车联网技术与应用项目实践的安全保障措施

为了保证车联网系统能够长期、安全、稳定、可靠、高效地运行，系统需要具有安全保障措施，主要从以下方面考虑。

1.感知信源层安全保障措施

车联网感知信源层的信息量种类繁多，通信方式也是多渠道的，所以要确保车联网海量感知信息的可靠获取必须要有安全保障措施。基本做法是建立可信支撑平台，对各类信息进行有效地分类处理，对同一类信息可实行统一安全通信协议，通过加密和签名等技术进行安全保障，不同信息之间按照设备终端编号进行设备认证，同时对车辆的标识信息进行唯一性保障，防止克隆和重复使用等。通过可信支撑平台确保车联网内数据不外泄，并保证网内各用户通过安全权限和认证体系进行通信。车联网可信支撑平台包括车联网可信接入平台和车联网管理平台两部分，二者均部署在车联网数据中心。车联网可信接入平台实现车联网信源认证、签名验证和完整性验证。车联网管理平台负责对信源进行管理，如标识卡认证、密钥、算法初始化和用户信息输入。

图4-2 安全防护架构图

车联网可信接入平台功能如下。

（1）在传感器设备和基站数据中心之间，采用认证协议对传感器进行设备认证。该协议负责定时对传感器设备进行身份认证，确定传感器是否完好。

（2）在传感器设备和数据中心之间，建立对数据进行数字签名和数据完整性验证（签名验证）的协议。该协议负责对传感器采集的信息进行完整性验证，保证传感器采集的信息数据完整、可信（没有被篡改）。

（3）在传感器设备和数据中心之间，建立数据保密传输协议。该协议负责对传感器采集的信息进行加/解密，保证传感器采集的信息安全传输到数据中心。

2.基站集群层安全保障措施

基站运行系统安全：对所有采集计算机布设防病毒软件和防火墙，对操作系统设置登录用户权限管理。基站设施实现了车联网信息的前端收集和转发，采用设备监控措施对基站系统性能、物理端口、服务端口和硬件运行状态等进行实时监控，出现问题及时上报和处理，保障基站系统的稳定性和可靠性。基站整个系统被部署在室外，物理上脱离了车联网数据中心的控制范围，需要集成远程视频监控和报警机制进行全天24 h远程监控，如果出现基站整合系统破坏事件，相关人员可以第一时间到现场进行处理和解决。

3.网络传输层安全保障措施

为了实现车联网前端采集的车辆电子信息的安全传输，保障基站采集数据的完整性和一致性，需要以车联网数据中心为中心，建立IPSec（IP安全协议）隧道加密技术体系，对车联网基站采集的数据进行加密传输，防止车联网基站采集的数据被非法篡改和截获。另外，对于以无线方式传递信息的基站，应使用无线加密隧道上传无线基础信息数据。

4.应用服务层安全保障措施

1）应用防火墙

普通防火墙能够实现网络层安全防护，而应用防火墙能在OSI模型第七层阻断已知和未知的攻击。它通过执行细粒度的安全策略来保证运营数据中心、Web应用系统及其数据免遭各种攻击。应用防火墙能够抵御的各种威胁见表4-1。

表4-1　应用防火墙所抵御的威胁

为了对运营数据中心对外公开的应用服务进行深层次安全保护，建议在外网防火墙防护基础上再部署一层应用防火墙，以实现业务应用层安全防护，避免系统遭受来自互联网的各种应用攻击，另外，为了防止应用防火墙出现单点故障，可部署2套应用防火墙，实现双机热备份。

2）SSL VPN

综合车联网的情况，按不同的安全域划分，其涉及的对象有行业专用网、运营数据中心网络、行业用户和公网用户四类。运营数据中心需要为行业用户和公网用户提供服务业务，为了防止和避免行业用户和公网用户访问的信息在互联网上被非法地修改、截获或破坏，建议在安全接入区的交换机上部署一套SSL VPN（指采用SSL（secure sockets layer，安全套接层）协议来实现远程接入的一种新型VPN（virtual private network，虚拟专用网）技术）系统，使行业用户和公网用户安全接入。行业用户和公网用户与SSL VPN设备之间的通信，采用了SSL加密的手段，保证了这些敏感的数据在不可信任的互联网上的安全传输。

SSL VPN能够实现的安全目标如下。

（1）远程用户数据保密性。VPN在用户传输数据包之前将其加密，以保证数据的保密性，防止用户数据在互联网传输过程中被窃听，造成信息泄露。

（2）用户访问权限管理。采用URL（uniform resource locator，统一资源定位符）、应用、服务器或文件级别的细粒度的安全授权访问控制。

（3）用户访问安全审计。通过易于了解的清晰格式提供细粒度的审计和日志记录功能，可逐用户、逐目的、逐事件的进行记录。

（4）用户终端安全准入。以用户开始接入到会话结束过程中，检查客户计算机安全性，不允许不符合安全要求的客户计算机远程接入办公信息系统。

3）CA认证

由于互联网的广泛性和开放性，信息系统在发展建设的同时也出现了众多信息安全隐患。近年来，随着信息系统的深入建设，用户账号被盗用、重要信息被越权访问、非法信息被发布、重要数据被篡改等安全事件时有发生，并呈上升趋势。目前，CA（certification authority，认证机构）认证技术是一种安全可靠的身份认证手段，同时这种技术手段也符合国家安全技术规范要求，但是独立建设CA认证技术平台存在如下方面的现实困难。

（1）政策许可方面：我国对证书认证系统的技术鉴定和认证中心的资质审查非常严格。

（2）资金投入方面：需要涉及系统建设、物理场地建设和网络建设等一系列高额投入，初期投入巨大。

（3）后期运营维护方面：需建立专门的运营管理团队，并有具备业务维护和技术维护能力的专业人员。

（4）风险方面：电子认证服务系统在运营时需要承担相应的法律责任和运营风险。

直接使用第三方CA提供的数字证书服务也存在一些现实的困难和不便。主要表现在以下方面。

（1）管理难度大。大量直接使用第三方CA提供的证书会使证书应用机构对证书管理难度加大，对应用的安全性造成一定的影响。

（2）证书申请复杂度高。直接使用第三方CA提供的证书服务要求证书申请人向第三方CA递交申请资料，会在一定程度上增加证书申请的难度和复杂度。

基于以上原因，建议在业务层面和国家授权的第三方认证中心合作，建立CA认证系统的合作RA（registration authority，注册机构服务）系统以解决上述问题。合作RA系统作为第三方认证中心CA的服务延伸，主要作用为证书发放的审核，包括用户信息的录入、用户信息的审核、证书申请、证书注销、证书更新和证书恢复等功能，等同于一套功能完备的证书信任系统。

在运营数据中心网络安全接入区部署第三方认证中心扩展的RA系统，利用扩展的RA系统对行业用户和公众用户发放电子证书，并联合CA认证服务器，实现高强度的身份认证。

4）用户安全管理

保护车联网应用系统主要是控制用户对资源的操作，确定用户的可信性是第一步。在车联网应用系统中，用户的身份和授权应该统一定义，以实现完整的、一体的用户强认证和授权，每个用户只能使用那些完成必要任务所需的功能，只允许访问经过确认的业务应用服务和设备。这样，通过严格的用户认证和授权验证措施，增强了对用户的管理控制。同时，可通过采用应用接口集成方式，把具有认证、授权、审计和单点登录功能的系统和物联网应用系统进行接口集成，实现车联网应用系统用户集中认证、授权和审计，具体描述如下。

（1）集中账号管理。由系统自动同步不同系统下的账号，便于用户集中认证、授权和审计。

（2）集中身份认证。选择不同的身份认证方式，加强身份认证手段，提高系统安全性。

（3）集中访问授权。采用基于角色的授权管理方式，实现授权细化管理。

（4）集中安全审计。对用户行为集中审计，实现用户非法行为审计、跟踪和取证。

（5）统一单点登录。认证后根据授权信息展现可访问资源列表，安全认证由后台系统自动完成，避免登录多个系统要频繁输入密码。

用户访问边界应设置统一门户（portal）。统一门户采用OTP（one-time password，一次性口令）、CA等认证方式对用户进行合法性认证。如果认证通过，用户将得到被授权访问的资源列表，通过单点登录模块实现只需要登录一次就可以访问所有相互信任的应用系统，安全审计模块会对用户访问行为进行审计记录，安全监控模块对非法信息流进行及时的分析和报警。(www.xing528.com)

5）软件代码审核

代码安全漏洞往往是黑客入侵的重要途径，车联网安全防护手段再好，如果车联网系统在软件设计上存在代码安全漏洞，黑客也能够突破安全防护手段，利用代码安全漏洞进入车联网系统。因此，在车联网系统软件设计上要进行软件代码安全性审核，在车联网系统上线之前和之后应采用专业模拟渗透机制对系统软件进行实践性的安全检测。

6）门户系统安全

门户网站服务系统是运营服务系统的重要实现形式，所有的商用服务都可以通过门户网站的形式实现，如信息服务子系统、清分结算和Call Center子系统。除了这些子系统以外，门户网站服务系统还提供新闻、公告、通知、留言和投诉的窗口，以及便民服务、资料下载、宣传等功能。门户网站服务系统应该得到高强度的保护，为门户网站服务系统划分独立的安全区，在安全区部署Web防护。

5.运营安全管理

以上针对每一层所设计的安全防护措施都能够在特定方面发挥一定的作用，但是如果没有有效的统一管理调度机制将它们组织起来，它们的应用效果就得不到充分的发挥。因此，在运营数据中心网络管理区部署统一安全管理平台也十分必要，这样可以在一个统一的界面中对网络中产生的大量日志信息和报警信息进行统一汇总、分析和审计，监视网络中所有安全设备的运行状态，只有这样，才能实现总体调控、集中监控、统一管理、智能审计和多种安全功能模块之间的互动，从而形成智能化、网络化、节约型的网络安全管理局面。

1）安全审计

虽然通过部署防火墙和入侵检测系统可以有效防止和检测各种网络攻击，但是对于内部用户滥用网络资源，利用系统正常开放的服务进行越权访问、非法操作或无意破坏等行为，防火墙和入侵检测很难防止和检测。因此，需要在运营数据中心业务应用区和存储备份区交换机上部署安全审计系统，对所有访问内部业务的用户访问行为进行监控和审计。

网络安全审计要求：

①应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

②审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功，以及其他与审计相关的信息；

③应能够根据记录数据进行分析，并生成审计报表；

④应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

主机安全审计要求：

①审计范围应覆盖服务器和重要客户端上的每个操作系统用户和数据库用户；

②审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

③审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

④应能够根据记录数据进行分析，并生成审计报表；

⑤应保护审计进程，避免受到未预期的中断；

⑥应保护审计记录，避免受到未预期的删除、修改或覆盖等。

应用安全审计要求：

①应提供覆盖每个用户的安全审计功能，对应用系统重要安全事件进行审计；

②应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

③审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

④应提供对审计记录数据进行统计、查询、分析和生成审计报表的功能。

2）安全检测

由于功能复杂、代码庞大，操作系统、数据库系统、应用软件系统和一些网络设备系统均不同程度存在一些安全漏洞和一些未知的“后门”，且一般情况下很难发现，因此对主要服务器进行安全评估是非常重要的。采用安全评估手段对网络和系统安全漏洞进行扫描检测，提前发现安全漏洞，并加以修补，可以使安全风险降到最小。在运营数据中心业务应用区和存储备份区交换机上部署一套漏洞扫描系统，定期检测服务器的操作系统、数据库系统配置，识别安全隐患，评测安全风险，提供改进措施，帮助安全管理员控制可能发生的安全事件，最大可能地消除安全隐患。同时，应采用终端管理补丁分发功能和人工加固方式实施安全加固。

3）安全加固

操作系统、数据库系统、应用系统和网络设备系统均不同程度存在一些安全漏洞，这也是黑客攻击得手的关键因素。因此，应对运营数据中心网络系统、安全系统、操作系统、数据库系统和应用系统提供安全配置、补丁安装等服务，提高系统自身的安全防护能力。对系统自身安全漏洞进行修补，应采用终端管理补丁功能，实现智能化的安全漏洞修补。系统自身安全配置优化和设置需要采用人工加固方式进行。

4）病毒防护

为了防止主机系统遭受来自外部或内部病毒、恶意代码、木马等的攻击，建议在运营数据中心网络部署防病毒系统，在运营数据中心网络管理区部署防病毒管理中心，同时在管理终端和服务器上安装防病毒客户程序，并由防病毒管理中心实现统一策略制定、分发和监控。

5）安全管理

随着非法访问、恶意攻击等安全威胁不断出现，防火墙、VPN、IDS（intrusion detection system，入侵检测系统）、防病毒、身份认证、数据加密和安全审计等安全防护和管理系统或技术在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，形成了相互没有关联的、隔离的“安全孤岛”。各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而无法充分发挥各自的应用效能。从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计。同时，在一个界面完成安全产品的升级、攻击事件报警和响应等功能。但是，现今网络中的设备、操作系统和应用系统数量众多，构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台，网络管理员需要学习、了解不同平台的使用与管理方法，并应用这些管理控制平台去管理网络中的对象（设备、系统和用户等），工作复杂度非常大。因此，建议在运营数据中心网络的管理区部署一种新型的整体网络安全管理解决方案——统一安全管理平台，来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计和多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平、可控制性和可管理性，降低用户的整体安全管理开销。

6）安全运维

安全运维要求在网络运维过程中做好技术设施安全评估、技术设施安全加固、安全漏洞被打补丁和安全事件应急响应等运维保障工作，及时发现并修复信息系统中存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。安全运维工作包括如下内容。

（1）设备管理。对网络设备、服务器设备、操作系统运行状况进行监控和管理。

（2）应用服务。对各种应用支持软件如数据库、中间件、群件及各种通用或特定服务进行监控、管理，如对邮件系统、DNS（domain name system，域名系统）、Web等的监控与管理。

（3）数据存储。对系统和业务数据进行统一存储、备份和恢复。

（4）业务。包含对企业自身核心业务系统运行情况的监控与管理，对于业务的管理，主要关注该业务系统的CSF（critical success factor，关键成功因素）和KPI（key performance indicator，关键绩效指标）。

（5）目录内容。该部分主要对于企业需要统一发布或因人定制的内容进行管理和对公共信息进行管理。

（6）资源资产。管理企业中各IT系统的资源资产情况。这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互。

（7）信息安全。信息安全管理主要依据的国际标准是ISO/IEC 17799。该标准涵盖了信息安全管理的十大控制方面，36个控制目标和127种控制方式，如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等。

（8）日常工作。该部分主要用于规范和明确运维人员的岗位职责和工作安排，提供绩效考核量化依据，提供解决经验与知识的积累及共享手段。