彭麗宇，張進(jìn)川，茍娟瓊，李學(xué)偉

(1.北京交通大學(xué) 經(jīng)濟(jì)管理學(xué)院，北京 100044；2.朔黃鐵路發(fā)展有限責(zé)任公司，河北 滄州 062350)

一、引 言

隨著信息化、數(shù)字化、智能化技術(shù)在現(xiàn)代鐵路系統(tǒng)的廣泛應(yīng)用，鐵路信息系統(tǒng)中包含的大量信息已經(jīng)成為寶貴資產(chǎn)，在鐵路的安全生產(chǎn)和運(yùn)行指揮過程中發(fā)揮的作用越來越大，如何保護(hù)和運(yùn)用好這些信息已成為十分重要的課題，因此，引起了學(xué)者們的關(guān)注和重視。近年來，學(xué)者們從安全體系構(gòu)建、信息安全管理和智能運(yùn)維系統(tǒng)平臺(tái)設(shè)計(jì)等方面就相關(guān)問題開展了一系列研究。孔磊[1](2016)研究了大數(shù)據(jù)背景下的城市軌道交通公共安全體系的建設(shè)背景、核心概念、發(fā)展現(xiàn)狀和體系架構(gòu),分析了體系的三個(gè)主要組成部分——公共安全框架、風(fēng)險(xiǎn)治理模型和應(yīng)急管理平臺(tái)的核心內(nèi)容,描述了建設(shè)公共安全體系需要的相關(guān)大數(shù)據(jù)技術(shù)；王令朝[2](2010)從我國鐵路信息安全管理現(xiàn)狀入手,在闡述和分析國內(nèi)外信息安全的標(biāo)準(zhǔn)化情況基礎(chǔ)上,提出包括策劃準(zhǔn)備、范圍確定、調(diào)查評(píng)估、框架建立、文件編寫、運(yùn)行改進(jìn)和體系審核等內(nèi)容的鐵路信息安全管理及其標(biāo)準(zhǔn)體系的創(chuàng)建思路。高春霞等[3](2015)針對(duì)我國鐵路信息系統(tǒng)的信息安全保障體系進(jìn)行研究,包括信息安全管理體系和信息安全技術(shù)框架,并對(duì)鐵路信息安全的管理方針、組織保障、安全意識(shí)管理進(jìn)行探討,提出鐵路信息系統(tǒng)安全管理制度體系。韓帥[4](2012)對(duì)云計(jì)算環(huán)境下面臨的安全挑戰(zhàn)、具有的安全優(yōu)勢和采取的防護(hù)措施進(jìn)行了歸納總結(jié)，介紹了云計(jì)算數(shù)據(jù)存儲(chǔ)安全體系架構(gòu)。朱超平等[5](2017)在大西試驗(yàn)CTCS智能運(yùn)維系統(tǒng)基礎(chǔ)上,提出一種集成現(xiàn)有的各類電務(wù)系統(tǒng),運(yùn)用大數(shù)據(jù)技術(shù),結(jié)合設(shè)備狀態(tài)維修理論的智能運(yùn)維平臺(tái)方案,實(shí)現(xiàn)對(duì)電務(wù)設(shè)備全生命周期的狀態(tài)監(jiān)測與故障管理。王志等[6](2017)介紹了數(shù)據(jù)安全所面臨的問題,以及中國機(jī)車遠(yuǎn)程監(jiān)測與診斷系統(tǒng)(CMD系統(tǒng))在設(shè)計(jì)過程中就數(shù)據(jù)安全在數(shù)據(jù)采集、傳輸、存儲(chǔ)、應(yīng)用及數(shù)據(jù)管理等環(huán)節(jié)采取的應(yīng)對(duì)手段,探究CMD系統(tǒng)數(shù)據(jù)的安全性。

上述文獻(xiàn)主要對(duì)軌道交通或者鐵路系統(tǒng)的信息安全保障和管理體系，或電務(wù)智能運(yùn)維平臺(tái)、CMD系統(tǒng)數(shù)據(jù)安全等問題進(jìn)行了研究，對(duì)地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全的研究尚不多見。地方貨運(yùn)鐵路和國家大鐵路在機(jī)車智能運(yùn)維系統(tǒng)車載設(shè)備、車地網(wǎng)絡(luò)架構(gòu)上大體一致，但是地方鐵路沒有國家大鐵路，鐵路總公司、路局、機(jī)務(wù)段等多層級(jí)機(jī)構(gòu)，其信息在地面的存儲(chǔ)節(jié)點(diǎn)、分布范圍和傳輸路徑方面會(huì)相對(duì)簡單，安全漏洞相對(duì)減少，防護(hù)難度相對(duì)降低。但是地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)方面存在的信息安全風(fēng)險(xiǎn)和漏洞，在國家大鐵路中也可能普遍存在。因此，本文以朔黃鐵路智能運(yùn)維系統(tǒng)為例，從車載設(shè)備、網(wǎng)絡(luò)通信、應(yīng)用平臺(tái)和信息數(shù)據(jù)資源方面，就地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)存在的一些安全性風(fēng)險(xiǎn)和漏洞進(jìn)行分析，并在此基礎(chǔ)上提出有針對(duì)性的信息安全防護(hù)措施，以期為建立地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全防護(hù)體系有所貢獻(xiàn)，有利于確保地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的安全高效運(yùn)行，為國家大鐵路機(jī)車智能運(yùn)維系統(tǒng)的信息安全建設(shè)起到拋磚引玉的作用。

二、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)架構(gòu)

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)是支持地方鐵路貨運(yùn)機(jī)車運(yùn)用、檢修、維護(hù)和綜合保障一體化的智能應(yīng)用系統(tǒng)，可提供地方貨運(yùn)鐵路機(jī)務(wù)運(yùn)維一站式解決方案。現(xiàn)階段越來越多的機(jī)車信息采集后回傳到地面大數(shù)據(jù)云平臺(tái)服務(wù)器集群中，進(jìn)行數(shù)據(jù)挖掘、關(guān)聯(lián)性分析和趨勢性分析，通過構(gòu)建地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)，實(shí)現(xiàn)了遠(yuǎn)程監(jiān)視、故障報(bào)警、專家診斷、健康管理等智能應(yīng)用功能。例如朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)綜合應(yīng)用了大數(shù)據(jù)、智能化手段，提供地方貨運(yùn)鐵路機(jī)務(wù)運(yùn)維一站式解決方案，該系統(tǒng)包括平臺(tái)和應(yīng)用兩個(gè)部分。其平臺(tái)部分，通過搭建朔黃機(jī)務(wù)運(yùn)維大數(shù)據(jù)基礎(chǔ)平臺(tái)，接入檢修、技術(shù)、運(yùn)用、監(jiān)控、調(diào)度等相關(guān)業(yè)務(wù)數(shù)據(jù)，打通信息孤島，實(shí)現(xiàn)對(duì)日常運(yùn)維狀況的數(shù)據(jù)監(jiān)控；應(yīng)用部分，通過對(duì)數(shù)據(jù)的挖掘、整理、融合分析等智能化手段，實(shí)現(xiàn)對(duì)機(jī)車狀態(tài)的遠(yuǎn)程監(jiān)視、故障診斷、應(yīng)急處置、故障預(yù)警、壽命預(yù)測等機(jī)車智能化運(yùn)維應(yīng)用功能，支撐機(jī)車的運(yùn)用、管理和維修，實(shí)現(xiàn)機(jī)車運(yùn)行環(huán)境、線路狀態(tài)以及自然環(huán)境的實(shí)時(shí)監(jiān)測與預(yù)警，實(shí)現(xiàn)多維度數(shù)據(jù)的聚合分析和綜合展示，實(shí)現(xiàn)趨勢性分析與BI展示。具體功能框架如圖1所示。

朔黃鐵路智能運(yùn)維系統(tǒng)中，數(shù)據(jù)接入存儲(chǔ)主要通過兩種途徑：一類是車載設(shè)備各類數(shù)據(jù)通過3G/4G/WLAN網(wǎng)絡(luò)將實(shí)時(shí)車載數(shù)據(jù)及離線記錄文件發(fā)送到地面服務(wù)器，通過負(fù)載均衡、報(bào)文處理、消息隊(duì)列緩存等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的接入、分發(fā)及云平臺(tái)存儲(chǔ)；另一類是地勤、檢修、運(yùn)安等業(yè)務(wù)系統(tǒng)數(shù)據(jù)，通過采集、處理等組件實(shí)現(xiàn)數(shù)據(jù)的定時(shí)增量或全量抓取、解析、處理并存儲(chǔ)到云平臺(tái)。

圖2展示了朔黃鐵路智能運(yùn)維系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，在該系統(tǒng)中各種機(jī)車車載設(shè)備組成車載系統(tǒng)，是所有信息的源頭，生成和記錄各種機(jī)車設(shè)備和系統(tǒng)的運(yùn)行狀態(tài)信息。這些信息通過車載網(wǎng)絡(luò)傳輸?shù)杰囕d網(wǎng)關(guān)，如果是在途機(jī)車，車載網(wǎng)關(guān)將通過3G/4G將實(shí)時(shí)數(shù)據(jù)傳輸?shù)酱髷?shù)據(jù)云平臺(tái)服務(wù)器集群中；如果是入庫機(jī)車，車載網(wǎng)關(guān)則通過WLAN將數(shù)據(jù)文件傳輸?shù)奖镜鼐钟蚓W(wǎng)服務(wù)器，然后再由數(shù)據(jù)服務(wù)器通過有線網(wǎng)絡(luò)匯集到大數(shù)據(jù)云平臺(tái)服務(wù)器集群中。大數(shù)據(jù)云平臺(tái)服務(wù)集群和本地辦公網(wǎng)(局域網(wǎng))服務(wù)器構(gòu)成了地面應(yīng)用平臺(tái)，該應(yīng)用平臺(tái)是收集、存儲(chǔ)、分析各種機(jī)車信息的主要功能單元，經(jīng)過處理和分析的信息將通過局域網(wǎng)終端和互聯(lián)網(wǎng)終端進(jìn)行展示，便于工作人員進(jìn)行查閱、操作和處理。

本文通過對(duì)朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)中存在的信息安全風(fēng)險(xiǎn)進(jìn)行分析，找出機(jī)車智能運(yùn)維系統(tǒng)中可能存在的信息安全漏洞，并針對(duì)這些風(fēng)險(xiǎn)提出相應(yīng)的安全防護(hù)措施，實(shí)現(xiàn)車載設(shè)備、網(wǎng)絡(luò)傳輸、應(yīng)用平臺(tái)和信息數(shù)據(jù)的安全防護(hù)，構(gòu)建一套完善的貫穿信息生成、信息傳輸、信息應(yīng)用到信息銷毀全生命周期的安全防護(hù)體系。

三、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全風(fēng)險(xiǎn)分析

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)融合海量信息的采集和存儲(chǔ)、公共網(wǎng)絡(luò)通信和傳輸、信息系統(tǒng)的分析和應(yīng)用等功能，其涉及的設(shè)備和系統(tǒng)越來越多，網(wǎng)絡(luò)傳輸壓力越來越大，信息集成融合度越來越高，車載設(shè)備、網(wǎng)絡(luò)、系統(tǒng)已不再是信息孤島，其對(duì)外暴露的設(shè)備接口、網(wǎng)絡(luò)設(shè)備、通信鏈路、數(shù)據(jù)協(xié)議等很多方面都缺少安全防護(hù)，這大大增加了遭受惡意攻擊的風(fēng)險(xiǎn)。攻擊者可以通過非法訪問設(shè)備，非法入侵網(wǎng)絡(luò)，攻擊破壞應(yīng)用平臺(tái)，以及竊取、篡改、偽造數(shù)據(jù)等手段入侵設(shè)備、網(wǎng)絡(luò)、系統(tǒng)，從而造成不可估量的損失。根據(jù)朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)的框架，其安全風(fēng)險(xiǎn)主要存在于車載設(shè)備、通信網(wǎng)絡(luò)、應(yīng)用平臺(tái)和信息數(shù)據(jù)四個(gè)方面。

(一)車載設(shè)備智能化漏洞增多

從朔黃鐵路機(jī)車智能運(yùn)維系統(tǒng)來看，越來越多的機(jī)車車載設(shè)備采用微處理器、嵌入式操作系統(tǒng)和應(yīng)用軟件相結(jié)合的體系架構(gòu)，以滿足日益復(fù)雜的智能化需求。通用的操作系統(tǒng)和應(yīng)用軟件普遍存在的安全漏洞使得智能化設(shè)備較以往的機(jī)械化設(shè)備更易受到惡意攻擊，面臨攻擊范圍擴(kuò)大、擴(kuò)散速度增加、漏洞影響惡化等威脅。而且機(jī)車車載設(shè)備系統(tǒng)固件的更新非常不便，漏洞修復(fù)和補(bǔ)丁升級(jí)的不及時(shí)可能造成攻擊者通過這些漏洞非法入侵設(shè)備。而且，因?yàn)楫?dāng)前的車載設(shè)備對(duì)訪問未進(jìn)行身份驗(yàn)證和對(duì)權(quán)限管理的控制不足，攻擊者也可以通過車載設(shè)備的各種接口非法接入，甚至對(duì)整個(gè)車載系統(tǒng)進(jìn)行訪問、竊取、篡改和破壞車載設(shè)備信息，監(jiān)聽車載系統(tǒng)中的信息交互，甚至可以通過這些漏洞向車載設(shè)備植入惡意代碼，輕則竊取各類信息，重則降低車載設(shè)備的運(yùn)行效率，甚至使設(shè)備及系統(tǒng)崩潰癱瘓，影響機(jī)車的運(yùn)行安全。

(二)公有網(wǎng)絡(luò)應(yīng)用造成網(wǎng)絡(luò)安全問題蔓延

目前,朔黃鐵路機(jī)車的實(shí)時(shí)數(shù)據(jù)傳輸，普遍通過3G/4G網(wǎng)絡(luò)，采用傳輸層協(xié)議下發(fā)到地面通信服務(wù)器，或通過WLAN網(wǎng)絡(luò)采用應(yīng)用層文件傳輸協(xié)議將機(jī)車數(shù)據(jù)文件下發(fā)到地面通信服務(wù)器?，F(xiàn)在的網(wǎng)絡(luò)傳輸協(xié)議沒有采用任何安全防護(hù)措施，報(bào)文數(shù)據(jù)明文傳輸，很容易被截獲竊取。文件傳輸協(xié)議僅僅采用了用戶名和密碼進(jìn)行身份認(rèn)證，其安全防護(hù)措施也非常薄弱，用戶名、密碼、報(bào)文數(shù)據(jù)也都是明文傳輸，因此，數(shù)據(jù)文件的安全性存在很大漏洞。通過這些安全性欠缺的網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸，其數(shù)據(jù)很容易被竊取、篡改、偽造和破壞。另外，目前機(jī)車的車載網(wǎng)絡(luò)普遍沒有安全防護(hù)，當(dāng)采用公用網(wǎng)絡(luò)，如3G/4G或WLAN進(jìn)行網(wǎng)絡(luò)傳輸時(shí)，車載網(wǎng)絡(luò)將面臨非法入侵或攻擊，可能造成網(wǎng)絡(luò)癱瘓，從而造成系統(tǒng)故障，影響機(jī)車運(yùn)行安全。

(三)應(yīng)用平臺(tái)系統(tǒng)安全保護(hù)機(jī)制欠缺導(dǎo)致信息泄露和系統(tǒng)被破壞

隨著朔黃鐵路機(jī)車數(shù)據(jù)呈現(xiàn)海量增長的趨勢，地面應(yīng)用平臺(tái)采用了Hadoop的系統(tǒng)架構(gòu)。由于Hadoop架構(gòu)在設(shè)計(jì)之初并非企業(yè)級(jí)工具，并未考慮太多安全性問題，所以存在一些安全漏洞，比如缺乏統(tǒng)一的跨引擎的數(shù)據(jù)訪問權(quán)限管理機(jī)制，用戶登錄授權(quán)管理機(jī)制不足等，攻擊者可以利用這些漏洞對(duì)大數(shù)據(jù)平臺(tái)中存儲(chǔ)的信息進(jìn)行非法訪問、竊取、篡改或破壞，造成平臺(tái)服務(wù)的延遲、中斷、停止甚至崩潰。而且由于信息量越來越大，需要借助本地?cái)?shù)據(jù)服務(wù)器進(jìn)行轉(zhuǎn)儲(chǔ)以保證信息傳輸?shù)姆€(wěn)定性，并節(jié)約信息傳輸?shù)某杀?。如果信息存?chǔ)在這些介質(zhì)中且沒有任何保護(hù)機(jī)制，很容易被盜取和破壞，造成轉(zhuǎn)存至數(shù)據(jù)平臺(tái)時(shí)出現(xiàn)信息錯(cuò)誤、損壞和不可用，影響其最后的分析結(jié)果。

(四)數(shù)據(jù)體量增大、結(jié)構(gòu)復(fù)雜，增加了惡意攻擊風(fēng)險(xiǎn)

智能運(yùn)維的核心是數(shù)據(jù)，目前,朔黃鐵路機(jī)車數(shù)據(jù)體量在不斷增大，種類不斷增多，結(jié)構(gòu)也日趨復(fù)雜，并且出現(xiàn)數(shù)據(jù)在內(nèi)部與外部網(wǎng)絡(luò)之間的雙向流動(dòng)共享。現(xiàn)階段機(jī)車系統(tǒng)中對(duì)于數(shù)據(jù)采集、傳輸、存儲(chǔ)和處理各環(huán)節(jié)基本都是明文處理，這大大增加了數(shù)據(jù)被竊取、篡改、破壞、偽造以及未授權(quán)使用的風(fēng)險(xiǎn)。數(shù)據(jù)的安全風(fēng)險(xiǎn)將增加設(shè)備、網(wǎng)絡(luò)、系統(tǒng)遭受惡意攻擊的可能性，對(duì)系統(tǒng)整體也將造成極大的影響。

四、地方鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全防護(hù)體系的構(gòu)建

針對(duì)地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)在設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)四個(gè)方面的風(fēng)險(xiǎn)漏洞，可參考信息系統(tǒng)安全等級(jí)保護(hù)第三級(jí)的相關(guān)要求，采取相應(yīng)防護(hù)措施，構(gòu)建地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)安全防護(hù)體系，以確保智能運(yùn)維系統(tǒng)的安全運(yùn)行。

在加強(qiáng)車載設(shè)備安全性方面，采取增強(qiáng)固件安全、修復(fù)安全漏洞、標(biāo)記設(shè)備身份、控制設(shè)備訪問等措施；在加強(qiáng)網(wǎng)絡(luò)安全性方面，通過強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)、加密通信傳輸、安全監(jiān)測審計(jì)等措施，加強(qiáng)車載和地面內(nèi)部網(wǎng)絡(luò)以及車地傳輸?shù)陌踩?；在加?qiáng)應(yīng)用平臺(tái)安全性方面，采取管控用戶安全、加固平臺(tái)安全、安全監(jiān)測審計(jì)等措施；在加強(qiáng)數(shù)據(jù)安全性方面，通過數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)訪問控制、安全數(shù)據(jù)分析等措施加強(qiáng)數(shù)據(jù)在采集、存儲(chǔ)、傳輸和應(yīng)用等多環(huán)節(jié)的安全性。這四個(gè)方面的安全措施形成完善的信息安全防護(hù)體系，可以保證地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)中各類信息的安全性，使系統(tǒng)整體安全可靠高效的運(yùn)行。地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)信息安全框架如圖3所示。

(一)車載設(shè)備安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維設(shè)備主要是指與機(jī)車運(yùn)維系統(tǒng)相關(guān)的車載設(shè)備，包括單個(gè)智能模塊以及成套智能平臺(tái)。可以通過增強(qiáng)操作系統(tǒng)內(nèi)核和及時(shí)掃描、挖掘和修復(fù)安全漏洞加固車載設(shè)備的操作系統(tǒng)和應(yīng)用軟件，防止利用安全漏洞對(duì)車載設(shè)備的滲透；通過硬件芯片的唯一性對(duì)設(shè)備進(jìn)行身份認(rèn)證，防止未授權(quán)的車載設(shè)備接入系統(tǒng)；通過對(duì)設(shè)備訪問進(jìn)行身份認(rèn)證和權(quán)限控制彌補(bǔ)設(shè)備訪問控制不足的問題，防止對(duì)車載設(shè)備的未授權(quán)和越權(quán)訪問。

1.增強(qiáng)操作系統(tǒng)內(nèi)核來增強(qiáng)設(shè)備固件的安全性

設(shè)備固件可從操作系統(tǒng)內(nèi)核方面進(jìn)行增強(qiáng)，實(shí)現(xiàn)對(duì)文件、注冊(cè)表和進(jìn)程等對(duì)象的強(qiáng)制訪問控制，可配置針對(duì)以上對(duì)象的不同訪問策略來保護(hù)系統(tǒng)和應(yīng)用資源，并采用白名單的安全策略管控設(shè)備中的程序進(jìn)程。在該策略下，僅允許白名單庫中的應(yīng)用程序運(yùn)行，未在白名單中的應(yīng)用程序均被禁止，防止惡意代碼和軟件的加載和運(yùn)行。另外，應(yīng)加強(qiáng)協(xié)議的安全性，禁用不必要的通信協(xié)議，通過添加黑白名單禁止或允許源IP和目的IP的訪問，強(qiáng)化協(xié)議的安全配置并修補(bǔ)協(xié)議中存在的安全漏洞，防止通過協(xié)議棧對(duì)設(shè)備進(jìn)行惡意攻擊。

2.及時(shí)掃描、挖掘和修復(fù)安全漏洞

設(shè)備操作系統(tǒng)和應(yīng)用軟件需要進(jìn)行充分的漏洞掃描和挖掘。對(duì)于發(fā)現(xiàn)的安全漏洞必須及時(shí)修復(fù)，并且需要密切關(guān)注設(shè)備安全漏洞和補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施，防止出現(xiàn)利用安全漏洞對(duì)設(shè)備的惡意攻擊。針對(duì)補(bǔ)丁升級(jí)和版本更新的系列性，可建立一套軟件管理和OTA升級(jí)系統(tǒng)來及時(shí)檢驗(yàn)設(shè)備的操作系統(tǒng)和應(yīng)用軟件是否為最安全的版本，是否需要更新或進(jìn)行漏洞修補(bǔ)。

3.對(duì)訪問設(shè)備進(jìn)行可靠性身份識(shí)別

為接入地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的設(shè)備設(shè)置基于硬件芯片的唯一性標(biāo)識(shí)，使得系統(tǒng)對(duì)設(shè)備身份的可靠性具備鑒別能力，防止未授權(quán)的設(shè)備接入系統(tǒng)。另外還可添加安全芯片，對(duì)設(shè)備中的系統(tǒng)固件、應(yīng)用軟件、配置文件和設(shè)備信息進(jìn)行加密認(rèn)證，實(shí)現(xiàn)設(shè)備的安全啟動(dòng)，從而保護(hù)設(shè)備中各類信息的機(jī)密性和完整性。

4.對(duì)訪問設(shè)備進(jìn)行必要的身份認(rèn)證與權(quán)限認(rèn)證

在設(shè)備中建立完善的用戶身份認(rèn)證和訪問控制機(jī)制，用戶每次訪問都必須進(jìn)行身份認(rèn)證，通過才可操作設(shè)備。并且根據(jù)用戶角色配置相應(yīng)的訪問和操作權(quán)限，禁止采用單一用戶角色或者默認(rèn)用戶角色訪問設(shè)備。設(shè)備的默認(rèn)密碼必須在設(shè)備啟用時(shí)及時(shí)修改。其中，用戶權(quán)限的配置遵從最小化原則，對(duì)于超級(jí)用戶權(quán)限需進(jìn)行合理分散，不同用戶權(quán)限之間進(jìn)行適度制約，防止對(duì)設(shè)備的未授權(quán)或越權(quán)訪問。

(二)網(wǎng)絡(luò)通信安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維網(wǎng)絡(luò)安全防護(hù)應(yīng)面向車載內(nèi)部網(wǎng)絡(luò)、地面內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)。通過強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全防護(hù)實(shí)現(xiàn)車載設(shè)備和地面網(wǎng)絡(luò)各自的內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)保護(hù)，防止對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊；通過安全傳輸協(xié)議建立安全的傳輸鏈路，確保網(wǎng)絡(luò)通信過程的機(jī)密性、完整性和可用性，防止對(duì)通信鏈路上信息和數(shù)據(jù)的竊取、篡改、偽造和破壞；通過網(wǎng)絡(luò)安全審計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的感知和網(wǎng)絡(luò)安全威脅的報(bào)警。

1.強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)強(qiáng)化和安全防護(hù)主要涉及網(wǎng)絡(luò)邊界保護(hù)和內(nèi)部網(wǎng)絡(luò)隔離，車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)均采用相似措施形成兩個(gè)獨(dú)立網(wǎng)絡(luò)運(yùn)行，防止通過車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)進(jìn)行相互攻擊。在車載系統(tǒng)和地面系統(tǒng)的網(wǎng)絡(luò)邊界添加防火墻，車載系統(tǒng)添加板卡式車載防火墻，地面添加機(jī)架式地面防火墻，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，抵御外部網(wǎng)絡(luò)的攻擊。在防火墻中采用白名單機(jī)制，只允許授權(quán)可信設(shè)備連接到車載內(nèi)部網(wǎng)絡(luò)和地面內(nèi)部網(wǎng)絡(luò)，只開放所需的受控地址、協(xié)議和端口進(jìn)行通信，對(duì)通信內(nèi)容進(jìn)行過濾，阻止不合規(guī)的內(nèi)容進(jìn)入內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)輸出到外部網(wǎng)絡(luò)。在網(wǎng)絡(luò)邊界添加IPS，對(duì)網(wǎng)絡(luò)攻擊、惡意代碼、病毒進(jìn)行阻止和警示。

車載內(nèi)部網(wǎng)絡(luò)和地面內(nèi)部網(wǎng)絡(luò)均通過VLAN技術(shù)劃分不同的網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)內(nèi)部子網(wǎng)絡(luò)隔離。車載內(nèi)部網(wǎng)絡(luò)將控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)隔離，阻斷通過信息網(wǎng)絡(luò)對(duì)控制網(wǎng)絡(luò)的入侵，將對(duì)機(jī)車的安全威脅降到最低。地面內(nèi)部網(wǎng)絡(luò)則根據(jù)不同業(yè)務(wù)劃分為不同網(wǎng)絡(luò)區(qū)域，例如車地通信服務(wù)、機(jī)車智能檢修、乘務(wù)員運(yùn)用管理、大數(shù)據(jù)平臺(tái)服務(wù)器等不同業(yè)務(wù)的服務(wù)器都分布在不同的網(wǎng)絡(luò)區(qū)域中，即便某個(gè)網(wǎng)絡(luò)區(qū)域遭受攻擊，也不會(huì)影響其他業(yè)務(wù)系統(tǒng)的運(yùn)行，將網(wǎng)絡(luò)攻擊損失降到最小。配置足夠的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)帶寬以滿足業(yè)務(wù)高峰期的需求，并添加通信鏈路和采用關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證整體網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性。對(duì)于無線網(wǎng)絡(luò)，關(guān)閉SSID的廣播和WPS功能，啟動(dòng)MAC地址過濾，采用802.1x技術(shù)控制外部終端接入和使用WPA2加密方式提高無線網(wǎng)絡(luò)的安全性。

2.確保網(wǎng)絡(luò)通信的機(jī)密性、完整性和可用性

網(wǎng)絡(luò)通信防護(hù)主要是通過安全傳輸協(xié)議建立安全的傳輸鏈路，確保網(wǎng)絡(luò)通信過程的機(jī)密性、完整性和可用性，防止對(duì)網(wǎng)絡(luò)傳輸信息的竊取、篡改、偽造和破壞。其主要包括兩個(gè)方面的通信安全，一是車載系統(tǒng)和地面系統(tǒng)之間的通信安全，二是應(yīng)用終端和應(yīng)用服務(wù)器之間的通信安全。因?yàn)槟壳败囕d實(shí)時(shí)信息是通過UDP或TCP協(xié)議傳輸，所以采用IPSec安全傳輸協(xié)議在網(wǎng)絡(luò)層進(jìn)行保護(hù)，可在保證安全性的同時(shí)，大大減少對(duì)原有協(xié)議和應(yīng)用的改動(dòng)。而通過FTP傳輸?shù)奈募t改為采用SFTP安全協(xié)議進(jìn)行傳輸，保證文件在傳輸過程中的安全性。應(yīng)用終端和應(yīng)用服務(wù)器之間的通信則采用SSL或者TLS進(jìn)行保護(hù)，保證兩者之間通信的安全性。

3.通過網(wǎng)絡(luò)安全審計(jì)構(gòu)筑網(wǎng)絡(luò)態(tài)勢感知

部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、網(wǎng)絡(luò)鏈路、安全設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、安全事件、安全策略等進(jìn)行審計(jì)。審計(jì)記錄定期備份，以避免受到未預(yù)期的刪除、修改或覆蓋等。收集匯總各設(shè)備上的審計(jì)記錄，對(duì)記錄進(jìn)行讀取、查閱、搜索、分類和排序，以及事件分析、態(tài)勢感知、異常檢測、威脅報(bào)警和攻擊探測等。

(三)應(yīng)用安全防護(hù)措施

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維應(yīng)用系統(tǒng)覆蓋大數(shù)據(jù)綜合應(yīng)用、機(jī)車故障預(yù)測和健康管理、機(jī)車智能檢修、機(jī)車及大型互換配件電子履歷、乘務(wù)員運(yùn)用管理系統(tǒng)等多種業(yè)務(wù)。可以通過用戶身份的鑒別和權(quán)限管控建立統(tǒng)一的訪問控制機(jī)制，防止用戶對(duì)應(yīng)用平臺(tái)的未授權(quán)和越權(quán)訪問；通過加固主機(jī)系統(tǒng)和應(yīng)用軟件增強(qiáng)應(yīng)用平臺(tái)和轉(zhuǎn)儲(chǔ)服務(wù)器的安全性，防止利用系統(tǒng)漏洞攻擊應(yīng)用平臺(tái)；通過監(jiān)測、分析與記錄用戶行為和應(yīng)用平臺(tái)運(yùn)行狀態(tài)構(gòu)建應(yīng)用平臺(tái)安全態(tài)勢感知機(jī)制和安全威脅報(bào)警機(jī)制。

1.用戶身份鑒別和訪問控制

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維應(yīng)用系統(tǒng)通過用戶密碼和用戶指紋兩種鑒別機(jī)制對(duì)登錄用戶身份進(jìn)行認(rèn)證，為每一位用戶建立唯一性標(biāo)識(shí)，并且采用設(shè)置登錄驗(yàn)證次數(shù)限制，強(qiáng)化用戶密碼策略，配置會(huì)話超時(shí)機(jī)制、限制系統(tǒng)最大會(huì)話連接數(shù)等安全策略。根據(jù)登錄用戶的角色分配所需的最小權(quán)限，并在不同角色用戶之間形成制約。

訪問控制顆粒度達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)、記錄或字段級(jí)。為敏感信息資源設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。平臺(tái)中不同用戶之間的資源應(yīng)當(dāng)采取必要的措施實(shí)現(xiàn)充分隔離，用戶只能訪問分配給自己的資源，對(duì)于其他未分配資源的訪問都將被禁止，由此可防止病毒、惡意代碼等安全威脅通過平臺(tái)向不同用戶擴(kuò)散。通過重命名默認(rèn)賬號(hào)，修改默認(rèn)口令，及時(shí)刪除多余和過期的賬號(hào)，避免共享賬號(hào)的存在。

2.加固主機(jī)系統(tǒng)和應(yīng)用軟件

登錄主機(jī)系統(tǒng)進(jìn)行身份認(rèn)證，分配最小的訪問操作權(quán)限。系統(tǒng)以最小化原則進(jìn)行剪裁安裝，即只安裝業(yè)務(wù)需要的組件，禁用與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)端口、系統(tǒng)進(jìn)程和服務(wù)，如郵件代理、圖形桌面、Telnet、編譯工具等；通過修改操作系統(tǒng)內(nèi)核參數(shù)，增強(qiáng)操作系統(tǒng)安全性，如禁用IP轉(zhuǎn)發(fā)、禁止響應(yīng)廣播請(qǐng)求、禁止接收、轉(zhuǎn)發(fā)ICMP重定向消息等；設(shè)置賬號(hào)密碼復(fù)雜度、密碼有效期、登錄失敗次數(shù)、禁用root賬號(hào)等安全策略，并遵從最小化原則配置文件和目錄權(quán)限。加固后的操作系統(tǒng)可大大降低系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)。安裝反病毒軟件，防止惡意代碼和病毒的入侵。過濾檢查應(yīng)用軟件人機(jī)接口和通信接口的數(shù)據(jù)，只接收合規(guī)性數(shù)據(jù)。當(dāng)發(fā)生故障時(shí)，隔離并重啟故障模塊，啟動(dòng)自動(dòng)保護(hù)功能，保存當(dāng)前所有狀態(tài)，使應(yīng)用系統(tǒng)能夠從故障中盡快恢復(fù)，增強(qiáng)應(yīng)用系統(tǒng)的魯棒性。

3.監(jiān)測、分析與記錄用戶行為和應(yīng)用平臺(tái)運(yùn)行狀態(tài)

審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。審計(jì)記錄定期備份，審計(jì)進(jìn)程不允許未經(jīng)授權(quán)停止。分析審計(jì)記錄，對(duì)用戶不合規(guī)的行為和攻擊威脅進(jìn)行報(bào)警。此外，對(duì)平臺(tái)實(shí)施集中、實(shí)時(shí)的安全監(jiān)測。監(jiān)測內(nèi)容包括各種物理和虛擬資源的運(yùn)行狀態(tài)。通過對(duì)系統(tǒng)運(yùn)行參數(shù)(如網(wǎng)絡(luò)流量、主機(jī)資源和存儲(chǔ)等)以及各類日志進(jìn)行分析，確保平臺(tái)管理者可執(zhí)行故障管理、性能管理和自動(dòng)檢修管理，從而實(shí)現(xiàn)平臺(tái)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)測。將平臺(tái)與安全有關(guān)的信息進(jìn)行有效識(shí)別、充分記錄、長時(shí)間的存儲(chǔ)和自動(dòng)分析，對(duì)平臺(tái)的安全狀況做到持續(xù)、動(dòng)態(tài)、實(shí)時(shí)的有依據(jù)的安全審計(jì)。

(四)數(shù)據(jù)安全防護(hù)措施

根據(jù)數(shù)據(jù)敏感度的不同，可將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三類。數(shù)據(jù)涉及采集、傳輸、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)。對(duì)于數(shù)據(jù)安全防護(hù)，應(yīng)采取數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)訪問控制、安全數(shù)據(jù)分析等多種防護(hù)措施，覆蓋包括數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理等在內(nèi)的全生命周期的各個(gè)環(huán)節(jié)。通過數(shù)據(jù)的安全存儲(chǔ)保護(hù)數(shù)據(jù)在存儲(chǔ)過程中的機(jī)密性、完整性和可用性，防止對(duì)數(shù)據(jù)的竊取、篡改、破壞；通過設(shè)置不同安全域數(shù)據(jù)的訪問權(quán)限防止對(duì)數(shù)據(jù)的非法和越權(quán)訪問；通過對(duì)安全數(shù)據(jù)的收集、處理和分析，實(shí)現(xiàn)運(yùn)行規(guī)律、異常情況、安全目標(biāo)、安全態(tài)勢的感知和對(duì)潛在威脅和惡意攻擊的預(yù)警。

1.確保數(shù)據(jù)安全存儲(chǔ)

應(yīng)根據(jù)數(shù)據(jù)敏感度采用分等級(jí)的加密存儲(chǔ)措施(如不加密、部分加密、完全加密等)?？梢园凑諊颐艽a管理有關(guān)規(guī)定使用和管理密碼設(shè)施，并按規(guī)定生成、使用和管理密鑰。同時(shí)，針對(duì)數(shù)據(jù)在平臺(tái)之外加密后再傳輸?shù)狡脚_(tái)中存儲(chǔ)的場景，應(yīng)確保任何第三方無法對(duì)客戶的數(shù)據(jù)進(jìn)行解密。數(shù)據(jù)作為重要資產(chǎn)，應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，防止數(shù)據(jù)泄露、毀損或丟失。在發(fā)生或者可能發(fā)生數(shù)據(jù)泄露、毀損或丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。平臺(tái)應(yīng)根據(jù)業(yè)務(wù)需要制定必要的數(shù)據(jù)備份方案，定期對(duì)數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時(shí)能及時(shí)恢復(fù)一定時(shí)期內(nèi)備份的數(shù)據(jù)，從而降低損失。

2.設(shè)置不同安全域間數(shù)據(jù)訪問權(quán)限

數(shù)據(jù)訪問控制需要保證不同安全域之間的數(shù)據(jù)不可直接訪問，避免存儲(chǔ)節(jié)點(diǎn)的非授權(quán)接入，同時(shí)避免對(duì)虛擬化環(huán)境數(shù)據(jù)的非授權(quán)訪問。借助交換機(jī)，根據(jù)訪問邏輯將數(shù)據(jù)劃分到不同的區(qū)域內(nèi)，使得不同區(qū)域的設(shè)備相互間不能直接訪問，從而實(shí)現(xiàn)網(wǎng)絡(luò)中設(shè)備之間的相互隔離。對(duì)于存儲(chǔ)節(jié)點(diǎn)的接入認(rèn)證可通過成熟的標(biāo)準(zhǔn)技術(shù)，包括iSCSI 協(xié)議本身的資源隔離和CHAP(Challenge Handshake Authentication Protocol)等，也可通過在網(wǎng)絡(luò)層面劃分VLAN 或設(shè)置訪問控制列表等來實(shí)現(xiàn)。在虛擬化系統(tǒng)上對(duì)每個(gè)卷定義不同的訪問策略，以保障沒有訪問該卷權(quán)限的用戶不能訪問，保證各卷之間互相隔離。

3.安全數(shù)據(jù)的收集、處理與分析

首先對(duì)安全數(shù)據(jù)進(jìn)行收集。收集主要分為兩個(gè)方面:一是對(duì)控制系統(tǒng)及應(yīng)用系統(tǒng)所產(chǎn)生的關(guān)鍵安全數(shù)據(jù)進(jìn)行匯總，包括產(chǎn)品全生命周期的各類數(shù)據(jù)的同步采集、管理、存儲(chǔ)及查詢，為后續(xù)安全分析提供數(shù)據(jù)來源;二是對(duì)全網(wǎng)流量進(jìn)行監(jiān)聽，尤其是網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的異常流量，并將監(jiān)聽過程中采集到的數(shù)據(jù)進(jìn)行匯總。安全數(shù)據(jù)收集齊備以后，按其特征進(jìn)行提取、篩選、分類、優(yōu)先級(jí)排序和可讀等處理，從而實(shí)現(xiàn)從數(shù)據(jù)到信息的轉(zhuǎn)化過程。該過程主要是針對(duì)單個(gè)設(shè)備或單個(gè)網(wǎng)絡(luò)的縱向數(shù)據(jù)分析。關(guān)聯(lián)分析過程通過將運(yùn)行機(jī)理、運(yùn)行環(huán)境、操作內(nèi)容和外部威脅情報(bào)等有機(jī)結(jié)合，基于大數(shù)據(jù)進(jìn)行橫向大數(shù)據(jù)分析和多維分析，利用群體經(jīng)驗(yàn)預(yù)測單個(gè)設(shè)備的安全情況，或根據(jù)歷史狀況和當(dāng)前狀態(tài)的差異發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)的異常。狀態(tài)感知基于關(guān)聯(lián)分析過程，實(shí)現(xiàn)對(duì)運(yùn)行規(guī)律、異常情況、安全目標(biāo)、安全態(tài)勢和業(yè)務(wù)背景等的認(rèn)知，確定安全基線，結(jié)合大數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)潛在威脅、預(yù)防黑客攻擊。

五、結(jié) 語

地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)的信息安全防護(hù)體系具備以下功能：確保信息在存儲(chǔ)、使用和傳輸過程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w；不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行篡改，保持信息內(nèi)、外部表示的一致性；確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源；確保智能運(yùn)維系統(tǒng)在其壽命期內(nèi)以及在正常運(yùn)行條件下能夠正確執(zhí)行指定功能，以及系統(tǒng)在受到攻擊或破壞后恢復(fù)正常功能；確保智能運(yùn)維系統(tǒng)內(nèi)用戶的隱私安全；確保智能運(yùn)維系統(tǒng)安全可靠的運(yùn)行，為機(jī)車的高效運(yùn)行提供強(qiáng)有力的支持。

未來地方貨運(yùn)鐵路機(jī)車智能運(yùn)維系統(tǒng)安全防護(hù)的思維模式將從傳統(tǒng)的事件響應(yīng)式向持續(xù)智能響應(yīng)式轉(zhuǎn)變，旨在構(gòu)建全面的預(yù)測、基礎(chǔ)防護(hù)、響應(yīng)和恢復(fù)能力，抵御不斷演變的高級(jí)威脅。此外，未來將基于安全數(shù)據(jù)倉庫，利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等人工智能技術(shù)分析處理安全大數(shù)據(jù)，不斷改善安全防御體系。其安全架構(gòu)重心也將從被動(dòng)防護(hù)向持續(xù)普遍性的監(jiān)測響應(yīng)及自動(dòng)化、智能化的安全防護(hù)方向轉(zhuǎn)移。

隨著智能運(yùn)維數(shù)據(jù)的不斷發(fā)展，對(duì)數(shù)據(jù)分類分級(jí)保護(hù)、審計(jì)和流動(dòng)追溯、大數(shù)據(jù)分析價(jià)值保護(hù)和用戶隱私保護(hù)等提出了更高的要求。未來對(duì)于數(shù)據(jù)的分類分級(jí)保護(hù)以及審計(jì)和流動(dòng)追溯將成為防護(hù)熱點(diǎn)。智能運(yùn)維現(xiàn)場設(shè)備的智能化發(fā)展將使安全問題在生產(chǎn)場景中被逐步放大，僅靠攔截將無法應(yīng)對(duì)新形勢下的安全挑戰(zhàn)。未來要力爭在對(duì)現(xiàn)場設(shè)備的安全監(jiān)測、內(nèi)存保護(hù)、漏洞利用阻斷等終端防護(hù)技術(shù)等方面取得創(chuàng)新突破，有針對(duì)性地保護(hù)現(xiàn)場設(shè)備，并對(duì)攻擊行為進(jìn)行快速響應(yīng)。

面對(duì)不斷變化的網(wǎng)絡(luò)安全威脅，地方貨運(yùn)鐵路企業(yè)僅僅依靠自身力量遠(yuǎn)遠(yuǎn)不夠，與政府和其他企業(yè)統(tǒng)一認(rèn)識(shí)、密切配合已成為安全界的共識(shí)。未來應(yīng)通過建立健全運(yùn)轉(zhuǎn)靈活、反應(yīng)靈敏的信息共享與聯(lián)動(dòng)處置機(jī)制，打造多方聯(lián)動(dòng)的防御體系，進(jìn)一步提升地方貨運(yùn)鐵路企業(yè)安全風(fēng)險(xiǎn)發(fā)現(xiàn)與安全事件處置水平。