基于自適應安全的鐵路網(wǎng)絡安全框架設計研究

王啟東

（中國國家鐵路集團有限公司 科技和信息化部，北京 100844）

鐵路網(wǎng)絡安全保障體系經(jīng)過多年建設，初步構(gòu)建了以外部服務網(wǎng)、內(nèi)部服務網(wǎng)和安全生產(chǎn)網(wǎng)為層次的縱深防御體系。目前，隨著5G、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)等新技術(shù)迅速發(fā)展和在鐵路信息化建設中的逐步應用，鐵路信息系統(tǒng)面臨的網(wǎng)絡安全威脅已經(jīng)由互聯(lián)網(wǎng)攻擊、病毒、木馬植入等傳統(tǒng)攻擊方式，轉(zhuǎn)變?yōu)槭录?、零日漏洞攻擊、高頻度APT（Advanced Persistent Threat）攻擊、黑產(chǎn)形式的大規(guī)模數(shù)據(jù)竊取等威脅行為。以外部網(wǎng)絡安全設備為核心的防御體系已經(jīng)無法滿足當前形式下應對網(wǎng)絡安全威脅的需要，亟需以實現(xiàn)疊加演進的安全能力為目標，構(gòu)建體系化、實戰(zhàn)化的網(wǎng)絡安全保障體系，構(gòu)成動態(tài)、主動的鐵路網(wǎng)絡安全防御體系。建立能夠適應大規(guī)模新型網(wǎng)絡安全威脅的自適應網(wǎng)絡安全保障體系，將會是未來鐵路網(wǎng)絡安全工作的重點思考方向之一。

本文介紹自適應安全框架的定義與特征，結(jié)合新形勢下的鐵路信息系統(tǒng)網(wǎng)絡安全保障需求，提出基于自適應安全的鐵路網(wǎng)絡安全框架設計思路，并基于該框架提出了4個應用研究方向。

1 自適應安全框架概述

1.1 自適應安全框架定義

自適應安全框架是2014年由IT研究與顧問咨詢公司Gartner提出的面向下一代的安全體系框架之一[1]，以應對云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)（簡稱：云物大移）等環(huán)境下所面臨的安全風險。自適應安全框架按照防御、檢測、響應、預測4個維度，把龐大而復雜的網(wǎng)絡安全防御工作作為一個持續(xù)演進、循環(huán)的過程，強調(diào)對網(wǎng)絡進行細粒度、多角度的監(jiān)測與響應，對安全威脅進行持續(xù)化的實時動態(tài)分析。自適應安全框架和經(jīng)典的PDR（Protection-Detection-Response）網(wǎng)絡安全模型相比，在保護、檢測和響應領(lǐng)域均有重合的設計思想，而在預測領(lǐng)域，基于對歷史風險和安全現(xiàn)狀的分析，突出了對風險不斷適應和循環(huán)改進的過程，這也是自適應安全框架中具有突破意義的設計理念，尤其在高級持續(xù)性攻擊防御中，例如對抗APT攻擊、DDos（Distributed Denial of service）攻擊、0Day攻擊，自適應網(wǎng)絡安全框架將體現(xiàn)重要優(yōu)勢。

1.2 自適應安全框架的關(guān)鍵能力

自適應安全框架模型如圖1所示，以持續(xù)監(jiān)控和分析為核心，包含防御、檢測、響應和預測4部分循環(huán)內(nèi)容[2]。該框架假設系統(tǒng)始終處在安全風險的環(huán)境中，不同于以事件驅(qū)動的PDR模型，在一定程度上弱化了防御手段的重要性與有效性，通過檢測和響應環(huán)節(jié)的持續(xù)監(jiān)控與分析，強調(diào)對未知威脅的預測和感知，自動適應不斷變化的網(wǎng)絡環(huán)境，優(yōu)化自身安全防御機制。

圖1 Gartner自適應安全框架模型

（1）安全防御層面，主要包括加固和隔離、攻擊轉(zhuǎn)移和事故預防能力，設計目標在于通過多種成熟的安全防護手段，減少對系統(tǒng)暴露面的攻擊。

（2）安全檢測層面，主要包括事故檢測、風險確認和優(yōu)先排序、事故隔離能力，設計目標在于檢測分析可能繞過安全預防機制的潛在入侵行為，并根據(jù)風險進行安全評估、確認和排序，一旦入侵行為被識別，立即進行系統(tǒng)隔離，防止威脅進一步擴散。

（3）安全響應方面，主要包括調(diào)查取證、設計建模、修復改善能力，設計目標在于為修復系統(tǒng)和預防新攻擊，通過完整的事件調(diào)查取證、追蹤溯源，重新調(diào)整相應的防護策略和控制措施。

（4）安全預測方面，主要包括主動評估風險、預測攻擊、安全基線能力，設計目標在于面對不斷變化的業(yè)務需求和安全威脅，基于態(tài)勢感知、情報預警等關(guān)聯(lián)分析技術(shù)，不斷修改、完善安全基線，實現(xiàn)主動風險評估和威脅預測。

2 鐵路網(wǎng)絡安全內(nèi)外部風險因素分析

基于縱深防御的國鐵企業(yè)網(wǎng)絡安全框架已建立多年，隨著云物大移等信息技術(shù)的廣泛應用，鐵路網(wǎng)絡安全框架亟需轉(zhuǎn)型升級，以適應新形勢下網(wǎng)絡安全保護的需要。目前，鐵路網(wǎng)絡安全技術(shù)防護手段方面缺乏對攻擊的快速識別和快速響應能力，難以應對更多、更復雜的未知安全威脅。

（1）當前，國鐵企業(yè)統(tǒng)建系統(tǒng)總體上按照中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團有限公司（簡稱：鐵路局）、站段三級架構(gòu)構(gòu)建[3]，按照信息系統(tǒng)不同類型進行橫向隔離，網(wǎng)絡安全防護對象復雜分散，防護手段以防火墻、防病毒、入侵檢測等傳統(tǒng)安全防護設備為主，各類網(wǎng)絡安全設備和系統(tǒng)防護策略執(zhí)行力度不統(tǒng)一，網(wǎng)絡安全防護工作逐漸呈現(xiàn)出“碎片化”現(xiàn)象，網(wǎng)絡安全整體發(fā)展缺乏實戰(zhàn)化的全局洞察和預警能力。

（2）國內(nèi)外規(guī)模性大、破壞性強的網(wǎng)絡攻擊事件急劇上升，面對愈加嚴峻的有組織、有目的的網(wǎng)絡攻擊形勢和突發(fā)威脅，能夠快速觸發(fā)響應措施，迅速、彈性恢復業(yè)務運轉(zhuǎn)的能力尚為不足[4]，缺乏對事件告警、情報預警、威脅線索等各個方面的閉環(huán)管理機制，對網(wǎng)絡安全事件的響應速度和預防水平亟待加強。

（3）鐵路互聯(lián)網(wǎng)售票系統(tǒng)和互聯(lián)網(wǎng)貨運系統(tǒng)積累了大量公民個人信息和客戶貨主信息，針對鐵路業(yè)務系統(tǒng)內(nèi)部個人隱私數(shù)據(jù)的安全防護與風險預警能力有待加強，尤其在云計算與大數(shù)據(jù)廣泛應用后，應用系統(tǒng)和數(shù)據(jù)高度集中，大規(guī)模數(shù)據(jù)泄露風險增加。

（4）新技術(shù)應用帶來新的安全隱患，適應新技術(shù)應用的能力尚為不足。云物大移等信息技術(shù)已在鐵路系統(tǒng)內(nèi)廣泛應用，在提升業(yè)務競爭力的同時，也給鐵路網(wǎng)絡安全防護工作帶來新挑戰(zhàn)。對于業(yè)務規(guī)模大、應用系統(tǒng)復雜程度高的鐵路系統(tǒng)而言，網(wǎng)絡安全復雜度和工作量將成倍增長，而傳統(tǒng)防護手段對新技術(shù)應用的適應能力尚顯不足。

3 設計思路

以應對新形勢下網(wǎng)絡安全威脅、優(yōu)化自身安全防御機制為目標，結(jié)合鐵路網(wǎng)絡安全內(nèi)外部風險因素分析，提出基于自適應安全的鐵路網(wǎng)絡安全框架，如圖2所示。該框架是以構(gòu)建疊加演進型的網(wǎng)絡安全能力建設為目的，以提高安全威脅主動檢測和網(wǎng)絡安全風險動態(tài)感知為手段，開展國鐵企業(yè)基礎結(jié)構(gòu)安全、縱深防御能力、主動防御能力、聯(lián)防聯(lián)治能力建設[5-6]。

圖2 基于自適應安全的鐵路網(wǎng)絡安全框架

3.1 基礎結(jié)構(gòu)安全能力建設

是指國鐵企業(yè)原有傳統(tǒng)網(wǎng)絡安全相關(guān)工作，具體包括網(wǎng)絡安全組織管理、安全制度管理、網(wǎng)絡分區(qū)分域、系統(tǒng)安全、數(shù)據(jù)安全、應用開發(fā)安全、漏洞與補丁管理、云平臺內(nèi)生安全、大數(shù)據(jù)平臺安全等?；A結(jié)構(gòu)安全作為鐵路網(wǎng)絡安全根基性的保障工作，是投入成本高、重視度高、長期性重復的工作，是一切網(wǎng)絡安全工作的前提。

3.2 縱深防御安全能力建設

是指國鐵企業(yè)內(nèi)部為落實網(wǎng)絡安全工作，部署在網(wǎng)絡、主機、應用等基礎架構(gòu)層面上的靜態(tài)、被動、外掛式的安全防護設備和系統(tǒng)[7]，依靠安全防護設備內(nèi)置的安全策略監(jiān)控、抵御內(nèi)外部安全威脅，是國鐵企業(yè)網(wǎng)絡安全防護體系中的重要環(huán)節(jié)。具體包括縱深防護體系設計、網(wǎng)絡邊界防護、終端安全、局域網(wǎng)安全等。

3.3 主動防御安全能力建設

主動防御安全能力是指強調(diào)網(wǎng)絡安全防護工作的積極、主動、動態(tài)能力，包括網(wǎng)絡安全日志匯聚、安全事件分析、安全編排與自動化、系統(tǒng)內(nèi)部威脅防控等。國鐵企業(yè)推行網(wǎng)絡安全監(jiān)控指揮中心后，依托態(tài)勢感知平臺、集中安全管理平臺、網(wǎng)絡安全監(jiān)控指揮信息平臺等技術(shù)平臺，規(guī)范網(wǎng)絡安全監(jiān)控、攻防演練、事件響應處置流程，強化安全事件的分析、研判和響應處置。

3.4 聯(lián)防聯(lián)治能力建設

是指對國鐵企業(yè)內(nèi)部網(wǎng)絡威脅的識別、理解和預見性的安全能力?；趪F企業(yè)基礎安全、縱深防御安全和主動防御能力建設與保障工作，通過擴大威脅視野，使鐵路網(wǎng)絡安全工作由各自為戰(zhàn)轉(zhuǎn)向聯(lián)合行動，具體包括情報收集、情報生產(chǎn)、情報使用、情報共享等[8]。

上述網(wǎng)絡安全框架設計體現(xiàn)了以網(wǎng)絡安全能力為導向的設計思路，構(gòu)建安全與信息化“深度融合、全面覆蓋”的自適應安全體系，逐步提高國鐵企業(yè)網(wǎng)絡安全成熟度。

4 設計實現(xiàn)

4.1 基于風險的縱深安全防御

以健全鐵路網(wǎng)絡安全基礎防御能力為目標，遵循縱深防御理念，基于傳統(tǒng)安全防護手段與策略，以等級保護合規(guī)建設為基礎，綜合運用云物大移等信息技術(shù)，規(guī)劃鐵路網(wǎng)絡安全技術(shù)架構(gòu)，構(gòu)建覆蓋安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境等全方位的技術(shù)藍圖。在安全工具和技術(shù)平臺的更新升級、安全技術(shù)策略的統(tǒng)籌優(yōu)化方面，確保安全基線和安全技術(shù)規(guī)范在鐵路應用開發(fā)、科研管理、生產(chǎn)運營等工作中有效貫徹落實。

基于風險的網(wǎng)絡安全防御技術(shù)體系如圖3所示，在縱深防御能力建設方面，按照網(wǎng)絡安全等級保護2.0要求，優(yōu)化網(wǎng)絡安全基礎性防護措施，強化通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境安全防護。在此基礎上，利用安全態(tài)勢感知、異常行為深度檢測、威脅情報預警、資產(chǎn)深度數(shù)據(jù)防護等規(guī)劃，加強主動防御能力建設。

圖3 網(wǎng)絡安全防御技術(shù)體系

4.2 基于數(shù)據(jù)的縱深安全檢測

以提高鐵路網(wǎng)絡安全主動監(jiān)管能力為目標，圍繞鐵路系統(tǒng)核心資產(chǎn)、內(nèi)部風險脆弱點，依托滲透測試、風險評估、等級保護等手段，組織漏洞分析排查和補丁修復。通過對鐵路系統(tǒng)內(nèi)部終端設備、應用系統(tǒng)、網(wǎng)絡設備、存儲系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫等信息化資產(chǎn)的深度分析，對每個縱深層所產(chǎn)生的數(shù)據(jù)進行分析研判、信任評估，將不同縱深的數(shù)據(jù)進行融合關(guān)聯(lián)分析，不斷減少對威脅的檢測時間，完善檢測規(guī)則?；跀?shù)據(jù)的縱深安全檢測技術(shù)構(gòu)成如圖4所示。

圖4 基于數(shù)據(jù)的縱深安全檢測技術(shù)構(gòu)成

4.3 基于自動化手段的快速響應

以加強鐵路網(wǎng)絡安全持續(xù)響應能力為目標[9]，推進信息系統(tǒng)運維調(diào)度和應急指揮中心，強化對安全事件的調(diào)查取證和追蹤溯源能力。建立安全事件問題整改追蹤平臺，通過集約管理實現(xiàn)安全事件的敏捷運營及快速處置，形成安全響應聯(lián)動機制，優(yōu)化防護策略和控制措施，減少事件響應時間，不斷提升防護強度，網(wǎng)絡安全自動化響應流程如圖5所示。

圖5 網(wǎng)絡安全自動化響應流程示意

4.4 基于安全情報的威脅防控

以深化鐵路網(wǎng)絡安全主動防御能力為目標，依托信息溝通渠道和通報機制，借助大數(shù)據(jù)分析、可視化等技術(shù)，加快推進安全態(tài)勢平臺、安全情報分析平臺建設[10-11]。圍繞終端設備、服務器、業(yè)務系統(tǒng)的內(nèi)在安全要求，持續(xù)優(yōu)化鐵路網(wǎng)絡安全基線系統(tǒng)能力，逐漸實現(xiàn)對未知、新型攻擊的預測與研判，增強對鐵路系統(tǒng)內(nèi)部潛在威脅的識別、理解和預見性的安全能力。通過對網(wǎng)絡流量、系統(tǒng)日志、用戶行為、文件內(nèi)容等方面的深度檢測，構(gòu)建鐵路內(nèi)部威脅安全管控機制，對多種安全威脅數(shù)據(jù)進行自動化挖掘和網(wǎng)絡威脅情報關(guān)聯(lián)分析，實現(xiàn)網(wǎng)絡安全態(tài)勢感知和安全威脅的精準預測。

網(wǎng)絡安全威脅預警流程如圖6所示，包含感知、理解和預測3個層次的信息處理。感知層用于獲取網(wǎng)絡環(huán)境中的重要數(shù)據(jù)和安全信息；理解層用于整合、分析感知層的數(shù)據(jù)和信息，定性或定量地評估網(wǎng)絡環(huán)境的安全級別與可能面臨的安全威脅；預測層基于評估結(jié)果，預測網(wǎng)絡發(fā)展趨勢，輔助決策，防止大規(guī)模網(wǎng)絡安全事件的發(fā)生。

圖6 網(wǎng)絡安全威脅預警流程

5 結(jié)束語

基于自適應安全的鐵路網(wǎng)絡安全框架給出了以能力為導向的網(wǎng)絡安全規(guī)劃思路，能夠避免傳統(tǒng)模型下網(wǎng)絡安全產(chǎn)品的堆疊，將局部整改模式轉(zhuǎn)變?yōu)轶w系化規(guī)劃建設模式。本文介紹的規(guī)劃思路還需要長遠的驗證過程，同時也要匹配鐵路網(wǎng)絡安全工作過程中的現(xiàn)狀問題，不斷適應網(wǎng)絡安全的快速發(fā)展，確保安全能力能在鐵路系統(tǒng)內(nèi)有效集成，全面提升鐵路網(wǎng)絡安全保障能力。