■金 燚

(福建省交通信息通信与应急处置中心，福州 350001)

1 前言

交通运输是国民经济中基础性、先导性和战略性产业，通过近30年的发展，在基础设施建设、行业协同管理、智能管理与服务等方面都取得了长足发展。而交通运输关键信息基础设施及核心业务系统一旦遭到破坏、丧失功能或者数据泄露，将会严重危害国家安全、国计民生、公共利益。

随着“互联网+交通”、“一带一路”建设等规划的实施和综合交通的不断发展，交通运输信息化内涵和外延不断丰富，政企合作不断深入。在这样的背景下，行业信息化整体发展体现出以下几个特征：首先是网络规模庞大，关键支撑作用逐渐增加；其次建设主体复杂多样，管理难度大；再次是移动互联网、云计算、大数据、物联网等新一代信息技术广泛应用，交通运输新模式、新业态快速发展；第四是孤岛式网络结构壁垒松动，信息共享和互联互通成为趋势；第五是交通运输智能化、合作化发展突飞猛进。

这些特征决定了当今的交通运输网络安全，在未健全面向传统网络安全保障措施的情况下，已经步入了新一代的网络安全环境之中，在网络整体架构中，任意一点被攻破，都将造成整体性的网络安全事故。开展交通运输网络安全工作，必须做到全面规划、突出重点、立足现代、展望未来城市智慧交通安全问题并不是单独存在的，应遵从行业信息安全的总体规划，继承并利用行业内已有的成熟技术、经验，从而形成可行的、易于推广的安全解决方案。

近年，我省交通行业网络安全工作总体开展较好，制定了《福建省交通运输厅非涉密信息系统安全管理制度》等管理制度，逐步完善了安全防护措施、应急响应机制。新形势下要针对交通运输网络安全进行主动防护试点研究工作。

2 新形势下交通运输网络面临的主要安全问题

2.1 交通外场设备已经成为网络安全保障盲点

随着网络应用与普及，针对传统网络和信息系统的各类主机及关键节点的资产管理、态势感知、威胁预警和应急响应等成套技术目前已取得较大进展，并可综合运用3D、VR等技术实现网络资产管理的智能化和可视化。但在新一代交通运输网络中，各类业务应用不但包含传统网络部分，而且还涉及各类交通外场设施、载运工具和移动终端等，这使得交通运输网络一方面具有点多、线长、面广等特点，另一方面还具有移动和跨区域等特殊需求。而针对这些交通外场设施的安全管理，目前由于接口种类、通信协议等原因还无法实现统一管理，并且都是一些基本信息、特定属性的查询和可视化，无法实时了解各类交通外场设施的运行状态和正在面临的网络安全威胁等内容，更不能对这些设施实现远程防护和应急响应等功能，还远远未达到智能化管理的应用需求。

2.2 网络未知威胁感知技术能力尚显不足

针对交通运输网络中特有的交调设备、气象设备、监控设备、边坡设备等，业内尚缺乏对攻击特征的积累，一旦遭受攻击就可能是毫无防御能力的未知攻击。同时，传统安全产品，基于脆弱性、反应性、边界性的周界安全模型已经不具备应对和处置全球化、规模化、快速演变的网络攻击的能力，持续衍变的先进持续攻击手段能够有效地规避基于特征签名的检测，网络环境的生存性和使命保障能力面对新的挑战。当未知网络威胁来临、内部威胁增多，网络边界逐渐模糊化甚至消失后，以高级持续攻击(APT)攻击为代表的网络攻击往往采用多种综合的攻击手法，多种恶意软件，甚至0day漏洞与社会工程方法，能够绕开传统基于规则的安全产品的检测。面对日渐增多的高级威胁，传统安全防护产品无法做到有效的发现，失去防护能力，严重的可能造成全网瘫痪。

2.3 安全事件应急响应技术能力亟待提升

交通运输网络安全面临着前所未有的挑战和威胁，同时由于交通系统涉及面广、变化快、以及网络新技术新业务层出不穷、信息系统基础较薄弱等因素，网络与信息安全工作尚处于被动的应急救火阶段，疲于应对各种突发网络安全问题，缺少主动防御和事前预警和事中监测的有效手段，安全风险难以得到持续受控、可控，安全问题层出不穷，严重制约深度安全建设以及业务快速发展。Gartner预计到2020年，快速检测和响应投资将从目前的10%增长到60%，以事前防范和预警防御为主的网络安全事件应急响应技术能力有待提升。

2.4 海量安全数据挖掘技术能力有待改进

面对日益复杂的攻击形式，单一的防护无法发现复杂的攻击行为，同时基于已知规则监测已不适应，需要考虑借助大数据和行为异常监测分析理念开展数据分析。由于大数据形式与内容的多样性、获取方式与来源的多元化以及数据高维特征引起的维数灾难等问题，给大数据的获取和分析带来了巨大困难。同时网络安全事件的突发性，实时感知的海量数据还存在噪音多、混杂、质量差和可信度低等问题，更增加了大数据分析和处理的难度，海量安全数据挖掘技术能力有待改进。

3 交通运输网络安全应对措施

面对新形势下交通运输网络所面临的新风险、新问题，本文设想从以下几个方面着手解决：

3.1 完善形成交通外场设施的设备指纹库和漏洞库

随着交通信息化的快速发展，大量的外场设备陆续接入交通专网，但是针对这些外场设备，缺乏有效的安全管理手段。为此，急需建立起针对交通外场设施的指纹库，同时整合行业漏洞信息，建立交通运输行业漏洞库，通过扩大漏洞收集和分析渠道，降低信息安全事件发生的可能性，提高交通运输网络漏洞研究水平和安全预警能力，促进交通运输网络健康稳步发展。

交通外场设施的分类如表1所示。

3.2 研究基于分布式特征的交通网络探针技术

针对交通行业点多、线长、面广，外场设施种类多的特征，研究适用于交通数据流的深度包检测DPI技术(DeepPacketInspection)。通过对现有交通运输网络(含互联网、政务外网、政务信息网、行业专网等)关键节点处的流量进行报文重组、数据还原、代码检测分析，可以根据事先定义的策略对检测流量进行过滤控制，获取需要的协议字段和样本文件。最终为实现时间指纹、模式特征、行为模型、异常行为、安全威胁场景、资产的可视化分析等功能提供底层数据采集支撑。

表1 交通外场设施分类

DPI接收交通运输网络中的流量，提供灵活配置获取的网络协议字段，支持将获取的协议字段信息与后端管理端之间的安全数据传输，将捕获分析的数据提供给数据分析模块多个引擎进程各一份数据，进行协议识别、分析、组包、组流等，针对不同节点的特征规则及过滤策略进行匹配比对，全方位的检测网络数据流量的异常、网络资产变化、事件行为、攻击来源及行为等内容。工作原理如图1所示。

DPI采用分布式流式数据处理框架，将事件关联规则采用并行计算方法分布到多个处理节点上，以满足海量数据环境下高吞吐量、低延迟的事件流处理场景，及时发现网络攻击和安全问题。

3.3 研究基于交通大数据的安全态势分析技术

研究海量大数据对网络安全事件关联分析技术，从处理响应实时性和关联规则复杂度等方面都提出要求，研究大数据实时事件关联分析技术，采用分布式流式数据处理框架，将事件关联规则采用并行计算方法分布到多个处理节点上，以满足海量数据环境下高吞吐量、低延迟的事件流处理场景，及时发现网络攻击和安全问题。

通过现有的成熟技术和基础数据并结合各交通行业的实际安全业务要求，通过网络安全态势感知帮助解决“未知安全威胁”的探测和感知，从而做到事前发现安全威胁和风险，及时通知管理者或安全设备完成威胁的阻击和风险的蔓延，最大的程度的把安全事件控制在最小范围内。通过分析交通运输网的全流量信息，基于时间流的算法，全方位的检测流量的异常、网络资产变化、事件行为、攻击来源及行为等内容，以可视化的界面展示给安全管理者，帮助管理者及时知晓网络安全态势，保障交通运输网络的安全运行。

图1 DPI技术工作原理

图2 基于交通大数据的安全态势业务模型

通过采集交通控制网络中交调设备、气象设备、监控设备、边坡设备的流量信息，系统依托共享模块的设备指纹库、漏洞库、资产库、安全事件库、威胁情报库、白名单库等特征信息对交通网络安全事件进行分析，分析内容包括对资产识别分析、入侵事件分析、文件检测分析、攻击链行为分析等，为交通控制网络的态势感知提供基础。

基于交通数据的安全态势分析是一种基于网络边界检测、资产关联与未知威胁发现的安全态势感知技术。充分利用资产识别、入侵事件检测、恶意文件检测、攻击链行为分析、大数据处理的技术优势，建立资产与安全的关联机制、攻击链行为分析模型。实现攻击链识别、资产识、安全事件检测、恶意文件检测、追踪取证，达到对交通控制网络的流量异常预警、设备资产变更感知、事件行为告警、多维度攻击来源展示的综合性态势感知能力。

4 结论

根据国内外交通运输技术和产业的发展建设经验，以及信息安全专项的技术特色和结合交通运输服务领域的新业态，可以明确对新一代交通运输网络安全保障技术研究是必要的。该方向的研究，可有效推进交通运输信息化的快速发展。

未来的交通运输网络通过物联网和5G高速网络对人-车-路的信息联动，可对车辆跑偏、车辆碰撞、疲劳驾驶等交通事故及危险驾驶行为进行预警，从而实现交通安全运行；通过对交通枢纽的车流、运力信息获取、道路、车辆、客流，可对交通运行状况进行主动侦测调节，从而实现交通高效运转；通过交通流量的动态获取与主动管理，可缓解交通拥堵，提高道路利用率，促进节能减排，降低交通资源占有率，绿色环保，最终形成安全、高效、环保的现代交通运输体系建设；通过交通运输动态感知体系的建设，可以使行业管理部门及时、全面地掌握交通运营动态，从而提高对交通的监管能力和应急处置能力。还可以为桥梁安全运营提供可靠的技术保障，避免桥梁重大事故的发生，减少处于交通命脉的桥梁因事故所带来的巨大经济和人员损失。