谢刚 陈华银 阳丁山 黄国辉 叶鹂君
(1.成都轨道交通集团有限公司 四川省成都市 610000 2.交控科技股份有限公司 北京市 100000)
随着互联网的迅速发展,特别是移动互联网的发展,人们的工作方式发生了巨大的改变,这种翻天覆地的变化也影响这轨道交通行业。轨道交通行业网络架构通常将分为闭塞的生产网和开放的办公网。生产数据放置于闭塞的生产网中,无法满足当前互联网发展需求,因此,本文主要就当前如何利用开放的办公网为生产网提供安全的数据通道就行详细的研究,希望能够对实际起到一定的指导作用。
在轨道交通行业的生产网中,一般运行着ATS、联锁、AFC等保障行车与运营的关键系统。这些系统的数据信息一方面对指导运营生产有着十分重要的作用,另一方面,又对数据安全有着极高的要求。试想,如果生产网遭到入侵,将会对安全运营造成极大的威胁。这也是生产网设计为闭塞环境的重要原因之一。
但是随着互联网与大数据技术的发展,针对沉睡在生产网中的海量生产数据进行数据挖掘与分析的需求日渐强烈,将其纳入移动互联网办公方式也逐渐在被认可。这也是本文所讨论内容的出发点。
在轨道交通行业的办公网中,主要运行着网上办公系统,办公系统是与外界的交流平台。办公网的使用者享受着当前互联网和移动互联网飞速发展为实际运营工作所带来的便利,同事又面临着在开放的网络办公环境下,系统易受非法人员、黑客和病毒的入侵,传输过程中数据也可能被截取、修改或删除的危险。但这并非说办公网就是完全危险的存在,轨道交通行业早已深谙办公系统安全的重要性,并为用户的信息安全了提供全方位的保护。
从上述分析中可以得知,当前生产网数据既有“外发”的需求,又受数据安全的限制。因此,如何探索出一种能同时满足这两点要求的结合方式,就是生产网和办公网结合的可行之路。
根据上述分析,在整个网络环境中,办公网与生产网必须同时存在且相互独立。因此,新增一处节点同时接入办公网和生产网提供连接点,网络通道的建立为数据传输提供物理基础。
建立起数据通道后,为了满足安全性的要求,必须切断办公网往生产网直接数据传输通道,这样,即可保证需要的数据可以从生产网发送到办公网,又可保证办公网不能访问到生产网中关键设备,可通过自建单向传输(如图1所示),或者使用单向网闸技术实现数据单向传输。
网闸隔离效果基于的是定向地传输数据,它的原理为仿造人工拷贝数据的方式,网闸并不建立网络的物理通道,因此,网闸是把数据转移到另一测后,再通过正常的方式发送给目标。从安全的角度来讲,网闸传输的数据中,格式信息应该越少越好。例如没有附带任何格式的原始数据,数据中无法隐藏其他非数据的信息,这样就使非法数据失去了载体。
图1
网闸也是一种隔绝了上层业务的通讯协议,为了达到彻底单向的效果,它使用私有通讯协议或者采用存储协议,这都是为了要彻底去除所有协议的附加信息,让传输的数据是干净和安全的。网闸虽然传递的是实际的数据,但代理协议建议后,每次摆渡的可能不再是一个完整数据内容,为安全检查带来困难,攻击者可以把一个“蠕虫”分成若干的片段分别传递,甚至小到单个的命令,不恢复原状就很难知道它是什么;若传递“可执行代码”的二进制文件,网闸就很难区分数据与攻击。网闸对陌生的业务是采用关闭策略,只接收自己接受的、可控的业务,因此网闸在不同保密等级的网络间,是具备隔离作用的。
单向网闸是一种只允许数据单向流动的特殊网闸,实现技术有以下几种:
(1)数据泵技术:为了实现由低安全等级向高安全等级数据库实现可靠的数据拷贝而提出的一种技术。它又被称为安全存储转发技术,它使用的方法是通过反向确认来隔绝从内到外的数据传送,从而实现由外向内的单向数据传输。这种技术是在通讯协议的基础上,只允许数据单方向传送,反方向传输的数据只有控制信息允许通过,例如确认信息、流量控制等。数据泵技术虽然实现了数据单方向传输,但通信协议是双方向传递的,若通信协议存在漏洞,则可利用通信协议的漏洞实现反向传输数据。
(2)数据二极管技术:基于数据泵技术的不足,将反向传输的通信协议取消,使用盲发的方式,即通信双反不理会数据的完整性。也就是在全双工通讯方式中,只使用一个方向,因此这种技术也被称为信息流单向技术。
如果数据传输是单向的盲发,通信协议中去除了数据控制协议,那么数据的容错性就是使用者面临的一个大问题,没有返回控制协议,那么发送方并不知道接收方是否准确接收,接收方也不知道接收的信息是否是正确的,即使发现信息出错,也无法通知发送方重发数据,因此,一般会采用一些策略来减小出错的可能性:
图2
(1)接收方汇报机制:当接收方接收到数据时,通过事制定的信息格式解析数据,如果发现不能正确解析或分数据出错,则直接报告给上层系统,由上层系统使用其他方式通知数据发送方。
(2)冗余校验机制:数据发送方为了满足数据的正确性,需要牺牲数据传输的效率,增加数据的冗余校验:①将一份数据重复地再发送三次,接收方将收到的三个副本进行比较,其中相同的两份数据即使正确的数据。“三取二”方式是常用的冗余校验方式,除此之外,还有五取三等方式。②在数据信息中添加特定校验位。例如常用的CRC校验等方式。③使用数据重复,例如发送ABCD时,将数据发送成AABBCCDD方式,接收方使用相同方式进行数据校验。
(3)固定检测码机制:通过定期在数据中插入固定的检测码,在接收方解析检测码序列异常时,则认为接收的数据出错。
搭建起整个数据通道后,还需要对通道做安全防护。搭建部署防火墙、设置访问控制策略等方式已在前文中提及,在此基础上,还需对整个网络环境进行系统的安全评估,并达到安全等级认证要求。
通过对数据通道的物理环境、主机、网络、业务应用系统、安全管理制度和人员等进行专业的安全评估,以证明数据通道安全状态有效,防攻击、防病毒措施完备。
系统内部的安全包括:数据存储安全、应用程序安全、操作系统安全,此外还有网络安全、用户安全教育等。计算机一般面临以下几种威胁:
(1)蠕虫:通过网络将自身从一个结点传输到另一个结点并自行启动运行的程序。
(2)木马:它执行的功能超出了其所声称。木马和病毒的区别在,木马需要持续与外界发生数据通信。
(3)病毒:一种危害极大,且会传播的恶意程序。
针对以上威胁,除了使用杀毒软件之外,还可以使用防火墙技术进行防护。防火墙是一种由软、硬件共同构成的防护系统,用于在不同的网络之间,实施访问控制策略的系统。这种控制策略是由用户自行制订的。一般将防火墙内的网络环境称为可信赖的网络,将防火墙外部的网络环境称为不可信赖的网络。因此,防火墙技术一般被用来解决网络的安全问题。防火墙根据使用场景可分为以下两种:
(1)网络级防火墙:用来防止可信赖网络环境中出现外来的非法入侵。例如分组过滤方式和授权服务器方式,分组过滤是检查所有进入可信赖网络的信息,将不符合约定准则的数据拒之门外,授权服务器是检查用户登录的合法性,将任何未通过检查的信息隔绝。
(2)应用级防火墙:从应用程序级别进行访问限制。例如,可以通过设置允许通过使用HTTP协议的应用,但阻止使用FTP协议的应用。基于数据包、源地址、目标地址、协议、端口、用户名、时间段。可以看见数据包内容,防止病毒进入内网。
在计算机上运行的系统一般面临着截获、中断、篡改、伪造的威胁,其中截获表示从网络上窃取他人的数据;中断表示有意的阻断网络通信;篡改表示故意修改网络数据;伪造表示恶意伪造网络数据。
针对系统面临的四种威胁,一般使用加密技术来解决。加密技术中常用的有对称加密与非对称加密。对称加密是指加密密钥与解密密钥是相同的密码体制。使用这种加密方式的系统被称为对称密钥系统,对称加密的优点是加密效率高,但存在秘钥需要双方先协商好的缺点,秘钥不适合在网上传输(在网上传输有被人截获的可能);非对称加密,顾名思义,加密秘钥和解密秘钥是不同的。加密和解密是一对密钥对,即公钥和私钥。秘钥成对使用,用公钥加密私钥解密或者用私钥加密公钥解密。公钥不能解公钥。这就是比对称加密更好的地方。
另外在通信时可以使用安全套接层SSL,在传输层和应用层之间进行加密,在发送方,SSL接收应用层的数据,并对数据进行加密,然后把加密后的数据封装进TCP套接字。在接收方,SSL将TCP套接字中的数据读取后进行解密,再把解密后把数据送往应用层。SSL的应用也是上诉对称和非对称加密的结合使用,常见的SSL应用即https协议。https协议就是在http协议中使用了SSL加密,一般的Web应用使用的是http协议,然而一旦涉及到输入账号和密码等敏感操作,应该用到https协议,避免信息被他人捕获。
根据此研究,我们在成都地铁10号线二期车辆基地综合自动化管理系统项目中,使用了此生产网和办公网结合的方式。将网络划分为安全区(生产网)、业务区、与外联区(办公网),成功将生产网中的联锁、ATS系统和在办公网中的施工管理、PMS等系统进行了数据整合,提供了一套针对轨道交通车辆基地的信息化系统。如图2所示。
本文针对生产网和办公网结合方式研究问题,提出一种安全可行的结合方式,为后续研究提供依据。