鐵路移動終端安全管控方案探討

余 超 雷 靂

（中鐵二院工程集團有限責任公司，成都 610031）

隨著鐵路信息化進程的逐步推進，移動終端在鐵路移動辦公、現場作業監控、應急搶險、遠程決策等方面得到了廣泛應用，借助移動終端可完成公文流轉、文件簽審、工單派發、作業現場記錄、作業報告、現場音視頻回傳等工作。移動終端的應用打破了地域的限制，大大提高了鐵路運輸生產作業的便利性和工作效率［1-4］。

鐵路行業使用的移動終端包括統一派發的移動終端和個人自帶的移動終端（Bring Your Own Device，簡稱BYOD）兩類。統一派發的移動終端預裝鐵路相關應用APP，并使用定制SIM 卡通過專用網絡接入鐵路內網；個人自帶移動終端通過應用商店等安裝鐵路專有應用并運行，并通過互聯網接入鐵路內部系統，個人自帶移動終端上既有個人應用，也有企業部署應用。

目前，如何對鐵路移動設備、移動應用和移動用戶進行集中管理、以及如何保證鐵路移動數據的安全已成為鐵路信息化建設中亟需解決的問題［5-6］。

1 移動終端安全分析

移動終端的離散化的使用方式、開放而復雜的網絡環境、相對薄弱的終端安全管理措施以及難以管控的應用都給其使用帶來了網絡安全風險。移動終端的核心目標是保證數據安全，涉及項目主要包括終端設備安全、移動應用安全和無線網絡安全。目前，鐵路移動終端存在的主要問題包括：

（1）移動終端管控困難。使用鐵路移動終端的部門和人員分布較為分散，工作環境多樣化，且終端使用中存在不規范行為，缺乏統一的安全管控手段和能力。移動終端在數據訪問管理和位置跟蹤方面難以做到實時監測，一旦發生終端丟失、被盜或病毒感染等情況，極有可能導致移動終端內部數據被非法訪問和泄露。

（2）身份認證機制缺乏。移動終端缺乏相應安全強度的用戶身份鑒別手段，非法終端和非法用戶可能在沒有授權的情況下登錄訪問；此外，用戶信息可能被冒用或偽造，導致個人密碼或信息泄露［7］。

（3）網絡傳輸環境不可信。移動端的網絡系統大多基于WiFi、2G／3G／4G等公眾無線網開發，其網絡環境安全性不可控，對無線接入設備的身份無法可靠驗證。目前，部分非法無線設備利用單向認證存在的缺陷進行偽基站攻擊，可獲取一定半徑范圍的移動用戶信息。

（4）應用缺乏統一安全管理。鐵路系統尚無內部的應用分發渠道，應用安裝依賴公共應用市場，鐵路專有應用無法統一部署、更新和管控。此外，通過公共應用市場安裝非信任應用時，非法用戶也有可能惡意篡改應用軟件。

（5）數據缺乏有效防護。鐵路移動應用在使用中會產生大量的緩存數據，全部以明文形式存儲，數據未加密或加密手段單一，容易被惡意截獲。同時，對于部署在個人手機上的移動應用而言，個人數據與鐵路系統內部數據混合存儲，未對鐵路專有數據采取隔離措施，容易被其它應用所獲取。

綜上所述，鐵路移動終端的安全需求主要包括：一是進一步實現對移動端的安全保護，通過保護設備和應用達到保護業務應用中數據的目的；二是加強在服務端的安全防護，提升對無線網絡接入的安全風險防范能力；三是明確提出對無線通信鏈路的安全需求。

2 安全管控方案

（1）總體思路

數字化轉型帶來的新技術、新業務的應用驅動企業網絡進一步升級演進，傳統的基于合規導向的網絡安全防護措施已不能滿足需求。因此，本文按照“一個中心、三重防護”的原則，基于可信技術構建以“身份和數據”為中心的主動防御體系，通過細粒度的訪問控制、持續動態的認證授權和全過程的數據加密，構建一個全方位主動防御、安全可信、動態感知和全面審計的網絡安全防御體系。移動終端安全管控體系架構如圖1所示。

圖1 移動終端安全管控體系架構圖

（2）安全管理平臺

針對分散的移動終端設備，需建立統一的移動安全管理平臺，此平臺主要包括移動終端安全、移動應用安全和無線網絡安全管理模塊。移動安全管理平臺需實現對移動終端的安全管理、資產管理、應用管理、數據管理等功能，可以對設備進行相應的管控操作（如能夠實時查看設備運行狀況、進行安全策略監管和強制執行、設備狀態監控、越獄監測、遠程鎖定等），由此確保移動終端設備的安全性。

（3）移動終端安全

移動終端使用中需對業務應用的運行環境和產生的數據進行安全保障。

首先，移動終端完成管理軟件安裝后，通過初始化設置采用指紋識別及網絡準入技術，將移動終端的MAC 地址、設備序列號、用戶生物標識指紋、人臉等不可篡改信息形成移動終端的唯一信息，并生成唯一編碼作為網絡準入標識，結合802.1X 認證方式（基于端口的網絡訪問控制，Port-Based Networks Access Control）來控制合法移動終端的網絡準入。

其次，移動終端還可通過監控軟件對其采取合規性檢測（主要包括檢測設備是否處于ROOT 以及越獄狀態、設備操作系統版本是否合規、SIM 卡是否授權等），確保設備在使用過程中的合法性。

同時，移動終端還需要部署殺毒功能模塊，主動防御惡意軟件和木馬病毒，不定期地進行終端安全加固和漏洞掃描（包括補丁安裝、口令強度等），通過對漏洞的封堵來制止未知惡意程序的運行。

此外，當發生設備遺失、員工離職、終端被盜等突發情況時，需通過管控系統可對移動設備做出實時緊急狀態控制，即通過鎖定終端、禁止訪問、遠程刪除重要數據等手段確保鐵路網絡及數據的安全。

（4）數據安全

在移動終端構建一個安全獨立的工作區域。將鐵路系統數據和個人數據完全隔離，所有的內部應用和數據存儲在受保護的安全工作區內，限制兩方數據的互相通信，采用加密算法對安全工作區內部數據進行加密，避免內部數據被非法獲取。擬采用的加密算法主要包括對稱加密算法（DES、AES、SM4）、非對稱加密算法（RSA、SM2）和雜湊算法（MD5、SM3）。

此外，移動終端還需要構建集成主流格式文件的專用瀏覽器，確保內部文檔無法通過第三方瀏覽器打開，在工作區內禁止復制、粘貼的功能，從而有效保護內部數據安全。

（5）用戶身份安全

采用二次認證方式進行用戶身份鑒別。在移動終端安裝數字證書，在平臺側設置安全接入認證服務器，保證接入專網中的設備身份的合法性，阻止非法接入。用戶在進入移動終端時需對其身份進行驗證，通過后方可進入系統；在使用業務應用前，用戶需先登陸安全域，此時安全域需對用戶的身份進行統一驗證。

對操作系統、數據庫系統的用戶登錄采用雙因子身份認證進行保護，對移動終端用戶實現基于數字證書或者動態口令、解鎖圖案、生物特征等方式的兩種或兩種以上的組合機制進行身份鑒別。

采用基于主客體標記的強制訪問控制策略，基于用戶賬戶和權限分配的細粒度訪問控制機制給不同用戶賦予不同權限。

（6）接入網絡安全

移動終端接入網絡的安全主要包括3 個方面：

①接入設備的合規性。對接入鐵路內網的移動終端，采取基于SIM 卡、證書等信息的強自動化認證技術措施，對連接到鐵路內部網絡的設備進行可信檢驗，確保接入鐵路內部網絡的設備真實可信，防止設備的非法接入。

②接入網絡的合法性。限制移動終端在不同工作場景下對WiFi、4G、5G 等無線接入網絡的訪問能力。

③數據傳輸的機密性。在服務器側部署VPN 網關或虛擬專用撥號網絡（VPDN）服務器［8］；在移動終端安裝部署VPN 或VPDN 軟件，并安裝特殊的安全SIM 卡或TF 卡來存儲數字證書和密鑰，配備相應的加密算法，實現基于密碼算法的可信網絡連接機制，確保終端的可信和傳輸數據的保密性。

（7）應用程序安全

移動應用程序開發時，應采用加密、混淆等措施保護移動應用程序，防止被反編譯而泄漏信息（如關鍵代碼、數據結構和相關敏感信息）。

針對鐵路行業內部的專有應用提供統一的應用發布和管理平臺，提供鐵路內部專屬應用的上架、分發、升級等，擺脫依賴公共應用市場上架、更新的局面，實現應用程序的批量分發、遠程安裝、遠程刪除、遠程更新、遠程擦除等操作，防止應用被惡意篡改和卸載。

通過移動終端內置的可信平臺模塊，對應用程序等進行可信驗證；通過應用程序簽名認證機制，阻止沒有認證簽名的應用軟件安裝和運行，保證安裝應用的安全性；通過對移動終端下發軟件白名單，只有白名單中的應用可以進行安裝，白名單以外的應用無法安裝。

3 部署過程

將網絡劃分為鐵路內部網絡區域、網絡邊界區域以及移動終端所處的外部網絡3 個區域，其中鐵路內部網絡區域指部署有鐵路業務服務器、利用鐵路專用網絡的區域；網絡邊界區域為VPN 網關／VPDN 服務器所處的區域，位于外部網絡與鐵路內部網絡的邊界；移動終端位于外部網絡區域，該區域主要為運營商無線接入網絡。

（1）鐵路內部網絡區域

首先在鐵路內部網絡構建移動終端安全管理平臺，初期可以先按照單級架構構建，即在鐵路內部網絡區域設置一級移動終端安全管理平臺，整合移動終端安全、移動應用安全和無線網絡安全管理等模塊，使路局能夠全面掌握局內各移動終端安全狀態；后期隨著移動終端數量和業務部門的增加，可在各業務節點部署二級移動終端安全管理平臺，通過將負責監測與收集功能下沉，實現不同業務部門的分權分域管理，并統一向上級移動終端安全管理平臺上報安全信息。

（2）網絡邊界區域

移動終端通過VPN 網關或VPDN 服務器訪問鐵路內網，通過在網絡邊界處設置防火墻、IPS、網閘等網絡安全設備，實現流量監控、訪問控制、負載均衡、DDOS 防護、入侵防御、病毒防護等功能，將外部網絡區域中各類安全隱患隔離在鐵路內部網絡之外。

（3）移動終端

移動終端在出廠時預安裝管控軟件，個人終端通過掃描二維碼、網絡下載等方式安裝移動終端管控軟件，并對終端進行初始化設置，通過管控軟件實現從鐵路內部網絡區域-網絡邊界-移動終端的移動終端安全管控部署。

（4）數據鏈路建立

當終端設備開機后，管控軟件首先對設備進行合規性監測以及用戶身份認證，并將相關認證信息發送給安全管理平臺，認證通過后安全管理平臺反饋相關管控信息，允許終端訪問鐵路內部網絡。派發設備使用專用定制SIM 卡，通過運營商提供的VPDN 進行訪問鐵路內部網絡，VPDN 是通過二層隧道協議技術為用戶構建與互聯網完全隔離的虛擬專用網絡，保證派發設備只能通過4G、5G 網絡訪問鐵路內部網絡而不進入互聯網，具有較高的安全性；個人移動終端通過在互聯網建立基于SSL VPN 的隧道實現對鐵路內部網絡的訪問。

在移動終端對鐵路內網區域的業務服務器進行訪問的過程中，移動安全管理平臺全程對其行為進行監控，并將管控信息反饋給移動終端和VPN 網關或VPDN 服務器。若監測到某臺移動終端出現異常行為或非安全操作，安全管理平臺可通過發布控制指令至VPN網關或VPDN 服務器終止其對鐵路內部網絡的訪問。

圖2 移動終端安全管控部署圖

4 結束語

隨著鐵路信息化、智能化建設的推進，作為一種新的發展趨勢，移動應用將重構業務架構并產生新業務模式和新業態，同時其迅猛發展也對網絡安全也提出更高的要求。本文從鐵路移動終端應用面臨的主要網絡安全風險出發，在傳統的網絡安全防護措施基礎上，以“一個中心、三重防護”為原則，著重分析了包含移動終端安全、移動應用安全、無線網絡安全等多方面的綜合管控方案，通過融入可信計算的安全防護理念及手段，以身份為中心、以數據為保護核心，結合動態鑒權訪問控制，保證了移動端對鐵路應用系統的可控可信的安全訪問。