陳丹暉 劉清濤 張衛(wèi)軍

（中國鐵路北京局集團(tuán)有限公司北京鐵路通信技術(shù)中心，北京 100038）

1 概述

鐵路GSM-R SIM卡管理系統(tǒng)（以下簡稱SIM卡管理系統(tǒng)）作為鐵路通信數(shù)據(jù)管理的重要一環(huán)，為進(jìn)一步推進(jìn)鐵路GSM-R數(shù)據(jù)管理信息化工作，實(shí)施SIM卡管理系統(tǒng)網(wǎng)絡(luò)遷改接入鐵路數(shù)據(jù)通信網(wǎng)（以下簡稱數(shù)據(jù)網(wǎng)）不僅可以有效的提升SIM卡管理系統(tǒng)的網(wǎng)絡(luò)承載帶寬、拓展終端訪問范圍，還可以為后期鐵路通信的數(shù)據(jù)融合打下堅(jiān)實(shí)基礎(chǔ)。但由于數(shù)據(jù)網(wǎng)承載著鐵路眾多業(yè)務(wù)系統(tǒng)，業(yè)務(wù)接入遍布全路，SIM卡管理系統(tǒng)在接入數(shù)據(jù)網(wǎng)的同時(shí)也增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。所以SIM卡管理系統(tǒng)接入數(shù)據(jù)網(wǎng)前，須加強(qiáng)網(wǎng)絡(luò)安全防護(hù)建設(shè)，做到可信、可控和可追溯。

2 SIM卡管理系統(tǒng)運(yùn)用現(xiàn)狀

2.1 SIM卡管理系統(tǒng)運(yùn)用介紹

SIM卡管理系統(tǒng)實(shí)現(xiàn)全路GSM-R SIM卡數(shù)據(jù)、終端數(shù)據(jù)等業(yè)務(wù)管理，并形成全路GSM-R終端用戶數(shù)據(jù)及SIM卡的統(tǒng)一數(shù)據(jù)庫，由總公司級SIM卡管理系統(tǒng)（以下簡稱一級系統(tǒng)）和鐵路局SIM卡管理系統(tǒng)（以下簡稱二級系統(tǒng)）兩級構(gòu)成，在兩級架構(gòu)中。一級系統(tǒng)具有管理、實(shí)體和樞紐功能，為總公司統(tǒng)一業(yè)務(wù)管理提供支撐和保障，實(shí)現(xiàn)全路的數(shù)據(jù)管理和交換；二級系統(tǒng)具有管理和實(shí)體功能，為鐵路局進(jìn)行局內(nèi)數(shù)據(jù)業(yè)務(wù)管理提供支撐和保障。兩級系統(tǒng)共同支撐鐵路通信數(shù)據(jù)業(yè)務(wù)管理、數(shù)據(jù)查詢及統(tǒng)計(jì)分析等工作。

2.1.1 系統(tǒng)構(gòu)成

一級系統(tǒng)由應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)存儲設(shè)備、接口網(wǎng)關(guān)、SIM卡管理終端、SIM卡維護(hù)終端、SIM卡讀卡機(jī)以及系統(tǒng)接入路由設(shè)備、防火墻設(shè)備組成；二級系統(tǒng)由應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、SIM卡管理終端、SIM卡讀卡機(jī)、SIM卡維護(hù)終端、系統(tǒng)接入路由設(shè)備、防火墻設(shè)備組成。

2.1.2 組網(wǎng)結(jié)構(gòu)

SIM卡管理系統(tǒng)采用TCP/IP技術(shù)，通過2 M專線實(shí)現(xiàn)兩級系統(tǒng)互聯(lián)。總公司一級系統(tǒng)與北京局二級系統(tǒng)共用接入路由器，采用劃分不同VLAN方式接入；其他各局二級系統(tǒng)采用2 M專線接入位于北京核心網(wǎng)的接入交換機(jī)，實(shí)現(xiàn)與一級系統(tǒng)互聯(lián)，網(wǎng)絡(luò)邊界采用防火墻進(jìn)行安全防護(hù)。

網(wǎng)絡(luò)結(jié)構(gòu)示意如圖1所示。

2.2 拓展運(yùn)用需求

隨著鐵路數(shù)據(jù)管理信息化工作的推進(jìn)，GSM-R網(wǎng)絡(luò)數(shù)據(jù)管理系統(tǒng)、數(shù)據(jù)通信網(wǎng)IP地址管理系統(tǒng)、GIS數(shù)據(jù)應(yīng)用平臺等已陸續(xù)通過SIM卡管理系統(tǒng)專用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)承載，由于SIM卡專用網(wǎng)絡(luò)只覆蓋到各鐵路局少數(shù)專用業(yè)務(wù)終端，所以不能更大范圍的對外提供數(shù)據(jù)查詢服務(wù)以及與外部系統(tǒng)進(jìn)行數(shù)據(jù)共享。隨著鐵路大數(shù)據(jù)的發(fā)展，各專業(yè)業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)互通與共享成為業(yè)務(wù)發(fā)展的基礎(chǔ)要求， 數(shù)據(jù)網(wǎng)作為鐵路通信基礎(chǔ)承載網(wǎng)，實(shí)現(xiàn)全網(wǎng)IP化承載各業(yè)務(wù)系統(tǒng)應(yīng)用已是主流趨勢。

3 SIM卡管理系統(tǒng)及數(shù)據(jù)網(wǎng)安全現(xiàn)狀

3.1 SIM卡管理系統(tǒng)安全現(xiàn)狀

目前，鑒于SIM卡管理系統(tǒng)采用專網(wǎng)組網(wǎng)方式，SIM卡一、二級系統(tǒng)僅通過防火墻一種安全防護(hù)設(shè)備進(jìn)行系統(tǒng)間互聯(lián)，且不具備病毒防護(hù)、入侵防御等功能，網(wǎng)絡(luò)安全防護(hù)能力較為薄弱，不能有效防御接入數(shù)據(jù)網(wǎng)后帶來的安全風(fēng)險(xiǎn)。

3.2 數(shù)據(jù)網(wǎng)安全現(xiàn)狀

2015年底，鐵路骨干數(shù)據(jù)通信網(wǎng)正式建成并投入運(yùn)行，各鐵路局已實(shí)現(xiàn)區(qū)域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)互聯(lián)，目前數(shù)據(jù)網(wǎng)承載GSM-R/GPRS、綜合視頻監(jiān)控、旅客信息服務(wù)、會議電視、應(yīng)急通信、電報(bào)、信號微機(jī)監(jiān)測、辦公、TMIS等業(yè)務(wù)，各業(yè)務(wù)之間采用多協(xié)議標(biāo)簽交換/虛擬專網(wǎng)（MPLS/VPN）技術(shù)進(jìn)行業(yè)務(wù)隔離，業(yè)務(wù)可靠性、QoS等運(yùn)營質(zhì)量性能較高，但病毒防護(hù)、入侵防御等網(wǎng)絡(luò)安全防護(hù)能力較為薄弱。

4 安全風(fēng)險(xiǎn)分析

參考國家信息系統(tǒng)等級保護(hù)網(wǎng)絡(luò)安全防護(hù)技術(shù)要求，結(jié)合SIM卡管理系統(tǒng)既有網(wǎng)絡(luò)現(xiàn)狀及未來大數(shù)據(jù)應(yīng)用需求，各通信業(yè)務(wù)信息化系統(tǒng)統(tǒng)一納入鐵路通信運(yùn)維支撐平臺管理，并承載于鐵路數(shù)據(jù)通信網(wǎng)，基于以上網(wǎng)絡(luò)運(yùn)用模式分析，SIM卡系統(tǒng)的應(yīng)用存在以下幾方面網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

4.1 SIM卡管理系統(tǒng)自身安全風(fēng)險(xiǎn)

參照信息系統(tǒng)安全等級保護(hù)基本要求和信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范，對SIM卡管理系統(tǒng)進(jìn)行了漏洞掃描及滲透測試。通過檢測發(fā)現(xiàn)系統(tǒng)存在較多遠(yuǎn)程信息泄露、遠(yuǎn)程拒絕服務(wù)及其他高風(fēng)險(xiǎn)安全漏洞。部分檢測結(jié)果如圖2所示。

根據(jù)系統(tǒng)風(fēng)險(xiǎn)評估和掃描測試結(jié)果看，SIM卡管理系統(tǒng)自身主要存在以下風(fēng)險(xiǎn)。

1）安全審計(jì)風(fēng)險(xiǎn)。SIM 卡管理系統(tǒng)未建立審計(jì)機(jī)制，無法對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，發(fā)生安全事件后，無法進(jìn)行追蹤溯源。

2）惡意代碼風(fēng)險(xiǎn)。目前計(jì)算機(jī)病毒的傳播途徑與過去相比發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)形態(tài)進(jìn)行傳播，SIM卡管理系統(tǒng)未部署相關(guān)防病毒網(wǎng)關(guān)對網(wǎng)絡(luò)層面的病毒予以查殺，系統(tǒng)所面臨的安全風(fēng)險(xiǎn)較大。

3）網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)。系統(tǒng)內(nèi)網(wǎng)絡(luò)設(shè)備和安全設(shè)備（如交換機(jī)、防火墻、入侵檢測設(shè)備等）自身安全性直接關(guān)系到網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備遭受攻擊甚至設(shè)備設(shè)置被篡改，將會造成無法想象的后果。

4）主機(jī)安全風(fēng)險(xiǎn)。目前SIM卡管理系統(tǒng)服務(wù)器、業(yè)務(wù)終端未進(jìn)行任何安全防護(hù)、認(rèn)證，系統(tǒng)存在遭受非法入侵、控制、數(shù)據(jù)泄漏、系統(tǒng)損壞等安全風(fēng)險(xiǎn)。

4.2 SIM卡管理系統(tǒng)接入數(shù)據(jù)網(wǎng)的邊界安全風(fēng)險(xiǎn)

SIM卡管理系統(tǒng)接入數(shù)據(jù)網(wǎng)改變了既有系統(tǒng)的運(yùn)用方式，擴(kuò)大了系統(tǒng)的網(wǎng)絡(luò)接入范圍，若考慮到后期接入其他鐵路GSM-R運(yùn)維支撐系統(tǒng)或相關(guān)系統(tǒng)，SIM卡管理系統(tǒng)將實(shí)現(xiàn)系統(tǒng)間跨VPN、跨網(wǎng)絡(luò)互訪，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大大增加。通過分析，存在以下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1）邊界訪問風(fēng)險(xiǎn)。SIM卡管理系統(tǒng)與數(shù)據(jù)網(wǎng)或相關(guān)系統(tǒng)互聯(lián)產(chǎn)生了邊界訪問風(fēng)險(xiǎn)，若未對進(jìn)出邊界的進(jìn)行有效的訪問控制，越權(quán)訪問將對網(wǎng)絡(luò)及系統(tǒng)造成安全威脅。

2）邊界完整性風(fēng)險(xiǎn)。SIM卡管理系統(tǒng)終端用戶若未經(jīng)許可私自聯(lián)到外部網(wǎng)絡(luò)，邊界的完整性則受到破壞，網(wǎng)絡(luò)控制規(guī)則將失去效力。

3）網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)。各類網(wǎng)絡(luò)攻擊行為存在于網(wǎng)絡(luò)內(nèi)、外部。特別是針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DDoS等，若未對網(wǎng)絡(luò)層進(jìn)行有效的安全防護(hù)，核心信息資產(chǎn)將存在遭受攻擊風(fēng)險(xiǎn)。

4.3 數(shù)據(jù)網(wǎng)安全風(fēng)險(xiǎn)

依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求和IP承載網(wǎng)安全防護(hù)要求，結(jié)合鐵路通信網(wǎng)特點(diǎn)，對鐵路骨干數(shù)據(jù)通信網(wǎng)、總公司本地?cái)?shù)據(jù)網(wǎng)、通信網(wǎng)管網(wǎng)進(jìn)行了網(wǎng)絡(luò)安全測評，發(fā)現(xiàn)鐵路數(shù)據(jù)通信網(wǎng)主要存在如下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：缺少入侵防范、防病毒、惡意代碼防范、網(wǎng)管用戶集中登錄與審計(jì)及終端管控等安全措施，抵御安全攻擊能力較為薄弱。因此，若SIM卡管理系統(tǒng)未經(jīng)安全加固接入數(shù)據(jù)網(wǎng)，一旦SIM卡管理系統(tǒng)遭遇病毒或其他惡意攻擊，連帶效應(yīng)，勢必對數(shù)據(jù)網(wǎng)造成安全威脅。

5 SIM卡管理系統(tǒng)網(wǎng)絡(luò)安全防護(hù)實(shí)施建議

5.1 網(wǎng)絡(luò)安全防護(hù)需求

通過風(fēng)險(xiǎn)梳理，主要從網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、終端安全防護(hù)等7個(gè)方面進(jìn)行安全防護(hù)。

1）網(wǎng)絡(luò)訪問控制：通過制定訪問策略，在網(wǎng)絡(luò)邊界進(jìn)行網(wǎng)絡(luò)訪問控制，通常由防火墻進(jìn)行網(wǎng)絡(luò)訪問控制。

2）網(wǎng)絡(luò)安全審計(jì)：從網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等方面進(jìn)行網(wǎng)絡(luò)安全審計(jì)，體現(xiàn)為設(shè)備管理和運(yùn)行日志審計(jì)、網(wǎng)絡(luò)流量審計(jì)、用戶行為審計(jì)等。

3）邊界完整性檢查：防止接入側(cè)用戶非法外聯(lián)，在各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)部署?？赏ㄟ^管理和網(wǎng)絡(luò)手段共同實(shí)現(xiàn)，防止非法節(jié)點(diǎn)或非法路由的存在。

4）網(wǎng)絡(luò)入侵防范：主要防護(hù)黑客和病毒的入侵和非法訪問，可以通過部署入侵防御設(shè)備來進(jìn)行實(shí)時(shí)檢測和阻斷。

5）惡意代碼防范：主要防護(hù)針對應(yīng)用層的攻擊，尤其是針對B/S架構(gòu)服務(wù)的Web服務(wù)攻擊，可以通過部署Web應(yīng)用防護(hù)設(shè)備來進(jìn)行防護(hù)。

6）網(wǎng)絡(luò)設(shè)備防護(hù)：主要針對登錄網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行安全防護(hù)，可以通過部署堡壘機(jī)來實(shí)現(xiàn)，堡壘機(jī)可實(shí)現(xiàn)單點(diǎn)登錄、登錄用戶的身份認(rèn)證和記錄訪問日志。

7）主機(jī)安全防護(hù)：通過部署終端安全管控系統(tǒng)實(shí)現(xiàn)對主機(jī)的授權(quán)準(zhǔn)入、文檔管理、文檔授權(quán)、文檔加密、安全加固等防護(hù)功能。

5.2 網(wǎng)絡(luò)安全防護(hù)設(shè)備的部署方案

根據(jù)SIM卡管理系統(tǒng)既有安全防護(hù)現(xiàn)狀，為防范SIM卡管理系統(tǒng)與網(wǎng)絡(luò)、相關(guān)系統(tǒng)對接引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，基于網(wǎng)絡(luò)接入安全防護(hù)需求的角度對SIM卡管理系統(tǒng)安全防護(hù)方案進(jìn)行了研究，通過區(qū)域劃分部署相關(guān)網(wǎng)絡(luò)安全系統(tǒng)。為了實(shí)現(xiàn)SIM卡管理系統(tǒng)的整體網(wǎng)絡(luò)安全防護(hù)，在核心區(qū)和運(yùn)維管理區(qū)進(jìn)行安全防護(hù)設(shè)備部署?？傮w技術(shù)方案如圖3所示。

1）網(wǎng)絡(luò)核心區(qū)的部署

防火墻：部署在SIM卡管理系統(tǒng)的核心區(qū)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制。

入侵防御設(shè)備：部署在SIM卡管理系統(tǒng)的核心區(qū)，實(shí)現(xiàn)網(wǎng)絡(luò)入侵防御。

Web應(yīng)用防護(hù)：Web應(yīng)用防火墻，部署在SIM卡管理系統(tǒng)的核心區(qū)，實(shí)現(xiàn)惡意代碼防范，保護(hù)B/S架構(gòu)的應(yīng)用系統(tǒng)。

2）運(yùn)維管理區(qū)的部署

運(yùn)維管理區(qū)部署日志分析平臺、終端安全管控系統(tǒng)、統(tǒng)一安全運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）、補(bǔ)丁/病毒更新服務(wù)器等系統(tǒng)，提升信息安全保障能力。

日志分析平臺：通過其實(shí)現(xiàn)日志收集、日志分析、安全風(fēng)險(xiǎn)定位、合規(guī)自查、報(bào)表輸出、實(shí)現(xiàn)安全數(shù)據(jù)的分析、定位、預(yù)警，實(shí)現(xiàn)系統(tǒng)的整體安全防護(hù)。

終端安全管控系統(tǒng)：構(gòu)建SIM卡管理系統(tǒng)認(rèn)證及終端數(shù)據(jù)管控體系架構(gòu)，實(shí)現(xiàn)對主機(jī)的授權(quán)準(zhǔn)入、文檔管理、文檔授權(quán)、文檔加密。

統(tǒng)一安全運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）：實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)等IT資源單點(diǎn)登陸、運(yùn)維統(tǒng)一入口、運(yùn)維安全審計(jì)功能。滿足網(wǎng)絡(luò)設(shè)備防護(hù)的安全需要。

部署補(bǔ)丁/病毒更新服務(wù)器：實(shí)現(xiàn)對服務(wù)器、終端的操作系統(tǒng)及相關(guān)部件進(jìn)行補(bǔ)丁、病毒庫的更新，完善安全漏洞，提高對惡意代碼、DDos攻擊等的抗攻擊能力，有效的降低解決主機(jī)安全風(fēng)險(xiǎn)。

5.3 模擬攻擊測試驗(yàn)證

1）為有效驗(yàn)證SIM卡管理系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)方案的可靠性，保障系統(tǒng)抵御外來攻擊、入侵，已通過搭建SIM卡管理系統(tǒng)及相應(yīng)防護(hù)設(shè)備實(shí)驗(yàn)環(huán)境，開展模擬攻擊試驗(yàn)，模擬試驗(yàn)截圖如圖4所示。

過程描述：通過在防火墻開啟DDoS功能，使用xcap發(fā)包工具進(jìn)行DDoS攻擊，模擬攻擊行為，通過安全日志可發(fā)現(xiàn)防火墻已有效完成對DDoS攻擊的識別及防護(hù)。

2）Web應(yīng)用防火墻檢測SQL注入攻擊、溢出攻擊，如圖5所示。

過程描述：通過在Web防火墻開啟安全策略，模擬進(jìn)行攻擊行為，攻擊SIM卡管理系統(tǒng)HTTP網(wǎng)頁，由于攻擊終端訪問服務(wù)器的流量須經(jīng)過Web防火墻，通過日志可發(fā)現(xiàn)Web應(yīng)用防火墻已有效完成SQL注入攻擊、溢出攻擊的識別及防護(hù)。

6 結(jié)束語

SIM卡管理系統(tǒng)承載著眾多鐵路通信的重要運(yùn)營數(shù)據(jù)，為保證SIM卡管理系統(tǒng)的穩(wěn)定運(yùn)行，增強(qiáng)各業(yè)務(wù)系統(tǒng)之間的綜合協(xié)作，在確保網(wǎng)絡(luò)安全的前提下接入數(shù)據(jù)網(wǎng)是我們現(xiàn)有的工作需求。通過梳理既有系統(tǒng)的安全現(xiàn)狀和業(yè)務(wù)特點(diǎn)，參考信息系統(tǒng)安全等級保護(hù)測評要求、信息安全完全參考手冊等安全資料，研究SIM卡管理系統(tǒng)接入數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)要點(diǎn)，探索在數(shù)據(jù)網(wǎng)上承載SIM卡管理等關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)安全。SIM卡管理系統(tǒng)作為鐵路通信重要信息化系統(tǒng)之一，在鐵路通信網(wǎng)信息化系統(tǒng)中有著很強(qiáng)的代表性，該系統(tǒng)的運(yùn)用模式及網(wǎng)絡(luò)安全防護(hù)方案可為其他通信信息化系統(tǒng)提供網(wǎng)絡(luò)安全防護(hù)參考。

[1]慈林林，楊明華，田成平等.可信網(wǎng)絡(luò)連接與可信云計(jì)算[M].北京：科學(xué)出版社，2015.

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會.GB/T 28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求[S].

[3]蔡皖東.網(wǎng)絡(luò)安全信息技術(shù)[M].北京：清華大學(xué)出版社，2015.

[4] Conver S.網(wǎng)絡(luò)安全體系架構(gòu)[M] .田果，劉丹寧，譯. 北京：人民郵電出版社，2013.

[5] Qusley M R.信息安全完全參考手冊[M].李洋，段洋，葉天斌，譯.北京：清華大學(xué)出版社，2014.

[6]吳密. 通信網(wǎng)絡(luò)新技術(shù)與規(guī)范實(shí)務(wù)全書[M].北京：當(dāng)代中國音像出版社，2013.

[7]陳曉樺，武傳坤. 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)空間健康發(fā)展的保障[M]. 北京：人民郵電出版社，2017.

[8]喬楨.鐵路電報(bào)通信系統(tǒng)的研究[J].鐵路通信信號工程技術(shù)，2017，14（2）：46-49.

[9]魯智勇.網(wǎng)絡(luò)安全防護(hù)理論與技術(shù)[M].北京：國防工業(yè)出版社，2017.

[10]賈鐵軍，陶衛(wèi)東.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2017.

[11]蘭巨龍，程東年，劉文芬，等.信息網(wǎng)絡(luò)安全與防護(hù)技術(shù)[M].北京：人民郵電出版社，2014.

[12]程工，孫小寧，張麗，等.美國國家網(wǎng)絡(luò)安全戰(zhàn)略研究[M].北京：電子工業(yè)出版社，2015.