新形勢下鐵路網(wǎng)絡(luò)安全防御機(jī)制研究

區(qū)奕據(jù)

（中國鐵路廣州局集團(tuán)有限公司 信息技術(shù)所，廣州 510088）

網(wǎng)絡(luò)安全新形勢主要表現(xiàn)在以下3個(gè)方面。（1）國內(nèi)外網(wǎng)絡(luò)環(huán)境發(fā)生較大變化：以網(wǎng)絡(luò)為主要媒介的工作、生活方式逐步流行，針對網(wǎng)絡(luò)的攻擊行為也逐步升級，圍繞疫情話題的攻擊呈爆發(fā)式增長[1-2]。（2）新技術(shù)應(yīng)用引發(fā)了新的網(wǎng)絡(luò)安全問題：以工業(yè)互聯(lián)網(wǎng)、人工智能等技術(shù)為代表的新技術(shù)正不斷被應(yīng)用，增加了設(shè)備聯(lián)通性的同時(shí)，也使得網(wǎng)絡(luò)暴露面明顯增加。（3）各國加快制定網(wǎng)絡(luò)安全防護(hù)戰(zhàn)略進(jìn)程：美國在《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》中規(guī)定了網(wǎng)絡(luò)攻擊發(fā)生后的報(bào)告制度[3]，澳大利亞在《2021年安全立法修正案法》中規(guī)定網(wǎng)絡(luò)安全事件需要強(qiáng)制報(bào)告，我國也已實(shí)施《中華人民共和國個(gè)人信息保護(hù)法》等多部法律法規(guī)。

已有的網(wǎng)絡(luò)安全防御體系采用在不同區(qū)域之間邏輯隔離，并在各自區(qū)域內(nèi)進(jìn)行部署的方案[4]。鐵路網(wǎng)絡(luò)安全防御已實(shí)現(xiàn)從整體上建立防御體系，并針對關(guān)鍵系統(tǒng)建立重點(diǎn)防御機(jī)制[5-6]。隨著網(wǎng)絡(luò)安全形勢的變化，攻擊者發(fā)起攻擊的模式不斷升級，攻擊目標(biāo)有所變化，因此，亟需根據(jù)新環(huán)境及新需求，從機(jī)制上深入研究，滿足新形勢下鐵路網(wǎng)絡(luò)安全防御的要求。本文基于當(dāng)前研究成果、網(wǎng)絡(luò)安全背景及發(fā)展趨勢，從防御框架出發(fā)，研究新形勢下鐵路網(wǎng)絡(luò)安全防御機(jī)制。

1 需求分析

鐵路網(wǎng)絡(luò)安全防御須與網(wǎng)絡(luò)安全形勢、網(wǎng)絡(luò)安全防御策略、新技術(shù)應(yīng)用等相適應(yīng)。

1.1 網(wǎng)絡(luò)安全形勢

網(wǎng)絡(luò)安全形勢變化方面，鐵路網(wǎng)絡(luò)在已實(shí)現(xiàn)的態(tài)勢感知基礎(chǔ)上，須隨著網(wǎng)絡(luò)安全事件發(fā)生的規(guī)律特點(diǎn)，對不同場景的網(wǎng)絡(luò)接入、數(shù)據(jù)等開展監(jiān)測與檢測。目前，網(wǎng)絡(luò)安全事件呈現(xiàn)出多領(lǐng)域、多維度發(fā)生的特點(diǎn)，需要在態(tài)勢感知技術(shù)更新的同時(shí)，實(shí)現(xiàn)事前預(yù)警、事中響應(yīng)與事后處置，針對常規(guī)網(wǎng)絡(luò)攻擊開展普適性防御，并在攻擊目標(biāo)明確時(shí)，實(shí)現(xiàn)特殊防護(hù)。例如，在面對已被通報(bào)的攻擊事件時(shí)，可采取針對性防御措施[7]。

1.2 網(wǎng)絡(luò)安全防御策略

網(wǎng)絡(luò)安全防御策略方面，隨著網(wǎng)絡(luò)用戶增加及監(jiān)測標(biāo)準(zhǔn)的提高，用戶行為分析、接入權(quán)限限制、終端安全管理等方面的需求也隨之增加。在網(wǎng)絡(luò)邊界不斷擴(kuò)展的情況下，需要強(qiáng)化網(wǎng)絡(luò)資產(chǎn)管理，進(jìn)一步明確目標(biāo)資產(chǎn)的數(shù)量、部署位置、數(shù)據(jù)流向、運(yùn)行狀況等屬性，為網(wǎng)絡(luò)安全防御提供信息基礎(chǔ)[8]。

1.3 新技術(shù)應(yīng)用

新技術(shù)應(yīng)用方面，工業(yè)互聯(lián)網(wǎng)、云計(jì)算等新技術(shù)的發(fā)展進(jìn)一步豐富了鐵路網(wǎng)絡(luò)數(shù)據(jù)的類型和數(shù)量，當(dāng)前的網(wǎng)絡(luò)攻擊方式也從設(shè)備管理權(quán)限奪取向數(shù)據(jù)權(quán)限奪取轉(zhuǎn)變。因此，新的機(jī)制需對網(wǎng)絡(luò)數(shù)據(jù)開展針對性防護(hù)，對從數(shù)據(jù)產(chǎn)生到銷毀的各個(gè)環(huán)節(jié)開展風(fēng)險(xiǎn)管控，對于敏感數(shù)據(jù)需要在已有的數(shù)據(jù)保護(hù)基礎(chǔ)上開展特殊保護(hù)，經(jīng)過脫敏等特殊處理后再進(jìn)行一般處理[9]。

2 鐵路網(wǎng)絡(luò)安全防御機(jī)制

針對上述網(wǎng)絡(luò)安全防御需求，本文提出新形勢下的鐵路網(wǎng)絡(luò)安全防御機(jī)制，如圖1所示。

圖1 鐵路網(wǎng)絡(luò)安全防御機(jī)制

該防御機(jī)制以攻擊行為原理分析為中心，包含整體防御、防御執(zhí)行、技術(shù)研究和協(xié)作防御4個(gè)方向。在網(wǎng)絡(luò)安全防御執(zhí)行過程中，以事先建立的防御框架為基礎(chǔ)，通過構(gòu)建防御執(zhí)行流程，從流程中分析需要的防御技術(shù)，在技術(shù)研究環(huán)節(jié)中開展新型防御技術(shù)攻關(guān)與相應(yīng)的模型應(yīng)用，最終在應(yīng)用新的防御技術(shù)的基礎(chǔ)上實(shí)現(xiàn)強(qiáng)化協(xié)作防御的目標(biāo)，并形成新的整體防御框架。

2.1 整體防御

鐵路網(wǎng)絡(luò)安全防御框架涵蓋網(wǎng)絡(luò)安全防御的整個(gè)過程，作為鐵路網(wǎng)絡(luò)安全防御機(jī)制的基礎(chǔ)，需從威脅源頭展開分析，圍繞感知、處理、分析、評估等關(guān)鍵環(huán)節(jié)進(jìn)行框架構(gòu)建，如圖2所示。

圖2 鐵路網(wǎng)絡(luò)安全防御框架

（1）威脅來源與環(huán)境感知。作為鐵路網(wǎng)絡(luò)安全防御框架的基礎(chǔ)，該層主要由感知設(shè)備、威脅分析人員和專家共同參與?；谛滦蝿菹戮W(wǎng)絡(luò)攻擊行為的隨機(jī)性、攻擊目標(biāo)的不確定性等因素，本文在采用網(wǎng)絡(luò)數(shù)據(jù)采集、平臺數(shù)據(jù)匯總、傳感數(shù)據(jù)采集等常規(guī)手段的基礎(chǔ)上，提出了針對威脅信息的隨機(jī)推送策略。該策略包括對已登記威脅信息的推送，可用于威脅數(shù)據(jù)采集、分析及處置，實(shí)現(xiàn)在安全防護(hù)設(shè)備運(yùn)行時(shí)威脅數(shù)據(jù)的采集功能。

（2）威脅數(shù)據(jù)加工處理。該層以上一層數(shù)據(jù)為處理對象，鑒別威脅數(shù)據(jù)中的噪聲數(shù)據(jù)并進(jìn)行刪除、修正等處理后，通過匯聚分析、關(guān)聯(lián)模型構(gòu)建及知識圖譜構(gòu)建方式來建立不同數(shù)據(jù)之間的聯(lián)系，并以關(guān)系構(gòu)建反饋方式向數(shù)據(jù)采集環(huán)節(jié)反饋數(shù)據(jù)質(zhì)量。

（3）威脅事件分析。本層是在搜索威脅數(shù)據(jù)元素（如數(shù)據(jù)的采集時(shí)間、地點(diǎn)、數(shù)據(jù)內(nèi)容等）的基礎(chǔ)上，進(jìn)行事件溯源及處置預(yù)案設(shè)定。①無效數(shù)據(jù)主要包括收集到的明顯違反常規(guī)的數(shù)據(jù)和威脅事件重復(fù)數(shù)據(jù)，根據(jù)威脅事件發(fā)生的規(guī)律可對其作刪除處理；②假設(shè)驗(yàn)證與檢驗(yàn)是威脅事件關(guān)系分析的一種策略，通過研究數(shù)據(jù)之間的關(guān)系來假設(shè)威脅事件發(fā)生的時(shí)間、攻擊方式、形成的后果等，并對其進(jìn)行驗(yàn)證；③情報(bào)事件關(guān)聯(lián)是對一系列威脅事件進(jìn)行時(shí)間排序，對于多次出現(xiàn)的威脅事件，根據(jù)事件發(fā)生的時(shí)間、地點(diǎn)，提示威脅事件的處置重點(diǎn)，對有關(guān)聯(lián)性的數(shù)據(jù)進(jìn)行推導(dǎo)及預(yù)測。

（4）防御效果評估。防御指標(biāo)是對威脅事件防御量化考核的依據(jù)。現(xiàn)階段的防御資源一定程度上反映了前期防御工作的基礎(chǔ)；威脅分析方法是否高效在一定程度上反映了當(dāng)前的防御機(jī)制是否運(yùn)行暢通及對威脅事件的響應(yīng)效率。本文綜合現(xiàn)有的防御資源及防御效果，從防御資源是否充足、威脅分析方法是否高效、防御路徑是否可行等方面提出防御工作應(yīng)該實(shí)現(xiàn)的目標(biāo)，具體指標(biāo)包括威脅事件響應(yīng)速度、處理效果、追蹤溯源及基于事件的改進(jìn)需求等。

2.2 防御執(zhí)行

根據(jù)前文提出的鐵路網(wǎng)絡(luò)安全防御框架，通過威脅數(shù)據(jù)分析、處理等技術(shù)，構(gòu)建了鐵路網(wǎng)絡(luò)安全防御執(zhí)行流程，如圖3所示。

圖3 鐵路網(wǎng)絡(luò)安全防御執(zhí)行流程

（1）威脅感知是防御觸發(fā)的前提條件，這一階段的作用是收集數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分類存儲。感知內(nèi)容包括威脅結(jié)構(gòu)數(shù)據(jù)、系統(tǒng)漏洞數(shù)據(jù)、用戶行為數(shù)據(jù)及脆弱性數(shù)據(jù)等；

（2）威脅響應(yīng)階段針對感知數(shù)據(jù)進(jìn)行威脅分析，即從已收集到的數(shù)據(jù)中開展分析，通過對感知數(shù)據(jù)的進(jìn)一步處理，形成防御觸發(fā)的依據(jù)，包括威脅數(shù)據(jù)研判、威脅數(shù)據(jù)與策略間關(guān)聯(lián)匹配、威脅分析及威脅事件關(guān)聯(lián)防御等；

（3）防御觸發(fā)是在威脅感知與響應(yīng)的基礎(chǔ)上進(jìn)行的執(zhí)行環(huán)節(jié)。根據(jù)威脅響應(yīng)得出的結(jié)果，在防御觸發(fā)過程中采取相應(yīng)的策略，包括防御資源配置、攻擊行為預(yù)測、輔助決策研判、用戶流量監(jiān)控等。

2.3 技術(shù)研究

技術(shù)研究主要是針對新型網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行技術(shù)攻關(guān)與模型應(yīng)用研究，是鐵路網(wǎng)絡(luò)安全防御機(jī)制的重要環(huán)節(jié)，利用網(wǎng)絡(luò)技術(shù)、通信技術(shù)，以及數(shù)據(jù)挖掘、人工智能等技術(shù)，結(jié)合理論與實(shí)際構(gòu)建相應(yīng)的模型，例如通過數(shù)據(jù)分析模型構(gòu)建日常網(wǎng)絡(luò)安全數(shù)據(jù)的評估、預(yù)測模型，對網(wǎng)絡(luò)事件的時(shí)間、地點(diǎn)、類型開展預(yù)警。本文將技術(shù)研究分為基礎(chǔ)理論創(chuàng)新與模型應(yīng)用2個(gè)階段，如圖4所示。

圖4 技術(shù)研究路徑

從流程看，基礎(chǔ)理論創(chuàng)新是模型應(yīng)用的基礎(chǔ)，是運(yùn)用已有的理論，從網(wǎng)絡(luò)安全事件的特征入手，分析網(wǎng)絡(luò)安全事件現(xiàn)有的響應(yīng)技術(shù)、響應(yīng)執(zhí)行流程及防御效果等要素，給出鐵路網(wǎng)絡(luò)安全事件需求的理論表述。根據(jù)已有的理論成果，量化并推導(dǎo)出解決方案的表達(dá)式。模型應(yīng)用研究就是結(jié)合鐵路網(wǎng)絡(luò)安全防御需求及理論推導(dǎo)的仿真驗(yàn)證結(jié)果開展匹配度研究，根據(jù)匹配結(jié)果進(jìn)行模型研究效果分析。

2.4 協(xié)作防御

鐵路網(wǎng)絡(luò)安全防御須從以前的單個(gè)主體各自防御向團(tuán)隊(duì)協(xié)作防御轉(zhuǎn)化。本文根據(jù)已經(jīng)建立的鐵路網(wǎng)絡(luò)安全防御架構(gòu)，將協(xié)作防御強(qiáng)化結(jié)構(gòu)分為協(xié)作網(wǎng)絡(luò)偽裝、入侵?jǐn)?shù)據(jù)共享、用戶行為協(xié)同防護(hù)、攻擊行為協(xié)作取證4個(gè)部分。

（1）協(xié)作網(wǎng)絡(luò)偽裝：通過對網(wǎng)絡(luò)數(shù)據(jù)流量、網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)服務(wù)等進(jìn)行動(dòng)態(tài)偽裝，可降低攻擊者發(fā)起攻擊后的成功概率，增加攻擊者的難度。

（2）入侵?jǐn)?shù)據(jù)共享：在各終端通過對攻擊行為分別開展實(shí)時(shí)檢測完成協(xié)同檢測。如在單個(gè)設(shè)備內(nèi)部，通過自身安全檢測功能完成實(shí)時(shí)檢測，在網(wǎng)關(guān)處根據(jù)各個(gè)設(shè)備檢測獲得的數(shù)據(jù)開展數(shù)據(jù)交換。

（3）用戶行為協(xié)同防護(hù)：以防火墻為主要設(shè)備，每個(gè)終端有各自的防火墻，同時(shí)對各終端的防火墻建立松耦合聯(lián)動(dòng)，形成整個(gè)系統(tǒng)的協(xié)同防護(hù)。

（4）攻擊行為協(xié)作取證：在攻擊行為發(fā)生后，分析入侵檢測得到的數(shù)據(jù)，當(dāng)發(fā)現(xiàn)攻擊者的特征時(shí)，多個(gè)設(shè)備能夠共同存儲攻擊者的行為痕跡，例如訪問記錄、數(shù)據(jù)讀取、修改記錄等。

在網(wǎng)絡(luò)攻擊行為更有組織性的環(huán)境下，協(xié)作防御可組織防守力量綜合分析攻擊方的特征，如攻擊發(fā)起的時(shí)間、攻擊重點(diǎn)、滲透機(jī)制等，并根據(jù)已有的防御資源進(jìn)行針對性配置，還可構(gòu)建協(xié)作防御結(jié)構(gòu)，通過不同設(shè)備、不同系統(tǒng)之間的數(shù)據(jù)交換來強(qiáng)化協(xié)作防御。

3 關(guān)鍵技術(shù)

3.1 入侵檢測技術(shù)

在鐵路網(wǎng)絡(luò)安全防御機(jī)制中，入侵檢測技術(shù)是應(yīng)用于鐵路網(wǎng)絡(luò)安全防御框架中威脅來源與環(huán)境感知層的重要技術(shù)，主要通過檢測用戶的接入時(shí)間、接入IP地址及訪問設(shè)備等行為規(guī)律來識別攻擊行為。通過該技術(shù)可實(shí)現(xiàn)：（1）針對目標(biāo)進(jìn)行用戶行為監(jiān)視，具體目標(biāo)可以是計(jì)算機(jī)終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及網(wǎng)絡(luò)系統(tǒng)；（2）檢測目標(biāo)系統(tǒng)并識別已發(fā)生攻擊的行為，在此基礎(chǔ)上發(fā)出告警信息；（3）針對目標(biāo)系統(tǒng)存在的異常行為，記錄并保存其行為數(shù)據(jù)，分析統(tǒng)計(jì)結(jié)果。

3.2 擬態(tài)防御技術(shù)

擬態(tài)防御技術(shù)是一種主動(dòng)防御技術(shù)，擬態(tài)防御的理念是在目標(biāo)遭到攻擊之前開展?fàn)顟B(tài)轉(zhuǎn)換，達(dá)到提前預(yù)防攻擊的目的。鐵路網(wǎng)絡(luò)安全防御機(jī)制研究中，擬態(tài)防御技術(shù)是應(yīng)用于防御執(zhí)行流程中威脅響應(yīng)階段的重要技術(shù)，通過威脅事件研判與分析，判斷是否需要采用擬態(tài)防御的方式開展防御，當(dāng)防御觸發(fā)后，通過調(diào)動(dòng)防御資源、預(yù)測攻擊者的行為并監(jiān)控其流量，結(jié)合其他網(wǎng)絡(luò)安全防御決策，完成防御的最終執(zhí)行。

3.3 威脅事件分析技術(shù)

威脅事件分析技術(shù)是應(yīng)用于鐵路網(wǎng)絡(luò)安全防御框架的重要技術(shù)，進(jìn)一步處理初步加工后的威脅數(shù)據(jù)感知與威脅數(shù)據(jù)，主要包括無效數(shù)據(jù)刪除、威脅數(shù)據(jù)假設(shè)驗(yàn)證與檢驗(yàn)、情報(bào)事件關(guān)聯(lián)等。無效數(shù)據(jù)刪除針對除噪聲以外的威脅數(shù)據(jù)開展有效性分析，通常采用的分析技術(shù)有支持度分析、置信度分析等。通過對威脅事件分析，可實(shí)現(xiàn)對威脅事件的定位及分類，從威脅事件發(fā)生的時(shí)間、地點(diǎn)、可能導(dǎo)致的后果等方面給出分析結(jié)論，為防御觸發(fā)環(huán)節(jié)采取的防御策略提供參考。

4 結(jié)束語

本文從新形勢下的鐵路網(wǎng)絡(luò)安全需求出發(fā)，分析需要補(bǔ)足的防御短板，并闡述鐵路網(wǎng)絡(luò)安全防御新機(jī)制的構(gòu)建思路。通過對鐵路網(wǎng)絡(luò)安全防御框架、防御執(zhí)行流程、技術(shù)攻關(guān)與模型應(yīng)用、協(xié)作防御強(qiáng)化的分析，從技術(shù)、管理等方面構(gòu)建新形勢下鐵路網(wǎng)絡(luò)安全防御機(jī)制。未來還須與鐵路網(wǎng)絡(luò)安全現(xiàn)狀相結(jié)合，對本文提出的防御機(jī)制進(jìn)行及時(shí)更新和調(diào)整，以適應(yīng)網(wǎng)絡(luò)安全防御的新需求，進(jìn)一步提升網(wǎng)絡(luò)安全防御能力。