淺析高速公路生產(chǎn)網(wǎng)弱口令引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)探討

摘要 從高速公路網(wǎng)絡(luò)安全事件失陷區(qū)域來看，弱口令問題最為顯著。由于從業(yè)人員網(wǎng)絡(luò)安全意識(shí)不足和制度管理等問題，生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）中業(yè)務(wù)系統(tǒng)存在大量不合規(guī)的弱口令、服務(wù)器漏洞等安全問題，造成生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）遭受弱口令攻擊和威脅的狀況也是最多，最嚴(yán)重的。文章通過模擬高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）終端設(shè)備存在弱口令引發(fā)的網(wǎng)絡(luò)安全事件，從高速公路養(yǎng)護(hù)和運(yùn)營人員網(wǎng)絡(luò)安全意識(shí)、日常運(yùn)維習(xí)慣和制度管理入手，分析如何規(guī)范和杜絕弱口令引發(fā)的網(wǎng)絡(luò)安全事件，對高速公路營運(yùn)、機(jī)電養(yǎng)護(hù)和網(wǎng)絡(luò)安全運(yùn)維具有重要的借鑒經(jīng)驗(yàn)和參考價(jià)值。

關(guān)鍵詞 網(wǎng)絡(luò)安全；弱口令；生產(chǎn)網(wǎng)；風(fēng)險(xiǎn)；運(yùn)營；機(jī)電

中圖分類號(hào) TP393.08 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 2096-8949（2025）04-0191-04

0 引言

在信息化迅速發(fā)展的今天，網(wǎng)絡(luò)安全成為各行各業(yè)關(guān)注的重點(diǎn)。特別是在高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）方面，隨著電子收費(fèi)系統(tǒng)的普及，網(wǎng)絡(luò)安全問題日益突出，收費(fèi)系統(tǒng)不僅負(fù)責(zé)大量資金交易，還涉及用戶個(gè)人信息的處理，因此其安全性直接影響到公眾對其的信任。該文旨在探討弱口令對高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）網(wǎng)絡(luò)安全的威脅，通過模擬演練分析弱口令爆破技術(shù)的有效性，提出相應(yīng)的防護(hù)措施，提高各相關(guān)高速公路單位應(yīng)對網(wǎng)絡(luò)安全事件的應(yīng)急能力，確保在受到弱口令等網(wǎng)絡(luò)攻擊時(shí)能夠“科學(xué)、安全、快速、有序、有效”地進(jìn)行處置，并為相關(guān)行業(yè)部門提供有價(jià)值的參考。

1 弱口令概述

1.1 什么是弱口令

常見的弱口令特征（如短小、常用、缺乏復(fù)雜性）。

短?。好艽a長度通常少于8位。

常見：使用常用詞匯、數(shù)字組合，如“123456”“abc123”“password”。

缺乏復(fù)雜性：不包含大寫字母、特殊字符等[1]。

1.2 統(tǒng)計(jì)數(shù)據(jù)

網(wǎng)絡(luò)安全事件的發(fā)生，往往會(huì)暴露出高速公路行業(yè)內(nèi)部存在的安全運(yùn)營和管理問題，根據(jù)某安全機(jī)構(gòu)處置政企單位8月網(wǎng)絡(luò)安全事件失陷區(qū)域來看，所處置完成的41起網(wǎng)絡(luò)安全事件中，弱口令問題最為顯著，如圖1所示。其中，36.6%的事件與弱口令有關(guān)、17.1%的事件與配置不當(dāng)有關(guān)、12.2%的事件與永恒之藍(lán)有關(guān)、4.9%的事件與服務(wù)器漏洞有關(guān)、4.9%的事件與設(shè)備漏洞有關(guān)、2.4%的事件與Weblogic反序列化有關(guān)、2.4%的事件與JAVA反序列化有關(guān)、2.4%的事件與任意文件下載有關(guān)（其中，單起網(wǎng)絡(luò)安全事件中，存在多個(gè)弱點(diǎn)的情況）。

據(jù)行業(yè)內(nèi)數(shù)據(jù)，某年西南某省高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件，導(dǎo)致大量收費(fèi)系統(tǒng)門架服務(wù)器無法正常使用，此事件嚴(yán)重?cái)_亂正常收費(fèi)秩序，同時(shí)也反映高速公路養(yǎng)護(hù)和運(yùn)營人員安全意識(shí)不足，常導(dǎo)致業(yè)務(wù)專網(wǎng)中存在大量安全漏洞，如弱口令、危險(xiǎn)端口暴露在網(wǎng)絡(luò)中、未及時(shí)安裝安全補(bǔ)丁等，可以被輕易利用，所以生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）遭受的攻擊和威脅也是最多，最嚴(yán)重的。

2 高速公路收費(fèi)系統(tǒng)現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu)

隨著經(jīng)濟(jì)的飛速發(fā)展，我國的高速公路得到了突飛猛進(jìn)的發(fā)展，在國民經(jīng)濟(jì)中占據(jù)著重要的地位。隨著科技的進(jìn)步，收費(fèi)技術(shù)也隨著不斷地發(fā)展，收費(fèi)方式從人工收費(fèi)、半自動(dòng)收費(fèi)，ETC收費(fèi)等的新技術(shù)不斷出現(xiàn)，2019年國務(wù)院出臺(tái)《深化收費(fèi)公路制度改革取消高速公路省界收費(fèi)站實(shí)施方案》，推進(jìn)中央與地方兩級(jí)運(yùn)營管理等系統(tǒng)升級(jí)，收費(fèi)站、收費(fèi)車道、電子不停車收費(fèi)系統(tǒng)（ETC）門架系統(tǒng)硬件及軟件標(biāo)準(zhǔn)化建設(shè)改造；其中ETC門架系統(tǒng)收費(fèi)成為今后一個(gè)發(fā)展方向，具有不停車快捷收費(fèi)，減少擁堵、保護(hù)環(huán)境，便利群眾提高運(yùn)輸效率的特點(diǎn)。

2.1 收費(fèi)系統(tǒng)網(wǎng)絡(luò)架構(gòu)

一個(gè)完整收費(fèi)系統(tǒng)構(gòu)成主要有以下主要設(shè)備和設(shè)施組成：車道控制器、RSU控制器、RSU（支持PCI/PCI-E密碼卡）、車牌圖像識(shí)別設(shè)備、全景攝像機(jī)、防雷接地設(shè)施、補(bǔ)光燈、通信設(shè)備、供電設(shè)備等。

2.2 安全需求

高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）包括以下部分子系統(tǒng)。收費(fèi)車道系統(tǒng)：負(fù)責(zé)車道、收費(fèi)站等交易信息，為稽查管理、車輛通行費(fèi)用的收取等提供業(yè)務(wù)數(shù)據(jù)支撐；ETC門架系統(tǒng)：自動(dòng)識(shí)別通行車輛車牌顏色、車牌號(hào)碼，并可由人工核對修正。通行車輛車牌信息、時(shí)間、門架信息及抓拍圖片等形成流水記錄，流水記錄保存在站級(jí)服務(wù)器；入口拒超系統(tǒng)：按通行車輛相關(guān)數(shù)據(jù)（含出口復(fù)稱倒查數(shù)據(jù)）上傳至省聯(lián)網(wǎng)收費(fèi)中心，并同步給省級(jí)治超管理平臺(tái)；數(shù)據(jù)管理系統(tǒng)：處理實(shí)時(shí)車輛通行交易記錄、用戶車輛信息等，與聯(lián)網(wǎng)收費(fèi)運(yùn)營管理平臺(tái)、聯(lián)網(wǎng)收費(fèi)結(jié)算中心聯(lián)網(wǎng)，并接入全省高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)，進(jìn)行聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)等。

這些系統(tǒng)往往通過內(nèi)部局域網(wǎng)相互連接，共享數(shù)據(jù)，因此一旦某一系統(tǒng)終端受到攻擊，可能影響整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。隨著生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）采用ETC不停車收費(fèi)和無感支付等收費(fèi)方式的普及，收費(fèi)系統(tǒng)的網(wǎng)絡(luò)需確保具備可靠性、可用性、保密性、完整性、不可抵賴性、可控性等安全要求，用于防止來自收費(fèi)站、ETC門架區(qū)域的網(wǎng)絡(luò)探測、黑客攻擊、暴力破解、蠕蟲傳播、木馬外聯(lián)等入侵威脅行為，確保業(yè)務(wù)系統(tǒng)正常安全可靠地運(yùn)行。

3 弱口令爆破技術(shù)

高速公路養(yǎng)護(hù)和運(yùn)營人員由于安全意識(shí)不足，為了方便、避免忘記密碼等，使用了非常容易記住的密碼，或者是直接采用了系統(tǒng)的默認(rèn)密碼等。攻擊者用John the Ripper、Hydra、MSF、SMB等工具，利用相應(yīng)的漏洞進(jìn)行爆破，可直接進(jìn)入應(yīng)用系統(tǒng)或者管理系統(tǒng)，從而進(jìn)行系統(tǒng)、數(shù)據(jù)的篡改與刪除，非法獲取系統(tǒng)、用戶的數(shù)據(jù)，甚至可能導(dǎo)致服務(wù)器淪陷。

3.1 暴力破解的方法

暴力破解就是利用所有可能的字符組密碼，去嘗試破解。這是最原始、粗暴的破解方法，根據(jù)運(yùn)算能力，如果能夠承受得起時(shí)間成本的話，最終一定會(huì)爆破出密碼。當(dāng)前主流的弱口令爆破工具和技術(shù)，主要有：

（1）窮舉法

窮舉法是指根據(jù)輸入密碼的設(shè)定長度、選定的字符集生成可能的密碼全集，進(jìn)行地毯式搜索。例如：一個(gè)已知是四位并且全部由數(shù)字組成的密碼，其可能共有10 000種組合，因此最多嘗試10 000次就能找到正確的密碼。理論上利用這種方法可以破解任何一種密碼，但隨著密碼復(fù)雜度增加，破解密碼的時(shí)間會(huì)指數(shù)級(jí)延長。

（2）字典式攻擊

字典式攻擊是將出現(xiàn)頻率最高的密碼保存到文件中，這文件就是字典，爆破時(shí)使用字典中的這些密碼去猜解。

字典式攻擊適用于猜解人為設(shè)定的口令，因?yàn)槿藶樵O(shè)定受人方便記憶影響不同密碼出現(xiàn)的概率是不一樣的，12345678、abc123、password作為密碼的概率比kipqmowf作為密碼的概率要高得多。與窮舉法相比，字典式攻擊雖然損失了較小的命中率但節(jié)省了較多的時(shí)間。

（3）彩虹表攻擊

彩虹表攻擊也屬于字典式攻擊，但它是一種高效地破解哈希算法（MD5、SHA1、SHA256/512等）的攻擊方式。

4 模擬生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）弱口令導(dǎo)致攻擊場景

4.1 演練目標(biāo)

檢驗(yàn)和增強(qiáng)高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）弱口令網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處置能力。通過模擬實(shí)際生產(chǎn)環(huán)境，熟悉理解《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的可執(zhí)行性，積累經(jīng)驗(yàn)，強(qiáng)化各相關(guān)單位的協(xié)作機(jī)制，鍛煉網(wǎng)絡(luò)安全專業(yè)管理隊(duì)伍，提高運(yùn)營項(xiàng)目各類工作人員對網(wǎng)絡(luò)安全事故的組織、協(xié)調(diào)和指揮能力，普及網(wǎng)絡(luò)安全知識(shí)，提高風(fēng)險(xiǎn)防范意識(shí)和網(wǎng)絡(luò)信息安全意識(shí)。

4.2 模擬實(shí)施步驟

4.2.1 準(zhǔn)備階段

模擬搭建一套局域網(wǎng)，其中生產(chǎn)網(wǎng)路段綜合收費(fèi)管理平臺(tái)和肉雞終端存在高危漏洞未修復(fù)，存在弱口令、高危端口等風(fēng)險(xiǎn)，如圖2所示。模擬肉雞終端被爆破成功后并被遠(yuǎn)程控制，利用系統(tǒng)漏洞成功添加管理員權(quán)限的賬戶。再通過肉雞終端瀏覽器收藏夾上保存路段綜合收費(fèi)管理平臺(tái)的web地址（用戶賬戶和密碼存儲(chǔ)在瀏覽器），進(jìn)一步訪問了該平臺(tái)，攻擊者成功登錄后臺(tái)后，并對平臺(tái)上數(shù)據(jù)進(jìn)行查詢、導(dǎo)出等操作[2]。

4.2.2 執(zhí)行階段

（1）如圖3所示，通過模擬搭建的局域內(nèi)網(wǎng)，利用弱口令工具發(fā)起批量爆破3389遠(yuǎn)程桌面端口[3]，存在弱口令的生產(chǎn)網(wǎng)肉雞終端公僅用7 min被成功爆破，遠(yuǎn)程控制了該終端電腦。

（2）如圖4所示，所示控制該生產(chǎn)網(wǎng)終端電腦后，同步打開瀏覽器收藏夾存儲(chǔ)的網(wǎng)址（用戶保存登錄密碼），成功登錄并訪問路段綜合收費(fèi)管理平臺(tái)后，進(jìn)行數(shù)據(jù)查詢和導(dǎo)出操作，并嘗試橫向攻擊到其他生產(chǎn)網(wǎng)終端。

（3）網(wǎng)絡(luò)攻擊事件發(fā)生后，高速公路網(wǎng)信辦啟動(dòng)應(yīng)急預(yù)案、迅速組織技術(shù)力量展開排查，按照應(yīng)急預(yù)案制定解決方案后展開對事件處置，事后對事件進(jìn)行追蹤溯源分析。

（4）應(yīng)急保障人員：通過對生產(chǎn)網(wǎng)肉雞終端物理斷網(wǎng)后，馬上對安全日志分析，發(fā)現(xiàn)告警信息中顯示的攻擊機(jī)IP（192.168.81.129）。對相關(guān)的安全日志進(jìn)行取證存檔，同步開啟全面病毒查殺，關(guān)閉不安全的端口和服務(wù)，對相關(guān)異常進(jìn)程、安全日志等深入分析，進(jìn)行一系列應(yīng)急加固工作。

（5）修復(fù)相關(guān)漏洞，更改系統(tǒng)超級(jí)管理員的賬號(hào)及密碼，開啟審核策略，檢查并加強(qiáng)內(nèi)網(wǎng)其他網(wǎng)絡(luò)設(shè)備的安全配置，防止類似安全事件橫向傳播。

（6）如圖5所示，溯源分析，全面查殺病毒后溯源分析發(fā)現(xiàn)生產(chǎn)網(wǎng)肉雞終端存在高危漏洞未修復(fù)、存在弱口令等高危漏洞，導(dǎo)致該終端被爆破成功并被遠(yuǎn)程控制，且用戶賬戶和密碼違規(guī)存儲(chǔ)在瀏覽器內(nèi)，被攻擊者輕易利用瀏覽器收藏的地址，成功登錄路段綜合收費(fèi)管理平臺(tái)后臺(tái)，進(jìn)行數(shù)據(jù)查詢與導(dǎo)出操作。

4.2.3 反饋階段

在實(shí)際運(yùn)營中相關(guān)管理人員和運(yùn)維人員普遍網(wǎng)絡(luò)安全意識(shí)不足，仍存在大量的弱口令使用情況，后續(xù)從管理制度上完善生產(chǎn)網(wǎng)相關(guān)安全設(shè)備周期性網(wǎng)絡(luò)安全巡檢、安全基線與策略檢查、安全漏洞掃描、信息資產(chǎn)弱口令加固等工作。

5 安全防護(hù)建議

綜合此次模擬演練，在各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)層面上開啟強(qiáng)口令策略：制定強(qiáng)口令的要求，包括長度、復(fù)雜性等。定期審計(jì)與更換：定期對系統(tǒng)進(jìn)行密碼審計(jì)，及時(shí)更換弱口令。

5.1 如何防止用戶的密碼被暴力破解

5.1.1 應(yīng)用層面

對登錄設(shè)置賬戶鎖定，在連續(xù)輸入錯(cuò)誤的密碼之后，需要間隔一段時(shí)間才能輸入下一次密碼。對登錄的設(shè)備進(jìn)行識(shí)別，如果是受信任的設(shè)備可通過，如果是新設(shè)備需要進(jìn)行用戶認(rèn)證。

5.1.2 用戶層面

使用復(fù)雜度較高的密碼，如包含大小寫字母、數(shù)字、特殊字符。定期審計(jì)，設(shè)置定期修改密碼，強(qiáng)制要求用戶定期更換密碼，減少被破解的風(fēng)險(xiǎn)。

5.1.3 培訓(xùn)

對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，提高安全意識(shí)。通過定期舉辦培訓(xùn)講座、發(fā)布安全提示、組織應(yīng)急演練等形式，讓員工了解網(wǎng)絡(luò)安全的重要性、掌握基本的防范技能。

6 總結(jié)

（1）弱口令是高速公路生產(chǎn)網(wǎng)（收費(fèi)系統(tǒng)）網(wǎng)絡(luò)安全的主要威脅之一。通過模擬演練，可以有效評(píng)估系統(tǒng)的安全性，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。加強(qiáng)對弱口令的管理和保護(hù)措施，可以大大提高業(yè)務(wù)系統(tǒng)的安全性。

（2）未來，隨著網(wǎng)絡(luò)攻擊手段的不斷升級(jí)，網(wǎng)絡(luò)安全防護(hù)將面臨更大挑戰(zhàn)?？梢匝芯拷Y(jié)合人工智能技術(shù)，通過機(jī)器學(xué)習(xí)算法自動(dòng)識(shí)別和管理密碼，增強(qiáng)系統(tǒng)的防御能力。

（3）通過模擬生產(chǎn)網(wǎng)環(huán)境被攻擊入侵的演練，加強(qiáng)了高速公路養(yǎng)護(hù)和運(yùn)營人員對《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》處理流程的熟悉程度，提高了相關(guān)人員對網(wǎng)絡(luò)安全防御、應(yīng)急響應(yīng)、故障排查、事件溯源分析的處理能力，進(jìn)一步鍛煉了網(wǎng)絡(luò)安全專業(yè)技術(shù)隊(duì)伍，提升了對網(wǎng)絡(luò)安全應(yīng)急的組織、協(xié)調(diào)和指揮能力。

參考文獻(xiàn)

[1]馬文文.弱口令檢測相關(guān)技術(shù)綜述[J].科學(xué)創(chuàng)新導(dǎo)報(bào)， 2022（7）：75-77.

[2]沈剛.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究[J].無線互聯(lián)科技， 2018（15）：35-36

[3]李子鳴.“弱口令”治理實(shí)踐與成效[J].保密科學(xué)技術(shù)， 2023（7）：66-71.

收稿日期：2024-09-29

作者簡介：陳春雷（1977—） ，男，本科，中級(jí)工程師，研究方向：道路與橋梁工程。