前言:想要寫出一篇引人入勝的文章?我們特意為您整理了船舶交通管理安全防護(hù)技術(shù)研究范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
0引言
船舶交通管理系統(tǒng),簡(jiǎn)稱VTS,是用于監(jiān)控海岸、海港或內(nèi)河交通情況的系統(tǒng),確保監(jiān)控區(qū)域內(nèi)交通流量合適,避免造成災(zāi)禍或環(huán)境污染[1]。目前我國大型海港所用系統(tǒng)多為國外公司產(chǎn)品,如Sofrelog、ATLAS、TERMB等,升級(jí)維護(hù)不便且多為10年以上的老產(chǎn)品。出于國家重大項(xiàng)目安全性的考慮[2],使用國產(chǎn)VTS系統(tǒng)是一大趨勢(shì),而國產(chǎn)化VTS的安全防護(hù)功能也是考察該系統(tǒng)的一項(xiàng)重要指標(biāo)。
1國產(chǎn)交通管理系統(tǒng)安全防護(hù)問題分析
1.1系統(tǒng)介紹
國產(chǎn)化VTS系統(tǒng)由信息接入分系統(tǒng)、控制中心分系統(tǒng)和通信分系統(tǒng)組成。信息接入分系統(tǒng)具備雷達(dá)信息接收解析、AIS信息接收解析、水文氣象信息接收解析、VHF信息接收解析、CCTV信息接收解析、信息分類流轉(zhuǎn)等功能??刂浦行姆窒到y(tǒng)具備交通組織與管理、交通顯示與控制(臺(tái)位顯示/web顯示)、記錄重放、系統(tǒng)監(jiān)控等功能,其中交通組織與管理和交通態(tài)勢(shì)Web顯示功能采用B/S架構(gòu)實(shí)現(xiàn)、其他功能采用C/S架構(gòu)實(shí)現(xiàn),整個(gè)系統(tǒng)采用B/S與C/S的混合架構(gòu)實(shí)現(xiàn)。通信分系統(tǒng)具備即時(shí)通信、網(wǎng)絡(luò)通控、數(shù)據(jù)支撐等功能。
1.2系統(tǒng)網(wǎng)絡(luò)安全防護(hù)分析
國產(chǎn)化VTS系統(tǒng)信息交互可分為系統(tǒng)內(nèi)部信息交互的專用網(wǎng)絡(luò)、部門之間信息交互的內(nèi)部網(wǎng)絡(luò)和對(duì)外信息交互的外部網(wǎng)絡(luò)三類。其中系統(tǒng)內(nèi)部信息交互主要通過通信分系統(tǒng)使用獨(dú)立的網(wǎng)絡(luò)結(jié)構(gòu),在專用網(wǎng)絡(luò)中進(jìn)行,如雷達(dá)接入信息、VHF接入信息、CCTV接入信息、AIS接入信息與控制中心交通顯示系統(tǒng)之間的通信;部門之間信息交互主要發(fā)生在海事部門內(nèi)部單位之間,如船舶航行計(jì)劃錄入獲取、船舶航行狀態(tài)內(nèi)部等等;而對(duì)外信息交互是指與外部互聯(lián)網(wǎng)之間的交互,如水文氣象信息的接入、船舶動(dòng)態(tài)信息對(duì)公眾公布等等。如果未采取安全防護(hù)策略,就可能導(dǎo)致系統(tǒng)內(nèi)部網(wǎng)絡(luò)遭受非法攻擊[3]。一旦外部攻擊進(jìn)入內(nèi)部網(wǎng)絡(luò),由于防護(hù)系統(tǒng)對(duì)內(nèi)防范較弱,這類攻擊往往會(huì)造成非常嚴(yán)重的后果,導(dǎo)致核心數(shù)據(jù)泄露。甚至進(jìn)而侵入到核心網(wǎng)絡(luò),對(duì)船舶交通管理系統(tǒng)數(shù)據(jù)進(jìn)行篡改或偽造,或者盜用其他用戶的IP對(duì)船舶控制命令進(jìn)行非法操作,產(chǎn)生極大安全隱患。VTS系統(tǒng)的內(nèi)部網(wǎng)絡(luò)端口可以擴(kuò)容,不同處室根據(jù)需要都可接入內(nèi)部網(wǎng)絡(luò),網(wǎng)絡(luò)中存在C/S和B/S的混合架構(gòu),整體結(jié)構(gòu)復(fù)雜度較高。在這樣的網(wǎng)絡(luò)中,單單利用網(wǎng)絡(luò)防火墻無法實(shí)現(xiàn)對(duì)各類網(wǎng)絡(luò)資源的有效保護(hù)和管理,需要對(duì)外部網(wǎng)絡(luò)的連接和信息交互進(jìn)行限制,在特定的時(shí)間特定的地點(diǎn),對(duì)特定權(quán)限開放網(wǎng)絡(luò),完成內(nèi)外網(wǎng)絡(luò)必要的信息交互。同時(shí),要考慮到來自內(nèi)部網(wǎng)絡(luò)的攻擊其成功的可能性甚至要高于外部網(wǎng)絡(luò),在設(shè)計(jì)中,應(yīng)該對(duì)核心數(shù)據(jù)資源進(jìn)行集中管理,將其存儲(chǔ)在核心網(wǎng)絡(luò)中,控制內(nèi)部網(wǎng)絡(luò)對(duì)其訪問,這就需要更為完善的內(nèi)部訪問控制機(jī)制。
1.3系統(tǒng)使用過程中的安全分析
VTS系統(tǒng)的組成單元眾多,硬件、軟件構(gòu)成復(fù)雜,在運(yùn)行過程中,需要對(duì)硬件進(jìn)行可靠性分析及業(yè)務(wù)持續(xù)性規(guī)劃;同時(shí)復(fù)雜的軟硬件也對(duì)操作、維護(hù)人員提出了更高的要求。對(duì)于船舶交通管理系統(tǒng)來說,用戶的誤操作可能導(dǎo)致嚴(yán)重的事故,因此不僅需要設(shè)計(jì)權(quán)限控制體系,盡量減少和避免用戶誤操作,同時(shí)要做到對(duì)問題的跟蹤和總結(jié),杜絕類似的操作再次發(fā)生。
2船舶交通管理系統(tǒng)的安全防護(hù)應(yīng)用
2.1優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)
國產(chǎn)化VTS系統(tǒng)采用C/S和B/S混合架構(gòu),其中B/S架構(gòu)的船舶交通組織與管理軟件Web版和船舶態(tài)勢(shì)展示軟件Web版需要對(duì)兄弟處室或者對(duì)公眾開放,整個(gè)系統(tǒng)不僅需要運(yùn)行在專用網(wǎng)絡(luò),而且需要運(yùn)行在海事局的內(nèi)部網(wǎng)絡(luò)和Internet的外部網(wǎng)絡(luò),因此系統(tǒng)在設(shè)計(jì)時(shí)就考慮到物理上隔離三種類型網(wǎng)絡(luò)。專網(wǎng)和內(nèi)網(wǎng)之間只保留設(shè)置唯一的物理網(wǎng)絡(luò)鏈接,并設(shè)置防火墻;專網(wǎng)和外網(wǎng)之間同樣也設(shè)置唯一的物理網(wǎng)絡(luò)鏈接,并設(shè)置防火墻;內(nèi)網(wǎng)和外網(wǎng)之間物理隔絕。專網(wǎng)和內(nèi)網(wǎng)之間嚴(yán)格控制信息互訪端口,屏蔽所有未知端口;專網(wǎng)和外網(wǎng)之間,只保留外網(wǎng)對(duì)專網(wǎng)進(jìn)行船舶數(shù)據(jù)查詢的端口。
2.2病毒掃描
國產(chǎn)化VTS系統(tǒng)中,專網(wǎng)的值班臺(tái)位以及內(nèi)網(wǎng)終的用戶終端,安裝為Windows操作系統(tǒng),為每一臺(tái)終端安裝瑞星殺毒軟件,并按時(shí)更新,取消Guest賬號(hào)、取消不必要的服務(wù)(如遠(yuǎn)程注冊(cè)表操作);專網(wǎng)中的服務(wù)器和數(shù)據(jù)庫使用Solaris和Linux系統(tǒng),對(duì)核心數(shù)據(jù)設(shè)定指定用戶權(quán)限,同時(shí)關(guān)閉不必要的網(wǎng)絡(luò)端口。針對(duì)專網(wǎng)-內(nèi)網(wǎng)閘和專網(wǎng)-外網(wǎng)閘,定時(shí)查看防火墻日志,評(píng)估是否存在網(wǎng)絡(luò)攻擊。另一方面,利用開源代碼為國產(chǎn)化VTS系統(tǒng)編寫專門的網(wǎng)絡(luò)端口掃描工具,在專網(wǎng)和內(nèi)網(wǎng)中查找主機(jī)漏洞,及時(shí)預(yù)防潛在風(fēng)險(xiǎn)。
2.3數(shù)據(jù)備份
VTS系統(tǒng)中,需要備份的數(shù)據(jù)主要為船舶航行軌跡數(shù)據(jù)和船舶業(yè)務(wù)數(shù)據(jù),采用雙機(jī)備份的方式進(jìn)行數(shù)據(jù)備份。兩種數(shù)據(jù)的特點(diǎn)不同,船舶軌跡數(shù)據(jù)量較大,按照雷達(dá)每三秒上報(bào)一點(diǎn),港口平均被監(jiān)控船舶為1000艘計(jì)算,一個(gè)月會(huì)累積864,000,000個(gè)航跡點(diǎn)需要存儲(chǔ),但是數(shù)據(jù)的重要性相對(duì)較低,因此國產(chǎn)化VTS系統(tǒng)采用定時(shí)備份的方式,每隔一個(gè)小時(shí)就將數(shù)據(jù)從主機(jī)備份到從機(jī)。而船舶業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)量相對(duì)較小,但是重要程度較高,系統(tǒng)產(chǎn)生的數(shù)據(jù)直接存到兩個(gè)不同數(shù)據(jù)庫中,一臺(tái)供業(yè)務(wù)系統(tǒng)讀取使用,一臺(tái)作為備份,兩者每天進(jìn)行比較同步一次。
2.4安全分析和控制
對(duì)用戶授予不同權(quán)限,用戶按接入網(wǎng)絡(luò)類型分為外網(wǎng)用戶、內(nèi)網(wǎng)用戶和專網(wǎng)用戶。由于內(nèi)網(wǎng)和外網(wǎng)不直接連通,外網(wǎng)用戶不可以訪問內(nèi)網(wǎng);專網(wǎng)的船舶數(shù)據(jù)由指定端口定時(shí)同步到外網(wǎng)服務(wù)器,外網(wǎng)用戶只可以查詢外網(wǎng)服務(wù)器數(shù)據(jù),禁止訪問專網(wǎng)。內(nèi)網(wǎng)用戶同樣不可以直接訪問專網(wǎng),只能通過專用進(jìn)程調(diào)用被防火墻允許的端口查詢數(shù)據(jù)或傳遞資料。專網(wǎng)用戶則依據(jù)工作內(nèi)容不同設(shè)置不同權(quán)限,分為普通值班員、值班長(zhǎng)和系統(tǒng)管理員三類。普通值班員根據(jù)負(fù)責(zé)的轄區(qū)不同,賦予不同轄區(qū)的系統(tǒng)操作權(quán)限,進(jìn)行日常值班工作;值班長(zhǎng)擁有高級(jí)權(quán)限,可以制定告警規(guī)則、助航設(shè)施設(shè)置、航道單/雙向切換等規(guī)則定義權(quán)限;管理員擁有最高級(jí)權(quán)限,可以修改系統(tǒng)配置、操作系統(tǒng)設(shè)置、底層路由設(shè)置等,同時(shí)具有審查系統(tǒng)日志和操作記錄的權(quán)限。系統(tǒng)日志記錄了系統(tǒng)各個(gè)組成單元,包括軟硬件,的運(yùn)行日志,當(dāng)系統(tǒng)發(fā)生錯(cuò)誤時(shí),系統(tǒng)維護(hù)人員通過查看系統(tǒng)日志可以迅速定位錯(cuò)誤的原因,并進(jìn)行相應(yīng)的處理,排除故障。操作記錄主要是記錄專網(wǎng)用戶的操作行為,包括命令操作、通話錄音、軟件截圖等,該數(shù)據(jù)既可以作為后期的操作追溯和安全分析的資料,也可以作為優(yōu)化界面提升用戶體驗(yàn)依據(jù),并且為以后建立數(shù)據(jù)倉庫提供了數(shù)據(jù)積累。
3結(jié)束語
船舶交通管理系統(tǒng)隨著規(guī)模不斷擴(kuò)大、功能不斷豐富,面臨的安全風(fēng)險(xiǎn)也越來越大,其安全問題也日益成為用戶關(guān)注的重點(diǎn)。國產(chǎn)化船舶交通管理系統(tǒng)從優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、病毒掃描、數(shù)據(jù)備份、安全分析和控制等多個(gè)方面進(jìn)行了安全防護(hù),并在實(shí)際運(yùn)行中取得了良好的效果。
引用:
[1]Bremen.VesselTrafficServiceSystemOperatorManual[M].CASSIDIANandATLASELEKTRONIKcompany,2011:Page2-1.
[2]張友生,王勇.系統(tǒng)架構(gòu)設(shè)計(jì)師考試全程指導(dǎo)[M].北京:清華大學(xué)出版社,2010.
[3]許麗萍.軟件國產(chǎn)化的牽引.政策是突破關(guān)鍵[J].信息與電腦,2014.
作者:隋遠(yuǎn) 林杰 吳瑞祥 單位:中國電子科技集團(tuán)公司第二十八研究所