊表和進(jìn)程等對象的強(qiáng)制訪問控制，可配置針對以上對象的不同訪問策略來保護(hù)系統(tǒng)和應(yīng)用資源，并采用白名單的安全策略管控設(shè)備中的程序進(jìn)程。在該策略下，僅允許白名單庫中的應(yīng)用程序運(yùn)行，未在白名單中的應(yīng)用程序均被禁止，防止惡意代碼和軟件的加載和運(yùn)行。另外，應(yīng)加強(qiáng)協(xié)議的安全性，禁用不必要的通信協(xié)議，通過添加黑白名單禁止或允許源IP和目的IP的訪問，強(qiáng)化協(xié)議的安全配置并修補(bǔ)協(xié)議中存在的安全漏洞，防止通過協(xié)議棧對設(shè)備進(jìn)行惡意攻擊。

2.及時掃描、挖掘和修復(fù)安全漏洞

設(shè)備操作系統(tǒng)和應(yīng)用軟件需要進(jìn)行充分的漏洞掃描和挖掘。對于發(fā)現(xiàn)的安全漏洞必須及時修復(fù)，并且需要密切關(guān)注設(shè)備安全漏洞和補(bǔ)丁發(fā)布，及時采取補(bǔ)丁升級措施，防止出現(xiàn)利用安全漏洞對設(shè)備的惡意攻擊。針對補(bǔ)丁升級和版本更新的系列性，可建立一套軟件管理和OTA升級系統(tǒng)來及時檢驗(yàn)設(shè)備的操作系統(tǒng)和應(yīng)用軟件是否為最安全的版本，是否需要更新或進(jìn)行漏洞修補(bǔ)。

3.對訪問設(shè)備進(jìn)行可靠性身份識別

為接入地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的設(shè)備設(shè)置基于硬件芯片的唯一性標(biāo)識，使得系統(tǒng)對設(shè)備身份的可靠性具備鑒別能力，防止未授權(quán)的設(shè)備接入系統(tǒng)。另外還可添加安全芯片，對設(shè)備中的系統(tǒng)固件、應(yīng)用軟件、配置文件和設(shè)備信息進(jìn)行加密認(rèn)證，實(shí)現(xiàn)設(shè)備的安全啟動，從而保護(hù)設(shè)備中各類信息的機(jī)密性和完整性。

4.對訪問設(shè)備進(jìn)行必要的身份認(rèn)證與權(quán)限認(rèn)證

在設(shè)備中建立完善的用戶身份認(rèn)證和訪問控制機(jī)制，用戶每次訪問都必須進(jìn)行身份認(rèn)證，通過才可操作設(shè)備。并且根據(jù)用戶角色配置相應(yīng)的訪問和操作權(quán)限，禁止采用單一用戶角色或者默認(rèn)用戶角色訪問設(shè)備。設(shè)備的默認(rèn)密碼必須在設(shè)備啟用時及時修改。其中，用戶權(quán)限的配置遵從最小化原則，對于超級用戶權(quán)限需進(jìn)行合理分散，不同用戶權(quán)限之間進(jìn)行適度制約，防止對設(shè)備的未授權(quán)或越權(quán)訪問。

(二)網(wǎng)絡(luò)通信安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維網(wǎng)絡(luò)安全防護(hù)應(yīng)面向車載內(nèi)部網(wǎng)絡(luò)、地面內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)。通過強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全防護(hù)實(shí)現(xiàn)車載設(shè)備和地面網(wǎng)絡(luò)各自的內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)保護(hù)，防止對內(nèi)部網(wǎng)絡(luò)的攻擊；通過安全傳輸協(xié)議建立安全的傳輸鏈路，確保網(wǎng)絡(luò)通信過程的機(jī)密性、完整性和可用性，防止對通信鏈路上信息和數(shù)據(jù)的竊取、篡改、偽造和破壞；通過網(wǎng)絡(luò)安全審計實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的感知和網(wǎng)絡(luò)安全威脅的報警。

1.強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)強(qiáng)化和安全防護(hù)主要涉及網(wǎng)絡(luò)邊界保護(hù)和內(nèi)部網(wǎng)絡(luò)隔離，車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)均采用相似措施形成兩個獨(dú)立網(wǎng)絡(luò)運(yùn)行，防止通過車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)進(jìn)行相互攻擊。在車載系統(tǒng)和地面系統(tǒng)的網(wǎng)絡(luò)邊界添加防火墻，車載系統(tǒng)添加板卡式車載防火墻，地面添加機(jī)架式地面防火墻，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，抵御外部網(wǎng)絡(luò)的攻擊。在防火墻中采用白名單機(jī)制，只允許授權(quán)可信設(shè)備連接到車載內(nèi)部網(wǎng)絡(luò)和地面內(nèi)部網(wǎng)絡(luò)，只開放所需的受控地址、協(xié)議和端口進(jìn)行通信，對通信內(nèi)容進(jìn)行過濾，阻止不合規(guī)的內(nèi)容進(jìn)入內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)。在網(wǎng)絡(luò)邊界添加IPS，對網(wǎng)絡(luò)攻擊、惡意代碼、病毒進(jìn)行阻止和警示。

車載內(nèi)部網(wǎng)絡(luò)和地面內(nèi)部網(wǎng)絡(luò)均通過VLAN技術(shù)劃分不同的網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)內(nèi)部子網(wǎng)絡(luò)隔離。車載內(nèi)部網(wǎng)絡(luò)將控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)隔離，阻斷通過信息網(wǎng)絡(luò)對控制網(wǎng)絡(luò)的入侵，將對機(jī)車的安全威脅降到最低。地面內(nèi)部網(wǎng)絡(luò)則根據(jù)不同業(yè)務(wù)劃分為不同網(wǎng)絡(luò)區(qū)域，例如車地通信服務(wù)、機(jī)車智能檢修、乘務(wù)員運(yùn)用管理、大數(shù)據(jù)平臺服務(wù)器等不同業(yè)務(wù)的服務(wù)器都分布在不同的網(wǎng)絡(luò)區(qū)域中，即便某個網(wǎng)絡(luò)區(qū)域遭受攻擊，也不會影響其他業(yè)務(wù)系統(tǒng)的運(yùn)行，將網(wǎng)絡(luò)攻擊損失降到最小。配置足夠的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)帶寬以滿足業(yè)務(wù)高峰期的需求，并添加通信鏈路和采用關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證整體網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性。對于無線網(wǎng)絡(luò)，關(guān)閉SSID的廣播和WPS功能，啟動MAC地址過濾，采用802.1x技術(shù)控制外部終端接入和使用WPA2加密方式提高無線網(wǎng)絡(luò)的安全性。

2.確保網(wǎng)絡(luò)通信的機(jī)密性、完整性和可用性

網(wǎng)絡(luò)通信防護(hù)主要是通過安全傳輸協(xié)議建立安全的傳輸鏈路，確保網(wǎng)絡(luò)通信過程的機(jī)密性、完整性和可用性，防止對網(wǎng)絡(luò)傳輸信息的竊取、篡改、偽造和破壞。其主要包括兩個方面的通信安全，一是車載系統(tǒng)和地面系統(tǒng)之間的通信安全，二是應(yīng)用終端和應(yīng)用服務(wù)器之間的通信安全。因?yàn)槟壳败囕d實(shí)時信息是通過UDP或TCP協(xié)議傳輸，所以采用IPSec安全傳輸協(xié)議在網(wǎng)絡(luò)層進(jìn)行保護(hù)，可在保證安全性的同時，大大減少對原有協(xié)議和應(yīng)用的改動。而通過FTP傳輸?shù)奈募t改為采用SFTP安全協(xié)議進(jìn)行傳輸，保證文件在傳輸過程中的安全性。應(yīng)用終端和應(yīng)用服務(wù)器之間的通信則采用SSL或者TLS進(jìn)行保護(hù)，保證兩者之間通信的安全性。

3.通過網(wǎng)絡(luò)安全審計構(gòu)筑網(wǎng)絡(luò)態(tài)勢感知

部署網(wǎng)絡(luò)安全審計系統(tǒng)，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、網(wǎng)絡(luò)鏈路、安全設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、安全事件、安全策略等進(jìn)行審計。審計記錄定期備份，以避免受到未預(yù)期的刪除、修改或覆蓋等。收集匯總各設(shè)備上的審計記錄，對記錄進(jìn)行讀取、查閱、搜索、分類和排序，以及事件分析、態(tài)勢感知、異常檢測、威脅報警和攻擊探測等。

(三)應(yīng)用安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維應(yīng)用系統(tǒng)覆蓋大數(shù)據(jù)綜合應(yīng)用、機(jī)車故障預(yù)測和健康管理、機(jī)車智能檢修、機(jī)車及大型互換配件電子履歷、乘務(wù)員運(yùn)用管理系統(tǒng)等多種業(yè)務(wù)?？梢酝ㄟ^用戶身份的鑒別和權(quán)限管控建立統(tǒng)一的訪問控制機(jī)制，防止用戶對應(yīng)用平臺的未授權(quán)和越權(quán)訪問；通過加固主機(jī)系統(tǒng)和應(yīng)用軟件增強(qiáng)應(yīng)用平臺和轉(zhuǎn)儲服務(wù)器的安全性，防止利用系統(tǒng)漏洞攻擊應(yīng)用平臺；通過監(jiān)測、分析與記錄用戶行為和應(yīng)用平臺運(yùn)行狀態(tài)構(gòu)建應(yīng)用平臺安全態(tài)勢感知機(jī)制和安全威脅報警機(jī)制。

1.用戶身份鑒別和訪問控制

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維應(yīng)用系統(tǒng)通過用戶密碼和用戶指紋兩種鑒別機(jī)制對登錄用戶身份進(jìn)行認(rèn)證，為每一位用戶建立唯一性標(biāo)識，并且采用設(shè)置登錄驗(yàn)證次數(shù)限制，強(qiáng)化用戶密碼策略，配置會話超時機(jī)制、限制系統(tǒng)最大會話連接數(shù)等安全策略。根據(jù)登錄用戶的角色分配所需的最小權(quán)限，并在不同角色用戶之間形成制約。

訪問控制顆粒度達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級、記錄或字段級。為敏感信息資源設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。平臺中不同用戶之間的資源應(yīng)當(dāng)采取必要的措施實(shí)現(xiàn)充分隔離，用戶只能訪問分配給自己的資源，對于其他未分配資源的訪問都將被禁止，由此可防止病毒、惡意代碼等安全威脅通過平臺向不同用戶擴(kuò)散。通過重命名默認(rèn)賬號，修改默認(rèn)口令，及時刪除多余和過期的賬號，避免共享賬號的存在。

2.加固主機(jī)系統(tǒng)和應(yīng)用軟件

登錄主機(jī)系統(tǒng)進(jìn)行身份認(rèn)證，分配最小的訪問操作權(quán)限。系統(tǒng)以最小化原則進(jìn)行剪裁安裝，即只安裝業(yè)務(wù)需要的組件，禁用與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)端口、系統(tǒng)進(jìn)程和服務(wù)，如郵件代理、圖形桌面、Telnet、編譯工具等；通過修改操作系統(tǒng)內(nèi)核參數(shù)，增強(qiáng)操作系統(tǒng)安全性，如禁用IP轉(zhuǎn)發(fā)、禁止響應(yīng)廣播請求、禁止接收、轉(zhuǎn)發(fā)ICMP重定向消息等；設(shè)置賬號密碼復(fù)雜度、密碼有效期、登錄失敗次數(shù)、禁用root賬號等安全策略，并遵從最小化原則配置文件和目錄權(quán)限。加固后的操作系統(tǒng)可大大降低系統(tǒng)遭受攻擊的風(fēng)險。安裝反病毒軟件，防止惡意代碼和病毒的入侵。過濾檢查應(yīng)用軟件人機(jī)接口和通信接口的數(shù)據(jù)，只接收合規(guī)性數(shù)據(jù)。當(dāng)發(fā)生故障時，隔離并重啟故障模塊，啟動自動保護(hù)功能，保存當(dāng)前所有狀態(tài)，使應(yīng)用系統(tǒng)能夠從故障中盡快恢復(fù)，增強(qiáng)應(yīng)用系統(tǒng)的魯棒性。

3.監(jiān)測、分析與記錄用戶行為和應(yīng)用平臺運(yùn)行狀態(tài)

審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。審計記錄定期備份，審計進(jìn)程不允許未經(jīng)授權(quán)停止。分析審計記錄，對用戶不合規(guī)的行為和攻擊威脅進(jìn)行報警。此外，對平臺實(shí)施集中、實(shí)時的安全監(jiān)測。監(jiān)測內(nèi)容包括各種物理和虛擬資源的運(yùn)行狀態(tài)。通過對系統(tǒng)運(yùn)行參數(shù)(如網(wǎng)絡(luò)流量、主機(jī)資源和存儲等)以及各類日志進(jìn)行分析，確保平臺管理者可執(zhí)行故障管理、性能管理和自動檢修管理，從而實(shí)現(xiàn)平臺運(yùn)行狀態(tài)的實(shí)時監(jiān)測。將平臺與安全有關(guān)的信息進(jìn)行有效識別、充分記錄、長時間的存儲和自動分析，對平臺的安全狀況做到持續(xù)、動態(tài)、實(shí)時的有依據(jù)的安全審計。

(四)數(shù)據(jù)安全防護(hù)措施

根據(jù)數(shù)據(jù)敏感度的不同，可將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三類。數(shù)據(jù)涉及采集、傳輸、存儲、處理等各個環(huán)節(jié)。對于數(shù)據(jù)安全防護(hù)，應(yīng)采取數(shù)據(jù)存儲安全、數(shù)據(jù)訪問控制、安全數(shù)據(jù)分析等多種防護(hù)措施，覆蓋包括數(shù)據(jù)收集、傳輸、存儲、處理等在內(nèi)的全生命周期的各個環(huán)節(jié)。通過數(shù)據(jù)的安全存儲保護(hù)數(shù)據(jù)在存儲過程中的機(jī)密性、完整性和可用性，防止對數(shù)據(jù)的竊取、篡改、破壞；通過設(shè)置不同安全域數(shù)據(jù)的訪問權(quán)限防止對數(shù)據(jù)的非法和越權(quán)訪問；通過對安全數(shù)據(jù)的收集、處理和分析，實(shí)現(xiàn)運(yùn)行規(guī)律、異常情況、安全目標(biāo)、安全態(tài)勢的感知和對潛在威脅和惡意攻擊的預(yù)警。

1.確保數(shù)據(jù)安全存儲

應(yīng)根據(jù)數(shù)據(jù)敏感度采用分等級的加密存儲措施(如不加密、部分加密、完全加密等)。可以按照國家密碼管理有關(guān)規(guī)定使用和管理密碼設(shè)施，并按規(guī)定生成、使用和管理密鑰。同時，針對數(shù)據(jù)在平臺之外加密后再傳輸?shù)狡脚_中存儲的場景，應(yīng)確保任何第三方無法對客戶的數(shù)據(jù)進(jìn)行解密。數(shù)據(jù)作為重要資產(chǎn)，應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，防止數(shù)據(jù)泄露、毀損或丟失。在發(fā)生或者可能發(fā)生數(shù)據(jù)泄露、毀損或丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施。平臺應(yīng)根據(jù)業(yè)務(wù)需要制定必要的數(shù)據(jù)備份方案，定期對數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時能及時恢復(fù)一定時期內(nèi)備份的數(shù)據(jù)，從而降低損失。

2.設(shè)置不同安全域間數(shù)據(jù)訪問權(quán)限

數(shù)據(jù)訪問控制需要保證不同安全域之間的數(shù)據(jù)不可直接訪問，避免存儲節(jié)點(diǎn)的非授權(quán)接入，同時避免對虛擬化環(huán)境數(shù)據(jù)的非授權(quán)訪問。借助交換機(jī)，根據(jù)訪問邏輯將數(shù)據(jù)劃分到不同的區(qū)域內(nèi)，使得不同區(qū)域的設(shè)備相互間不能直接訪問，從而實(shí)現(xiàn)網(wǎng)絡(luò)中設(shè)備之間的相互隔離。對于存儲節(jié)點(diǎn)的接入認(rèn)證可通過成熟的標(biāo)準(zhǔn)技術(shù)，包括iSCSI 協(xié)議本身的資源隔離和CHAP(Challenge Handshake Authentication Protocol)等，也可通過在網(wǎng)絡(luò)層面劃分VLAN 或設(shè)置訪問控制列表等來實(shí)現(xiàn)。在虛擬化系統(tǒng)上對每個卷定義不同的訪問策略，以保障沒有訪問該卷權(quán)限的用戶不能訪問，保證各卷之間互相隔離。

3.安全數(shù)據(jù)的收集、處理與分析

首先對安全數(shù)據(jù)進(jìn)行收集。收集主要分為兩個方面:一是對控制系統(tǒng)及應(yīng)用系統(tǒng)所產(chǎn)生的關(guān)鍵安全數(shù)據(jù)進(jìn)行匯總，包括產(chǎn)品全生命周期的各類數(shù)據(jù)的同步采集、管理、存儲及查詢，為后續(xù)安全分析提供數(shù)據(jù)來源;二是對全網(wǎng)流量進(jìn)行監(jiān)聽，尤其是網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的異常流量，并將監(jiān)聽過程中采集到的數(shù)據(jù)進(jìn)行匯總。安全數(shù)據(jù)收集齊備以后，按其特征進(jìn)行提取、篩選、分類、優(yōu)先級排序和可讀等處理，從而實(shí)現(xiàn)從數(shù)據(jù)到信息的轉(zhuǎn)化過程。該過程主要是針對單個設(shè)備或單個網(wǎng)絡(luò)的縱向數(shù)據(jù)分析。關(guān)聯(lián)分析過程通過將運(yùn)行機(jī)理、運(yùn)行環(huán)境、操作內(nèi)容和外部威脅情報等有機(jī)結(jié)合，基于大數(shù)據(jù)進(jìn)行橫向大數(shù)據(jù)分析和多維分析，利用群體經(jīng)驗(yàn)預(yù)測單個設(shè)備的安全情況，或根據(jù)歷史狀況和當(dāng)前狀態(tài)的差異發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)的異常。狀態(tài)感知基于關(guān)聯(lián)分析過程，實(shí)現(xiàn)對運(yùn)行規(guī)律、異常情況、安全目標(biāo)、安全態(tài)勢和業(yè)務(wù)背景等的認(rèn)知，確定安全基線，結(jié)合大數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)潛在威脅、預(yù)防黑客攻擊。

五、結(jié) 語

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的信息安全防護(hù)體系具備以下功能：確保信息在存儲、使用和傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w；不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行篡改，保持信息內(nèi)、外部表示的一致性；確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源；確保智能運(yùn)維系統(tǒng)在其壽命期內(nèi)以及在正常運(yùn)行條件下能夠正確執(zhí)行指定功能，以及系統(tǒng)在受到攻擊或破壞后恢復(fù)正常功能；確保智能運(yùn)維系統(tǒng)內(nèi)用戶的隱私安全；確保智能運(yùn)維系統(tǒng)安全可靠的運(yùn)行，為機(jī)車的高效運(yùn)行提供強(qiáng)有力的支持。

未來地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)安全防護(hù)的思維模式將從傳統(tǒng)的事件響應(yīng)式向持續(xù)智能響應(yīng)式轉(zhuǎn)變，旨在構(gòu)建全面的預(yù)測、基礎(chǔ)防護(hù)、響應(yīng)和恢復(fù)能力，抵御不斷演變的高級威脅。此外，未來將基于安全數(shù)據(jù)倉庫，利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等人工智能技術(shù)分析處理安全大數(shù)據(jù)，不斷改善安全防御體系。其安全架構(gòu)重心也將從被動防護(hù)向持續(xù)普遍性的監(jiān)測響應(yīng)及自動化、智能化的安全防護(hù)方向轉(zhuǎn)移。

隨著智能運(yùn)維數(shù)據(jù)的不斷發(fā)展，對數(shù)據(jù)分類分級保護(hù)、審計和流動追溯、大數(shù)據(jù)分析價值保護(hù)和用戶隱私保護(hù)等提出了更高的要求。未來對于數(shù)據(jù)的分類分級保護(hù)以及審計和流動追溯將成為防護(hù)熱點(diǎn)。智能運(yùn)維現(xiàn)場設(shè)備的智能化發(fā)展將使安全問題在生產(chǎn)場景中被逐步放大，僅靠攔截將無法應(yīng)對新形勢下的安全挑戰(zhàn)。未來要力爭在對現(xiàn)場設(shè)備的安全監(jiān)測、內(nèi)存保護(hù)、漏洞利用阻斷等終端防護(hù)技術(shù)等方面取得創(chuàng)新突破，有針對性地保護(hù)現(xiàn)場設(shè)備，并對攻擊行為進(jìn)行快速響應(yīng)。

面對不斷變化的網(wǎng)絡(luò)安全威脅，地方貨運(yùn)鐵路企業(yè)僅僅依靠自身力量遠(yuǎn)遠(yuǎn)不夠，與政府和其他企業(yè)統(tǒng)一認(rèn)識、密切配合已成為安全界的共識。未來應(yīng)通過建立健全運(yùn)轉(zhuǎn)靈活、反應(yīng)靈敏的信息共享與聯(lián)動處置機(jī)制，打造多方聯(lián)動的防御體系，進(jìn)一步提升地方貨運(yùn)鐵路企業(yè)安全風(fēng)險發(fā)現(xiàn)與安全事件處置水平。