新形勢下交通運輸網絡安全面臨的問題與思考

■金 燚

(福建省交通信息通信與應急處置中心，福州 350001)

1 前言

交通運輸是國民經濟中基礎性、先導性和戰略性產業，通過近30年的發展，在基礎設施建設、行業協同管理、智能管理與服務等方面都取得了長足發展。而交通運輸關鍵信息基礎設施及核心業務系統一旦遭到破壞、喪失功能或者數據泄露，將會嚴重危害國家安全、國計民生、公共利益。

隨著“互聯網+交通”、“一帶一路”建設等規劃的實施和綜合交通的不斷發展，交通運輸信息化內涵和外延不斷豐富，政企合作不斷深入。在這樣的背景下，行業信息化整體發展體現出以下幾個特征：首先是網絡規模龐大，關鍵支撐作用逐漸增加；其次建設主體復雜多樣，管理難度大；再次是移動互聯網、云計算、大數據、物聯網等新一代信息技術廣泛應用，交通運輸新模式、新業態快速發展；第四是孤島式網絡結構壁壘松動，信息共享和互聯互通成為趨勢；第五是交通運輸智能化、合作化發展突飛猛進。

這些特征決定了當今的交通運輸網絡安全，在未健全面向傳統網絡安全保障措施的情況下，已經步入了新一代的網絡安全環境之中，在網絡整體架構中，任意一點被攻破，都將造成整體性的網絡安全事故。開展交通運輸網絡安全工作，必須做到全面規劃、突出重點、立足現代、展望未來城市智慧交通安全問題并不是單獨存在的，應遵從行業信息安全的總體規劃，繼承并利用行業內已有的成熟技術、經驗，從而形成可行的、易于推廣的安全解決方案。

近年，我省交通行業網絡安全工作總體開展較好，制定了《福建省交通運輸廳非涉密信息系統安全管理制度》等管理制度，逐步完善了安全防護措施、應急響應機制。新形勢下要針對交通運輸網絡安全進行主動防護試點研究工作。

2 新形勢下交通運輸網絡面臨的主要安全問題

2.1 交通外場設備已經成為網絡安全保障盲點

隨著網絡應用與普及，針對傳統網絡和信息系統的各類主機及關鍵節點的資產管理、態勢感知、威脅預警和應急響應等成套技術目前已取得較大進展，并可綜合運用3D、VR等技術實現網絡資產管理的智能化和可視化。但在新一代交通運輸網絡中，各類業務應用不但包含傳統網絡部分，而且還涉及各類交通外場設施、載運工具和移動終端等，這使得交通運輸網絡一方面具有點多、線長、面廣等特點，另一方面還具有移動和跨區域等特殊需求。而針對這些交通外場設施的安全管理，目前由于接口種類、通信協議等原因還無法實現統一管理，并且都是一些基本信息、特定屬性的查詢和可視化，無法實時了解各類交通外場設施的運行狀態和正在面臨的網絡安全威脅等內容，更不能對這些設施實現遠程防護和應急響應等功能，還遠遠未達到智能化管理的應用需求。

2.2 網絡未知威脅感知技術能力尚顯不足

針對交通運輸網絡中特有的交調設備、氣象設備、監控設備、邊坡設備等，業內尚缺乏對攻擊特征的積累，一旦遭受攻擊就可能是毫無防御能力的未知攻擊。同時，傳統安全產品，基于脆弱性、反應性、邊界性的周界安全模型已經不具備應對和處置全球化、規?；?、快速演變的網絡攻擊的能力，持續衍變的先進持續攻擊手段能夠有效地規避基于特征簽名的檢測，網絡環境的生存性和使命保障能力面對新的挑戰。當未知網絡威脅來臨、內部威脅增多，網絡邊界逐漸模糊化甚至消失后，以高級持續攻擊(APT)攻擊為代表的網絡攻擊往往采用多種綜合的攻擊手法，多種惡意軟件，甚至0day漏洞與社會工程方法，能夠繞開傳統基于規則的安全產品的檢測。面對日漸增多的高級威脅，傳統安全防護產品無法做到有效的發現，失去防護能力，嚴重的可能造成全網癱瘓。

2.3 安全事件應急響應技術能力亟待提升

交通運輸網絡安全面臨著前所未有的挑戰和威脅，同時由于交通系統涉及面廣、變化快、以及網絡新技術新業務層出不窮、信息系統基礎較薄弱等因素，網絡與信息安全工作尚處于被動的應急救火階段，疲于應對各種突發網絡安全問題，缺少主動防御和事前預警和事中監測的有效手段，安全風險難以得到持續受控、可控，安全問題層出不窮，嚴重制約深度安全建設以及業務快速發展。Gartner預計到2020年，快速檢測和響應投資將從目前的10%增長到60%，以事前防范和預警防御為主的網絡安全事件應急響應技術能力有待提升。

2.4 海量安全數據挖掘技術能力有待改進

面對日益復雜的攻擊形式，單一的防護無法發現復雜的攻擊行為，同時基于已知規則監測已不適應，需要考慮借助大數據和行為異常監測分析理念開展數據分析。由于大數據形式與內容的多樣性、獲取方式與來源的多元化以及數據高維特征引起的維數災難等問題，給大數據的獲取和分析帶來了巨大困難。同時網絡安全事件的突發性，實時感知的海量數據還存在噪音多、混雜、質量差和可信度低等問題，更增加了大數據分析和處理的難度，海量安全數據挖掘技術能力有待改進。

3 交通運輸網絡安全應對措施

面對新形勢下交通運輸網絡所面臨的新風險、新問題，本文設想從以下幾個方面著手解決：

3.1 完善形成交通外場設施的設備指紋庫和漏洞庫

隨著交通信息化的快速發展，大量的外場設備陸續接入交通專網，但是針對這些外場設備，缺乏有效的安全管理手段。為此，急需建立起針對交通外場設施的指紋庫，同時整合行業漏洞信息，建立交通運輸行業漏洞庫，通過擴大漏洞收集和分析渠道，降低信息安全事件發生的可能性，提高交通運輸網絡漏洞研究水平和安全預警能力，促進交通運輸網絡健康穩步發展。

交通外場設施的分類如表1所示。

3.2 研究基于分布式特征的交通網絡探針技術

針對交通行業點多、線長、面廣，外場設施種類多的特征，研究適用于交通數據流的深度包檢測DPI技術(DeepPacketInspection)。通過對現有交通運輸網絡(含互聯網、政務外網、政務信息網、行業專網等)關鍵節點處的流量進行報文重組、數據還原、代碼檢測分析，可以根據事先定義的策略對檢測流量進行過濾控制，獲取需要的協議字段和樣本文件。最終為實現時間指紋、模式特征、行為模型、異常行為、安全威脅場景、資產的可視化分析等功能提供底層數據采集支撐。

表1 交通外場設施分類

DPI接收交通運輸網絡中的流量，提供靈活配置獲取的網絡協議字段，支持將獲取的協議字段信息與后端管理端之間的安全數據傳輸，將捕獲分析的數據提供給數據分析模塊多個引擎進程各一份數據，進行協議識別、分析、組包、組流等，針對不同節點的特征規則及過濾策略進行匹配比對，全方位的檢測網絡數據流量的異常、網絡資產變化、事件行為、攻擊來源及行為等內容。工作原理如圖1所示。

DPI采用分布式流式數據處理框架，將事件關聯規則采用并行計算方法分布到多個處理節點上，以滿足海量數據環境下高吞吐量、低延遲的事件流處理場景，及時發現網絡攻擊和安全問題。

3.3 研究基于交通大數據的安全態勢分析技術

研究海量大數據對網絡安全事件關聯分析技術，從處理響應實時性和關聯規則復雜度等方面都提出要求，研究大數據實時事件關聯分析技術，采用分布式流式數據處理框架，將事件關聯規則采用并行計算方法分布到多個處理節點上，以滿足海量數據環境下高吞吐量、低延遲的事件流處理場景，及時發現網絡攻擊和安全問題。

通過現有的成熟技術和基礎數據并結合各交通行業的實際安全業務要求，通過網絡安全態勢感知幫助解決“未知安全威脅”的探測和感知，從而做到事前發現安全威脅和風險，及時通知管理者或安全設備完成威脅的阻擊和風險的蔓延，最大的程度的把安全事件控制在最小范圍內。通過分析交通運輸網的全流量信息，基于時間流的算法，全方位的檢測流量的異常、網絡資產變化、事件行為、攻擊來源及行為等內容，以可視化的界面展示給安全管理者，幫助管理者及時知曉網絡安全態勢，保障交通運輸網絡的安全運行。

圖1 DPI技術工作原理

圖2 基于交通大數據的安全態勢業務模型

通過采集交通控制網絡中交調設備、氣象設備、監控設備、邊坡設備的流量信息，系統依托共享模塊的設備指紋庫、漏洞庫、資產庫、安全事件庫、威脅情報庫、白名單庫等特征信息對交通網絡安全事件進行分析，分析內容包括對資產識別分析、入侵事件分析、文件檢測分析、攻擊鏈行為分析等，為交通控制網絡的態勢感知提供基礎。

基于交通數據的安全態勢分析是一種基于網絡邊界檢測、資產關聯與未知威脅發現的安全態勢感知技術。充分利用資產識別、入侵事件檢測、惡意文件檢測、攻擊鏈行為分析、大數據處理的技術優勢，建立資產與安全的關聯機制、攻擊鏈行為分析模型。實現攻擊鏈識別、資產識、安全事件檢測、惡意文件檢測、追蹤取證，達到對交通控制網絡的流量異常預警、設備資產變更感知、事件行為告警、多維度攻擊來源展示的綜合性態勢感知能力。

4 結論

根據國內外交通運輸技術和產業的發展建設經驗，以及信息安全專項的技術特色和結合交通運輸服務領域的新業態，可以明確對新一代交通運輸網絡安全保障技術研究是必要的。該方向的研究，可有效推進交通運輸信息化的快速發展。

未來的交通運輸網絡通過物聯網和5G高速網絡對人-車-路的信息聯動，可對車輛跑偏、車輛碰撞、疲勞駕駛等交通事故及危險駕駛行為進行預警，從而實現交通安全運行；通過對交通樞紐的車流、運力信息獲取、道路、車輛、客流，可對交通運行狀況進行主動偵測調節，從而實現交通高效運轉；通過交通流量的動態獲取與主動管理，可緩解交通擁堵，提高道路利用率，促進節能減排，降低交通資源占有率，綠色環保，最終形成安全、高效、環保的現代交通運輸體系建設；通過交通運輸動態感知體系的建設，可以使行業管理部門及時、全面地掌握交通運營動態，從而提高對交通的監管能力和應急處置能力。還可以為橋梁安全運營提供可靠的技術保障，避免橋梁重大事故的發生，減少處于交通命脈的橋梁因事故所帶來的巨大經濟和人員損失。