鐵路通信網(wǎng)絡(luò)安全防護研究

李繼元

（中國國家鐵路集團有限公司 工電部，北京 100844）

0 引言

網(wǎng)絡(luò)安全通常指計算機網(wǎng)絡(luò)的安全，實際上也涵蓋計算機通信網(wǎng)絡(luò)的安全，進而逐漸延伸至電信網(wǎng)絡(luò)的安全。鐵路通信網(wǎng)是企業(yè)專網(wǎng)，由于自身的隔離屬性，網(wǎng)絡(luò)安全工作起步相對稍晚。黨的十八大以來，網(wǎng)絡(luò)安全逐步上升為國家戰(zhàn)略，并從國家層面統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，技術(shù)標準不斷完善，網(wǎng)絡(luò)安全方案趨于成熟，以此為契機，鐵路通信網(wǎng)絡(luò)安全工作在較高的起點起步，取得了初步成效。

1 鐵路通信網(wǎng)特點及網(wǎng)絡(luò)安全挑戰(zhàn)

鐵路通信網(wǎng)涵蓋承載網(wǎng)、業(yè)務網(wǎng)、支撐網(wǎng)3個部分。其中承載網(wǎng)是通信網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)，包括傳輸網(wǎng)絡(luò)和數(shù)據(jù)通信網(wǎng)絡(luò)，為鐵路各專業(yè)提供網(wǎng)絡(luò)接入和承載通道；業(yè)務網(wǎng)包括調(diào)度通信系統(tǒng)、專用移動通信系統(tǒng)、綜合視頻監(jiān)控系統(tǒng)、電視電話會議系統(tǒng)、專用應急通信系統(tǒng)等，是鐵路運輸生產(chǎn)和經(jīng)營管理的重要通信手段；支撐網(wǎng)主要指時鐘及時間同步網(wǎng)。此外，隨著新技術(shù)不斷采用，通信電源、電源及環(huán)境監(jiān)控以及各類監(jiān)測檢測系統(tǒng)也大量運用信息化手段，成為鐵路通信網(wǎng)安全運行的重要支撐系統(tǒng)，對保障承載網(wǎng)和業(yè)務網(wǎng)的正常運行、監(jiān)控網(wǎng)絡(luò)運行和服務質(zhì)量發(fā)揮著重要作用。隨著鐵路通信網(wǎng)發(fā)展，基于傳統(tǒng)電信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全觀念和技術(shù)手段已難以適應現(xiàn)實需要，鐵路通信網(wǎng)絡(luò)安全風險主要呈現(xiàn)以下特點：

（1）網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)配置管理越來越復雜，鐵路通信網(wǎng)實現(xiàn)可視、可管、可控、可測、可靠、可信的難度進一步加大；

（2）各類業(yè)務應用不斷拓展，鐵路通信網(wǎng)承載需求增多，安全防護邊界也相應增加；

（3）鐵路通信網(wǎng)運行管理的安全策略研究不足，標準體系和配置規(guī)則亟待健全。

2 網(wǎng)絡(luò)安全防護思路

2.1 完善技術(shù)標準

提升鐵路通信網(wǎng)網(wǎng)絡(luò)安全能力，必須標準先行。當前，鐵路通信網(wǎng)絡(luò)安全是以電信安全技術(shù)為基礎(chǔ)，借鑒計算機網(wǎng)絡(luò)安全防護思路，重點強化運維支撐系統(tǒng)，突出網(wǎng)絡(luò)與數(shù)據(jù)安全并重，逐步形成鐵路通信網(wǎng)絡(luò)安全技術(shù)標準體系。2015年以來，在TG/XH 103—2015《鐵路電務安全規(guī)則》、TG/TX 106—2014《鐵路通信維護規(guī)則》和有關(guān)技術(shù)規(guī)章的基礎(chǔ)上，參考網(wǎng)絡(luò)安全等級保護、YD/T 1746—2014《IP承載網(wǎng)安全防護要求》和YD/T 1163—2001《IP網(wǎng)絡(luò)安全技術(shù)要求-安全框架》等通信行業(yè)標準，制定了“鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)安全檢查關(guān)鍵項點”和“鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)管系統(tǒng)安全防護基本配置要求”等專項技術(shù)方案，在全路范圍內(nèi)實施了鐵路數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)安全專項整治，通過實踐和驗證，對基于傳輸控制協(xié)議和網(wǎng)際協(xié)議（TCP/IP）架構(gòu)的通信網(wǎng)管系統(tǒng)或關(guān)鍵業(yè)務局域網(wǎng)建立了網(wǎng)絡(luò)安全基本防護框架，后續(xù)支撐了相關(guān)通信系統(tǒng)網(wǎng)管和通信業(yè)務的等級保護定級、測評、整改等工作。在此基礎(chǔ)上，制定了鐵路通信網(wǎng)絡(luò)安全防護系列技術(shù)要求（Q/CR 783系列標準），目前已發(fā)布鐵路通信網(wǎng)絡(luò)安全總體要求、承載網(wǎng)、綜合視頻監(jiān)控等方面的網(wǎng)絡(luò)安全標準，專用移動通信、安全管理中心、安全基線等方面的網(wǎng)絡(luò)安全標準也將陸續(xù)制定，初步構(gòu)建完整的鐵路通信網(wǎng)網(wǎng)絡(luò)安全技術(shù)標準體系，為鐵路通信網(wǎng)絡(luò)安全防護、安全補強和安全建設(shè)提供標準支撐。

2.2 明確行動措施

提升鐵路通信網(wǎng)網(wǎng)絡(luò)安全能力，必須科學施策。在鐵路通信網(wǎng)絡(luò)的安全檢查中，網(wǎng)絡(luò)安全薄弱環(huán)節(jié)逐步顯現(xiàn)，部分通信系統(tǒng)的網(wǎng)管和通信業(yè)務進行等級保護測評時，測評結(jié)果和預期存在較大差距。通過對近年來測評結(jié)果分析，除了部分硬件投入的因素，主要矛盾集中在安全區(qū)域邊界和安全計算環(huán)境兩大方面，存在大量高風險項點，成為鐵路通信系統(tǒng)網(wǎng)絡(luò)安全測評的主要失分因素。

網(wǎng)絡(luò)安全防護補強是一項長期性、綜合性工作，按照中國國家鐵路集團有限公司（簡稱國鐵集團）工電部2021年電務工作會議上提出的“整合、集中、防護”的“三步走”整治策略［1］，一是系統(tǒng)推進網(wǎng)管、業(yè)務、監(jiān)測等系統(tǒng)的分類整合，減少各類應用系統(tǒng)數(shù)量；二是對同類系統(tǒng)的服務器進行分域集中或云化部署，盡最大可能簡化并保持統(tǒng)一的網(wǎng)絡(luò)邊界；三是對整合、簡化后的系統(tǒng)及邊界采取必要的安全加固和防護補強措施。

此外，結(jié)合鐵路通信網(wǎng)運行管理現(xiàn)狀，還應從以下幾方面著重提高管理水平：一是加強隊伍建設(shè)和完善管理制度，充分管好、用好現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備設(shè)施；二是在網(wǎng)管中心基礎(chǔ)上加快推進安全管理中心建設(shè)，逐步實現(xiàn)安全設(shè)備和安全應用的體系化管理；三是統(tǒng)籌規(guī)劃和合理布局，結(jié)合鐵路基本建設(shè)工程和技術(shù)改造項目有序?qū)嵤┚W(wǎng)絡(luò)安全建設(shè)，設(shè)計方案和施工組織應充分考慮運行管理的靈活性及業(yè)務接入的便利性，避免后續(xù)出現(xiàn)能力不足、權(quán)限不均等技術(shù)瓶頸。

3 通信網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

3.1 訪問控制

訪問控制技術(shù)能夠有效防止對網(wǎng)絡(luò)資源的非法訪問和使用，主要包括網(wǎng)絡(luò)權(quán)限控制、屬性控制、入網(wǎng)訪問控制以及目錄級控制等［2］。

網(wǎng)絡(luò)權(quán)限控制是指分權(quán)分域管理，用戶不具備訪問所有信息資源的權(quán)限，只有部分權(quán)限，可以對某些文件或目錄進行訪問，從而實現(xiàn)訪問控制的第2層保護；屬性控制是較高級的安全保護，網(wǎng)絡(luò)管理人員針對網(wǎng)絡(luò)資源，提前進行安全屬性的差異性設(shè)置，不同的用戶匹配不同的網(wǎng)絡(luò)控制訪問表，規(guī)范用戶訪問此網(wǎng)絡(luò)資源的能力，并對各類用戶制定不同的訪問權(quán)限；入網(wǎng)訪問控制是指通過控制用戶以此實現(xiàn)訪問控制的第1層保護，即只有操作符合規(guī)定的用戶才能進行登錄訪問；目錄級安全控制是指網(wǎng)絡(luò)給予用戶一定的權(quán)限，用戶可以對目錄和文件進行訪問，此外還可以根據(jù)相關(guān)指令，對以下級別的文件信息進行訪問。

3.2 入侵檢測

入侵檢測技術(shù)是對網(wǎng)絡(luò)行為進行分析的技術(shù)，能夠檢測、防止或限制從網(wǎng)絡(luò)內(nèi)部或外部發(fā)起的網(wǎng)絡(luò)攻擊行為，并記錄檢測到的攻擊行為，包括攻擊源IP地址、攻擊類型、攻擊目標、攻擊事件等。應用入侵檢測技術(shù)可以有效攔截并響應非法入侵［3］。

隨著入侵技術(shù)的升級，以前單一易識別的入侵攻擊技術(shù)開始具備一些新的特點，包括攻擊方式升級（Advanced）、持續(xù)時間長（Persistent）、殺傷力大（Threat），被稱為高級持續(xù)性威脅（APT），危害性和攻擊鏈的復雜度大大提升。APT攻擊可以大致分為探測期、入侵期、潛伏期、退出期4個階段。攻擊者會采用復雜的技術(shù)手段開展相應攻擊，綜合各類檢測技術(shù)從多層面及時檢測出具有APT特征的異常是APT防御的關(guān)鍵。防御技術(shù)包括使用威脅情報、建立強大的出口規(guī)則、收集全面的日志分析、異常流量分析技術(shù)和大數(shù)據(jù)分析技術(shù)，需要建立安全管控中心和安全運維體系才能有效應對APT的安全威脅。

3.3 虛擬專網(wǎng)與切片隔離

通過采用虛擬專網(wǎng)（VPN）技術(shù)，可以在1張IP承載網(wǎng)上為不同業(yè)務分別提供廣域網(wǎng)專網(wǎng)組網(wǎng)，并保證相互間的網(wǎng)絡(luò)隔離。鐵路數(shù)據(jù)通信網(wǎng)主要采用多協(xié)議標簽交換和邊界網(wǎng)關(guān)協(xié)議（MPLS/BGP）VPN方式區(qū)別承載相應的業(yè)務系統(tǒng)，少量采用虛擬專用局域網(wǎng)業(yè)務（VPLS）等方式實現(xiàn)2層VPN功能。

網(wǎng)絡(luò)切片是將網(wǎng)絡(luò)資源按照需要分離出多個虛擬網(wǎng)絡(luò)的技術(shù)。網(wǎng)絡(luò)切片是為統(tǒng)籌網(wǎng)絡(luò)承載并滿足差異化業(yè)務需求而設(shè)計的，特別是硬切片技術(shù)帶來的高隔離度和高可靠性，可以在更高程度上實現(xiàn)業(yè)務網(wǎng)絡(luò)的相互隔離，進一步強化了不同業(yè)務網(wǎng)絡(luò)間的安全防護。

面向鐵路新一代移動通信網(wǎng)絡(luò)的應用，切片隔離技術(shù)將覆蓋承載網(wǎng)、無線網(wǎng)和核心網(wǎng)。其中承載網(wǎng)的切片技術(shù)以靈活以太網(wǎng)（FlexE）技術(shù)為主，在介質(zhì)訪問控制層（MAC）和實體層（PHY）或?qū)嶓w編碼子層（PCS）之間創(chuàng)造出一個新的中介層，通過每66個字節(jié)的調(diào)度機制，實現(xiàn)不同切片的數(shù)據(jù)轉(zhuǎn)發(fā)。無線網(wǎng)切片主要是通過靈活的幀結(jié)構(gòu)設(shè)計，讓每個切片有專用資源塊（RB）分配和映射，形成切片間資源的隔離，并進行幀格式、調(diào)度優(yōu)先級等參數(shù)的配置，從而保證切片空口側(cè)的性能需求。核心網(wǎng)切片技術(shù)的核心是網(wǎng)絡(luò)功能虛擬化（NFV），NFV從傳統(tǒng)網(wǎng)絡(luò)中分離出硬件和軟件部分，硬件由統(tǒng)一的服務器部署，軟件由不同的網(wǎng)絡(luò)功能（NF）承擔，從而實現(xiàn)靈活組裝業(yè)務的需求。網(wǎng)絡(luò)切片是基于邏輯的概念，是對資源進行的重組，重組是根據(jù)服務等級協(xié)議（SLA）為特定的通信服務類型選定所需要的虛擬機和物理資源［4］。

3.4 網(wǎng)絡(luò)準入認證

網(wǎng)絡(luò)準入認證是確保合法用戶接入網(wǎng)絡(luò)，拒絕非法用戶以及失陷終端接入請求，從源頭確保網(wǎng)絡(luò)安全的機制。網(wǎng)絡(luò)準入認證技術(shù)包括用戶身份認證、終端完整性檢查、終端安全隔離與修補、非法終端網(wǎng)絡(luò)阻斷、接入強制技術(shù)等。

根據(jù)安全風險威脅情況、等保定級的要求以及安全管理要求，對于同一類認證機制會有不同的技術(shù)選擇。如在低風險時使用口令，在高風險時就需要使用一次性口令（OTP），更高一些的安全要求需要使用雙因素認證，且對其中之一使用OTP或基于生物特征認證，在認證同時需要雙方確認身份并為后續(xù)通信提供加密密鑰的可以使用數(shù)字證書認證。主要的認證方式包括遠程用戶撥號認證系統(tǒng)（RADIUS）、終端訪問控制器訪問控制系統(tǒng)（TACACS認證、授權(quán)、計費是分離的，可用TCP49端口）、網(wǎng)絡(luò)授權(quán)協(xié)議（Kerberos）、輕型目錄訪問協(xié)議（LDAP）、IEEE 802.1X（基于端口）等。其中可擴展的身份驗證協(xié)議（EAP）是802.1X的核心認證機制，也經(jīng)常與RADIUS、LDAP等結(jié)合使用。根據(jù)不同的網(wǎng)絡(luò)接入環(huán)境，為方便業(yè)務接入還會使用網(wǎng)頁統(tǒng)一認證（Portal認證）方案、多種認證方式共存可選（Triple認證）方案等［5］。

3.5 加密通信與密碼保護

發(fā)送者要通過網(wǎng)絡(luò)將信息傳送給接收者，首先需要將欲傳送的信息（明文），經(jīng)過加密密鑰加密成密文在網(wǎng)絡(luò)上傳播（看到的是密文，不知其真實內(nèi)容）。接收者用解密密鑰，將密文還原成明文，即可知所發(fā)送信息內(nèi)容。

密碼保護的核心是算法，按照算法基本特點可分為對稱算法和非對稱算法兩大類，還有用于特征提取的雜湊算法［6］。常見對稱算法包括國際算法的數(shù)據(jù)加密標準（DES）、三重DES（3DES）、高級加密標準（AES），國密算法的商密1、4、7號算法（SM1、SM4、SM7）和祖沖之密碼（ZUC）。非對稱算法包括國際算法的公開密鑰密碼體制（RSA），國密算法的商密2、9號算法（SM2、SM9）。雜湊算法包括國際算法的散列函數(shù)校驗（如MD5）、國密算法的商密3號算法（SM3）［5］。從算法的使用方式看，SM1、SM7算法不公開，調(diào)用該算法時，需要通過加密芯片的接口進行調(diào)用，其他算法都可通過軟件實現(xiàn)。SM9算法是標識密碼算法，是比較新的算法，可采用手機號碼或郵件地址作為公鑰，實現(xiàn)數(shù)據(jù)加密、身份認證、通話加密、通道加密等安全應用，不用申請數(shù)字證書，使用方便，易于部署，適用于各種新興應用的安全保障。如基于云技術(shù)的密碼服務、電子郵件安全、智能終端保護、物聯(lián)網(wǎng)安全、云存儲安全等。這些算法已廣泛應用于各個領(lǐng)域中，在鐵路通信領(lǐng)域的典型應用是在GSM-R專用移動通信系統(tǒng)，即以國產(chǎn)密碼設(shè)備和技術(shù)產(chǎn)生用戶密鑰，密鑰管理系統(tǒng)生成密鑰（Ki）后，由制卡系統(tǒng)以安全的數(shù)字信封機制，向用戶身份識別（SIM）卡和鑒權(quán)中心（AuC）系統(tǒng)分發(fā)密鑰。設(shè)置在北京、武漢的AuC通過密碼機接收密鑰，經(jīng)加密機解密后將Ki導入歸屬位置寄存器（HLR）設(shè)備。實現(xiàn)鑒權(quán)文件傳遞過程的二次加密。此外，鐵路綜合視頻監(jiān)控也正在逐步建立基于認證機構(gòu)（CA）證書的終端準入體系。

3.6 網(wǎng)絡(luò)態(tài)勢感知

態(tài)勢感知是在一定時間和空間內(nèi)對環(huán)境因素的獲取、理解和對未來短期的預測，分析空間環(huán)境信息，快速判斷當前及未來形勢并作出正確反應。網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、展示以及對發(fā)展趨勢進行預測，從而幫助決策和行動。

網(wǎng)絡(luò)安全態(tài)勢感知是一種基于環(huán)境動態(tài)的、整體的洞悉安全風險的能力，利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、特征提取、智能分析、態(tài)勢預測和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，為網(wǎng)絡(luò)安全保障提供技術(shù)支撐［7-8］。

4 安全管理中心

2019年，GB/T 22239—2019《信息安全技術(shù)：網(wǎng)絡(luò)安全等級保護基本要求》、GB/T 28448—2019《信息安全技術(shù)：網(wǎng)絡(luò)安全等級保護測評要求》、GB/T 25070—2019《信息安全技術(shù)：網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等網(wǎng)絡(luò)安全等級保護核心標準陸續(xù)發(fā)布，網(wǎng)絡(luò)安全等級保護進入2.0時代，等級保護由1.0的被動防御提升到2.0的主動防御，等級保護2.0將等級保護的基本要求、測評要求和安全設(shè)計技術(shù)要求框架實現(xiàn)了統(tǒng)一，即形成安全管理中心支持下的三重防護結(jié)構(gòu)框架，三重防護分別為安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境。

參考等級保護2.0標準，為改變鐵路通信網(wǎng)絡(luò)存在的安全數(shù)據(jù)分散、單一維度無法應對高級威脅、響應處置困難、缺乏預警手段等問題，必須盡快建立鐵路通信網(wǎng)絡(luò)安全管理中心，提升網(wǎng)絡(luò)態(tài)勢感知、主動防御能力。

構(gòu)建鐵路通信安全管理中心，主要應包括安全管理平臺、終端準入、終端防護、漏洞掃描、堡壘機、數(shù)據(jù)交換網(wǎng)閘，實現(xiàn)對各網(wǎng)管系統(tǒng)設(shè)備的資產(chǎn)管理、數(shù)據(jù)采集、態(tài)勢感知分析、終端安全管控、漏洞掃描、運維及安全審計管控等功能，對鐵路通信網(wǎng)資產(chǎn)、安全事件、數(shù)據(jù)流量進行集中管控、統(tǒng)一分析，實現(xiàn)全路通信網(wǎng)絡(luò)安全的態(tài)勢感知。鐵路通信網(wǎng)絡(luò)安全管理中心組網(wǎng)示例［9］見圖1。

圖1 鐵路通信網(wǎng)絡(luò)安全管理中心組網(wǎng)示例

總之，參考等級保護2.0標準、依據(jù)鐵路通信網(wǎng)絡(luò)安全防護技術(shù)要求（Q/CR 783系列），完善網(wǎng)絡(luò)態(tài)勢感知架構(gòu)，增強主動防御手段，引入外部安全威脅情報，著力提升面向?qū)崙?zhàn)化的全局態(tài)勢感知體系，是推進鐵路通信網(wǎng)絡(luò)安全的重要工作。按照鐵路通信網(wǎng)分級管理、集中管控和“全程全網(wǎng)”運行的總體目標，必須加快國鐵集團、鐵路局集團公司的兩級通信網(wǎng)絡(luò)態(tài)勢感知能力建設(shè)，系統(tǒng)性完善通信網(wǎng)絡(luò)安全保障能力。

5 結(jié)束語

鐵路通信網(wǎng)絡(luò)安全關(guān)乎鐵路運輸生產(chǎn)、調(diào)度指揮以及生產(chǎn)經(jīng)營各類業(yè)務的暢通、穩(wěn)定、可靠運用，是一項長期性工作，貫穿于網(wǎng)絡(luò)建設(shè)、運行、維護和使用全過程，要不斷發(fā)現(xiàn)問題、逐步提高完善，達到安全可信［10］。做好通信網(wǎng)絡(luò)安全防護，要樹立正確的網(wǎng)絡(luò)安全觀，切實增強通信網(wǎng)安全防護能力和網(wǎng)絡(luò)安全事件應急處置能力，建立健全網(wǎng)絡(luò)安全信息統(tǒng)籌機制，健全網(wǎng)絡(luò)安全技術(shù)管理和運行維護體系，做到關(guān)口前移，防患于未然。鐵路通信網(wǎng)絡(luò)安全更是一項系統(tǒng)性工作，既涵蓋物理環(huán)境、通信網(wǎng)絡(luò)、邊界防護、計算環(huán)境、管理中心等硬件投入，更要有健全完善的管理制度、技術(shù)標準、運管機構(gòu)、作業(yè)人員等軟件配套。只有切實將必要的硬件投入和充分的軟件配套落到實處，才能不斷提高鐵路通信網(wǎng)絡(luò)安全的工作水平。