公务员期刊网 论文中心 正文

船舶交通管理安全防护技术研究

前言:想要写出一篇引人入胜的文章?我们特意为您整理了船舶交通管理安全防护技术研究范文,希望能给你带来灵感和参考,敬请阅读。

船舶交通管理安全防护技术研究

0引言

船舶交通管理系统,简称VTS,是用于监控海岸、海港或内河交通情况的系统,确保监控区域内交通流量合适,避免造成灾祸或环境污染[1]。目前我国大型海港所用系统多为国外公司产品,如Sofrelog、ATLAS、TERMB等,升级维护不便且多为10年以上的老产品。出于国家重大项目安全性的考虑[2],使用国产VTS系统是一大趋势,而国产化VTS的安全防护功能也是考察该系统的一项重要指标。

1国产交通管理系统安全防护问题分析

1.1系统介绍

国产化VTS系统由信息接入分系统、控制中心分系统和通信分系统组成。信息接入分系统具备雷达信息接收解析、AIS信息接收解析、水文气象信息接收解析、VHF信息接收解析、CCTV信息接收解析、信息分类流转等功能。控制中心分系统具备交通组织与管理、交通显示与控制(台位显示/web显示)、记录重放、系统监控等功能,其中交通组织与管理和交通态势Web显示功能采用B/S架构实现、其他功能采用C/S架构实现,整个系统采用B/S与C/S的混合架构实现。通信分系统具备即时通信、网络通控、数据支撑等功能。

1.2系统网络安全防护分析

国产化VTS系统信息交互可分为系统内部信息交互的专用网络、部门之间信息交互的内部网络和对外信息交互的外部网络三类。其中系统内部信息交互主要通过通信分系统使用独立的网络结构,在专用网络中进行,如雷达接入信息、VHF接入信息、CCTV接入信息、AIS接入信息与控制中心交通显示系统之间的通信;部门之间信息交互主要发生在海事部门内部单位之间,如船舶航行计划录入获取、船舶航行状态内部等等;而对外信息交互是指与外部互联网之间的交互,如水文气象信息的接入、船舶动态信息对公众公布等等。如果未采取安全防护策略,就可能导致系统内部网络遭受非法攻击[3]。一旦外部攻击进入内部网络,由于防护系统对内防范较弱,这类攻击往往会造成非常严重的后果,导致核心数据泄露。甚至进而侵入到核心网络,对船舶交通管理系统数据进行篡改或伪造,或者盗用其他用户的IP对船舶控制命令进行非法操作,产生极大安全隐患。VTS系统的内部网络端口可以扩容,不同处室根据需要都可接入内部网络,网络中存在C/S和B/S的混合架构,整体结构复杂度较高。在这样的网络中,单单利用网络防火墙无法实现对各类网络资源的有效保护和管理,需要对外部网络的连接和信息交互进行限制,在特定的时间特定的地点,对特定权限开放网络,完成内外网络必要的信息交互。同时,要考虑到来自内部网络的攻击其成功的可能性甚至要高于外部网络,在设计中,应该对核心数据资源进行集中管理,将其存储在核心网络中,控制内部网络对其访问,这就需要更为完善的内部访问控制机制。

1.3系统使用过程中的安全分析

VTS系统的组成单元众多,硬件、软件构成复杂,在运行过程中,需要对硬件进行可靠性分析及业务持续性规划;同时复杂的软硬件也对操作、维护人员提出了更高的要求。对于船舶交通管理系统来说,用户的误操作可能导致严重的事故,因此不仅需要设计权限控制体系,尽量减少和避免用户误操作,同时要做到对问题的跟踪和总结,杜绝类似的操作再次发生。

2船舶交通管理系统的安全防护应用

2.1优化网络结构

国产化VTS系统采用C/S和B/S混合架构,其中B/S架构的船舶交通组织与管理软件Web版和船舶态势展示软件Web版需要对兄弟处室或者对公众开放,整个系统不仅需要运行在专用网络,而且需要运行在海事局的内部网络和Internet的外部网络,因此系统在设计时就考虑到物理上隔离三种类型网络。专网和内网之间只保留设置唯一的物理网络链接,并设置防火墙;专网和外网之间同样也设置唯一的物理网络链接,并设置防火墙;内网和外网之间物理隔绝。专网和内网之间严格控制信息互访端口,屏蔽所有未知端口;专网和外网之间,只保留外网对专网进行船舶数据查询的端口。

2.2病毒扫描

国产化VTS系统中,专网的值班台位以及内网终的用户终端,安装为Windows操作系统,为每一台终端安装瑞星杀毒软件,并按时更新,取消Guest账号、取消不必要的服务(如远程注册表操作);专网中的服务器和数据库使用Solaris和Linux系统,对核心数据设定指定用户权限,同时关闭不必要的网络端口。针对专网-内网闸和专网-外网闸,定时查看防火墙日志,评估是否存在网络攻击。另一方面,利用开源代码为国产化VTS系统编写专门的网络端口扫描工具,在专网和内网中查找主机漏洞,及时预防潜在风险。

2.3数据备份

VTS系统中,需要备份的数据主要为船舶航行轨迹数据和船舶业务数据,采用双机备份的方式进行数据备份。两种数据的特点不同,船舶轨迹数据量较大,按照雷达每三秒上报一点,港口平均被监控船舶为1000艘计算,一个月会累积864,000,000个航迹点需要存储,但是数据的重要性相对较低,因此国产化VTS系统采用定时备份的方式,每隔一个小时就将数据从主机备份到从机。而船舶业务数据的数据量相对较小,但是重要程度较高,系统产生的数据直接存到两个不同数据库中,一台供业务系统读取使用,一台作为备份,两者每天进行比较同步一次。

2.4安全分析和控制

对用户授予不同权限,用户按接入网络类型分为外网用户、内网用户和专网用户。由于内网和外网不直接连通,外网用户不可以访问内网;专网的船舶数据由指定端口定时同步到外网服务器,外网用户只可以查询外网服务器数据,禁止访问专网。内网用户同样不可以直接访问专网,只能通过专用进程调用被防火墙允许的端口查询数据或传递资料。专网用户则依据工作内容不同设置不同权限,分为普通值班员、值班长和系统管理员三类。普通值班员根据负责的辖区不同,赋予不同辖区的系统操作权限,进行日常值班工作;值班长拥有高级权限,可以制定告警规则、助航设施设置、航道单/双向切换等规则定义权限;管理员拥有最高级权限,可以修改系统配置、操作系统设置、底层路由设置等,同时具有审查系统日志和操作记录的权限。系统日志记录了系统各个组成单元,包括软硬件,的运行日志,当系统发生错误时,系统维护人员通过查看系统日志可以迅速定位错误的原因,并进行相应的处理,排除故障。操作记录主要是记录专网用户的操作行为,包括命令操作、通话录音、软件截图等,该数据既可以作为后期的操作追溯和安全分析的资料,也可以作为优化界面提升用户体验依据,并且为以后建立数据仓库提供了数据积累。

3结束语

船舶交通管理系统随着规模不断扩大、功能不断丰富,面临的安全风险也越来越大,其安全问题也日益成为用户关注的重点。国产化船舶交通管理系统从优化网络结构、病毒扫描、数据备份、安全分析和控制等多个方面进行了安全防护,并在实际运行中取得了良好的效果。

引用:

[1]Bremen.VesselTrafficServiceSystemOperatorManual[M].CASSIDIANandATLASELEKTRONIKcompany,2011:Page2-1.

[2]张友生,王勇.系统架构设计师考试全程指导[M].北京:清华大学出版社,2010.

[3]许丽萍.软件国产化的牵引.政策是突破关键[J].信息与电脑,2014.

作者:隋远 林杰 吴瑞祥 单位:中国电子科技集团公司第二十八研究所