張德棟

隨著通信技術(shù)和鐵路信息化技術(shù)的發(fā)展，無線Wi-Fi技術(shù)因其具有便利、高速等特征，在鐵路站場(chǎng)得到廣泛應(yīng)用，鐵路客站、貨運(yùn)站（場(chǎng)）采用無線Wi-Fi 技術(shù)自建無線局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸［1?3］。目前，鐵路綜合信息網(wǎng)承載了大量運(yùn)營(yíng)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)，如動(dòng)車組管理系統(tǒng)、物資管理系統(tǒng)等［4］，可通過站場(chǎng)Wi-Fi 網(wǎng)絡(luò)，直接訪問這些業(yè)務(wù)系統(tǒng)，從而打破環(huán)境約束與距離限制，極大地提高了現(xiàn)場(chǎng)作業(yè)效率。無線Wi-Fi技術(shù)在為鐵路業(yè)務(wù)帶來便利的同時(shí)，其網(wǎng)絡(luò)安全問題也逐漸凸顯。首先，在鐵路站場(chǎng)應(yīng)用中，移動(dòng)終端可以通過Wi-Fi直接接入鐵路綜合信息網(wǎng)［5］，由于缺少訪問控制、入侵防范、終端管控等安全措施，站場(chǎng)Wi-Fi已成為網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，網(wǎng)絡(luò)攻擊者可通過站場(chǎng)Wi-Fi直接進(jìn)入鐵路綜合信息網(wǎng)，進(jìn)行網(wǎng)絡(luò)攻擊或數(shù)據(jù)竊取，將造成無法估量的損失［6?7］。其次，各鐵路局站場(chǎng)Wi-Fi部署和接入認(rèn)證各自為營(yíng)，安全接入認(rèn)證不統(tǒng)一，管理措施不規(guī)范，極大地增加了建設(shè)和管理運(yùn)維成本。鑒于此，本文對(duì)鐵路站場(chǎng)Wi-Fi接入風(fēng)險(xiǎn)和防護(hù)技術(shù)進(jìn)行研究，提出一種面向鐵路站場(chǎng)的無線Wi-Fi安全接入方案。

1 現(xiàn)狀及風(fēng)險(xiǎn)分析

目前，在鐵路工務(wù)段、動(dòng)車段、貨運(yùn)段等站場(chǎng)均存在使用無線Wi-Fi的情況，作業(yè)移動(dòng)終端通過無線Wi-Fi接入業(yè)務(wù)系統(tǒng)［1］，有效地解決了系統(tǒng)業(yè)務(wù)終端的移動(dòng)性接入問題。鐵路站場(chǎng)常見無線Wi-Fi架構(gòu)見圖1。

圖1 鐵路站場(chǎng)無線Wi-Fi架構(gòu)

在鐵路站場(chǎng)，通過無線網(wǎng)絡(luò)控制器（Access Controller，AC） 與無線接入點(diǎn)（Access Point，AP）組成無線網(wǎng)絡(luò)，當(dāng)移動(dòng)終端需訪問應(yīng)用業(yè)務(wù)時(shí)通過無線AP 發(fā)射的Wi-Fi 信號(hào)接入鐵路綜合信息網(wǎng)，訪問站段或路局業(yè)務(wù)系統(tǒng)。為保障Wi-Fi網(wǎng)絡(luò)的使用安全，鐵路站場(chǎng)采取了一定的安全防護(hù)措施，如：采購(gòu)定制移動(dòng)終端，在每個(gè)移動(dòng)終端上配置生產(chǎn)軟件，進(jìn)行生產(chǎn)作業(yè)時(shí)，利用無線控制設(shè)備的認(rèn)證功能，實(shí)現(xiàn)終端接入認(rèn)證，同時(shí)，通過對(duì)設(shè)備的上網(wǎng)行為管理實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限控制；利用藍(lán)牙技術(shù)的GPS 定位功能，在每100 m 信號(hào)范圍內(nèi)部署一個(gè)信號(hào)點(diǎn)，通過計(jì)算移動(dòng)終端到最近3 個(gè)信號(hào)源之間的距離，定位移動(dòng)終端位置，當(dāng)終端超出定位范圍時(shí)進(jìn)行告警，防止移動(dòng)終端帶出站場(chǎng)；通過對(duì)移動(dòng)終端SIM 卡封膠，防止移動(dòng)終端接入互聯(lián)網(wǎng)。

雖然這些安全措施在保障鐵路站場(chǎng)Wi-Fi網(wǎng)絡(luò)安全方面發(fā)揮了一定的作用，但由于缺乏系統(tǒng)性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，以上防護(hù)措施還缺乏全面性和針對(duì)性。通過對(duì)鐵路部分路局站場(chǎng)的調(diào)研發(fā)現(xiàn)，鐵路站場(chǎng)無線Wi-Fi存在的問題和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可總結(jié)為以下6點(diǎn)：

1）接入終端種類多，且大部分終端為專為某一業(yè)務(wù)系統(tǒng)單獨(dú)定制，極大地增加了設(shè)備的購(gòu)置和運(yùn)營(yíng)成本。

2）站場(chǎng)無線Wi-Fi 無法針對(duì)特定移動(dòng)終端設(shè)備進(jìn)行網(wǎng)絡(luò)開放，其他移動(dòng)終端也能搜索到無線Wi-Fi 信號(hào)，且大部分無線Wi-Fi 接入認(rèn)證技術(shù)采用先入網(wǎng)后認(rèn)證的方式，存在安全接入風(fēng)險(xiǎn)。

3）因業(yè)務(wù)數(shù)據(jù)傳輸需要，鐵路站場(chǎng)Wi-Fi 存在直接連接鐵路內(nèi)部服務(wù)網(wǎng)的情況，缺乏安全管控機(jī)制和安全保障能力，同時(shí)移動(dòng)終端還可直接接入互聯(lián)網(wǎng)，增加了鐵路整體防護(hù)壓力。

4）由于缺少細(xì)粒度的訪問控制機(jī)制，接入鐵路綜合信息網(wǎng)的移動(dòng)終端可以訪問網(wǎng)絡(luò)內(nèi)其他業(yè)務(wù)系統(tǒng)，直接暴露了系統(tǒng)的部署模式，一旦賬戶信息泄露，將使整個(gè)路局業(yè)務(wù)數(shù)據(jù)泄露，影響路局業(yè)務(wù)安全。

5）鐵路站場(chǎng)移動(dòng)終端主要以配發(fā)設(shè)備為主，缺少移動(dòng)應(yīng)用防護(hù)、病毒查殺、數(shù)據(jù)泄露防護(hù)等安全防護(hù)措施，無法確保移動(dòng)終端的安全性，一旦移動(dòng)終端遭受惡意攻擊，很容易形成跳板，對(duì)路局整個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。

6）目前各鐵路站場(chǎng)均可以通過站場(chǎng)Wi-Fi 訪問路局業(yè)務(wù)系統(tǒng)，這將對(duì)路局綜合信息網(wǎng)造成多方面的安全威脅，當(dāng)網(wǎng)絡(luò)中產(chǎn)生攻擊行為時(shí)，無法對(duì)其進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)、安全審計(jì)和威脅溯源。

2 安全接入方案

2.1 設(shè)計(jì)原則

1）統(tǒng)一性。方案充分考慮全路站場(chǎng)Wi-Fi 接入需求，站在路局角度對(duì)管內(nèi)站場(chǎng)Wi-Fi接入進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一防范和統(tǒng)一管理。

2）合規(guī)性。方案設(shè)計(jì)應(yīng)滿足國(guó)家法律法規(guī)和國(guó)鐵集團(tuán)相關(guān)制度要求，充分考慮并滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019）的技術(shù)要求［8］。

3）集中性。鑒于路局各站段網(wǎng)絡(luò)安全管理水平的不均衡性，方案設(shè)計(jì)應(yīng)在安全合規(guī)的前提下，通過集中的安全管控措施，實(shí)現(xiàn)安全策略與安全運(yùn)維的集中管理，降低路局各站段運(yùn)維成本。

4）拓展性。方案設(shè)計(jì)應(yīng)充分考慮各站場(chǎng)Wi-Fi應(yīng)用場(chǎng)景、規(guī)模的不確定性，以及未來技術(shù)發(fā)展，便于靈活擴(kuò)展。

2.2 框架設(shè)計(jì)

結(jié)合各鐵路局集團(tuán)公司站場(chǎng)無線Wi-Fi的實(shí)際情況，參考鐵路相關(guān)技術(shù)要求［9］，鐵路站場(chǎng)Wi-Fi安全接入采用集中化管理、多分支組網(wǎng)模式［10?11］。鐵路站場(chǎng)無線Wi-Fi接入框架見圖2。

圖2 鐵路站場(chǎng)無線Wi-Fi安全接入框架

圖2 中，在路局側(cè)部署Wi-Fi 安全接入網(wǎng)關(guān)實(shí)現(xiàn)對(duì)下屬各站場(chǎng)接入控制器的統(tǒng)一管理；通過移動(dòng)終端管理平臺(tái)實(shí)現(xiàn)對(duì)下屬各站場(chǎng)移動(dòng)終端的統(tǒng)一管理、安全性檢測(cè)、白名單控制等［12］；通過日志審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)Wi-Fi接入終端的安全審計(jì)；部署運(yùn)維管理系統(tǒng)實(shí)現(xiàn)對(duì)下屬站段及站場(chǎng)設(shè)備的一體化管理；路局可以實(shí)時(shí)監(jiān)控分支設(shè)備的運(yùn)行狀態(tài)和拓?fù)錉顟B(tài)，便于了解站場(chǎng)業(yè)務(wù)的運(yùn)行情況。在各站段部署AC 控制器實(shí)現(xiàn)對(duì)站場(chǎng)內(nèi)AP 無線接入點(diǎn)的統(tǒng)一管控，包括接入策略管理、接入拓?fù)涔芾怼⑷罩竟芾?、流量管理控制等；部署邊界防火墻，開啟防病毒等功能，實(shí)現(xiàn)與路局內(nèi)部服務(wù)網(wǎng)互通安全和精準(zhǔn)訪問控制；部署無線入侵防御系統(tǒng)，檢測(cè)針對(duì)無線接入設(shè)備的網(wǎng)絡(luò)掃描、密鑰破解、中間人攻擊和欺騙攻擊等行為。

2.3 接入方案

鐵路站場(chǎng)移動(dòng)終端設(shè)備安全接入分為3 個(gè)階段，即終端合法認(rèn)證、用戶合法認(rèn)證、終端安全監(jiān)測(cè)。移動(dòng)終端接入鐵路站場(chǎng)Wi-Fi前，需完成以下工作。

1）移動(dòng)終端安裝終端管理軟件，用于終端管理、終端狀態(tài)安全監(jiān)測(cè)等。

2）移動(dòng)終端預(yù)裝用戶證書，用于接入時(shí)進(jìn)行身份校驗(yàn)驗(yàn)證。

3）AC 無線控制器預(yù)先配置可接入移動(dòng)終端的硬件特征碼。

4）Wi-Fi 安全接入網(wǎng)關(guān)預(yù)裝根證書，用于校驗(yàn)終端提交的用戶證書的合法性。

鐵路站場(chǎng)移動(dòng)終端安全接入流程見圖3。

圖3 鐵路站場(chǎng)移動(dòng)終端安全接入流程

Step 1鐵路站場(chǎng)移動(dòng)終端搜索對(duì)應(yīng)Wi-Fi 信號(hào)后，發(fā)起AP連接請(qǐng)求，接入無線AP。

Step 2移動(dòng)終端將其硬件特征碼通過AP 提交至AC無線控制器，進(jìn)行移動(dòng)終端認(rèn)證。

Step 3AC 無線控制器檢查終端硬件特征碼是否在可接入設(shè)備名單內(nèi)，以此判定移動(dòng)終端是否為合法終端。若移動(dòng)終端為合法接入終端，則AC無線控制器返回認(rèn)證信息，否則拒絕接入連接，移動(dòng)終端Wi-Fi接入失敗。

Step 4終端認(rèn)證通過后，移動(dòng)終端發(fā)起用戶身份認(rèn)證。移動(dòng)終端提交用戶證書到AC 無線控制器，AC 無線控制器接收并將證書信息提交至路局Wi-Fi安全接入網(wǎng)關(guān)。

Step 5Wi-Fi 安全接入網(wǎng)關(guān)根據(jù)根數(shù)字證書認(rèn)證服務(wù)器提交的用戶證書是否為合法證書，以此判斷用戶是否為合法用戶。若接入用戶為合法用戶，則建立網(wǎng)絡(luò)通道；否則拒絕接入連接，移動(dòng)終端Wi-Fi接入失敗。

Step 6通道建立完成后，移動(dòng)終端安全終端管理軟件將終端安全信息發(fā)送給移動(dòng)終端安全管理平臺(tái)。

Step 7移動(dòng)終端安全管理平臺(tái)判斷接入終端的安全狀態(tài)，并將終端安全狀態(tài)信息返回給Wi-Fi安全接入網(wǎng)關(guān)。

Step 8Wi-Fi 安全接入網(wǎng)關(guān)根據(jù)終端安全狀態(tài)信息判斷是否允許終端接入。若終端安全狀態(tài)信息檢測(cè)通過，則允許終端接入網(wǎng)絡(luò)，否則拒絕其接入。

Step 9移動(dòng)終端安全終端管理軟件對(duì)接入網(wǎng)絡(luò)終端的安全狀態(tài)持續(xù)進(jìn)行安全檢測(cè)，并及時(shí)上報(bào)移動(dòng)終端管理系統(tǒng)。移動(dòng)終端管理系統(tǒng)對(duì)終端的合規(guī)環(huán)境、安全狀態(tài)進(jìn)行判斷后，通過移動(dòng)終端管理軟件直接將非法終端的WLAN 功能禁用，實(shí)現(xiàn)終端下線斷網(wǎng)。

3 安全性分析

3.1 整體安全性分析

針對(duì)鐵路站場(chǎng)Wi-Fi安全接入需求，本文構(gòu)建了集接入控制、終端安全于一體的鐵路站場(chǎng)Wi-Fi網(wǎng)絡(luò)安全體系，支撐接入終端、用戶和策略的統(tǒng)一有效管理，為路局及其下屬站場(chǎng)提供安全的Wi-Fi網(wǎng)絡(luò)接入環(huán)境。該方案從接入側(cè)、網(wǎng)絡(luò)側(cè)、終端側(cè)和管理側(cè)4 個(gè)維度進(jìn)行分析，實(shí)現(xiàn)了鐵路站場(chǎng)Wi-Fi接入的全流程管理。

1）接入側(cè)：通過各Wi-Fi 安全接入網(wǎng)關(guān)和既有統(tǒng)一用戶認(rèn)證系統(tǒng)的對(duì)接，實(shí)現(xiàn)基于白名單的網(wǎng)絡(luò)準(zhǔn)入管控、接入終端的安全可靠和接入用戶的安全可信。

2）網(wǎng)絡(luò)側(cè)：在站（場(chǎng)）各區(qū)域網(wǎng)絡(luò)邊界部署邊界防護(hù)設(shè)備，提供訪問控制、入侵防御、防病毒、統(tǒng)一資源定位符過濾、應(yīng)用層攻擊防護(hù)、惡意代碼檢測(cè)等功能，實(shí)時(shí)監(jiān)控并阻斷各種入侵行為。通過安全策略的配置，實(shí)現(xiàn)終端入網(wǎng)后訪問權(quán)限的控制，管控不合規(guī)的網(wǎng)絡(luò)資源訪問。

3）終端側(cè)：通過無線Wi-Fi 安全接入網(wǎng)關(guān)以及終端下發(fā)前預(yù)制的終端安全檢測(cè)軟件，實(shí)現(xiàn)連網(wǎng)終端的安全狀態(tài)檢測(cè)、安全隱患終端的下線管控，以及基于Wi-Fi白名單的專機(jī)專網(wǎng)連接，可實(shí)現(xiàn)專機(jī)專網(wǎng)專用。

4）管理側(cè)：通過無線網(wǎng)絡(luò)統(tǒng)一管理平臺(tái)實(shí)現(xiàn)對(duì)終端、無線網(wǎng)絡(luò)、認(rèn)證策略的統(tǒng)一管理，實(shí)現(xiàn)故障AP 的發(fā)現(xiàn)定位，并通過無線安全接入網(wǎng)關(guān)實(shí)現(xiàn)網(wǎng)絡(luò)訪問審計(jì)，以及對(duì)違規(guī)事件的追蹤溯源。在路局內(nèi)部服務(wù)安全管理區(qū)部署安全運(yùn)維管理系統(tǒng)、日志審計(jì)系統(tǒng)和針對(duì)站場(chǎng)Wi-Fi接入路局的數(shù)據(jù)進(jìn)行安全管理，防范鐵路站場(chǎng)Wi-Fi網(wǎng)絡(luò)帶來的運(yùn)維審計(jì)安全風(fēng)險(xiǎn)。

3.2 接入認(rèn)證安全性分析

1）接入終端安全可控［13?15］。移動(dòng)終端在申請(qǐng)網(wǎng)絡(luò)接入時(shí)將其唯一標(biāo)識(shí)——硬件特征碼通過AP提交至AC 無線控制器，AC 無線控制器通過白名單機(jī)制判斷接入終端是否可以接入。未在AC 無線控制器注冊(cè)的終端在申請(qǐng)接入時(shí)會(huì)被AC 無線控制器攔截而無法接入網(wǎng)絡(luò)，實(shí)現(xiàn)了接入終端的安全可控。

2）接入用戶安全可信。移動(dòng)終端在申請(qǐng)網(wǎng)絡(luò)接入時(shí)將內(nèi)置的用戶證書提交到AC 無線控制器，AC 無線控制器通過路局Wi-Fi 安全接入網(wǎng)關(guān)與數(shù)字證書認(rèn)證服務(wù)器交互，以此判斷用戶是否合法。非法用戶不能得到正確的用戶證書，在申請(qǐng)接入網(wǎng)絡(luò)時(shí)無法通過用戶身份認(rèn)證，實(shí)現(xiàn)了接入用戶的安全可信。

3）異常終端拒絕接入。移動(dòng)終端管理軟件持續(xù)對(duì)終端狀態(tài)進(jìn)行合規(guī)性檢測(cè)，包括：終端是否存在病毒、是否具備根用戶權(quán)限、配置是否合理、是否安裝違規(guī)應(yīng)用程序等。當(dāng)不滿足合規(guī)要求時(shí)，終端管理軟件上報(bào)終端管理服務(wù)器，由路局Wi-Fi安全接入網(wǎng)關(guān)通過AC 控制器強(qiáng)制使接入終端下線，實(shí)現(xiàn)接入終端安全。

3.3 安全合規(guī)性分析

本方案充分考慮了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019）的內(nèi)容，圍繞邊界防護(hù)、訪問控制、入侵防范、移動(dòng)終端管控、移動(dòng)應(yīng)用管控等具體要求進(jìn)行設(shè)計(jì)，滿足等級(jí)保護(hù)2.0移動(dòng)互聯(lián)安全相關(guān)技術(shù)標(biāo)準(zhǔn)，細(xì)則見表1。

表1 與等級(jí)保護(hù)標(biāo)準(zhǔn)條款對(duì)比情況

4 結(jié)論

近年來，無線Wi-Fi 網(wǎng)絡(luò)攻擊案例層出不窮，鐵路站場(chǎng)Wi-Fi因能直接接入鐵路內(nèi)部網(wǎng)絡(luò)，故其網(wǎng)絡(luò)安全格外重要。

1）依據(jù)本文提出的鐵路站場(chǎng)Wi-Fi 安全接入方案，可建成鐵路站場(chǎng)無線Wi-Fi 接入安全平臺(tái)，具備站場(chǎng)移動(dòng)終端統(tǒng)一接入認(rèn)證、邊界訪問控制與入侵防范、接入終端統(tǒng)一管理和運(yùn)維等功能。

2）從站場(chǎng)接入終端認(rèn)證、用戶認(rèn)證、終端安全監(jiān)測(cè)等方面對(duì)本方案進(jìn)行了安全性分析，得出本方案限制了不可控移動(dòng)終端的接入請(qǐng)求，實(shí)現(xiàn)了移動(dòng)終端的接入安全。

3）對(duì)標(biāo)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，本方案滿足等級(jí)保護(hù)2.0 安全技術(shù)部分相關(guān)設(shè)計(jì)要求，有利于鐵路站場(chǎng)Wi-Fi網(wǎng)絡(luò)安全規(guī)范化和統(tǒng)一化建設(shè)，為各類基于Wi-Fi無線網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)奠定數(shù)據(jù)交換安全基礎(chǔ)。

下一步將對(duì)面向鐵路站場(chǎng)的移動(dòng)終端接入認(rèn)證協(xié)議設(shè)計(jì)和協(xié)議形式化分析展開研究。