段陈诚 李棠迪

（重庆市交通规划研究院 重庆市 401147）

近年来智能交通在发展的过程中，新技术、新数据源、新应用形态大量涌现，尤其是基于大数据技术的交通综合信息平台等交通大数据应用系统快速发展[1]。目前交通管理、规划建设行业内基于大数据技术的交通综合信息平台架构，多使用Apache Hadoop 实现数据分布式存储和处理[2,3,4]，使用ArcGIS 作为数据与位置关系的可视化呈现[5]，并引入了由物联网感知节点获取的各类型车辆位置点GPS 数据[6,7]、道路RFID 数据[8]、路口线圈数据[9]、公交刷卡和轨道闸机刷卡数据[10]以及通过用户手机信令的基站信息获取的用户位置数据[11]。交通综合信息平台在引入大数据技术后，系统网络安全也面临愈发严重的威胁[12]。如Hadoop 未正确配置引起的Hadoop Yarn REST API 未授权漏洞，导致用户系统被控制用于挖矿，数据被窃取或被恶意加密[13,14]；部分系统使用的Arcgis 版本过低缺陷引起的ArcGIS Server 格式化参数跨网站脚本(XSS)漏洞[15]，攻击者利用该漏洞实施钓鱼攻击，最终取得系统权限或获取用户数据。在此情况下，2007 年国家四部门联合出台的《信息安全等级保护管理办法》已经不能完全适用于基于大数据技术的交通综合信息平台的安全防护要求。为应对安全形势和威胁趋势的急速变化。

1 等级保护2.0标准分析

1.1 等级保护2.0实施背景

自2003 年以来，等级保护工作属于1.0 时代，经过近十年信息技术的发展和网络安全形势的变化，等保1.0 要求已无法有效应对新的安全风险和新技术应用所带来的新威胁，等保1.0 被动防御为主的防御无法满足当前发展要求，因此急需建立一套适应新的网络安全威胁的主动防御体。2016 年10 月10 日，第五届全国信息安全等级保护技术大会指出“国家对网络安全等级保护制度提出了新要求，等级保护制度进入2.0 时代”。2017 年，《网络安全法》正式实施，该法律规定了网络运营者等主体的法律义务和责任，并明确规定我国实行网络安全等级保护制度。同年，全国信息安全标准化技术委员会发布《网络安全保护基本制度》系列标准，《网络安全等级保护测评要求》系列标准等征求意见稿，国家公安部发布《GA/T 1389-2017》网络等级保护定级指南、《GA/T 1390.2-2017 网络安全保护基本要求 第2 部分：云计算安全扩展要求》等4 个公共安全行业等级保护标准。2019 年5 月，网络安全等级保护制度2.0系列标准（简称“等保2.0”）正式发布，并于同年12 月1 日全面实施。

图1：重庆市交通综合信息平台系统基本框架

表1：等保2.0 定级要素与安全保护等级关系

图2：重庆市交通综合信息平台安全防护框架

1.2 标准细则分析

从等保2.0 和等保1.0 的比较进行分析，一是五个级别不变，即从第一级到第五级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级；二是规定动作不变，分别为定级、备案、建设整改、等级测评、监督检查；三是主体职责不变，网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

等保2.0 和等保1.0 的不同之处，一是标准依据的变化，等保制度从条例法规提升到法律层面；二是标准要求变化，网络安全等级保护2.0 标准与等保1.0 标准的测评对象扩大，将云计算、移动互联、物联网、工业控制系统等列入应用安全扩展标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。此外，未正式在修订中写入大数据安全扩展要求，但给出了大数据应用场景说明和可参考的扩展技术要求[16]，标准还基于“一个中心，三重防御”的思想对网络安全保护对象的安全通用要求的分类和项目进行了较大调整[17]，等保2.0 标准的核心是优化，删除了过时的测评项，对测评项进行合理改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面；三是从等保1.0 被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变；四是等级规定动作的变化，等保2.0 定级对象方面，扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，定级级别方面，公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级保护级别从1.0 的第二级调整到了第三级，定级流程方面，等保2.0 标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，测评合格要求方面，70 分以上才算基本符合要求。

1.3 等级保护2.0时代传统防护体系面临的难点

传统网络安全防护框架在推进面向等保2.0 标准的升级上面临多重考验，一是新环境下系统设施、应用、数据的种类和数量不断扩大，对应的安全防护技术也在发生变化，传统安全防护设备和手段难以满足现有安全需求，例如在云计算虚拟平台的管理中，虚拟机间通讯安全无法使用传统南北向防火墙管控，也难以使用虚拟平台自带的VLAN/VPC 功能进行管理；二是引入新的业务必然会扩大业务系统受攻击面，特别是随着云计算的参与到业务中，业务系统网络安全边界将变得模糊，使得信息化管理人员对系统IT 基础设施的管理力下降，仅靠传统基于边界防护的安全设备已不能应对现今的网络威胁；三是随着各级政府“打通各部门、各行业间数据壁垒”的形势下，需妥善处理信息系统开放和网络安全之间的关系，更需要解决安全法规、主体安全设计与项目应用落地之间的实际差距。

2 重庆市交通综合信息平台系统网络安全风险分析

2.1 系统运行状况

重庆市交通综合信息平台是2010 年起，由重庆市政府安排市规划和自然资源局牵头，市交通局、市公安交管局等部门配合，建设成的一个汇集、共享、应用全市各类交通数据的基础平台。目前系统累计接入数据约350TB，日新增数据约12 亿条，日新增数据量约450G。交通综合信息平台现已实现跨政府部门、企业的数据资源汇集和共享，实现以人员流动、各类型机动车、道路和公共交通为基本元素的交通数据的整合。建成了集成并行大数据计算能力和海量数据存储资源，包含交通动态运行和地理空间数据，具备如手机信令数据等各类结构化、半结构化、非结构化海量数据的采集、存储、处理能力的大数据处理平台和数据挖掘分析平台。建成了全市域交通设施整合一张图，实现重庆市市域范围内基础地理和各类交通设施、建设用地的现状、在建、规划数据的汇聚整合、加工制作、可视化呈现和分析。综合运用各类交通大数据，建成了重庆市主城区道路运行监测系统、重庆市人口活动监测系统、重庆市主城区车辆运行监测系统、重庆主城轨道客流清分系统以及重庆公共交通客流及服务监测分析系统，基于人、车、路和公共交通，实现交通问题预警、交通运行状态趋势预判、交通项目实施效果评估的监测评估体系。

2.2 系统基本框架

重庆市交通综合信息平台从业务框架上可分为物理设施层、基础平台层、计算存储层和应用服务层（如图1 所示）。其中物理设施层由33 台裸金属架构服务器、11 台虚拟集群主机服务器、4 台存储和相关网络安全设备组成，其中裸金属架构服务器用于Apache hadoop 集群NameNode、DataNode 节点以及hadoop 边界服务器。基础平台层由三个Apache hadoop 集群、两个Vmware Vsphere 虚拟化集群组成，基础环境层提供海量数据存储与并行处理平台环境、Vmware 虚拟化服务器环境，用于向各个应用和服务提供运算、存储资源。计算存储层由Hadoop 的各项服务如HDFS 等、结构化数据库如Oracle Database 与非结构化数据库如MnogoDB 等，用于提供各类数据的存储、处理服务。应用服务层包括交通综合信息平台各项监测评估系统、服务和数据共享接口、数据汇聚系统，用于获取全市各类交通数据源，并利用各类数据通过平台计算存储层得出的各项计算结果如道路平均车速、人员流动特征等通过各监测评估系统进行可视化呈现，或按照数据共享格式通过接口对外提供服务和数据共享。

2.3 系统安全风险分析

以网络安全角度进行安全风险分析，引入了大数据技术后，交通综合信息平台存在的可供攻击点将大大扩展，将同时面临以硬件设备、控制系统、网络、应用系统、源数据等为目标的安全风险。参照等保2.0 在云计算、移动互联、物联网安全扩展要求和大数据应用场景说明中的安全防护部分，重庆市交通综合信息平台系统面临以下风险：

2.3.1 网络通信安全

重庆市交通综合信息平台通过与相关道路运管部门、网络运营商、社会数据提供商建立合作渠道获取数据，同时从互联网公开页面抓取数据。平台接入不同类型数据、使用多种运算服务和软件同时面向不同类型用户提供差异化服务。在此情况下，系统网络边界模糊，传统基于安全区域定义安全策略的防火墙等安全设备难以发挥作用。系统连接的各个网络的安全等级差异较大，来自一个网络中的安全漏洞可能导致所有网络受到攻击。系统部分服务和数据必须与互联网交互，存在数据被监听和流量劫持的风险。同时分布式计算业务要求实时性高，难以实现复杂的安全认证机制，易导致认证攻击、非法入侵、信息泄露、拒绝服务等。

图3：重庆市交通综合信息平台整体安全防护体系

2.3.2 设备与计算安全

重庆市交通综合信息平台面向多租户提供并行计算服务以进行不同功能的运算，部分数据来源设备为物联网传感器，存储和计算资源同时使用了公有云资源、私有云资源、裸金属架构服务器。接入物联网设备、使用公有云计算和存储资源、提供多租户计算环境将面临更大的安全挑战。自物联网技术广泛投入应用以来，针对物联网设备的攻击不断升级[18]。接入的物联网设备若未更新补丁或安装配置不当，将对整个系统带来较大安全风险。同时，交通综合信息平台部分使用公有云存储和计算资源，存在被存储数据直接调用、计算过程被篡改的风险。交通综合信息平台提供多租户环境，平台对云计算资源向租户进行共享时，难以对计算资源和计算安全进行控制，易导致计算资源耗尽和甚至因非法用户的恶意操作引起数据丢失和数据泄露。

2.3.3 应用与数据安全

重庆市交通综合信息平台的计算和存储架构使用的Hadoop 平台，同时使用了MongoDB 和其他几种非结构化数据库。接入了包括各类车辆GPS 点位置数据、道路RFID 和线圈数据、电召车辆位置点数据、轨道闸机刷卡数据、手机信令数据和从互联网公开页面抓取的数据等。平台使用了大量开源软件和插件，近年来开源软件漏洞数量增长较快，特别是被利用的0DAY 漏洞事件频发[19]，若按照补丁不及时，应用易受到攻击，导致服务中断、数据丢失或被窃取。同时由于交通综合信息平台接入和采集的源数据部分来自互联网或其他不可信区域，源数据内容不可控，恶意构造的源数据可能导致系统受到攻击。

3 重庆市交通综合信息平台系统安全防护框架

按照《GB/T 22240 信息安全技术 信息系统安全等级保护定级指南》内容（如表1 所示），经评估重庆市交通综合信息平台应确定为第二级。

参考 “等保2.0”标准中的第二级安全通用要求，以及对云计算和大数据应用的安全扩展要求，提出交通综合信息平台“以应用数据安全为目标，以安全体系为核心，以安全技术为支撑，以安全管理审计为手段”的整体安全防护体系框架。如图2、图3 所示。

其中技术体系按照等保2.0 强调的“一个安全管理中心、三重防护”思路，根据等级保护安全通用要求和云计算安全扩展要求设计，分为安全物理环境、安全通信网络、安全计算环境四个部分。

3.1 安全物理环境

按照第二级安全通用要求，采取的措施是，部署机房动环系统进行监测，保障机房防水防潮、防火、防雷击、防静电和温湿度控制设备正常工作。安装机房门禁监控，并严格做好巡检记录，落实考核制度。同时使用UPS 和双路市电接入，保障电力供应有效不间断。

3.2 安全通信网络

在Vmware 虚拟集群中部署东西向防火墙，为IaaS 租户提供虚拟防火墙服务，解决各网络、各虚拟机之间安全边界的防护。在各个网络入口部署南北向防病毒网关和入侵检测、防御系统。网络中各终端操作系统部署防病毒软件。运维人员和租户登录操作系统、数据库均使用堡垒机。使用日志审计系统，审计覆盖到每个用户，并对审计记录进行备份。部署自动监控告警系统，在边界设备受到破坏时，将审计结果上传至安全管理中心。

3.3 安全区域边界

重要网络链路、网络设备采用冗余结构，如入口网络、核心交换机等。按照业务类型划分不同的安全域，不同域之间使用南北向防火墙进行安全隔离。核心网络与互联网出口见采用物理隔离网闸进行隔离。采用网管软件对通信设备进行可信验证，在设备受到破坏时将审计结果上传至安全管理中心。开启Web 服务、hadoop 各节点通信的SSL 认证。加快推进系统中产品的安可替代进度。

3.4 安全计算环境

为所有应用系统、网络设备、数据库等配置身份鉴别功能和并配置鉴权失败措施，按照最小权限原则配置用户授权，移除多余、过期用户。配置数据库审计系统、漏洞扫描系统。在Web 应用前端部署Web 防火墙、网页防篡改系统。同时对冷、热数据分类进行备份，采用静态数据备份防止病毒或非法操作对备份内容的篡改。使用自动监控告警系统监测计算设备运行情况，在设备受到破坏时，将审计结果上传至安全管理中心。

4 结语

伴随我国智能交通的发展和大数据技术的深入应用，既为交通规划的跨行业合作带来了契机，也给网络安全保障工作带来新的挑战。本文从交通综合信息平台实际业务模型和未来扩展规划出发，在等保2.0-云计算、物联网、移动互联扩展安全要求基础上，提出面向基于大数据技术的交通综合信息平台安全防护框架，以保障交通综合信息平台系统的网络和数据安全为目标，参考等保2.0 新增的安全要求，提出了覆盖交通综合信息平台系统基础设施安全、虚拟化和租户管理、监控审计、安全管理的安全防护技术。后期将基于人工智能和威胁自动化识别技术，研究交通综合信息平台在弱人工监管环境下的安全管理，解决交通综合平台扩容后的网络安全问题。