淺析高速公路生產網弱口令引發網絡安全風險探討

摘要 從高速公路網絡安全事件失陷區域來看，弱口令問題最為顯著。由于從業人員網絡安全意識不足和制度管理等問題，生產網（收費系統）中業務系統存在大量不合規的弱口令、服務器漏洞等安全問題，造成生產網（收費系統）遭受弱口令攻擊和威脅的狀況也是最多，最嚴重的。文章通過模擬高速公路生產網（收費系統）終端設備存在弱口令引發的網絡安全事件，從高速公路養護和運營人員網絡安全意識、日常運維習慣和制度管理入手，分析如何規范和杜絕弱口令引發的網絡安全事件，對高速公路營運、機電養護和網絡安全運維具有重要的借鑒經驗和參考價值。

關鍵詞 網絡安全；弱口令；生產網；風險；運營；機電

中圖分類號 TP393.08 文獻標識碼 A 文章編號 2096-8949（2025）04-0191-04

0 引言

在信息化迅速發展的今天，網絡安全成為各行各業關注的重點。特別是在高速公路生產網（收費系統）方面，隨著電子收費系統的普及，網絡安全問題日益突出，收費系統不僅負責大量資金交易，還涉及用戶個人信息的處理，因此其安全性直接影響到公眾對其的信任。該文旨在探討弱口令對高速公路生產網（收費系統）網絡安全的威脅，通過模擬演練分析弱口令爆破技術的有效性，提出相應的防護措施，提高各相關高速公路單位應對網絡安全事件的應急能力，確保在受到弱口令等網絡攻擊時能夠“科學、安全、快速、有序、有效”地進行處置，并為相關行業部門提供有價值的參考。

1 弱口令概述

1.1 什么是弱口令

常見的弱口令特征（如短小、常用、缺乏復雜性）。

短小：密碼長度通常少于8位。

常見：使用常用詞匯、數字組合，如“123456”“abc123”“password”。

缺乏復雜性：不包含大寫字母、特殊字符等[1]。

1.2 統計數據

網絡安全事件的發生，往往會暴露出高速公路行業內部存在的安全運營和管理問題，根據某安全機構處置政企單位8月網絡安全事件失陷區域來看，所處置完成的41起網絡安全事件中，弱口令問題最為顯著，如圖1所示。其中，36.6%的事件與弱口令有關、17.1%的事件與配置不當有關、12.2%的事件與永恒之藍有關、4.9%的事件與服務器漏洞有關、4.9%的事件與設備漏洞有關、2.4%的事件與Weblogic反序列化有關、2.4%的事件與JAVA反序列化有關、2.4%的事件與任意文件下載有關（其中，單起網絡安全事件中，存在多個弱點的情況）。

據行業內數據，某年西南某省高速公路聯網收費系統發生網絡安全事件，導致大量收費系統門架服務器無法正常使用，此事件嚴重擾亂正常收費秩序，同時也反映高速公路養護和運營人員安全意識不足，常導致業務專網中存在大量安全漏洞，如弱口令、危險端口暴露在網絡中、未及時安裝安全補丁等，可以被輕易利用，所以生產網（收費系統）遭受的攻擊和威脅也是最多，最嚴重的。

2 高速公路收費系統現狀和網絡結構

隨著經濟的飛速發展，我國的高速公路得到了突飛猛進的發展，在國民經濟中占據著重要的地位。隨著科技的進步，收費技術也隨著不斷地發展，收費方式從人工收費、半自動收費，ETC收費等的新技術不斷出現，2019年國務院出臺《深化收費公路制度改革取消高速公路省界收費站實施方案》，推進中央與地方兩級運營管理等系統升級，收費站、收費車道、電子不停車收費系統（ETC）門架系統硬件及軟件標準化建設改造；其中ETC門架系統收費成為今后一個發展方向，具有不停車快捷收費，減少擁堵、保護環境，便利群眾提高運輸效率的特點。

2.1 收費系統網絡架構

一個完整收費系統構成主要有以下主要設備和設施組成：車道控制器、RSU控制器、RSU（支持PCI/PCI-E密碼卡）、車牌圖像識別設備、全景攝像機、防雷接地設施、補光燈、通信設備、供電設備等。

2.2 安全需求

高速公路生產網（收費系統）包括以下部分子系統。收費車道系統：負責車道、收費站等交易信息，為稽查管理、車輛通行費用的收取等提供業務數據支撐；ETC門架系統：自動識別通行車輛車牌顏色、車牌號碼，并可由人工核對修正。通行車輛車牌信息、時間、門架信息及抓拍圖片等形成流水記錄，流水記錄保存在站級服務器；入口拒超系統：按通行車輛相關數據（含出口復稱倒查數據）上傳至省聯網收費中心，并同步給省級治超管理平臺；數據管理系統：處理實時車輛通行交易記錄、用戶車輛信息等，與聯網收費運營管理平臺、聯網收費結算中心聯網，并接入全省高速公路聯網收費系統，進行聯網收費業務等。

這些系統往往通過內部局域網相互連接，共享數據，因此一旦某一系統終端受到攻擊，可能影響整個系統的網絡安全。隨著生產網（收費系統）采用ETC不停車收費和無感支付等收費方式的普及，收費系統的網絡需確保具備可靠性、可用性、保密性、完整性、不可抵賴性、可控性等安全要求，用于防止來自收費站、ETC門架區域的網絡探測、黑客攻擊、暴力破解、蠕蟲傳播、木馬外聯等入侵威脅行為，確保業務系統正常安全可靠地運行。

3 弱口令爆破技術

高速公路養護和運營人員由于安全意識不足，為了方便、避免忘記密碼等，使用了非常容易記住的密碼，或者是直接采用了系統的默認密碼等。攻擊者用John the Ripper、Hydra、MSF、SMB等工具，利用相應的漏洞進行爆破，可直接進入應用系統或者管理系統，從而進行系統、數據的篡改與刪除，非法獲取系統、用戶的數據，甚至可能導致服務器淪陷。

3.1 暴力破解的方法

暴力破解就是利用所有可能的字符組密碼，去嘗試破解。這是最原始、粗暴的破解方法，根據運算能力，如果能夠承受得起時間成本的話，最終一定會爆破出密碼。當前主流的弱口令爆破工具和技術，主要有：

（1）窮舉法

窮舉法是指根據輸入密碼的設定長度、選定的字符集生成可能的密碼全集，進行地毯式搜索。例如：一個已知是四位并且全部由數字組成的密碼，其可能共有10 000種組合，因此最多嘗試10 000次就能找到正確的密碼。理論上利用這種方法可以破解任何一種密碼，但隨著密碼復雜度增加，破解密碼的時間會指數級延長。

（2）字典式攻擊

字典式攻擊是將出現頻率最高的密碼保存到文件中，這文件就是字典，爆破時使用字典中的這些密碼去猜解。

字典式攻擊適用于猜解人為設定的口令，因為人為設定受人方便記憶影響不同密碼出現的概率是不一樣的，12345678、abc123、password作為密碼的概率比kipqmowf作為密碼的概率要高得多。與窮舉法相比，字典式攻擊雖然損失了較小的命中率但節省了較多的時間。

（3）彩虹表攻擊

彩虹表攻擊也屬于字典式攻擊，但它是一種高效地破解哈希算法（MD5、SHA1、SHA256/512等）的攻擊方式。

4 模擬生產網（收費系統）弱口令導致攻擊場景

4.1 演練目標

檢驗和增強高速公路生產網（收費系統）弱口令網絡安全突發事件的應急處置能力。通過模擬實際生產環境，熟悉理解《網絡安全事件應急預案》的可執行性，積累經驗，強化各相關單位的協作機制，鍛煉網絡安全專業管理隊伍，提高運營項目各類工作人員對網絡安全事故的組織、協調和指揮能力，普及網絡安全知識，提高風險防范意識和網絡信息安全意識。

4.2 模擬實施步驟

4.2.1 準備階段

模擬搭建一套局域網，其中生產網路段綜合收費管理平臺和肉雞終端存在高危漏洞未修復，存在弱口令、高危端口等風險，如圖2所示。模擬肉雞終端被爆破成功后并被遠程控制，利用系統漏洞成功添加管理員權限的賬戶。再通過肉雞終端瀏覽器收藏夾上保存路段綜合收費管理平臺的web地址（用戶賬戶和密碼存儲在瀏覽器），進一步訪問了該平臺，攻擊者成功登錄后臺后，并對平臺上數據進行查詢、導出等操作[2]。

4.2.2 執行階段

（1）如圖3所示，通過模擬搭建的局域內網，利用弱口令工具發起批量爆破3389遠程桌面端口[3]，存在弱口令的生產網肉雞終端公僅用7 min被成功爆破，遠程控制了該終端電腦。

（2）如圖4所示，所示控制該生產網終端電腦后，同步打開瀏覽器收藏夾存儲的網址（用戶保存登錄密碼），成功登錄并訪問路段綜合收費管理平臺后，進行數據查詢和導出操作，并嘗試橫向攻擊到其他生產網終端。

（3）網絡攻擊事件發生后，高速公路網信辦啟動應急預案、迅速組織技術力量展開排查，按照應急預案制定解決方案后展開對事件處置，事后對事件進行追蹤溯源分析。

（4）應急保障人員：通過對生產網肉雞終端物理斷網后，馬上對安全日志分析，發現告警信息中顯示的攻擊機IP（192.168.81.129）。對相關的安全日志進行取證存檔，同步開啟全面病毒查殺，關閉不安全的端口和服務，對相關異常進程、安全日志等深入分析，進行一系列應急加固工作。

（5）修復相關漏洞，更改系統超級管理員的賬號及密碼，開啟審核策略，檢查并加強內網其他網絡設備的安全配置，防止類似安全事件橫向傳播。

（6）如圖5所示，溯源分析，全面查殺病毒后溯源分析發現生產網肉雞終端存在高危漏洞未修復、存在弱口令等高危漏洞，導致該終端被爆破成功并被遠程控制，且用戶賬戶和密碼違規存儲在瀏覽器內，被攻擊者輕易利用瀏覽器收藏的地址，成功登錄路段綜合收費管理平臺后臺，進行數據查詢與導出操作。

4.2.3 反饋階段

在實際運營中相關管理人員和運維人員普遍網絡安全意識不足，仍存在大量的弱口令使用情況，后續從管理制度上完善生產網相關安全設備周期性網絡安全巡檢、安全基線與策略檢查、安全漏洞掃描、信息資產弱口令加固等工作。

5 安全防護建議

綜合此次模擬演練，在各個業務應用系統層面上開啟強口令策略：制定強口令的要求，包括長度、復雜性等。定期審計與更換：定期對系統進行密碼審計，及時更換弱口令。

5.1 如何防止用戶的密碼被暴力破解

5.1.1 應用層面

對登錄設置賬戶鎖定，在連續輸入錯誤的密碼之后，需要間隔一段時間才能輸入下一次密碼。對登錄的設備進行識別，如果是受信任的設備可通過，如果是新設備需要進行用戶認證。

5.1.2 用戶層面

使用復雜度較高的密碼，如包含大小寫字母、數字、特殊字符。定期審計，設置定期修改密碼，強制要求用戶定期更換密碼，減少被破解的風險。

5.1.3 培訓

對員工進行網絡安全培訓，提高安全意識。通過定期舉辦培訓講座、發布安全提示、組織應急演練等形式，讓員工了解網絡安全的重要性、掌握基本的防范技能。

6 總結

（1）弱口令是高速公路生產網（收費系統）網絡安全的主要威脅之一。通過模擬演練，可以有效評估系統的安全性，發現潛在的風險。加強對弱口令的管理和保護措施，可以大大提高業務系統的安全性。

（2）未來，隨著網絡攻擊手段的不斷升級，網絡安全防護將面臨更大挑戰。可以研究結合人工智能技術，通過機器學習算法自動識別和管理密碼，增強系統的防御能力。

（3）通過模擬生產網環境被攻擊入侵的演練，加強了高速公路養護和運營人員對《網絡安全事件應急預案》處理流程的熟悉程度，提高了相關人員對網絡安全防御、應急響應、故障排查、事件溯源分析的處理能力，進一步鍛煉了網絡安全專業技術隊伍，提升了對網絡安全應急的組織、協調和指揮能力。

參考文獻

[1]馬文文.弱口令檢測相關技術綜述[J].科學創新導報， 2022（7）：75-77.

[2]沈剛.計算機網絡安全技術在網絡安全維護中的應用研究[J].無線互聯科技， 2018（15）：35-36

[3]李子鳴.“弱口令”治理實踐與成效[J].保密科學技術， 2023（7）：66-71.

收稿日期：2024-09-29

作者簡介：陳春雷（1977—） ，男，本科，中級工程師，研究方向：道路與橋梁工程。