謝剛 陳華銀 陽丁山 黃國輝 葉鸝君

（1.成都軌道交通集團(tuán)有限公司 四川省成都市 610000 2.交控科技股份有限公司 北京市 100000）

隨著互聯(lián)網(wǎng)的迅速發(fā)展，特別是移動互聯(lián)網(wǎng)的發(fā)展，人們的工作方式發(fā)生了巨大的改變，這種翻天覆地的變化也影響這軌道交通行業(yè)。軌道交通行業(yè)網(wǎng)絡(luò)架構(gòu)通常將分為閉塞的生產(chǎn)網(wǎng)和開放的辦公網(wǎng)。生產(chǎn)數(shù)據(jù)放置于閉塞的生產(chǎn)網(wǎng)中，無法滿足當(dāng)前互聯(lián)網(wǎng)發(fā)展需求，因此，本文主要就當(dāng)前如何利用開放的辦公網(wǎng)為生產(chǎn)網(wǎng)提供安全的數(shù)據(jù)通道就行詳細(xì)的研究，希望能夠?qū)嶋H起到一定的指導(dǎo)作用。

1 生產(chǎn)網(wǎng)數(shù)據(jù)重要性分析

在軌道交通行業(yè)的生產(chǎn)網(wǎng)中，一般運(yùn)行著ATS、聯(lián)鎖、AFC等保障行車與運(yùn)營的關(guān)鍵系統(tǒng)。這些系統(tǒng)的數(shù)據(jù)信息一方面對指導(dǎo)運(yùn)營生產(chǎn)有著十分重要的作用，另一方面，又對數(shù)據(jù)安全有著極高的要求。試想，如果生產(chǎn)網(wǎng)遭到入侵，將會對安全運(yùn)營造成極大的威脅。這也是生產(chǎn)網(wǎng)設(shè)計為閉塞環(huán)境的重要原因之一。

但是隨著互聯(lián)網(wǎng)與大數(shù)據(jù)技術(shù)的發(fā)展，針對沉睡在生產(chǎn)網(wǎng)中的海量生產(chǎn)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘與分析的需求日漸強(qiáng)烈，將其納入移動互聯(lián)網(wǎng)辦公方式也逐漸在被認(rèn)可。這也是本文所討論內(nèi)容的出發(fā)點。

2 辦公網(wǎng)安全性分析

在軌道交通行業(yè)的辦公網(wǎng)中，主要運(yùn)行著網(wǎng)上辦公系統(tǒng)，辦公系統(tǒng)是與外界的交流平臺。辦公網(wǎng)的使用者享受著當(dāng)前互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)飛速發(fā)展為實際運(yùn)營工作所帶來的便利，同事又面臨著在開放的網(wǎng)絡(luò)辦公環(huán)境下，系統(tǒng)易受非法人員、黑客和病毒的入侵，傳輸過程中數(shù)據(jù)也可能被截取、修改或刪除的危險。但這并非說辦公網(wǎng)就是完全危險的存在，軌道交通行業(yè)早已深諳辦公系統(tǒng)安全的重要性，并為用戶的信息安全了提供全方位的保護(hù)。

3 生產(chǎn)網(wǎng)和辦公網(wǎng)結(jié)合方式分析

從上述分析中可以得知，當(dāng)前生產(chǎn)網(wǎng)數(shù)據(jù)既有“外發(fā)”的需求，又受數(shù)據(jù)安全的限制。因此，如何探索出一種能同時滿足這兩點要求的結(jié)合方式，就是生產(chǎn)網(wǎng)和辦公網(wǎng)結(jié)合的可行之路。

3.1 網(wǎng)絡(luò)通道的建立

根據(jù)上述分析，在整個網(wǎng)絡(luò)環(huán)境中，辦公網(wǎng)與生產(chǎn)網(wǎng)必須同時存在且相互獨(dú)立。因此，新增一處節(jié)點同時接入辦公網(wǎng)和生產(chǎn)網(wǎng)提供連接點，網(wǎng)絡(luò)通道的建立為數(shù)據(jù)傳輸提供物理基礎(chǔ)。

3.2 單向傳輸

建立起數(shù)據(jù)通道后，為了滿足安全性的要求，必須切斷辦公網(wǎng)往生產(chǎn)網(wǎng)直接數(shù)據(jù)傳輸通道，這樣，即可保證需要的數(shù)據(jù)可以從生產(chǎn)網(wǎng)發(fā)送到辦公網(wǎng)，又可保證辦公網(wǎng)不能訪問到生產(chǎn)網(wǎng)中關(guān)鍵設(shè)備，可通過自建單向傳輸（如圖1所示），或者使用單向網(wǎng)閘技術(shù)實現(xiàn)數(shù)據(jù)單向傳輸。

網(wǎng)閘隔離效果基于的是定向地傳輸數(shù)據(jù)，它的原理為仿造人工拷貝數(shù)據(jù)的方式，網(wǎng)閘并不建立網(wǎng)絡(luò)的物理通道，因此，網(wǎng)閘是把數(shù)據(jù)轉(zhuǎn)移到另一測后，再通過正常的方式發(fā)送給目標(biāo)。從安全的角度來講，網(wǎng)閘傳輸?shù)臄?shù)據(jù)中，格式信息應(yīng)該越少越好。例如沒有附帶任何格式的原始數(shù)據(jù)，數(shù)據(jù)中無法隱藏其他非數(shù)據(jù)的信息，這樣就使非法數(shù)據(jù)失去了載體。

圖1

網(wǎng)閘也是一種隔絕了上層業(yè)務(wù)的通訊協(xié)議，為了達(dá)到徹底單向的效果，它使用私有通訊協(xié)議或者采用存儲協(xié)議，這都是為了要徹底去除所有協(xié)議的附加信息，讓傳輸?shù)臄?shù)據(jù)是干凈和安全的。網(wǎng)閘雖然傳遞的是實際的數(shù)據(jù)，但代理協(xié)議建議后，每次擺渡的可能不再是一個完整數(shù)據(jù)內(nèi)容，為安全檢查帶來困難，攻擊者可以把一個“蠕蟲”分成若干的片段分別傳遞，甚至小到單個的命令，不恢復(fù)原狀就很難知道它是什么；若傳遞“可執(zhí)行代碼”的二進(jìn)制文件，網(wǎng)閘就很難區(qū)分?jǐn)?shù)據(jù)與攻擊。網(wǎng)閘對陌生的業(yè)務(wù)是采用關(guān)閉策略，只接收自己接受的、可控的業(yè)務(wù)，因此網(wǎng)閘在不同保密等級的網(wǎng)絡(luò)間，是具備隔離作用的。

單向網(wǎng)閘是一種只允許數(shù)據(jù)單向流動的特殊網(wǎng)閘，實現(xiàn)技術(shù)有以下幾種：

（1）數(shù)據(jù)泵技術(shù)：為了實現(xiàn)由低安全等級向高安全等級數(shù)據(jù)庫實現(xiàn)可靠的數(shù)據(jù)拷貝而提出的一種技術(shù)。它又被稱為安全存儲轉(zhuǎn)發(fā)技術(shù)，它使用的方法是通過反向確認(rèn)來隔絕從內(nèi)到外的數(shù)據(jù)傳送，從而實現(xiàn)由外向內(nèi)的單向數(shù)據(jù)傳輸。這種技術(shù)是在通訊協(xié)議的基礎(chǔ)上，只允許數(shù)據(jù)單方向傳送，反方向傳輸?shù)臄?shù)據(jù)只有控制信息允許通過，例如確認(rèn)信息、流量控制等。數(shù)據(jù)泵技術(shù)雖然實現(xiàn)了數(shù)據(jù)單方向傳輸，但通信協(xié)議是雙方向傳遞的，若通信協(xié)議存在漏洞，則可利用通信協(xié)議的漏洞實現(xiàn)反向傳輸數(shù)據(jù)。

（2）數(shù)據(jù)二極管技術(shù)：基于數(shù)據(jù)泵技術(shù)的不足，將反向傳輸?shù)耐ㄐ艆f(xié)議取消，使用盲發(fā)的方式，即通信雙反不理會數(shù)據(jù)的完整性。也就是在全雙工通訊方式中，只使用一個方向，因此這種技術(shù)也被稱為信息流單向技術(shù)。

3.3 數(shù)據(jù)校驗

如果數(shù)據(jù)傳輸是單向的盲發(fā)，通信協(xié)議中去除了數(shù)據(jù)控制協(xié)議，那么數(shù)據(jù)的容錯性就是使用者面臨的一個大問題，沒有返回控制協(xié)議，那么發(fā)送方并不知道接收方是否準(zhǔn)確接收，接收方也不知道接收的信息是否是正確的，即使發(fā)現(xiàn)信息出錯，也無法通知發(fā)送方重發(fā)數(shù)據(jù)，因此，一般會采用一些策略來減小出錯的可能性：

圖2

（1）接收方匯報機(jī)制：當(dāng)接收方接收到數(shù)據(jù)時，通過事制定的信息格式解析數(shù)據(jù)，如果發(fā)現(xiàn)不能正確解析或分?jǐn)?shù)據(jù)出錯，則直接報告給上層系統(tǒng)，由上層系統(tǒng)使用其他方式通知數(shù)據(jù)發(fā)送方。

（2）冗余校驗機(jī)制：數(shù)據(jù)發(fā)送方為了滿足數(shù)據(jù)的正確性，需要犧牲數(shù)據(jù)傳輸?shù)男?，增加?shù)據(jù)的冗余校驗：①將一份數(shù)據(jù)重復(fù)地再發(fā)送三次，接收方將收到的三個副本進(jìn)行比較，其中相同的兩份數(shù)據(jù)即使正確的數(shù)據(jù)。“三取二”方式是常用的冗余校驗方式，除此之外，還有五取三等方式。②在數(shù)據(jù)信息中添加特定校驗位。例如常用的CRC校驗等方式。③使用數(shù)據(jù)重復(fù)，例如發(fā)送ABCD時，將數(shù)據(jù)發(fā)送成AABBCCDD方式，接收方使用相同方式進(jìn)行數(shù)據(jù)校驗。

（3）固定檢測碼機(jī)制：通過定期在數(shù)據(jù)中插入固定的檢測碼，在接收方解析檢測碼序列異常時，則認(rèn)為接收的數(shù)據(jù)出錯。

3.4 安全防護(hù)

搭建起整個數(shù)據(jù)通道后，還需要對通道做安全防護(hù)。搭建部署防火墻、設(shè)置訪問控制策略等方式已在前文中提及，在此基礎(chǔ)上，還需對整個網(wǎng)絡(luò)環(huán)境進(jìn)行系統(tǒng)的安全評估，并達(dá)到安全等級認(rèn)證要求。

通過對數(shù)據(jù)通道的物理環(huán)境、主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理制度和人員等進(jìn)行專業(yè)的安全評估，以證明數(shù)據(jù)通道安全狀態(tài)有效，防攻擊、防病毒措施完備。

系統(tǒng)內(nèi)部的安全包括：數(shù)據(jù)存儲安全、應(yīng)用程序安全、操作系統(tǒng)安全，此外還有網(wǎng)絡(luò)安全、用戶安全教育等。計算機(jī)一般面臨以下幾種威脅：

（1）蠕蟲：通過網(wǎng)絡(luò)將自身從一個結(jié)點傳輸?shù)搅硪粋€結(jié)點并自行啟動運(yùn)行的程序。

（2）木馬：它執(zhí)行的功能超出了其所聲稱。木馬和病毒的區(qū)別在，木馬需要持續(xù)與外界發(fā)生數(shù)據(jù)通信。

（3）病毒：一種危害極大，且會傳播的惡意程序。

針對以上威脅，除了使用殺毒軟件之外，還可以使用防火墻技術(shù)進(jìn)行防護(hù)。防火墻是一種由軟、硬件共同構(gòu)成的防護(hù)系統(tǒng)，用于在不同的網(wǎng)絡(luò)之間，實施訪問控制策略的系統(tǒng)。這種控制策略是由用戶自行制訂的。一般將防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境稱為可信賴的網(wǎng)絡(luò)，將防火墻外部的網(wǎng)絡(luò)環(huán)境稱為不可信賴的網(wǎng)絡(luò)。因此，防火墻技術(shù)一般被用來解決網(wǎng)絡(luò)的安全問題。防火墻根據(jù)使用場景可分為以下兩種：

（1）網(wǎng)絡(luò)級防火墻：用來防止可信賴網(wǎng)絡(luò)環(huán)境中出現(xiàn)外來的非法入侵。例如分組過濾方式和授權(quán)服務(wù)器方式，分組過濾是檢查所有進(jìn)入可信賴網(wǎng)絡(luò)的信息，將不符合約定準(zhǔn)則的數(shù)據(jù)拒之門外，授權(quán)服務(wù)器是檢查用戶登錄的合法性，將任何未通過檢查的信息隔絕。

（2）應(yīng)用級防火墻：從應(yīng)用程序級別進(jìn)行訪問限制。例如，可以通過設(shè)置允許通過使用HTTP協(xié)議的應(yīng)用，但阻止使用FTP協(xié)議的應(yīng)用?；跀?shù)據(jù)包、源地址、目標(biāo)地址、協(xié)議、端口、用戶名、時間段?？梢钥匆姅?shù)據(jù)包內(nèi)容，防止病毒進(jìn)入內(nèi)網(wǎng)。

在計算機(jī)上運(yùn)行的系統(tǒng)一般面臨著截獲、中斷、篡改、偽造的威脅，其中截獲表示從網(wǎng)絡(luò)上竊取他人的數(shù)據(jù)；中斷表示有意的阻斷網(wǎng)絡(luò)通信；篡改表示故意修改網(wǎng)絡(luò)數(shù)據(jù)；偽造表示惡意偽造網(wǎng)絡(luò)數(shù)據(jù)。

針對系統(tǒng)面臨的四種威脅，一般使用加密技術(shù)來解決。加密技術(shù)中常用的有對稱加密與非對稱加密。對稱加密是指加密密鑰與解密密鑰是相同的密碼體制。使用這種加密方式的系統(tǒng)被稱為對稱密鑰系統(tǒng)，對稱加密的優(yōu)點是加密效率高，但存在秘鑰需要雙方先協(xié)商好的缺點，秘鑰不適合在網(wǎng)上傳輸（在網(wǎng)上傳輸有被人截獲的可能）；非對稱加密，顧名思義，加密秘鑰和解密秘鑰是不同的。加密和解密是一對密鑰對，即公鑰和私鑰。秘鑰成對使用，用公鑰加密私鑰解密或者用私鑰加密公鑰解密。公鑰不能解公鑰。這就是比對稱加密更好的地方。

另外在通信時可以使用安全套接層SSL，在傳輸層和應(yīng)用層之間進(jìn)行加密，在發(fā)送方，SSL接收應(yīng)用層的數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行加密，然后把加密后的數(shù)據(jù)封裝進(jìn)TCP套接字。在接收方，SSL將TCP套接字中的數(shù)據(jù)讀取后進(jìn)行解密，再把解密后把數(shù)據(jù)送往應(yīng)用層。SSL的應(yīng)用也是上訴對稱和非對稱加密的結(jié)合使用，常見的SSL應(yīng)用即https協(xié)議。https協(xié)議就是在http協(xié)議中使用了SSL加密，一般的Web應(yīng)用使用的是http協(xié)議，然而一旦涉及到輸入賬號和密碼等敏感操作，應(yīng)該用到https協(xié)議，避免信息被他人捕獲。

4 實際應(yīng)用

根據(jù)此研究，我們在成都地鐵10號線二期車輛基地綜合自動化管理系統(tǒng)項目中，使用了此生產(chǎn)網(wǎng)和辦公網(wǎng)結(jié)合的方式。將網(wǎng)絡(luò)劃分為安全區(qū)（生產(chǎn)網(wǎng)）、業(yè)務(wù)區(qū)、與外聯(lián)區(qū)（辦公網(wǎng)），成功將生產(chǎn)網(wǎng)中的聯(lián)鎖、ATS系統(tǒng)和在辦公網(wǎng)中的施工管理、PMS等系統(tǒng)進(jìn)行了數(shù)據(jù)整合，提供了一套針對軌道交通車輛基地的信息化系統(tǒng)。如圖2所示。

5 結(jié)語

本文針對生產(chǎn)網(wǎng)和辦公網(wǎng)結(jié)合方式研究問題，提出一種安全可行的結(jié)合方式，為后續(xù)研究提供依據(jù)。