■金 燚

(福建省交通信息通信與應(yīng)急處置中心，福州 350001)

1 前言

交通運(yùn)輸是國(guó)民經(jīng)濟(jì)中基礎(chǔ)性、先導(dǎo)性和戰(zhàn)略性產(chǎn)業(yè)，通過(guò)近30年的發(fā)展，在基礎(chǔ)設(shè)施建設(shè)、行業(yè)協(xié)同管理、智能管理與服務(wù)等方面都取得了長(zhǎng)足發(fā)展。而交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施及核心業(yè)務(wù)系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，將會(huì)嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益。

隨著“互聯(lián)網(wǎng)+交通”、“一帶一路”建設(shè)等規(guī)劃的實(shí)施和綜合交通的不斷發(fā)展，交通運(yùn)輸信息化內(nèi)涵和外延不斷豐富，政企合作不斷深入。在這樣的背景下，行業(yè)信息化整體發(fā)展體現(xiàn)出以下幾個(gè)特征：首先是網(wǎng)絡(luò)規(guī)模龐大，關(guān)鍵支撐作用逐漸增加；其次建設(shè)主體復(fù)雜多樣，管理難度大；再次是移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)廣泛應(yīng)用，交通運(yùn)輸新模式、新業(yè)態(tài)快速發(fā)展；第四是孤島式網(wǎng)絡(luò)結(jié)構(gòu)壁壘松動(dòng)，信息共享和互聯(lián)互通成為趨勢(shì)；第五是交通運(yùn)輸智能化、合作化發(fā)展突飛猛進(jìn)。

這些特征決定了當(dāng)今的交通運(yùn)輸網(wǎng)絡(luò)安全，在未健全面向傳統(tǒng)網(wǎng)絡(luò)安全保障措施的情況下，已經(jīng)步入了新一代的網(wǎng)絡(luò)安全環(huán)境之中，在網(wǎng)絡(luò)整體架構(gòu)中，任意一點(diǎn)被攻破，都將造成整體性的網(wǎng)絡(luò)安全事故。開(kāi)展交通運(yùn)輸網(wǎng)絡(luò)安全工作，必須做到全面規(guī)劃、突出重點(diǎn)、立足現(xiàn)代、展望未來(lái)城市智慧交通安全問(wèn)題并不是單獨(dú)存在的，應(yīng)遵從行業(yè)信息安全的總體規(guī)劃，繼承并利用行業(yè)內(nèi)已有的成熟技術(shù)、經(jīng)驗(yàn)，從而形成可行的、易于推廣的安全解決方案。

近年，我省交通行業(yè)網(wǎng)絡(luò)安全工作總體開(kāi)展較好，制定了《福建省交通運(yùn)輸廳非涉密信息系統(tǒng)安全管理制度》等管理制度，逐步完善了安全防護(hù)措施、應(yīng)急響應(yīng)機(jī)制。新形勢(shì)下要針對(duì)交通運(yùn)輸網(wǎng)絡(luò)安全進(jìn)行主動(dòng)防護(hù)試點(diǎn)研究工作。

2 新形勢(shì)下交通運(yùn)輸網(wǎng)絡(luò)面臨的主要安全問(wèn)題

2.1 交通外場(chǎng)設(shè)備已經(jīng)成為網(wǎng)絡(luò)安全保障盲點(diǎn)

隨著網(wǎng)絡(luò)應(yīng)用與普及，針對(duì)傳統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)的各類(lèi)主機(jī)及關(guān)鍵節(jié)點(diǎn)的資產(chǎn)管理、態(tài)勢(shì)感知、威脅預(yù)警和應(yīng)急響應(yīng)等成套技術(shù)目前已取得較大進(jìn)展，并可綜合運(yùn)用3D、VR等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)管理的智能化和可視化。但在新一代交通運(yùn)輸網(wǎng)絡(luò)中，各類(lèi)業(yè)務(wù)應(yīng)用不但包含傳統(tǒng)網(wǎng)絡(luò)部分，而且還涉及各類(lèi)交通外場(chǎng)設(shè)施、載運(yùn)工具和移動(dòng)終端等，這使得交通運(yùn)輸網(wǎng)絡(luò)一方面具有點(diǎn)多、線(xiàn)長(zhǎng)、面廣等特點(diǎn)，另一方面還具有移動(dòng)和跨區(qū)域等特殊需求。而針對(duì)這些交通外場(chǎng)設(shè)施的安全管理，目前由于接口種類(lèi)、通信協(xié)議等原因還無(wú)法實(shí)現(xiàn)統(tǒng)一管理，并且都是一些基本信息、特定屬性的查詢(xún)和可視化，無(wú)法實(shí)時(shí)了解各類(lèi)交通外場(chǎng)設(shè)施的運(yùn)行狀態(tài)和正在面臨的網(wǎng)絡(luò)安全威脅等內(nèi)容，更不能對(duì)這些設(shè)施實(shí)現(xiàn)遠(yuǎn)程防護(hù)和應(yīng)急響應(yīng)等功能，還遠(yuǎn)遠(yuǎn)未達(dá)到智能化管理的應(yīng)用需求。

2.2 網(wǎng)絡(luò)未知威脅感知技術(shù)能力尚顯不足

針對(duì)交通運(yùn)輸網(wǎng)絡(luò)中特有的交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備等，業(yè)內(nèi)尚缺乏對(duì)攻擊特征的積累，一旦遭受攻擊就可能是毫無(wú)防御能力的未知攻擊。同時(shí)，傳統(tǒng)安全產(chǎn)品，基于脆弱性、反應(yīng)性、邊界性的周界安全模型已經(jīng)不具備應(yīng)對(duì)和處置全球化、規(guī)?；?、快速演變的網(wǎng)絡(luò)攻擊的能力，持續(xù)衍變的先進(jìn)持續(xù)攻擊手段能夠有效地規(guī)避基于特征簽名的檢測(cè)，網(wǎng)絡(luò)環(huán)境的生存性和使命保障能力面對(duì)新的挑戰(zhàn)。當(dāng)未知網(wǎng)絡(luò)威脅來(lái)臨、內(nèi)部威脅增多，網(wǎng)絡(luò)邊界逐漸模糊化甚至消失后，以高級(jí)持續(xù)攻擊(APT)攻擊為代表的網(wǎng)絡(luò)攻擊往往采用多種綜合的攻擊手法，多種惡意軟件，甚至0day漏洞與社會(huì)工程方法，能夠繞開(kāi)傳統(tǒng)基于規(guī)則的安全產(chǎn)品的檢測(cè)。面對(duì)日漸增多的高級(jí)威脅，傳統(tǒng)安全防護(hù)產(chǎn)品無(wú)法做到有效的發(fā)現(xiàn)，失去防護(hù)能力，嚴(yán)重的可能造成全網(wǎng)癱瘓。

2.3 安全事件應(yīng)急響應(yīng)技術(shù)能力亟待提升

交通運(yùn)輸網(wǎng)絡(luò)安全面臨著前所未有的挑戰(zhàn)和威脅，同時(shí)由于交通系統(tǒng)涉及面廣、變化快、以及網(wǎng)絡(luò)新技術(shù)新業(yè)務(wù)層出不窮、信息系統(tǒng)基礎(chǔ)較薄弱等因素，網(wǎng)絡(luò)與信息安全工作尚處于被動(dòng)的應(yīng)急救火階段，疲于應(yīng)對(duì)各種突發(fā)網(wǎng)絡(luò)安全問(wèn)題，缺少主動(dòng)防御和事前預(yù)警和事中監(jiān)測(cè)的有效手段，安全風(fēng)險(xiǎn)難以得到持續(xù)受控、可控，安全問(wèn)題層出不窮，嚴(yán)重制約深度安全建設(shè)以及業(yè)務(wù)快速發(fā)展。Gartner預(yù)計(jì)到2020年，快速檢測(cè)和響應(yīng)投資將從目前的10%增長(zhǎng)到60%，以事前防范和預(yù)警防御為主的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)技術(shù)能力有待提升。

2.4 海量安全數(shù)據(jù)挖掘技術(shù)能力有待改進(jìn)

面對(duì)日益復(fù)雜的攻擊形式，單一的防護(hù)無(wú)法發(fā)現(xiàn)復(fù)雜的攻擊行為，同時(shí)基于已知規(guī)則監(jiān)測(cè)已不適應(yīng)，需要考慮借助大數(shù)據(jù)和行為異常監(jiān)測(cè)分析理念開(kāi)展數(shù)據(jù)分析。由于大數(shù)據(jù)形式與內(nèi)容的多樣性、獲取方式與來(lái)源的多元化以及數(shù)據(jù)高維特征引起的維數(shù)災(zāi)難等問(wèn)題，給大數(shù)據(jù)的獲取和分析帶來(lái)了巨大困難。同時(shí)網(wǎng)絡(luò)安全事件的突發(fā)性，實(shí)時(shí)感知的海量數(shù)據(jù)還存在噪音多、混雜、質(zhì)量差和可信度低等問(wèn)題，更增加了大數(shù)據(jù)分析和處理的難度，海量安全數(shù)據(jù)挖掘技術(shù)能力有待改進(jìn)。

3 交通運(yùn)輸網(wǎng)絡(luò)安全應(yīng)對(duì)措施

面對(duì)新形勢(shì)下交通運(yùn)輸網(wǎng)絡(luò)所面臨的新風(fēng)險(xiǎn)、新問(wèn)題，本文設(shè)想從以下幾個(gè)方面著手解決：

3.1 完善形成交通外場(chǎng)設(shè)施的設(shè)備指紋庫(kù)和漏洞庫(kù)

隨著交通信息化的快速發(fā)展，大量的外場(chǎng)設(shè)備陸續(xù)接入交通專(zhuān)網(wǎng)，但是針對(duì)這些外場(chǎng)設(shè)備，缺乏有效的安全管理手段。為此，急需建立起針對(duì)交通外場(chǎng)設(shè)施的指紋庫(kù)，同時(shí)整合行業(yè)漏洞信息，建立交通運(yùn)輸行業(yè)漏洞庫(kù)，通過(guò)擴(kuò)大漏洞收集和分析渠道，降低信息安全事件發(fā)生的可能性，提高交通運(yùn)輸網(wǎng)絡(luò)漏洞研究水平和安全預(yù)警能力，促進(jìn)交通運(yùn)輸網(wǎng)絡(luò)健康穩(wěn)步發(fā)展。

交通外場(chǎng)設(shè)施的分類(lèi)如表1所示。

3.2 研究基于分布式特征的交通網(wǎng)絡(luò)探針技術(shù)

針對(duì)交通行業(yè)點(diǎn)多、線(xiàn)長(zhǎng)、面廣，外場(chǎng)設(shè)施種類(lèi)多的特征，研究適用于交通數(shù)據(jù)流的深度包檢測(cè)DPI技術(shù)(DeepPacketInspection)。通過(guò)對(duì)現(xiàn)有交通運(yùn)輸網(wǎng)絡(luò)(含互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、政務(wù)信息網(wǎng)、行業(yè)專(zhuān)網(wǎng)等)關(guān)鍵節(jié)點(diǎn)處的流量進(jìn)行報(bào)文重組、數(shù)據(jù)還原、代碼檢測(cè)分析，可以根據(jù)事先定義的策略對(duì)檢測(cè)流量進(jìn)行過(guò)濾控制，獲取需要的協(xié)議字段和樣本文件。最終為實(shí)現(xiàn)時(shí)間指紋、模式特征、行為模型、異常行為、安全威脅場(chǎng)景、資產(chǎn)的可視化分析等功能提供底層數(shù)據(jù)采集支撐。

表1 交通外場(chǎng)設(shè)施分類(lèi)

DPI接收交通運(yùn)輸網(wǎng)絡(luò)中的流量，提供靈活配置獲取的網(wǎng)絡(luò)協(xié)議字段，支持將獲取的協(xié)議字段信息與后端管理端之間的安全數(shù)據(jù)傳輸，將捕獲分析的數(shù)據(jù)提供給數(shù)據(jù)分析模塊多個(gè)引擎進(jìn)程各一份數(shù)據(jù)，進(jìn)行協(xié)議識(shí)別、分析、組包、組流等，針對(duì)不同節(jié)點(diǎn)的特征規(guī)則及過(guò)濾策略進(jìn)行匹配比對(duì)，全方位的檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來(lái)源及行為等內(nèi)容。工作原理如圖1所示。

DPI采用分布式流式數(shù)據(jù)處理框架，將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個(gè)處理節(jié)點(diǎn)上，以滿(mǎn)足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場(chǎng)景，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問(wèn)題。

3.3 研究基于交通大數(shù)據(jù)的安全態(tài)勢(shì)分析技術(shù)

研究海量大數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)，從處理響應(yīng)實(shí)時(shí)性和關(guān)聯(lián)規(guī)則復(fù)雜度等方面都提出要求，研究大數(shù)據(jù)實(shí)時(shí)事件關(guān)聯(lián)分析技術(shù)，采用分布式流式數(shù)據(jù)處理框架，將事件關(guān)聯(lián)規(guī)則采用并行計(jì)算方法分布到多個(gè)處理節(jié)點(diǎn)上，以滿(mǎn)足海量數(shù)據(jù)環(huán)境下高吞吐量、低延遲的事件流處理場(chǎng)景，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全問(wèn)題。

通過(guò)現(xiàn)有的成熟技術(shù)和基礎(chǔ)數(shù)據(jù)并結(jié)合各交通行業(yè)的實(shí)際安全業(yè)務(wù)要求，通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知幫助解決“未知安全威脅”的探測(cè)和感知，從而做到事前發(fā)現(xiàn)安全威脅和風(fēng)險(xiǎn)，及時(shí)通知管理者或安全設(shè)備完成威脅的阻擊和風(fēng)險(xiǎn)的蔓延，最大的程度的把安全事件控制在最小范圍內(nèi)。通過(guò)分析交通運(yùn)輸網(wǎng)的全流量信息，基于時(shí)間流的算法，全方位的檢測(cè)流量的異常、網(wǎng)絡(luò)資產(chǎn)變化、事件行為、攻擊來(lái)源及行為等內(nèi)容，以可視化的界面展示給安全管理者，幫助管理者及時(shí)知曉網(wǎng)絡(luò)安全態(tài)勢(shì)，保障交通運(yùn)輸網(wǎng)絡(luò)的安全運(yùn)行。

圖1 DPI技術(shù)工作原理

圖2 基于交通大數(shù)據(jù)的安全態(tài)勢(shì)業(yè)務(wù)模型

通過(guò)采集交通控制網(wǎng)絡(luò)中交調(diào)設(shè)備、氣象設(shè)備、監(jiān)控設(shè)備、邊坡設(shè)備的流量信息，系統(tǒng)依托共享模塊的設(shè)備指紋庫(kù)、漏洞庫(kù)、資產(chǎn)庫(kù)、安全事件庫(kù)、威脅情報(bào)庫(kù)、白名單庫(kù)等特征信息對(duì)交通網(wǎng)絡(luò)安全事件進(jìn)行分析，分析內(nèi)容包括對(duì)資產(chǎn)識(shí)別分析、入侵事件分析、文件檢測(cè)分析、攻擊鏈行為分析等，為交通控制網(wǎng)絡(luò)的態(tài)勢(shì)感知提供基礎(chǔ)。

基于交通數(shù)據(jù)的安全態(tài)勢(shì)分析是一種基于網(wǎng)絡(luò)邊界檢測(cè)、資產(chǎn)關(guān)聯(lián)與未知威脅發(fā)現(xiàn)的安全態(tài)勢(shì)感知技術(shù)。充分利用資產(chǎn)識(shí)別、入侵事件檢測(cè)、惡意文件檢測(cè)、攻擊鏈行為分析、大數(shù)據(jù)處理的技術(shù)優(yōu)勢(shì)，建立資產(chǎn)與安全的關(guān)聯(lián)機(jī)制、攻擊鏈行為分析模型。實(shí)現(xiàn)攻擊鏈識(shí)別、資產(chǎn)識(shí)、安全事件檢測(cè)、惡意文件檢測(cè)、追蹤取證，達(dá)到對(duì)交通控制網(wǎng)絡(luò)的流量異常預(yù)警、設(shè)備資產(chǎn)變更感知、事件行為告警、多維度攻擊來(lái)源展示的綜合性態(tài)勢(shì)感知能力。

4 結(jié)論

根據(jù)國(guó)內(nèi)外交通運(yùn)輸技術(shù)和產(chǎn)業(yè)的發(fā)展建設(shè)經(jīng)驗(yàn)，以及信息安全專(zhuān)項(xiàng)的技術(shù)特色和結(jié)合交通運(yùn)輸服務(wù)領(lǐng)域的新業(yè)態(tài)，可以明確對(duì)新一代交通運(yùn)輸網(wǎng)絡(luò)安全保障技術(shù)研究是必要的。該方向的研究，可有效推進(jìn)交通運(yùn)輸信息化的快速發(fā)展。

未來(lái)的交通運(yùn)輸網(wǎng)絡(luò)通過(guò)物聯(lián)網(wǎng)和5G高速網(wǎng)絡(luò)對(duì)人-車(chē)-路的信息聯(lián)動(dòng)，可對(duì)車(chē)輛跑偏、車(chē)輛碰撞、疲勞駕駛等交通事故及危險(xiǎn)駕駛行為進(jìn)行預(yù)警，從而實(shí)現(xiàn)交通安全運(yùn)行；通過(guò)對(duì)交通樞紐的車(chē)流、運(yùn)力信息獲取、道路、車(chē)輛、客流，可對(duì)交通運(yùn)行狀況進(jìn)行主動(dòng)偵測(cè)調(diào)節(jié)，從而實(shí)現(xiàn)交通高效運(yùn)轉(zhuǎn)；通過(guò)交通流量的動(dòng)態(tài)獲取與主動(dòng)管理，可緩解交通擁堵，提高道路利用率，促進(jìn)節(jié)能減排，降低交通資源占有率，綠色環(huán)保，最終形成安全、高效、環(huán)保的現(xiàn)代交通運(yùn)輸體系建設(shè)；通過(guò)交通運(yùn)輸動(dòng)態(tài)感知體系的建設(shè)，可以使行業(yè)管理部門(mén)及時(shí)、全面地掌握交通運(yùn)營(yíng)動(dòng)態(tài)，從而提高對(duì)交通的監(jiān)管能力和應(yīng)急處置能力。還可以為橋梁安全運(yùn)營(yíng)提供可靠的技術(shù)保障，避免橋梁重大事故的發(fā)生，減少處于交通命脈的橋梁因事故所帶來(lái)的巨大經(jīng)濟(jì)和人員損失。