鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護框架設(shè)計

王 超，趙英明，陳 勛，馮凱亮

（1.北京郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京 100876；2.中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；3.北京經(jīng)緯信息技術(shù)有限公司，北京 100081）

鐵路是國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，隨著近幾年高速鐵路技術(shù)的不斷進步，其在國民經(jīng)濟及綜合交通中占據(jù)越來越重要的地位[1]。隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G 技術(shù)的飛速發(fā)展，鐵路關(guān)鍵核心業(yè)務(wù)對信息化應(yīng)用的依賴程度逐步提升，鐵路關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全風險日趨凸顯和嚴峻[2]。特別是近年來針對關(guān)鍵信息基礎(chǔ)設(shè)施的黑客攻擊事件頻發(fā)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護面臨巨大挑戰(zhàn)[3]。

鐵路關(guān)鍵信息基礎(chǔ)設(shè)施不僅承擔旅客、原料等的運輸任務(wù)，且涉及大量的國家基礎(chǔ)數(shù)據(jù)和公民個人隱私信息。一旦鐵路關(guān)鍵信息基礎(chǔ)設(shè)施遭到破壞，將會對國家安全、經(jīng)濟穩(wěn)定和公民生命財產(chǎn)安全造成嚴重危害[4-5]。

關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施包括分析識別、安全防護、檢測評估、監(jiān)測預(yù)警和事件處置，其中，安全防護是實施關(guān)鍵信息基礎(chǔ)設(shè)施控制措施的核心。安全防護主要是在認定結(jié)果和識別安全風險的基礎(chǔ)上，制訂并實施管理、技術(shù)兩方面的安全控制措施，保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行。本文以國家相關(guān)政策標準為依據(jù)，設(shè)計鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護框架，并提出保護思路和控制措施。

1 安全防護框架總體設(shè)計

基于網(wǎng)絡(luò)安全等級保護2.0 及國家相關(guān)政策標準，本文以鐵路關(guān)鍵信息基礎(chǔ)設(shè)施為保護對象，提出一個具備“主動防御，精準防護，整體防護”能力的安全防護框架。該防護框架主要由安全管理機構(gòu)和人員、安全建設(shè)管理、安全網(wǎng)絡(luò)管理、安全運維管理及安全管理機制組成，如圖1 所示。

圖1 鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護框架

1.1 安全管理機構(gòu)和人員

安全管理機構(gòu)和人員的目標是建立鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全管理機構(gòu)并實施科學(xué)、完善的人員管理。為保障安全管理工作的有效實施，需建立一個完善安全的管理機構(gòu)。在單位內(nèi)部機構(gòu)的基礎(chǔ)上，構(gòu)建3 層階梯式安全管理機構(gòu)，即最高管理層—執(zhí)行管理層—系統(tǒng)日常運營層，以此作為安全管理措施正常執(zhí)行的保障。3 層階梯式安全管理機構(gòu)如圖2所示。

圖2 3 層階梯式管理機構(gòu)

此外，人是安全管理的關(guān)鍵因素。關(guān)鍵信息基礎(chǔ)設(shè)施的整個生命周期都需要人的參與。安全管理人員建立措施包括人員配備、人員管理、安全意識教育和培訓(xùn)等，定期對安全管理人員進行綜合管理評價，以確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運行。

1.2 安全建設(shè)管理

安全建設(shè)管理的目標是建立關(guān)鍵信息基礎(chǔ)設(shè)施在規(guī)劃、開發(fā)、實施、測試、驗收、交付等階段的控制措施，并將其落實到管理制度上，整理成文檔，確保各階段的工作質(zhì)量，以使工作流程符合安全管理要求，做到流程上的規(guī)范和全面。

1.2.1 規(guī)劃建設(shè)管理

在新建、改建或擴建關(guān)鍵信息基礎(chǔ)設(shè)施的過程中，應(yīng)嚴格落實“三同步制度”，即同步規(guī)劃、同步建設(shè)和同步運行。建設(shè)或改建之初，分析安全需求并基于該需求進行安全設(shè)計，細化安全機制。建設(shè)或改建時實施監(jiān)理等管控措施，建設(shè)完成后要進行安全檢測評估，重點檢測網(wǎng)絡(luò)安全問題，符合要求后進行驗收。設(shè)備完成驗收并部署上線后，保證安全設(shè)施的同步運行，要做到安全監(jiān)控、安全維護和安全應(yīng)急三管齊下。

1.2.2 基礎(chǔ)環(huán)境建設(shè)管理

基礎(chǔ)環(huán)境建設(shè)的內(nèi)容包括機房建設(shè)、系統(tǒng)集成、網(wǎng)絡(luò)改造建設(shè)等工程項目實施過程中的安全管理。機房基礎(chǔ)環(huán)境的安全建設(shè)需滿足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）標準的第四級要求[6]。工程實施的安全管理包括工程管理人員、工程過程控制、管理制度等方面。

1.2.3 信息系統(tǒng)建設(shè)管理

信息系統(tǒng)建設(shè)管理包括系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)驗收和系統(tǒng)上線管理。在系統(tǒng)開發(fā)管理中，首先制訂軟件開發(fā)管理制度、明確軟件設(shè)計和開發(fā)的相關(guān)文檔，并在軟件交付前委托第三方測試機構(gòu)進行惡意代碼的檢測與驗收測試。在系統(tǒng)測試管理中，指定詳細的測試規(guī)范，根據(jù)業(yè)務(wù)控制風險的要求進行嚴格代碼審核，在測試系統(tǒng)功能正常運行的基礎(chǔ)上，對其容錯能力、負載強度、系統(tǒng)性能、各模塊間接口正確性等進行測試，并對安全漏洞進行檢測。在系統(tǒng)驗收管理中，制訂明確的信息系統(tǒng)驗收標準，定義新系統(tǒng)的接收要求和標準并進行文檔化。系統(tǒng)上線管理包括系統(tǒng)上線材料的匯總、依據(jù)上線方案完成系統(tǒng)割接、對系統(tǒng)上線狀況進行監(jiān)測，以及對已出現(xiàn)問題的分析、處理和記錄。

1.2.4 供應(yīng)鏈及采購管理

供應(yīng)鏈管理包括明確供應(yīng)鏈保護措施，建立合格供應(yīng)商列表，使用可信或可控的分發(fā)、交付和倉儲手段，以保護供應(yīng)鏈相關(guān)信息；使用防篡改包裝，明確供應(yīng)商的篩選和退出機制，并對供應(yīng)商服務(wù)進行安全評估。在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，尤其對列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的設(shè)備和產(chǎn)品，要確保其滿足法律法規(guī)的規(guī)定和相關(guān)國家標準的要求。

1.3 安全網(wǎng)絡(luò)管理

安全網(wǎng)絡(luò)管理的目標是制訂有效安全防護策略，確保鐵路關(guān)鍵信息基礎(chǔ)設(shè)施日常管理及運營安全。

安全網(wǎng)絡(luò)管理需對不同的網(wǎng)絡(luò)安全域采取不同的安全互聯(lián)策略和邊界防護措施，包括安全互聯(lián)、信息流管控及軟硬件設(shè)備管控。

（1）安全互聯(lián)是指對不同網(wǎng)絡(luò)之間的互聯(lián)制訂嚴格的訪問策略，并通過統(tǒng)一身份與授權(quán)管理系統(tǒng)對用戶身份進行集中管理，確保不同系統(tǒng)或區(qū)域互聯(lián)過程中用戶身份、安全標記、訪問控制策略等信息的一致性。此外，安全互聯(lián)還包括通信前的身份認證，以加強局域網(wǎng)間遠程通信的安全防護。

（2）信息流管控要依據(jù)客戶隱私權(quán)和安全利益需求，制訂合適的信息流控制策略，控制系統(tǒng)內(nèi)及互連系統(tǒng)間的信息流動，定義信息傳輸中的禁用關(guān)鍵詞、特征及信息類型，檢查跨域傳輸中是否存在禁止類信息，并遵循信息流控制策略，不傳輸此類信息。

（3）對于軟硬件設(shè)備，加強對未授權(quán)設(shè)備的動態(tài)檢測和管控能力，確保只有經(jīng)授權(quán)的軟硬件設(shè)備才能直接連接關(guān)鍵信息基礎(chǔ)設(shè)施的信息系統(tǒng)。在軟硬件設(shè)備接入信息系統(tǒng)前要進行安全評估與標識授權(quán)，并實施注冊管控與實時監(jiān)測，確保能夠及時發(fā)現(xiàn)和阻止未授權(quán)設(shè)備接入并報警。

1.4 安全運維管理

安全運行與維護（簡稱：運維）管理的目標是設(shè)計日常和重要時期的保障機制，強化整體安全防御能力，保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運行。

1.4.1 物理環(huán)境管理

物理環(huán)境管理主要指針對機房環(huán)境的管理。

（1）在機房配置相應(yīng)的防雷擊、防火、防水、防潮和防靜電的安全措施，確保機房區(qū)域物理環(huán)境的安全可靠。

（2）建立機房安全管理制度、機房訪問人員管理制度及機房人員出入?yún)^(qū)域控制制度，對機房中部署的服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件設(shè)備的訪問進行嚴格控制。

1.4.2 風險管理

風險管理主要包括入侵防范、漏洞管理和信息安全風險事件管理。

（1）入侵防范采取多錨點監(jiān)測和實時監(jiān)測，對來自企業(yè)內(nèi)外部的入侵方進行精準定位，實時監(jiān)控并攔截入侵活動和攻擊性網(wǎng)絡(luò)流量。

（2）漏洞管理主要是定期開展安全測評，對系統(tǒng)和應(yīng)用程序中存在的漏洞進行識別、評估和修復(fù)，確保漏洞管理過程對業(yè)務(wù)連續(xù)性的影響在可接受范圍內(nèi)。

（3）信息安全風險事件管理，包括信息安全事件定級分類、系統(tǒng)風險評估，以及基于安全管理策略和需求的風險處置。

1.4.3 數(shù)據(jù)管理

隨著鐵路數(shù)據(jù)應(yīng)用的不斷深入，許多應(yīng)用需要與外部系統(tǒng)對接，在數(shù)據(jù)共享時必須保證數(shù)據(jù)開發(fā)、測試、生產(chǎn)、應(yīng)用等各個環(huán)節(jié)的安全。根據(jù)數(shù)據(jù)敏感程度及數(shù)據(jù)對業(yè)務(wù)的影響，對數(shù)據(jù)進行分類定級，為不同等級數(shù)據(jù)制訂相應(yīng)的保護策略。采取加密存儲傳輸、安全審計、數(shù)據(jù)備份等安全措施，嚴格控制重要數(shù)據(jù)的公開、分析、交換、共享、導(dǎo)出等關(guān)鍵環(huán)節(jié)。為了防止數(shù)據(jù)原發(fā)行為抵賴和數(shù)據(jù)接收行為抵賴，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)[7]。

1.4.4 信息系統(tǒng)管理

信息系統(tǒng)管理包括維護管理、容災(zāi)備份管理及業(yè)務(wù)連續(xù)性管理。

（1）維護管理包括維護人員的嚴格審核與授權(quán)，維護工具的審核與監(jiān)視，維護信息的記錄與維持，并在對鐵路關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)備、信息系統(tǒng)及網(wǎng)絡(luò)的維護之后，對可能受影響的安全措施進行檢測，以確保正常運行。

（2）容災(zāi)備份是保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施在發(fā)生意外或破壞時，恢復(fù)業(yè)務(wù)正常運行的重要措施[8]。選擇合適的災(zāi)難備份機制，對不同功能類型設(shè)施制訂不同的災(zāi)難備份目標和系統(tǒng)技術(shù)方案，例如，對重要系統(tǒng)實現(xiàn)異地備份；對數(shù)據(jù)更新快、完整性要求高的重要數(shù)據(jù)庫實現(xiàn)實時數(shù)據(jù)傳輸。制訂災(zāi)難恢復(fù)計劃，確保關(guān)鍵信息基礎(chǔ)設(shè)施能及時從網(wǎng)絡(luò)安全事件中恢復(fù)運行。

（3）業(yè)務(wù)連續(xù)性管理中，需要明確業(yè)務(wù)連續(xù)性計劃；對于重要數(shù)據(jù)，根據(jù)系統(tǒng)可用性要求，設(shè)置重要系統(tǒng)和數(shù)據(jù)處理設(shè)施冗余；對業(yè)務(wù)連續(xù)性管理系統(tǒng)的性能和網(wǎng)絡(luò)安全連續(xù)性進行實時監(jiān)控檢查。

1.4.5 外包管理

外包是指企業(yè)動態(tài)地配置自身和其他企業(yè)的功能和服務(wù)，并利用企業(yè)外部的資源為企業(yè)內(nèi)部的生產(chǎn)和經(jīng)營服務(wù)。雖然企業(yè)通過外包可以降低成本資源、獲得更好的技術(shù)，但是，缺乏對外包資源的完全控制和質(zhì)量控制，存在安全隱患。因此，在使用外包服務(wù)的過程中，應(yīng)根據(jù)符合國家有關(guān)規(guī)定進行外包運維服務(wù)商的選擇；簽訂協(xié)議時，需明確所有相關(guān)的安全要求。除此之外，要與外包人員簽署包括不同安全責任的合同書或保密協(xié)議，并限制其邏輯和物理資源的訪問權(quán)限，其所有訪問由專人全程陪同與監(jiān)督。

1.5 安全管理機制

安全管理機制主要包含日常安全保障工作機制、重要時期保障機制。

（1）日常安全保障機制：定期對運行的信息系統(tǒng)進行風險分析、風險評估和風險控制。

（2）重要時期保障機制：在國家重要活動、會議及國家節(jié)假日的重要時期，為鐵路關(guān)鍵信息基礎(chǔ)設(shè)施提供重保組織架構(gòu)設(shè)計、安全檢查、積極防護、實時監(jiān)測、響應(yīng)處理、威脅預(yù)警等安全服務(wù)，發(fā)現(xiàn)并修復(fù)重要系統(tǒng)中安全風險和安全防御體系的薄弱環(huán)節(jié)，保障重要時期的關(guān)鍵信息系統(tǒng)和數(shù)據(jù)資產(chǎn)安全，確保鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的正常運行。

2 關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)通信管控

（1）網(wǎng)絡(luò)架構(gòu)：合理規(guī)劃安全區(qū)域，規(guī)劃網(wǎng)絡(luò)IP 地址分配，設(shè)計網(wǎng)絡(luò)線路和網(wǎng)絡(luò)重要設(shè)備冗余，在網(wǎng)絡(luò)邊界部署安全設(shè)備。

（2）通信傳輸：通信數(shù)據(jù)的完整性通常是使用數(shù)字簽名或散列函數(shù)對密文進行保護，通信數(shù)據(jù)保密性是指報文或會話進行加密處理，防止造成信息泄露，常用技術(shù)有IPsec VPN 和SSL VPN。

（3）邊界防護：通過阻斷非授權(quán)設(shè)備連入內(nèi)網(wǎng)，阻斷內(nèi)部用戶私自連接到外網(wǎng)，確保無線網(wǎng)絡(luò)通過受控的邊界防護接入內(nèi)部網(wǎng)絡(luò)。針對外部威脅造成的安全風險，如木馬后門、病毒攻擊、拒絕服務(wù)攻擊、口令猜測、非法訪問等，通常采用基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)[9]進行風險阻斷。

（4）訪問控制：通用的訪問策略一般基于身份、規(guī)則或者兩者的結(jié)合。綜合訪問控制策略包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限訪問控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制、防火墻控制等。

2.2 數(shù)據(jù)安全保護

數(shù)據(jù)安全建設(shè)和防護的目標是在系統(tǒng)自身安全防護標準基礎(chǔ)上，基于數(shù)據(jù)分類、分級管理、敏感數(shù)據(jù)訪問控制、外泄的安全監(jiān)控及數(shù)據(jù)在傳輸和存儲過程中的加密管理，實現(xiàn)數(shù)據(jù)生命周期的安全管理，保證數(shù)據(jù)和信息不被非授權(quán)訪問、篡改或破壞等，從而確保數(shù)據(jù)的保密性、完整性、可用性[10]。具體涉及的技術(shù)有身份鑒別、安全訪問控制、數(shù)據(jù)安全審計、資源控制安全、數(shù)據(jù)完整性措施、數(shù)據(jù)保密性措施、數(shù)據(jù)容災(zāi)備份、數(shù)據(jù)庫系統(tǒng)安全措施等。

2.3 供應(yīng)鏈安全控制

（1）供應(yīng)鏈保護措施能夠降低攻擊者利用供應(yīng)鏈造成的危害，優(yōu)先購買現(xiàn)貨產(chǎn)品，并縮短采購決定和交付的時間間隔，使用可信或可控的分發(fā)、交付和倉儲手段保護供應(yīng)鏈相關(guān)信息，如通過向供應(yīng)商屏蔽關(guān)鍵信息、采取匿名采購或委托采購的方式，以降低因信息匯聚或關(guān)聯(lián)分析而獲得供應(yīng)鏈關(guān)鍵信息的可能性。

（2）在運輸或倉儲時使用防篡改包裝，如采取防偽標簽、安全封條，對封條使用和貨柜安全操作建立指導(dǎo)性規(guī)程。

（3）按照評估結(jié)果對供應(yīng)商產(chǎn)品進行質(zhì)量、可靠性、安全進行測試，并將合格的測試結(jié)果作為采購的條件。

2.4 重要時期保障

運用技術(shù)能力可以做到識別和發(fā)現(xiàn)鐵路系統(tǒng)在開展重大活動時可能面臨的網(wǎng)絡(luò)安全威脅和風險，重要時期保障能力是確保網(wǎng)絡(luò)安全措施有效的關(guān)鍵體現(xiàn)。結(jié)合歷屆的重要事件情況，分析威脅網(wǎng)絡(luò)安全的因素，可能的攻擊方式、攻擊入口、攻擊特點等，通過關(guān)鍵技術(shù)發(fā)現(xiàn)面對強隱蔽性、多樣性和高頻發(fā)的攻擊手段，在重大活動前，全面檢測鐵路關(guān)鍵信息系統(tǒng)，識別和發(fā)現(xiàn)已知的威脅和風險，并對可預(yù)知的風險和威脅設(shè)立監(jiān)測和防護機制，建立事前防護體系。關(guān)鍵技術(shù)運用能力主要體現(xiàn)在以下兩個方面。

（1）采用多維度漏洞和威脅檢測技術(shù)開展風險評估。安全風險評估主要是依據(jù)風險評估相關(guān)標準，通過人工配置檢查、訪談、漏洞掃描、失陷檢測、全流量威脅分析、木馬查殺、webshell 檢查和滲透測試等技術(shù)方法，對鐵路關(guān)鍵基礎(chǔ)設(shè)施的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、基礎(chǔ)軟件、平臺和應(yīng)用等進行安全檢查和風險評估，找出并發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置層面存在的安全問題，以及可能造成的安全風險。根據(jù)發(fā)現(xiàn)的安全問題和可能存在的安全風險進行安全加固，提高信息系統(tǒng)各層面抵抗風險的能力。

（2）采用探測和流量分析等技術(shù)進行持續(xù)安全監(jiān)測。為了及時掌握鐵路關(guān)鍵信息系統(tǒng)運行情況，可通過互聯(lián)網(wǎng)資產(chǎn)探測、網(wǎng)站安全監(jiān)測、全流量監(jiān)測、態(tài)勢感知等進行持續(xù)監(jiān)測，從而降低因安全問題、外部威脅而造成的負面影響；可對鐵路關(guān)鍵信息系統(tǒng)進行多方位的安全監(jiān)測工作，以便能夠及時發(fā)現(xiàn)并處理系統(tǒng)存在的安全問題，防止事態(tài)的蔓延。

3 結(jié)束語

本文在網(wǎng)絡(luò)安全等級保護2.0 要求的基礎(chǔ)上，以鐵路關(guān)鍵信息基礎(chǔ)設(shè)施為重點保護對象，建立一套基礎(chǔ)堅實、防護強化的鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護框架。從機構(gòu)和人員、建設(shè)、網(wǎng)絡(luò)、運維等各個階段，強化信息系統(tǒng)生命周期安全管理，有助于為鐵路信息系統(tǒng)構(gòu)建全面的網(wǎng)絡(luò)安全防御體系。未來，將針對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的發(fā)展應(yīng)用，進一步擴充安全防護框架技術(shù)體系，實現(xiàn)更加高效、靈活、通用的鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護框架。