大家都知道,我们的电脑如果遭受黑客入侵,个人隐私将面临巨大的风险,那么,如果是一座城市的交管专网遭受黑客入侵呢?后果无疑不堪设想。因此守护交管专网的安全,关乎着每一个市民的出行平安,而在武汉市公安局交通管理局就有这么一位网络犯罪侦查专家——王方华,发明了一套“零感网御安全守护系统”,成为了交管专网守护“尖板眼”。
民警王方华
交管专网服务城市 也面临多方安全威胁
2011年,王方华参警进入武汉市公安局交通管理局网安支队负责网络攻防,期间获得武汉市网络攻防比武第一名,被聘为武汉市公安局交通管理局网络犯罪侦察专家。2016年他进入了交管支队,负责交管专网的规划、建设、运维工作。2017年交管支队完成了交管专网一期建设,承载武汉市几乎所有的交通电子设施数据回传工作,目前已接入的终端设备超过一万台,它们分布在武汉三镇每一条马路和每一个角落。
交管专网受到的安全威胁也来自各个方面,其中最为突出的隐患是前端任何一个设备都有可能被伪造或替换。例如,马路上任何一个杆件挂箱都可以成为一次网络攻击的发起点,一旦黑客替换成功便可长驱直入进入交管专网,窃取或篡改各类敏感数据,如车辆轨迹、交通违法信息等。因此如何做好前端设备的准入,如何守护好专网安全,一直是王方华在思考的问题。
交管专网有别于平安城市等视频专网,平安城市主要是根据案件调阅录像,而交管摄像头主要应用于违停抓拍、车辆稽查布控、道路交通安保等工作,对数据的实时性要求更高,这就要求在设计上做到高度扁平化,即数据经过的网络节点越少越好。
传统安全解决方案为了分析网路流量,会在网络中串接大量的安全设备(如硬件防火墙,IPS,IDS等各类盒子),这也增加了网络的复杂度和故障点。而且还需配置、下发大量的网络访问规则,一不小心便会导致网络大面积故障,很多网络故障就是由各类安全设备引发,因为网络安全设备本身就是一把“双刃剑”。
颠覆传统,给设备终端拍“定妆照”
为了解决上述问题,王方华和民警们结合交管业务场景,采取给终端设备拍一张“定妆照”的方式实现安全守护,并将之命名为“零感网御安全守护”,系统对原网结构零改造、原有业务系统零感知。在实现安全守护的同时还实现了资产清点、深度运维等工作。
所谓“定妆照”,包括如下四个维度:你是谁(MAC地址?)、你从哪里来(入网路径?)、你是做什么的(开放了哪些业务端口?)、“暗号”是否正确(协议请求是否正确应答?)。还包含以下几大功能:
系统首页:本系统涵盖了地址分配、设备管理、威胁感知三大功能。在设备上线的一刻给设备拍下一下定妆照。
地址分配:自动化地址分配,避免了人工分配过程中地址重复、规则多变等缺陷。
设备管理:结合网管命令采集MAC地址、入网路径;设备上线一刻就进行全量端口扫描,明确开放端口;进行协议探测,明确设备类别及型号。
安全威胁:一旦设备“定妆照”发生改变,感知威胁并预警,对于高风险安全威胁直接阻断设备。
异常处置:对异常设备予以放行、阻断、加入白名单等操作。
终端模型:系统自动学习设备模型,根据厂家信息、开放端口、协议应答确定设备的具体型号,目前已经识别348种不同型号的前端设备。
系统日志:对用户的各种操作予以记录,便于后续追溯。
通过“零感网御安全守护系统”实现了一个设备从入网许可、设备上线、状态检测、威胁感知的全过程管理监测。
“零感网御安全守护系统”成“尖板眼”
第一,“零感网御安全守护系统”真正做到了网络结构零改造,业务系统零感知。
第二,“零感网御安全守护系统”本系统在负责安全守护的同时,对入网资产进行了实时“盘点”,各类交通电子设施的数量、厂家、品牌、型号、在线率都一目了然。
第三,24小时不间断扫描,能够识别前端设备在任何时间点的故障及安防攻击情况。例如:在2019军运网络安全攻防演练中,武汉市公安局网安支队组织专业攻击队伍对交管专网进行了渗透测试,而“零感网御安全守护系统”能精准识别出攻击源,对所有攻击源在几分钟之内实施网络阻断,使得攻击人员几乎无从下手。
第四,成本极为低廉,对于一张终端设备过万的网络,在安全方面的投入耗资巨大,而武汉市公安局交通管理局网安支队仅用一台服务器就实现了对所有前端设备的安全守护。
适用广泛,极具推广价值
自从系统上线之后,交管专网持续稳定运行。目前已应用于武汉市公安局交管支队及辖区所有交通大队,而且还适用于平安城市视频专网、校园视频专网、金融视频专网等其他类似业务场景,其安全模型可以延申至各类物联网准入领域。
而且还适用于交换机组网模式、EPON/GPON组网模式、OTN/SDH/VPLS/PTN组网模式等各种组网结构。
“零感网御安全守护系统”还具有良好的扩展性和可移植性,它采用分布式架构,可任意安排扫描任务,按需添加扫描节点,而在时底层网络协议部分运用原生C语言编写,不依赖于任何操作系统库函数;中间层自动化扫描脚本用pythoh实现;上层业务系统采用java实现,可方便的移植到windows,linux操作系统环境。
软件化、模块化、服务化、业务场景高度定制化必将是网络安全的发展方向,“零感网御安全守护系统”将持续迭代开发,为交管专网长期稳定运行提供强有力的技术保障。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
