生產網和辦公網結合方式

謝剛 陳華銀 陽丁山 黃國輝 葉鸝君

（1.成都軌道交通集團有限公司 四川省成都市 610000 2.交控科技股份有限公司 北京市 100000）

隨著互聯網的迅速發展，特別是移動互聯網的發展，人們的工作方式發生了巨大的改變，這種翻天覆地的變化也影響這軌道交通行業。軌道交通行業網絡架構通常將分為閉塞的生產網和開放的辦公網。生產數據放置于閉塞的生產網中，無法滿足當前互聯網發展需求，因此，本文主要就當前如何利用開放的辦公網為生產網提供安全的數據通道就行詳細的研究，希望能夠對實際起到一定的指導作用。

1 生產網數據重要性分析

在軌道交通行業的生產網中，一般運行著ATS、聯鎖、AFC等保障行車與運營的關鍵系統。這些系統的數據信息一方面對指導運營生產有著十分重要的作用，另一方面，又對數據安全有著極高的要求。試想，如果生產網遭到入侵，將會對安全運營造成極大的威脅。這也是生產網設計為閉塞環境的重要原因之一。

但是隨著互聯網與大數據技術的發展，針對沉睡在生產網中的海量生產數據進行數據挖掘與分析的需求日漸強烈，將其納入移動互聯網辦公方式也逐漸在被認可。這也是本文所討論內容的出發點。

2 辦公網安全性分析

在軌道交通行業的辦公網中，主要運行著網上辦公系統，辦公系統是與外界的交流平臺。辦公網的使用者享受著當前互聯網和移動互聯網飛速發展為實際運營工作所帶來的便利，同事又面臨著在開放的網絡辦公環境下，系統易受非法人員、黑客和病毒的入侵，傳輸過程中數據也可能被截取、修改或刪除的危險。但這并非說辦公網就是完全危險的存在，軌道交通行業早已深諳辦公系統安全的重要性，并為用戶的信息安全了提供全方位的保護。

3 生產網和辦公網結合方式分析

從上述分析中可以得知，當前生產網數據既有“外發”的需求，又受數據安全的限制。因此，如何探索出一種能同時滿足這兩點要求的結合方式，就是生產網和辦公網結合的可行之路。

3.1 網絡通道的建立

根據上述分析，在整個網絡環境中，辦公網與生產網必須同時存在且相互獨立。因此，新增一處節點同時接入辦公網和生產網提供連接點，網絡通道的建立為數據傳輸提供物理基礎。

3.2 單向傳輸

建立起數據通道后，為了滿足安全性的要求，必須切斷辦公網往生產網直接數據傳輸通道，這樣，即可保證需要的數據可以從生產網發送到辦公網，又可保證辦公網不能訪問到生產網中關鍵設備，可通過自建單向傳輸（如圖1所示），或者使用單向網閘技術實現數據單向傳輸。

網閘隔離效果基于的是定向地傳輸數據，它的原理為仿造人工拷貝數據的方式，網閘并不建立網絡的物理通道，因此，網閘是把數據轉移到另一測后，再通過正常的方式發送給目標。從安全的角度來講，網閘傳輸的數據中，格式信息應該越少越好。例如沒有附帶任何格式的原始數據，數據中無法隱藏其他非數據的信息，這樣就使非法數據失去了載體。

圖1

網閘也是一種隔絕了上層業務的通訊協議，為了達到徹底單向的效果，它使用私有通訊協議或者采用存儲協議，這都是為了要徹底去除所有協議的附加信息，讓傳輸的數據是干凈和安全的。網閘雖然傳遞的是實際的數據，但代理協議建議后，每次擺渡的可能不再是一個完整數據內容，為安全檢查帶來困難，攻擊者可以把一個“蠕蟲”分成若干的片段分別傳遞，甚至小到單個的命令，不恢復原狀就很難知道它是什么；若傳遞“可執行代碼”的二進制文件，網閘就很難區分數據與攻擊。網閘對陌生的業務是采用關閉策略，只接收自己接受的、可控的業務，因此網閘在不同保密等級的網絡間，是具備隔離作用的。

單向網閘是一種只允許數據單向流動的特殊網閘，實現技術有以下幾種：

（1）數據泵技術：為了實現由低安全等級向高安全等級數據庫實現可靠的數據拷貝而提出的一種技術。它又被稱為安全存儲轉發技術，它使用的方法是通過反向確認來隔絕從內到外的數據傳送，從而實現由外向內的單向數據傳輸。這種技術是在通訊協議的基礎上，只允許數據單方向傳送，反方向傳輸的數據只有控制信息允許通過，例如確認信息、流量控制等。數據泵技術雖然實現了數據單方向傳輸，但通信協議是雙方向傳遞的，若通信協議存在漏洞，則可利用通信協議的漏洞實現反向傳輸數據。

（2）數據二極管技術：基于數據泵技術的不足，將反向傳輸的通信協議取消，使用盲發的方式，即通信雙反不理會數據的完整性。也就是在全雙工通訊方式中，只使用一個方向，因此這種技術也被稱為信息流單向技術。

3.3 數據校驗

如果數據傳輸是單向的盲發，通信協議中去除了數據控制協議，那么數據的容錯性就是使用者面臨的一個大問題，沒有返回控制協議，那么發送方并不知道接收方是否準確接收，接收方也不知道接收的信息是否是正確的，即使發現信息出錯，也無法通知發送方重發數據，因此，一般會采用一些策略來減小出錯的可能性：

圖2

（1）接收方匯報機制：當接收方接收到數據時，通過事制定的信息格式解析數據，如果發現不能正確解析或分數據出錯，則直接報告給上層系統，由上層系統使用其他方式通知數據發送方。

（2）冗余校驗機制：數據發送方為了滿足數據的正確性，需要犧牲數據傳輸的效率，增加數據的冗余校驗：①將一份數據重復地再發送三次，接收方將收到的三個副本進行比較，其中相同的兩份數據即使正確的數據。“三取二”方式是常用的冗余校驗方式，除此之外，還有五取三等方式。②在數據信息中添加特定校驗位。例如常用的CRC校驗等方式。③使用數據重復，例如發送ABCD時，將數據發送成AABBCCDD方式，接收方使用相同方式進行數據校驗。

（3）固定檢測碼機制：通過定期在數據中插入固定的檢測碼，在接收方解析檢測碼序列異常時，則認為接收的數據出錯。

3.4 安全防護

搭建起整個數據通道后，還需要對通道做安全防護。搭建部署防火墻、設置訪問控制策略等方式已在前文中提及，在此基礎上，還需對整個網絡環境進行系統的安全評估，并達到安全等級認證要求。

通過對數據通道的物理環境、主機、網絡、業務應用系統、安全管理制度和人員等進行專業的安全評估，以證明數據通道安全狀態有效，防攻擊、防病毒措施完備。

系統內部的安全包括：數據存儲安全、應用程序安全、操作系統安全，此外還有網絡安全、用戶安全教育等。計算機一般面臨以下幾種威脅：

（1）蠕蟲：通過網絡將自身從一個結點傳輸到另一個結點并自行啟動運行的程序。

（2）木馬：它執行的功能超出了其所聲稱。木馬和病毒的區別在，木馬需要持續與外界發生數據通信。

（3）病毒：一種危害極大，且會傳播的惡意程序。

針對以上威脅，除了使用殺毒軟件之外，還可以使用防火墻技術進行防護。防火墻是一種由軟、硬件共同構成的防護系統，用于在不同的網絡之間，實施訪問控制策略的系統。這種控制策略是由用戶自行制訂的。一般將防火墻內的網絡環境稱為可信賴的網絡，將防火墻外部的網絡環境稱為不可信賴的網絡。因此，防火墻技術一般被用來解決網絡的安全問題。防火墻根據使用場景可分為以下兩種：

（1）網絡級防火墻：用來防止可信賴網絡環境中出現外來的非法入侵。例如分組過濾方式和授權服務器方式，分組過濾是檢查所有進入可信賴網絡的信息，將不符合約定準則的數據拒之門外，授權服務器是檢查用戶登錄的合法性，將任何未通過檢查的信息隔絕。

（2）應用級防火墻：從應用程序級別進行訪問限制。例如，可以通過設置允許通過使用HTTP協議的應用，但阻止使用FTP協議的應用。基于數據包、源地址、目標地址、協議、端口、用戶名、時間段。可以看見數據包內容，防止病毒進入內網。

在計算機上運行的系統一般面臨著截獲、中斷、篡改、偽造的威脅，其中截獲表示從網絡上竊取他人的數據；中斷表示有意的阻斷網絡通信；篡改表示故意修改網絡數據；偽造表示惡意偽造網絡數據。

針對系統面臨的四種威脅，一般使用加密技術來解決。加密技術中常用的有對稱加密與非對稱加密。對稱加密是指加密密鑰與解密密鑰是相同的密碼體制。使用這種加密方式的系統被稱為對稱密鑰系統，對稱加密的優點是加密效率高，但存在秘鑰需要雙方先協商好的缺點，秘鑰不適合在網上傳輸（在網上傳輸有被人截獲的可能）；非對稱加密，顧名思義，加密秘鑰和解密秘鑰是不同的。加密和解密是一對密鑰對，即公鑰和私鑰。秘鑰成對使用，用公鑰加密私鑰解密或者用私鑰加密公鑰解密。公鑰不能解公鑰。這就是比對稱加密更好的地方。

另外在通信時可以使用安全套接層SSL，在傳輸層和應用層之間進行加密，在發送方，SSL接收應用層的數據，并對數據進行加密，然后把加密后的數據封裝進TCP套接字。在接收方，SSL將TCP套接字中的數據讀取后進行解密，再把解密后把數據送往應用層。SSL的應用也是上訴對稱和非對稱加密的結合使用，常見的SSL應用即https協議。https協議就是在http協議中使用了SSL加密，一般的Web應用使用的是http協議，然而一旦涉及到輸入賬號和密碼等敏感操作，應該用到https協議，避免信息被他人捕獲。

4 實際應用

根據此研究，我們在成都地鐵10號線二期車輛基地綜合自動化管理系統項目中，使用了此生產網和辦公網結合的方式。將網絡劃分為安全區（生產網）、業務區、與外聯區（辦公網），成功將生產網中的聯鎖、ATS系統和在辦公網中的施工管理、PMS等系統進行了數據整合，提供了一套針對軌道交通車輛基地的信息化系統。如圖2所示。

5 結語

本文針對生產網和辦公網結合方式研究問題，提出一種安全可行的結合方式，為后續研究提供依據。