余 超 雷 靂

（中鐵二院工程集團(tuán)有限責(zé)任公司，成都 610031）

隨著鐵路信息化進(jìn)程的逐步推進(jìn)，移動(dòng)終端在鐵路移動(dòng)辦公、現(xiàn)場(chǎng)作業(yè)監(jiān)控、應(yīng)急搶險(xiǎn)、遠(yuǎn)程決策等方面得到了廣泛應(yīng)用，借助移動(dòng)終端可完成公文流轉(zhuǎn)、文件簽審、工單派發(fā)、作業(yè)現(xiàn)場(chǎng)記錄、作業(yè)報(bào)告、現(xiàn)場(chǎng)音視頻回傳等工作。移動(dòng)終端的應(yīng)用打破了地域的限制，大大提高了鐵路運(yùn)輸生產(chǎn)作業(yè)的便利性和工作效率［1-4］。

鐵路行業(yè)使用的移動(dòng)終端包括統(tǒng)一派發(fā)的移動(dòng)終端和個(gè)人自帶的移動(dòng)終端（Bring Your Own Device，簡稱BYOD）兩類。統(tǒng)一派發(fā)的移動(dòng)終端預(yù)裝鐵路相關(guān)應(yīng)用APP，并使用定制SIM 卡通過專用網(wǎng)絡(luò)接入鐵路內(nèi)網(wǎng)；個(gè)人自帶移動(dòng)終端通過應(yīng)用商店等安裝鐵路專有應(yīng)用并運(yùn)行，并通過互聯(lián)網(wǎng)接入鐵路內(nèi)部系統(tǒng)，個(gè)人自帶移動(dòng)終端上既有個(gè)人應(yīng)用，也有企業(yè)部署應(yīng)用。

目前，如何對(duì)鐵路移動(dòng)設(shè)備、移動(dòng)應(yīng)用和移動(dòng)用戶進(jìn)行集中管理、以及如何保證鐵路移動(dòng)數(shù)據(jù)的安全已成為鐵路信息化建設(shè)中亟需解決的問題［5-6］。

1 移動(dòng)終端安全分析

移動(dòng)終端的離散化的使用方式、開放而復(fù)雜的網(wǎng)絡(luò)環(huán)境、相對(duì)薄弱的終端安全管理措施以及難以管控的應(yīng)用都給其使用帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。移動(dòng)終端的核心目標(biāo)是保證數(shù)據(jù)安全，涉及項(xiàng)目主要包括終端設(shè)備安全、移動(dòng)應(yīng)用安全和無線網(wǎng)絡(luò)安全。目前，鐵路移動(dòng)終端存在的主要問題包括：

（1）移動(dòng)終端管控困難。使用鐵路移動(dòng)終端的部門和人員分布較為分散，工作環(huán)境多樣化，且終端使用中存在不規(guī)范行為，缺乏統(tǒng)一的安全管控手段和能力。移動(dòng)終端在數(shù)據(jù)訪問管理和位置跟蹤方面難以做到實(shí)時(shí)監(jiān)測(cè)，一旦發(fā)生終端丟失、被盜或病毒感染等情況，極有可能導(dǎo)致移動(dòng)終端內(nèi)部數(shù)據(jù)被非法訪問和泄露。

（2）身份認(rèn)證機(jī)制缺乏。移動(dòng)終端缺乏相應(yīng)安全強(qiáng)度的用戶身份鑒別手段，非法終端和非法用戶可能在沒有授權(quán)的情況下登錄訪問；此外，用戶信息可能被冒用或偽造，導(dǎo)致個(gè)人密碼或信息泄露［7］。

（3）網(wǎng)絡(luò)傳輸環(huán)境不可信。移動(dòng)端的網(wǎng)絡(luò)系統(tǒng)大多基于WiFi、2G／3G／4G等公眾無線網(wǎng)開發(fā)，其網(wǎng)絡(luò)環(huán)境安全性不可控，對(duì)無線接入設(shè)備的身份無法可靠驗(yàn)證。目前，部分非法無線設(shè)備利用單向認(rèn)證存在的缺陷進(jìn)行偽基站攻擊，可獲取一定半徑范圍的移動(dòng)用戶信息。

（4）應(yīng)用缺乏統(tǒng)一安全管理。鐵路系統(tǒng)尚無內(nèi)部的應(yīng)用分發(fā)渠道，應(yīng)用安裝依賴公共應(yīng)用市場(chǎng)，鐵路專有應(yīng)用無法統(tǒng)一部署、更新和管控。此外，通過公共應(yīng)用市場(chǎng)安裝非信任應(yīng)用時(shí)，非法用戶也有可能惡意篡改應(yīng)用軟件。

（5）數(shù)據(jù)缺乏有效防護(hù)。鐵路移動(dòng)應(yīng)用在使用中會(huì)產(chǎn)生大量的緩存數(shù)據(jù)，全部以明文形式存儲(chǔ)，數(shù)據(jù)未加密或加密手段單一，容易被惡意截獲。同時(shí)，對(duì)于部署在個(gè)人手機(jī)上的移動(dòng)應(yīng)用而言，個(gè)人數(shù)據(jù)與鐵路系統(tǒng)內(nèi)部數(shù)據(jù)混合存儲(chǔ)，未對(duì)鐵路專有數(shù)據(jù)采取隔離措施，容易被其它應(yīng)用所獲取。

綜上所述，鐵路移動(dòng)終端的安全需求主要包括：一是進(jìn)一步實(shí)現(xiàn)對(duì)移動(dòng)端的安全保護(hù)，通過保護(hù)設(shè)備和應(yīng)用達(dá)到保護(hù)業(yè)務(wù)應(yīng)用中數(shù)據(jù)的目的；二是加強(qiáng)在服務(wù)端的安全防護(hù)，提升對(duì)無線網(wǎng)絡(luò)接入的安全風(fēng)險(xiǎn)防范能力；三是明確提出對(duì)無線通信鏈路的安全需求。

2 安全管控方案

（1）總體思路

數(shù)字化轉(zhuǎn)型帶來的新技術(shù)、新業(yè)務(wù)的應(yīng)用驅(qū)動(dòng)企業(yè)網(wǎng)絡(luò)進(jìn)一步升級(jí)演進(jìn)，傳統(tǒng)的基于合規(guī)導(dǎo)向的網(wǎng)絡(luò)安全防護(hù)措施已不能滿足需求。因此，本文按照“一個(gè)中心、三重防護(hù)”的原則，基于可信技術(shù)構(gòu)建以“身份和數(shù)據(jù)”為中心的主動(dòng)防御體系，通過細(xì)粒度的訪問控制、持續(xù)動(dòng)態(tài)的認(rèn)證授權(quán)和全過程的數(shù)據(jù)加密，構(gòu)建一個(gè)全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì)的網(wǎng)絡(luò)安全防御體系。移動(dòng)終端安全管控體系架構(gòu)如圖1所示。

圖1 移動(dòng)終端安全管控體系架構(gòu)圖

（2）安全管理平臺(tái)

針對(duì)分散的移動(dòng)終端設(shè)備，需建立統(tǒng)一的移動(dòng)安全管理平臺(tái)，此平臺(tái)主要包括移動(dòng)終端安全、移動(dòng)應(yīng)用安全和無線網(wǎng)絡(luò)安全管理模塊。移動(dòng)安全管理平臺(tái)需實(shí)現(xiàn)對(duì)移動(dòng)終端的安全管理、資產(chǎn)管理、應(yīng)用管理、數(shù)據(jù)管理等功能，可以對(duì)設(shè)備進(jìn)行相應(yīng)的管控操作（如能夠?qū)崟r(shí)查看設(shè)備運(yùn)行狀況、進(jìn)行安全策略監(jiān)管和強(qiáng)制執(zhí)行、設(shè)備狀態(tài)監(jiān)控、越獄監(jiān)測(cè)、遠(yuǎn)程鎖定等），由此確保移動(dòng)終端設(shè)備的安全性。

（3）移動(dòng)終端安全

移動(dòng)終端使用中需對(duì)業(yè)務(wù)應(yīng)用的運(yùn)行環(huán)境和產(chǎn)生的數(shù)據(jù)進(jìn)行安全保障。

首先，移動(dòng)終端完成管理軟件安裝后，通過初始化設(shè)置采用指紋識(shí)別及網(wǎng)絡(luò)準(zhǔn)入技術(shù)，將移動(dòng)終端的MAC 地址、設(shè)備序列號(hào)、用戶生物標(biāo)識(shí)指紋、人臉等不可篡改信息形成移動(dòng)終端的唯一信息，并生成唯一編碼作為網(wǎng)絡(luò)準(zhǔn)入標(biāo)識(shí)，結(jié)合802.1X 認(rèn)證方式（基于端口的網(wǎng)絡(luò)訪問控制，Port-Based Networks Access Control）來控制合法移動(dòng)終端的網(wǎng)絡(luò)準(zhǔn)入。

其次，移動(dòng)終端還可通過監(jiān)控軟件對(duì)其采取合規(guī)性檢測(cè)（主要包括檢測(cè)設(shè)備是否處于ROOT 以及越獄狀態(tài)、設(shè)備操作系統(tǒng)版本是否合規(guī)、SIM 卡是否授權(quán)等），確保設(shè)備在使用過程中的合法性。

同時(shí)，移動(dòng)終端還需要部署殺毒功能模塊，主動(dòng)防御惡意軟件和木馬病毒，不定期地進(jìn)行終端安全加固和漏洞掃描（包括補(bǔ)丁安裝、口令強(qiáng)度等），通過對(duì)漏洞的封堵來制止未知惡意程序的運(yùn)行。

此外，當(dāng)發(fā)生設(shè)備遺失、員工離職、終端被盜等突發(fā)情況時(shí)，需通過管控系統(tǒng)可對(duì)移動(dòng)設(shè)備做出實(shí)時(shí)緊急狀態(tài)控制，即通過鎖定終端、禁止訪問、遠(yuǎn)程刪除重要數(shù)據(jù)等手段確保鐵路網(wǎng)絡(luò)及數(shù)據(jù)的安全。

（4）數(shù)據(jù)安全

在移動(dòng)終端構(gòu)建一個(gè)安全獨(dú)立的工作區(qū)域。將鐵路系統(tǒng)數(shù)據(jù)和個(gè)人數(shù)據(jù)完全隔離，所有的內(nèi)部應(yīng)用和數(shù)據(jù)存儲(chǔ)在受保護(hù)的安全工作區(qū)內(nèi)，限制兩方數(shù)據(jù)的互相通信，采用加密算法對(duì)安全工作區(qū)內(nèi)部數(shù)據(jù)進(jìn)行加密，避免內(nèi)部數(shù)據(jù)被非法獲取。擬采用的加密算法主要包括對(duì)稱加密算法（DES、AES、SM4）、非對(duì)稱加密算法（RSA、SM2）和雜湊算法（MD5、SM3）。

此外，移動(dòng)終端還需要構(gòu)建集成主流格式文件的專用瀏覽器，確保內(nèi)部文檔無法通過第三方瀏覽器打開，在工作區(qū)內(nèi)禁止復(fù)制、粘貼的功能，從而有效保護(hù)內(nèi)部數(shù)據(jù)安全。

（5）用戶身份安全

采用二次認(rèn)證方式進(jìn)行用戶身份鑒別。在移動(dòng)終端安裝數(shù)字證書，在平臺(tái)側(cè)設(shè)置安全接入認(rèn)證服務(wù)器，保證接入專網(wǎng)中的設(shè)備身份的合法性，阻止非法接入。用戶在進(jìn)入移動(dòng)終端時(shí)需對(duì)其身份進(jìn)行驗(yàn)證，通過后方可進(jìn)入系統(tǒng)；在使用業(yè)務(wù)應(yīng)用前，用戶需先登陸安全域，此時(shí)安全域需對(duì)用戶的身份進(jìn)行統(tǒng)一驗(yàn)證。

對(duì)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的用戶登錄采用雙因子身份認(rèn)證進(jìn)行保護(hù)，對(duì)移動(dòng)終端用戶實(shí)現(xiàn)基于數(shù)字證書或者動(dòng)態(tài)口令、解鎖圖案、生物特征等方式的兩種或兩種以上的組合機(jī)制進(jìn)行身份鑒別。

采用基于主客體標(biāo)記的強(qiáng)制訪問控制策略，基于用戶賬戶和權(quán)限分配的細(xì)粒度訪問控制機(jī)制給不同用戶賦予不同權(quán)限。

（6）接入網(wǎng)絡(luò)安全

移動(dòng)終端接入網(wǎng)絡(luò)的安全主要包括3 個(gè)方面：

①接入設(shè)備的合規(guī)性。對(duì)接入鐵路內(nèi)網(wǎng)的移動(dòng)終端，采取基于SIM 卡、證書等信息的強(qiáng)自動(dòng)化認(rèn)證技術(shù)措施，對(duì)連接到鐵路內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入鐵路內(nèi)部網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

②接入網(wǎng)絡(luò)的合法性。限制移動(dòng)終端在不同工作場(chǎng)景下對(duì)WiFi、4G、5G 等無線接入網(wǎng)絡(luò)的訪問能力。

③數(shù)據(jù)傳輸?shù)臋C(jī)密性。在服務(wù)器側(cè)部署VPN 網(wǎng)關(guān)或虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN）服務(wù)器［8］；在移動(dòng)終端安裝部署VPN 或VPDN 軟件，并安裝特殊的安全SIM 卡或TF 卡來存儲(chǔ)數(shù)字證書和密鑰，配備相應(yīng)的加密算法，實(shí)現(xiàn)基于密碼算法的可信網(wǎng)絡(luò)連接機(jī)制，確保終端的可信和傳輸數(shù)據(jù)的保密性。

（7）應(yīng)用程序安全

移動(dòng)應(yīng)用程序開發(fā)時(shí)，應(yīng)采用加密、混淆等措施保護(hù)移動(dòng)應(yīng)用程序，防止被反編譯而泄漏信息（如關(guān)鍵代碼、數(shù)據(jù)結(jié)構(gòu)和相關(guān)敏感信息）。

針對(duì)鐵路行業(yè)內(nèi)部的專有應(yīng)用提供統(tǒng)一的應(yīng)用發(fā)布和管理平臺(tái)，提供鐵路內(nèi)部專屬應(yīng)用的上架、分發(fā)、升級(jí)等，擺脫依賴公共應(yīng)用市場(chǎng)上架、更新的局面，實(shí)現(xiàn)應(yīng)用程序的批量分發(fā)、遠(yuǎn)程安裝、遠(yuǎn)程刪除、遠(yuǎn)程更新、遠(yuǎn)程擦除等操作，防止應(yīng)用被惡意篡改和卸載。

通過移動(dòng)終端內(nèi)置的可信平臺(tái)模塊，對(duì)應(yīng)用程序等進(jìn)行可信驗(yàn)證；通過應(yīng)用程序簽名認(rèn)證機(jī)制，阻止沒有認(rèn)證簽名的應(yīng)用軟件安裝和運(yùn)行，保證安裝應(yīng)用的安全性；通過對(duì)移動(dòng)終端下發(fā)軟件白名單，只有白名單中的應(yīng)用可以進(jìn)行安裝，白名單以外的應(yīng)用無法安裝。

3 部署過程

將網(wǎng)絡(luò)劃分為鐵路內(nèi)部網(wǎng)絡(luò)區(qū)域、網(wǎng)絡(luò)邊界區(qū)域以及移動(dòng)終端所處的外部網(wǎng)絡(luò)3 個(gè)區(qū)域，其中鐵路內(nèi)部網(wǎng)絡(luò)區(qū)域指部署有鐵路業(yè)務(wù)服務(wù)器、利用鐵路專用網(wǎng)絡(luò)的區(qū)域；網(wǎng)絡(luò)邊界區(qū)域?yàn)閂PN 網(wǎng)關(guān)／VPDN 服務(wù)器所處的區(qū)域，位于外部網(wǎng)絡(luò)與鐵路內(nèi)部網(wǎng)絡(luò)的邊界；移動(dòng)終端位于外部網(wǎng)絡(luò)區(qū)域，該區(qū)域主要為運(yùn)營商無線接入網(wǎng)絡(luò)。

（1）鐵路內(nèi)部網(wǎng)絡(luò)區(qū)域

首先在鐵路內(nèi)部網(wǎng)絡(luò)構(gòu)建移動(dòng)終端安全管理平臺(tái)，初期可以先按照單級(jí)架構(gòu)構(gòu)建，即在鐵路內(nèi)部網(wǎng)絡(luò)區(qū)域設(shè)置一級(jí)移動(dòng)終端安全管理平臺(tái)，整合移動(dòng)終端安全、移動(dòng)應(yīng)用安全和無線網(wǎng)絡(luò)安全管理等模塊，使路局能夠全面掌握局內(nèi)各移動(dòng)終端安全狀態(tài)；后期隨著移動(dòng)終端數(shù)量和業(yè)務(wù)部門的增加，可在各業(yè)務(wù)節(jié)點(diǎn)部署二級(jí)移動(dòng)終端安全管理平臺(tái)，通過將負(fù)責(zé)監(jiān)測(cè)與收集功能下沉，實(shí)現(xiàn)不同業(yè)務(wù)部門的分權(quán)分域管理，并統(tǒng)一向上級(jí)移動(dòng)終端安全管理平臺(tái)上報(bào)安全信息。

（2）網(wǎng)絡(luò)邊界區(qū)域

移動(dòng)終端通過VPN 網(wǎng)關(guān)或VPDN 服務(wù)器訪問鐵路內(nèi)網(wǎng)，通過在網(wǎng)絡(luò)邊界處設(shè)置防火墻、IPS、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)流量監(jiān)控、訪問控制、負(fù)載均衡、DDOS 防護(hù)、入侵防御、病毒防護(hù)等功能，將外部網(wǎng)絡(luò)區(qū)域中各類安全隱患隔離在鐵路內(nèi)部網(wǎng)絡(luò)之外。

（3）移動(dòng)終端

移動(dòng)終端在出廠時(shí)預(yù)安裝管控軟件，個(gè)人終端通過掃描二維碼、網(wǎng)絡(luò)下載等方式安裝移動(dòng)終端管控軟件，并對(duì)終端進(jìn)行初始化設(shè)置，通過管控軟件實(shí)現(xiàn)從鐵路內(nèi)部網(wǎng)絡(luò)區(qū)域-網(wǎng)絡(luò)邊界-移動(dòng)終端的移動(dòng)終端安全管控部署。

（4）數(shù)據(jù)鏈路建立

當(dāng)終端設(shè)備開機(jī)后，管控軟件首先對(duì)設(shè)備進(jìn)行合規(guī)性監(jiān)測(cè)以及用戶身份認(rèn)證，并將相關(guān)認(rèn)證信息發(fā)送給安全管理平臺(tái)，認(rèn)證通過后安全管理平臺(tái)反饋相關(guān)管控信息，允許終端訪問鐵路內(nèi)部網(wǎng)絡(luò)。派發(fā)設(shè)備使用專用定制SIM 卡，通過運(yùn)營商提供的VPDN 進(jìn)行訪問鐵路內(nèi)部網(wǎng)絡(luò)，VPDN 是通過二層隧道協(xié)議技術(shù)為用戶構(gòu)建與互聯(lián)網(wǎng)完全隔離的虛擬專用網(wǎng)絡(luò)，保證派發(fā)設(shè)備只能通過4G、5G 網(wǎng)絡(luò)訪問鐵路內(nèi)部網(wǎng)絡(luò)而不進(jìn)入互聯(lián)網(wǎng)，具有較高的安全性；個(gè)人移動(dòng)終端通過在互聯(lián)網(wǎng)建立基于SSL VPN 的隧道實(shí)現(xiàn)對(duì)鐵路內(nèi)部網(wǎng)絡(luò)的訪問。

在移動(dòng)終端對(duì)鐵路內(nèi)網(wǎng)區(qū)域的業(yè)務(wù)服務(wù)器進(jìn)行訪問的過程中，移動(dòng)安全管理平臺(tái)全程對(duì)其行為進(jìn)行監(jiān)控，并將管控信息反饋給移動(dòng)終端和VPN 網(wǎng)關(guān)或VPDN 服務(wù)器。若監(jiān)測(cè)到某臺(tái)移動(dòng)終端出現(xiàn)異常行為或非安全操作，安全管理平臺(tái)可通過發(fā)布控制指令至VPN網(wǎng)關(guān)或VPDN 服務(wù)器終止其對(duì)鐵路內(nèi)部網(wǎng)絡(luò)的訪問。

圖2 移動(dòng)終端安全管控部署圖

4 結(jié)束語

隨著鐵路信息化、智能化建設(shè)的推進(jìn)，作為一種新的發(fā)展趨勢(shì)，移動(dòng)應(yīng)用將重構(gòu)業(yè)務(wù)架構(gòu)并產(chǎn)生新業(yè)務(wù)模式和新業(yè)態(tài)，同時(shí)其迅猛發(fā)展也對(duì)網(wǎng)絡(luò)安全也提出更高的要求。本文從鐵路移動(dòng)終端應(yīng)用面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)出發(fā)，在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施基礎(chǔ)上，以“一個(gè)中心、三重防護(hù)”為原則，著重分析了包含移動(dòng)終端安全、移動(dòng)應(yīng)用安全、無線網(wǎng)絡(luò)安全等多方面的綜合管控方案，通過融入可信計(jì)算的安全防護(hù)理念及手段，以身份為中心、以數(shù)據(jù)為保護(hù)核心，結(jié)合動(dòng)態(tài)鑒權(quán)訪問控制，保證了移動(dòng)端對(duì)鐵路應(yīng)用系統(tǒng)的可控可信的安全訪問。