竇強(qiáng)

【摘 要】中鼎物流園智能化系統(tǒng)利用互聯(lián)網(wǎng)、大數(shù)據(jù)、智能物流和建筑等先進(jìn)技術(shù)，為物流園提供管理、物流以及應(yīng)急搶險(xiǎn)等多種方面的信息化服務(wù)，隨著中鼎物流園智能化系統(tǒng)建設(shè)規(guī)模不斷擴(kuò)大以及應(yīng)用的不斷擴(kuò)展，系統(tǒng)的安全風(fēng)險(xiǎn)也隨之增加。論文對中鼎物流園智能化系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行分析，并提出了應(yīng)對策略。

【Abstract】The intelligent system of Zhongding Logistics Park uses advanced technologies， such as internet， big data， intelligent logistics and construction to provide information services of various aspects， such as the management， logistics and emergency rescue for the logistics park. With the continuous expansion of the intelligent system construction scale and its application in Zhongding Logistics Park， the security risk of the system has also increased. The paper analyzes the security risks of the intelligent system in Zhongding Logistics Park and puts forward some countermeasures.

【關(guān)鍵詞】物流園區(qū)；智能化系統(tǒng)；網(wǎng)絡(luò)安全；應(yīng)對策略

【Keywords】logistics park； intelligent system； network security； countermeasures

【中圖分類號】F252 【文獻(xiàn)標(biāo)志碼】A 【文章編號】1673-1069（2019）02-0009-03

1 引言

中鼎物流園作為太原鐵路局現(xiàn)代物流轉(zhuǎn)型發(fā)展的重點(diǎn)項(xiàng)目，是一個(gè)集物流、倉儲、中轉(zhuǎn)、展覽展示于一體的物流園，園區(qū)致力于構(gòu)建一體化、可靠安全、高效便捷的綜合物流服務(wù)及商貿(mào)交易平臺。園區(qū)智能化系統(tǒng)將計(jì)算機(jī)技術(shù)、通信技術(shù)、信息技術(shù)、智能建筑技術(shù)有機(jī)結(jié)合，通過對設(shè)備的自動(dòng)監(jiān)控、對信息資源的管理、對用戶的信息服務(wù)，創(chuàng)造一個(gè)高效、全方位、多層次的智慧物流園。為了確保中鼎物流園智能化系統(tǒng)能夠有效支撐園區(qū)的業(yè)務(wù)運(yùn)行和安全管理，就需要定期分析研判系統(tǒng)的安全風(fēng)險(xiǎn)。通過本次對智能化系統(tǒng)網(wǎng)絡(luò)安全的分析，可以全面、完整地了解掌握園區(qū)智能化系統(tǒng)網(wǎng)絡(luò)的安全狀況。依據(jù)相關(guān)管理?xiàng)l例及辦法，對系統(tǒng)所面臨的各種風(fēng)險(xiǎn)以及存在的安全問題，提出相應(yīng)的改進(jìn)建議，達(dá)到確保系統(tǒng)安全的目的。

2 園區(qū)智能化系統(tǒng)概況

2.1 園區(qū)智能化系統(tǒng)的組成

園區(qū)智能化系統(tǒng)由三級平臺構(gòu)成。一級平臺為物流園智能化信息總平臺；二級平臺由安全防范系統(tǒng)管理、智能化集成管理、建筑設(shè)備管理、智能視頻分析應(yīng)用、物流管理應(yīng)用五大平臺構(gòu)成；三級平臺由各智能化子系統(tǒng)組成，包括公共廣播、自動(dòng)抄表、能源管理、智能視頻監(jiān)控、入侵報(bào)警、電子巡查、停車場、智能照明、展示系統(tǒng)等。

2.2 園區(qū)智能化系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

園區(qū)網(wǎng)采用核心層、匯聚層、接入層三級網(wǎng)絡(luò)架構(gòu)。

核心層設(shè)備采用兩臺核心交換機(jī)，采用橫向虛擬化技術(shù)，將兩臺設(shè)備邏輯成一臺設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)高可靠性和網(wǎng)絡(luò)大數(shù)據(jù)量轉(zhuǎn)發(fā)，同時(shí)簡化網(wǎng)絡(luò)管理。

匯聚層目前包括匯聚1和匯聚3兩個(gè)匯聚節(jié)點(diǎn)。分別采用兩臺匯聚層交換機(jī)，采用橫向虛擬化技術(shù)，將兩臺設(shè)備邏輯成一臺設(shè)備。

匯聚層交換機(jī)與接入層交換機(jī)采用縱向虛擬化技術(shù)，將匯聚層與接入層設(shè)備虛擬成一臺設(shè)備，由匯聚層設(shè)備統(tǒng)一管理和配置接入層設(shè)備，從而達(dá)到簡化管理與配置的目的。匯聚層至核心層采用星型加環(huán)形方式連接，形成多結(jié)構(gòu)保護(hù)，使網(wǎng)絡(luò)具備冗余性及抗災(zāi)能力。全網(wǎng)通過傳統(tǒng)VLAN技術(shù)，實(shí)現(xiàn)不同業(yè)務(wù)間的二層網(wǎng)絡(luò)隔離。

3 園區(qū)智能化系統(tǒng)的物理安全

物理安全又稱實(shí)體安全，它是指包含環(huán)境、設(shè)備和記錄介質(zhì)在內(nèi)的一切支持信息系統(tǒng)運(yùn)行的硬件設(shè)備的安全。信息網(wǎng)絡(luò)與物理設(shè)備是緊密聯(lián)系的，前者運(yùn)用一定的方式運(yùn)行在后者之上，物理設(shè)備的安全就成為信息網(wǎng)絡(luò)安全的第一層保障。因此，園區(qū)智能化系統(tǒng)安全的基礎(chǔ)是物理安全。

3.1 設(shè)備安全分析

①機(jī)房設(shè)置有火災(zāi)自動(dòng)消防系統(tǒng)，經(jīng)檢測運(yùn)行正常。

②機(jī)房建筑已設(shè)置避雷裝置，機(jī)房設(shè)置防雷設(shè)備及電源防雷箱，接地可靠。

③機(jī)房設(shè)有門禁系統(tǒng)、紅外聲光報(bào)警系統(tǒng)防止人員非法侵入，破壞設(shè)備。

④機(jī)房配備UPS穩(wěn)壓電源，兩路市電冗余供電，蓄電池后備供電。

3.2 環(huán)境安全分析

①園區(qū)現(xiàn)有的核心數(shù)據(jù)機(jī)房、智能化機(jī)房、匯聚一號機(jī)房、匯聚三號機(jī)房設(shè)置在防風(fēng)、防雨、防震的建筑內(nèi)，與用水設(shè)備及管路分離，滿足安全需求。

②機(jī)房內(nèi)設(shè)有環(huán)境監(jiān)控系統(tǒng)、恒溫恒濕空調(diào)，滿足機(jī)房內(nèi)溫濕度及防水防潮的要求。

③機(jī)房內(nèi)采用防靜電地板及防電磁措施，接地電阻符合標(biāo)準(zhǔn)。

3.3 智能化系統(tǒng)物理安全結(jié)論

通過對園區(qū)智能化系統(tǒng)設(shè)備安全的分析及測試，安全性較好，能夠滿足系統(tǒng)安全運(yùn)行需要。

4 園區(qū)智能化系統(tǒng)網(wǎng)絡(luò)安全

中鼎物流園利用物聯(lián)網(wǎng)、云計(jì)算等先進(jìn)技術(shù)，為物流園提供管理、物流等各方面的高效管理以及系統(tǒng)集成，同時(shí)也為物流園中參與的其他個(gè)體提供多方面信息化服務(wù)，從而讓園內(nèi)資源得到科學(xué)合理運(yùn)用，進(jìn)一步完善園區(qū)，提升其吸引力，將其運(yùn)營者、環(huán)境和人三者合一，融合成有機(jī)整體，促進(jìn)物流園走向可持續(xù)發(fā)展的道路。與此同時(shí)，園區(qū)的安全風(fēng)險(xiǎn)系數(shù)也在提高，因此，園區(qū)的信息網(wǎng)絡(luò)安全也必將成為關(guān)注的重點(diǎn)。網(wǎng)絡(luò)安全，顧名思義就是網(wǎng)絡(luò)上的信息安全，它是對信息的保密性、完整性、可用性的保護(hù)，其中包括網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)信息安全等。威脅網(wǎng)絡(luò)安全的主要類型有木馬病毒、黑客攻擊、信息泄露等。

4.1 園區(qū)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來源

信息網(wǎng)絡(luò)的安全問題來源有很多，通過將網(wǎng)絡(luò)系統(tǒng)的特征與智能化系統(tǒng)網(wǎng)絡(luò)的實(shí)際運(yùn)用相結(jié)合，對其潛在威脅與安全隱患進(jìn)行研究和分析，具體情況如下。

4.1.1 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)

當(dāng)前普遍使用的操作系統(tǒng)、數(shù)據(jù)庫等軟件，存在許多安全漏洞，這些必將被黑客與計(jì)算機(jī)病毒所利用。網(wǎng)絡(luò)設(shè)備存在漏洞，對整個(gè)網(wǎng)絡(luò)系統(tǒng)來說，網(wǎng)絡(luò)中每個(gè)點(diǎn)的安全情況都會(huì)對整個(gè)系統(tǒng)造成威脅，安全管理人員不但要關(guān)注單個(gè)區(qū)域的安全情況，還需要關(guān)注整個(gè)系統(tǒng)的安全漏洞風(fēng)險(xiǎn)情況。這就要求有相應(yīng)的漏洞管理平臺對整個(gè)網(wǎng)絡(luò)中的系統(tǒng)漏洞進(jìn)行集中管理，收集信息，匯總分析，讓安全管理人員掌握整體的網(wǎng)絡(luò)安全狀況。

4.1.2 來自黑客的攻擊

網(wǎng)絡(luò)在運(yùn)行時(shí)內(nèi)外部的數(shù)據(jù)會(huì)進(jìn)行交換，在這一環(huán)節(jié)中必須要加強(qiáng)保護(hù)，否則會(huì)給侵略者留下空隙，他們會(huì)通過某種方式取得系統(tǒng)的訪問權(quán)，侵入系統(tǒng)，對系統(tǒng)產(chǎn)生威脅，使系統(tǒng)出現(xiàn)安全隱患。

4.1.3 網(wǎng)絡(luò)病毒入侵

計(jì)算機(jī)病毒與木馬程序已成為當(dāng)前網(wǎng)絡(luò)最大的安全隱患，換而言之就是非法入侵代碼。計(jì)算機(jī)病毒與木馬程序的入侵方式不同，前者的方式是更改代碼，再利用網(wǎng)絡(luò)傳播來實(shí)現(xiàn)入侵。當(dāng)然，它還可以利用基礎(chǔ)傳播實(shí)現(xiàn)入侵，如U盤病毒等。計(jì)算機(jī)病毒一旦入侵成功，電腦文件就會(huì)被毀壞，系統(tǒng)受到侵害無法正常運(yùn)行，嚴(yán)重者會(huì)直接崩潰。而后者的入侵方式比較隱蔽，對電腦不會(huì)造成影響，系統(tǒng)也不會(huì)損壞，這就導(dǎo)致用戶很難發(fā)現(xiàn)它的入侵，但是它會(huì)在用戶毫無察覺的情況下控制電腦系統(tǒng)。

4.1.4 物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)

對于現(xiàn)有的園區(qū)網(wǎng)絡(luò)的終端設(shè)備，都基于物聯(lián)網(wǎng)要求，進(jìn)行統(tǒng)一管控，通過對不同業(yè)務(wù)和應(yīng)用的使用，進(jìn)行有效管理，但是隨著網(wǎng)絡(luò)的不斷發(fā)展，從原來的模擬信號，逐漸轉(zhuǎn)向數(shù)字信號，再到現(xiàn)在的IP控制，網(wǎng)絡(luò)的復(fù)雜程度越來越精細(xì)化，通過IP的方式，能夠?qū)崿F(xiàn)設(shè)備的互聯(lián)互通，從而形成現(xiàn)在的物聯(lián)網(wǎng)。在物聯(lián)網(wǎng)不斷發(fā)展和壯大的同時(shí)，物聯(lián)網(wǎng)安全也被人們重視起來，黑客可以通過終端的物聯(lián)網(wǎng)接入交換機(jī)，進(jìn)行掃描和滲透，從而發(fā)現(xiàn)智能化網(wǎng)絡(luò)的漏洞，并對漏洞進(jìn)行攻擊，會(huì)導(dǎo)致大量的數(shù)據(jù)和視頻遭到劫持，最為明顯的就是通過此種方式獲取視頻權(quán)限，從而竊取物聯(lián)網(wǎng)上的大量視頻，用于非法行為，其次，其還能夠通過這種方式，破壞園區(qū)網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)，導(dǎo)致門禁失控、IC卡失效、停車場不能正常運(yùn)行等嚴(yán)重后果。

4.1.5 無線網(wǎng)的安全風(fēng)險(xiǎn)

園區(qū)內(nèi)使用WLAN網(wǎng)絡(luò)帶來方便的同時(shí)，WLAN的安全問題給管理員帶來了很多困擾。傳統(tǒng)安全方案，無法阻止流氓AP（例如員工私自接入有線網(wǎng)絡(luò)的AP），而一旦接入不符合安全策略的AP，內(nèi)網(wǎng)數(shù)據(jù)的安全將無法得到保障。使用傳統(tǒng)防火墻防護(hù)無線網(wǎng)絡(luò)，只能在有線網(wǎng)絡(luò)出口阻止非法無線客戶端，無法阻止無線客戶端通過射頻信號接入AP，而一旦非法無線客戶端接入AP，相當(dāng)于進(jìn)入企業(yè)內(nèi)網(wǎng)，信息泄露的大門已經(jīng)打開。無法有效對無線接入客戶進(jìn)行認(rèn)證，普通無線AP接入認(rèn)證手段比較簡單很容易被仿冒和破解。

4.1.6 數(shù)據(jù)庫安全風(fēng)險(xiǎn)

數(shù)據(jù)庫安全事件頻繁發(fā)生，與數(shù)據(jù)庫管理面臨的安全挑戰(zhàn)密切相關(guān)。概括起來數(shù)據(jù)庫面臨的安全挑戰(zhàn)可以分為三大類，如下：一是管理方面，其主要體現(xiàn)在人員職責(zé)分配模糊、流程不夠健全，需要進(jìn)一步完善，內(nèi)部員工的日常操作缺乏規(guī)范性，維護(hù)人員的日常操作缺乏監(jiān)控等，這些缺失直接導(dǎo)致數(shù)據(jù)庫安全事件發(fā)生時(shí)，不能追責(zé)到人；二是技術(shù)層面，數(shù)據(jù)庫內(nèi)部操作混亂，導(dǎo)致傳統(tǒng)的外部安全工具無法起到保護(hù)作用，內(nèi)部用戶的惡意操作和資源濫用等違規(guī)行為頻繁出現(xiàn)；三是審計(jì)層面，當(dāng)前的審計(jì)方式過于依賴數(shù)據(jù)庫日志文件，導(dǎo)致多種弊病的出現(xiàn)，例如，數(shù)據(jù)庫審計(jì)功能的啟動(dòng)對其性能會(huì)產(chǎn)生一定的影響，其日志文件很容易被篡改，使人們對審計(jì)信息的真實(shí)性產(chǎn)生懷疑。

4.1.7 分期建設(shè)帶來的安全風(fēng)險(xiǎn)

園區(qū)智能化系統(tǒng)分期建設(shè)，單體建筑智能化系統(tǒng)陸續(xù)接入整個(gè)系統(tǒng)，使得園區(qū)網(wǎng)絡(luò)安全的統(tǒng)一性、系統(tǒng)性需要加強(qiáng)。

4.2 園區(qū)網(wǎng)絡(luò)安全應(yīng)對措施及建議

因物流園智能化技術(shù)高度集中，網(wǎng)絡(luò)技術(shù)以及協(xié)議存在開放性這兩大特征，導(dǎo)致園區(qū)網(wǎng)絡(luò)有著多種不同類型的安全隱患和潛在危機(jī)，這些隱患直接為侵入人員提供可乘之機(jī)，他們會(huì)以此為契機(jī)入侵整個(gè)網(wǎng)絡(luò)，對園區(qū)網(wǎng)絡(luò)造成嚴(yán)重后果。因此，物流園智能化系統(tǒng)首要目標(biāo)就是要保障該系統(tǒng)的可用性、保密性等，從而保障整個(gè)物流園的網(wǎng)絡(luò)系統(tǒng)安全。

①在核心交換區(qū)部署專業(yè)的遠(yuǎn)程安全評估系統(tǒng)，及時(shí)發(fā)現(xiàn)安全漏洞及配置缺陷，主動(dòng)對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞及配置檢測、分析，同時(shí)對WEB業(yè)務(wù)系統(tǒng)做有效的漏洞掃描，給網(wǎng)絡(luò)管理人員提供專業(yè)、有效的漏洞防護(hù)及配置整改建議，及時(shí)修補(bǔ)漏洞、修改配置，讓攻擊者無機(jī)可乘。

②在網(wǎng)絡(luò)邊界處部署專業(yè)的融合有防病毒功能的入侵監(jiān)測與防護(hù)系統(tǒng)，對互聯(lián)網(wǎng)邊界傳入的木馬病毒、蠕蟲病毒、宏病毒、腳本病毒等各種病毒進(jìn)行檢測和查殺，對員工郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒進(jìn)行檢測與阻斷，實(shí)現(xiàn)智能、自動(dòng)化的安全防御。

③在園區(qū)網(wǎng)各辦公終端部署專業(yè)的終端安全管理系統(tǒng)，預(yù)防非法終端的侵入，降低不安全終端的隱患。禁止合法終端未經(jīng)同意進(jìn)行訪問，保護(hù)園區(qū)內(nèi)部資源。輔助園區(qū)將安全管理制度落到實(shí)處，強(qiáng)化行為審計(jì)防止惡意終端破壞。

④對數(shù)據(jù)庫管理要建立獨(dú)立的安全審計(jì)系統(tǒng)，定義與數(shù)據(jù)庫安全有關(guān)的審計(jì)事件，配置具有針對性的安全審計(jì)員，設(shè)置專門的安全審計(jì)庫，并配置專門用于該系統(tǒng)的安全審計(jì)設(shè)置等工具。

⑤設(shè)置無線防火墻，結(jié)合射頻信號及802.11特點(diǎn)，創(chuàng)新的無線防火墻安全策略，將AP或Station的安全屬性帶入無線網(wǎng)絡(luò)準(zhǔn)入規(guī)則中，利用射頻信號，阻斷非法用戶的侵入，從而創(chuàng)建射頻安全區(qū)，為用戶提供安全與可信度高的無線網(wǎng)絡(luò)。

⑥建立多路由網(wǎng)絡(luò)結(jié)構(gòu)，主要設(shè)備冗余配置，保障其業(yè)務(wù)處理能力有多余空間，在業(yè)務(wù)高峰期階段，仍游刃有余。在業(yè)務(wù)終端與對應(yīng)服務(wù)器中間進(jìn)行路由控制創(chuàng)建安全的訪問路徑。防止重要網(wǎng)段的外置，在重要網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間運(yùn)用技術(shù)隔離。將業(yè)務(wù)服務(wù)按照主次順序排序，并以此來分配優(yōu)先級別，保障重要主機(jī)在發(fā)生網(wǎng)絡(luò)擁堵時(shí)得到優(yōu)先保護(hù)。

⑦對登錄的用戶采用身份鑒別的方式，并對管理員登錄地址進(jìn)行一定的限制。用戶的標(biāo)識必須具有唯一性，主要網(wǎng)絡(luò)設(shè)備可用組合的鑒別技術(shù)，即對同一個(gè)用戶運(yùn)用兩種或者兩種以上技術(shù)進(jìn)行鑒別。

⑧在核心交換區(qū)部署專業(yè)的遠(yuǎn)程安全評估系統(tǒng)，及時(shí)發(fā)現(xiàn)安全漏洞及配置缺陷，主動(dòng)對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞及配置檢測、分析，同時(shí)對WEB業(yè)務(wù)系統(tǒng)做有效的漏洞掃描，給網(wǎng)絡(luò)管理人員提供專業(yè)、有效的漏洞防護(hù)及配置整改建議，及時(shí)修補(bǔ)漏洞、修改配置，讓攻擊者無機(jī)可乘。

⑨加強(qiáng)對園區(qū)智能化系統(tǒng)的建設(shè)管理，整體規(guī)劃、分步實(shí)施，做到標(biāo)準(zhǔn)化、精細(xì)化及系統(tǒng)化。

5 結(jié)論

網(wǎng)絡(luò)系統(tǒng)面臨黑客、系統(tǒng)“后門”和病毒等各種安全威脅。盡管近幾年科技迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也獲得了質(zhì)的飛躍，但是該系統(tǒng)的安全性，仍然比較脆弱，還有待進(jìn)一步發(fā)展。中鼎物流園智能化系統(tǒng)安全是一個(gè)復(fù)雜問題，只依靠一、兩種網(wǎng)絡(luò)安全設(shè)備和策略是不能解決問題的。因此，“技防”的同時(shí)還需要做好“人防”的工作。建立相應(yīng)的信息安全管理制度，規(guī)范網(wǎng)絡(luò)管理及使用人員的操作行為，定期對系統(tǒng)安全進(jìn)行檢測及評估，對實(shí)際中暴露出來的問題深入分析解決，這樣才能將智能化系統(tǒng)安全風(fēng)險(xiǎn)降至最低。