鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護建設(shè)思路初探

張文塔，王一芃

（中國鐵路信息科技集團有限公司 網(wǎng)信安全處，北京 100844）

關(guān)鍵信息基礎(chǔ)設(shè)施作為維持國家和社會正常運轉(zhuǎn)，保障人民基本利益的骨干設(shè)施，是國家重要的戰(zhàn)略資源，具有基礎(chǔ)性、支撐性、全局性作用。由于關(guān)鍵信息基礎(chǔ)設(shè)施廣泛業(yè)務(wù)關(guān)聯(lián)和大規(guī)模集成互聯(lián)的特點，使得其脆弱性和受到的安全威脅不再只是簡單的線性疊加，在有組織、高強度、持續(xù)性的攻擊面前，關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護面臨著巨大挑戰(zhàn)[1]。

2014年以來，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作持續(xù)推進?！吨腥A人民共和國網(wǎng)絡(luò)安全法》是落實國家總體安全觀的重要舉措，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的頒布強化了構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系的頂層設(shè)計，明確了運營組織需要承擔的自身責任。為推動關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作落實落細，指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施各參與方開展全面規(guī)范的安全防護工作，從2015年開始，我國陸續(xù)起草了一系列關(guān)鍵信息基礎(chǔ)設(shè)施保護標準[2]。但由于相關(guān)標準制定與發(fā)布周期較長，目前尚無正式官方標準和防護體系可供遵循。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》對關(guān)鍵信息基礎(chǔ)設(shè)施的認定原則，可歸納出其共性特征，包括支撐業(yè)務(wù)的高可用性、存儲數(shù)據(jù)的敏感性和面臨威脅的復(fù)雜性等[3]。圍繞上述共性特征，許多行業(yè)機構(gòu)和科研院所提出了豐富的安全防護思路和方案[4-9]。由于各行業(yè)的業(yè)務(wù)特點不同，安全需求各異，導(dǎo)致僅基于關(guān)鍵信息基礎(chǔ)設(shè)施共性特征的安全防護設(shè)計無法完全貼合所有關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護需求。因此，關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護應(yīng)當結(jié)合業(yè)務(wù)特點進行針對性設(shè)計。

鐵路是我國交通運輸體系的骨干、國民經(jīng)濟大動脈。鐵路關(guān)鍵信息基礎(chǔ)設(shè)施承載了客運服務(wù)、運輸組織和列車調(diào)度等信息化業(yè)務(wù)，本文在國家相關(guān)法律法規(guī)要求的基礎(chǔ)上，結(jié)合鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的特點和防護現(xiàn)狀，提出了鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力的建設(shè)思路。

1 鐵路關(guān)鍵信息基礎(chǔ)設(shè)施概述

鐵路關(guān)鍵信息基礎(chǔ)設(shè)施主要包含服務(wù)于社會公眾的互聯(lián)網(wǎng)應(yīng)用和服務(wù)于運輸組織、列車調(diào)度等業(yè)務(wù)的信息系統(tǒng)。鐵路關(guān)鍵信息基礎(chǔ)設(shè)施除具備系統(tǒng)結(jié)構(gòu)復(fù)雜、受到的安全威脅復(fù)雜多變等典型關(guān)鍵信息基礎(chǔ)設(shè)施的特點之外，在業(yè)務(wù)形態(tài)、信息系統(tǒng)部署和信息交互方面還有自身的特點。

1.1 業(yè)務(wù)形態(tài)

鐵路關(guān)鍵信息基礎(chǔ)設(shè)施不僅承擔旅客、貨物等的運輸任務(wù)，而且涉及大量的國家基礎(chǔ)設(shè)施數(shù)據(jù)和公民個人隱私信息。一旦業(yè)務(wù)連續(xù)性遭到破壞或者關(guān)鍵信息遭到泄露，將會對國家安全、經(jīng)濟穩(wěn)定和公民生命財產(chǎn)安全造成嚴重危害[10]。

1.2 信息系統(tǒng)部署

大多數(shù)鐵路關(guān)鍵信息基礎(chǔ)設(shè)施伴隨鐵路線延伸，分散部署于不同地區(qū)。一些信息系統(tǒng)由于建設(shè)單位不同，導(dǎo)致系統(tǒng)架構(gòu)和部分組件存在差異，相應(yīng)軟硬件供應(yīng)商和服務(wù)提供商也不統(tǒng)一，進一步增加了安全管控的難度。

1.3 信息交互

鐵路關(guān)鍵信息基礎(chǔ)設(shè)施主要包括提供客貨運輸和行車調(diào)度的信息系統(tǒng)，這些信息系統(tǒng)不僅需要依賴基礎(chǔ)通信設(shè)施、云資源服務(wù)進行數(shù)據(jù)傳輸和存儲計算，還會為政府部門、能源、金融和公共服務(wù)等重要領(lǐng)域的信息系統(tǒng)提供業(yè)務(wù)信息。多樣的互聯(lián)互通導(dǎo)致網(wǎng)絡(luò)攻擊路徑的增多，只依靠邊界防護手段難以有效地保障信息系統(tǒng)整體安全。

因此，針對鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護不但需要考慮信息系統(tǒng)本身的正常運轉(zhuǎn)，還需要結(jié)合業(yè)務(wù)特點強化識別認定、安全防護、監(jiān)測預(yù)警、應(yīng)急處置和檢測評估等能力，基于部署情況構(gòu)建體系化、協(xié)同化的防御機制，加強核心業(yè)務(wù)穩(wěn)定性、重要信息安全性和供應(yīng)鏈可控性。

2 鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力建設(shè)

根據(jù)我國《中華人民共和國網(wǎng)絡(luò)安全法》要求，關(guān)鍵信息基礎(chǔ)設(shè)施保護應(yīng)當以業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全和安全可控性為主要目標。我國信息安全標準化技術(shù)委員會于2020年公開征集意見的《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》（簡稱《防護能力評價方法》）提出了識別認定、安全防護、檢測評估、監(jiān)測預(yù)警和事件處置5項關(guān)鍵信息基礎(chǔ)設(shè)施保護核心能力[11]。結(jié)合鐵路網(wǎng)絡(luò)安全工作目標和工作要求，本文從業(yè)務(wù)應(yīng)用、信息系統(tǒng)、重要數(shù)據(jù)和基礎(chǔ)設(shè)施4個層次對《防護能力評價方法》提出的5項核心能力進行逐個分析，并提出將監(jiān)督檢查融入檢測評估能力，作為對識別認定、安全防護、監(jiān)測預(yù)警、事件處置能力和整體安全狀況的持續(xù)檢驗，如圖1所示。

圖1 鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護的5項核心能力

2.1 識別認定

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》提出應(yīng)首先開展通信網(wǎng)絡(luò)、信息系統(tǒng)的識別工作。根據(jù)《防護能力評價方法》識別認定的對象，包括業(yè)務(wù)應(yīng)用、信息系統(tǒng)、信息資產(chǎn)、重要數(shù)據(jù)和相關(guān)風險等。資產(chǎn)作為信息系統(tǒng)的基礎(chǔ)設(shè)備、重要數(shù)據(jù)的承載介質(zhì)、漏洞隱患的附著主體和攻擊威脅的直接目標，應(yīng)當作為識別認定工作的重點對象。長期以來，通過建立集中安全管理平臺、開展資產(chǎn)掃描、資產(chǎn)測繪、補充自有資產(chǎn)指紋庫等工作，鐵路行業(yè)基本實現(xiàn)了對重要信息系統(tǒng)資產(chǎn)的全面覆蓋，有效地縮減了資產(chǎn)管理盲區(qū)，為安全防護提供了清晰可靠的依據(jù)。

對于關(guān)鍵信息基礎(chǔ)設(shè)施，安全防護的對象除了信息資產(chǎn)，還應(yīng)包括所承載的業(yè)務(wù)應(yīng)用、信息系統(tǒng)和重要數(shù)據(jù)等。

2.1.1 業(yè)務(wù)應(yīng)用層面

識別認定工作應(yīng)當包括熟悉業(yè)務(wù)流程、明確業(yè)務(wù)關(guān)鍵點、梳理本業(yè)務(wù)與外部關(guān)鍵業(yè)務(wù)之間的關(guān)聯(lián)關(guān)系，便于后期進行針對性防護。

2.1.2 信息系統(tǒng)層面

應(yīng)當梳理系統(tǒng)基本情況和軟硬件信息，作為加強安全防護設(shè)計、完善檢測預(yù)警信息、確定安全事件影響范圍和開展應(yīng)急處置工作的基本依據(jù)。其中，系統(tǒng)基本情況主要包括系統(tǒng)部署位置、應(yīng)用范圍、存在數(shù)據(jù)交互的外聯(lián)系統(tǒng)和運營維護（簡稱：運維）工作信息等，軟/硬件信息主要包括系統(tǒng)架構(gòu)、開發(fā)語言、部署方式，以及服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫和中間件品牌和版本等。

2.1.3 重要數(shù)據(jù)層面

應(yīng)當將業(yè)務(wù)數(shù)據(jù)、賬戶信息、開發(fā)代碼、組件信息、網(wǎng)絡(luò)拓撲、資產(chǎn)列表等納入識別，并從數(shù)據(jù)類別和安全級別兩方面進行評估認定，以支撐數(shù)據(jù)分類分級保護機制的建立。

2.1.4 基礎(chǔ)設(shè)施層面

除了識別信息資產(chǎn)配置信息、運行狀態(tài)和漏洞信息之外，還應(yīng)當建立關(guān)鍵軟硬件、重要服務(wù)的供應(yīng)鏈信息清單，為基礎(chǔ)設(shè)施的評估、改善、監(jiān)控和管理提供基本參考。

2.2 安全防護

基于資產(chǎn)、業(yè)務(wù)和風險的有效識別，通過補充相應(yīng)安全防護能力可以有效地遏制預(yù)設(shè)安全事件的發(fā)生?！毒W(wǎng)絡(luò)安全等級保護條例》已經(jīng)對信息系統(tǒng)的安全防護要求進行了完善的規(guī)定，通過“一個中心三重防護”的思路，將安全制制度、組織機構(gòu)、鑒別授權(quán)、邊界防護、容災(zāi)備份、運維管理，以及數(shù)據(jù)安全和供應(yīng)鏈安全均納入要求。通過持續(xù)落實等級保護要求，鐵路行業(yè)已基本構(gòu)建出網(wǎng)絡(luò)、系統(tǒng)、主機和數(shù)據(jù)的層次化防御體系。針對關(guān)鍵信息基礎(chǔ)設(shè)施，在既有層次化防御體系的基礎(chǔ)上，還應(yīng)當完善業(yè)務(wù)全流程、重要數(shù)據(jù)和基礎(chǔ)設(shè)施全生命周期的安全防護機制，增強針對關(guān)鍵業(yè)務(wù)、系統(tǒng)核心區(qū)域、重要數(shù)據(jù)的細粒度身份鑒別和訪問控制能力，提升基礎(chǔ)設(shè)施安全可控能力，以有效應(yīng)對未知、復(fù)雜、多變的攻擊行為。

2.2.1 業(yè)務(wù)應(yīng)用層面

應(yīng)當根據(jù)業(yè)務(wù)重要性對用戶身份驗證、重要數(shù)據(jù)安全標記、訪問行為控制策略進行調(diào)整。當業(yè)務(wù)流程發(fā)生變化時，應(yīng)當對相應(yīng)策略等進行變更。為了保證業(yè)務(wù)穩(wěn)定，還應(yīng)當逐步建立體系化的容災(zāi)備份機制，承擔關(guān)鍵業(yè)務(wù)的實時切換、重要數(shù)據(jù)的實時備份工作。

2.2.2 信息系統(tǒng)層面

考慮到系統(tǒng)資產(chǎn)規(guī)模不斷擴大，以及應(yīng)用云化的發(fā)展趨勢，應(yīng)當采用零信任等細粒度網(wǎng)絡(luò)隔離技術(shù)，加強東西向網(wǎng)絡(luò)流量隔離，有效阻止橫向擴展。為應(yīng)對持續(xù)多變的攻擊手段，應(yīng)當采用蜜罐技術(shù)，主動擾亂攻擊者認知，延緩攻擊進程甚至進行反制，提高系統(tǒng)的主動防御能力。

2.2.3 重要數(shù)據(jù)層面

應(yīng)當根據(jù)識別認定環(huán)節(jié)梳理的數(shù)據(jù)特征，建立采集、傳輸、存儲、處理、交換和銷毀等階段的分類分級保護機制，并部署數(shù)據(jù)掃描設(shè)備和監(jiān)測設(shè)備，與監(jiān)測阻斷設(shè)備進行協(xié)同防御。

2.2.4 基礎(chǔ)設(shè)施層面

應(yīng)當加強服務(wù)器、數(shù)據(jù)庫、終端和網(wǎng)絡(luò)安全等關(guān)鍵設(shè)備的安全可控性。通過采購自主可控產(chǎn)品或在既有設(shè)備上部署可信計算模塊，建立可信架構(gòu)，保障設(shè)備本體安全可信。此外，還應(yīng)進一步完善供應(yīng)鏈管理策略，基于識別認定環(huán)節(jié)建立的關(guān)鍵軟硬件、重要服務(wù)的供應(yīng)鏈信息清單，對軟硬件和服務(wù)的變更活動進行記錄審核。

2.3 監(jiān)測預(yù)警

目前，鐵路行業(yè)已建立了鐵路范圍的網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制，并根據(jù)等級保護的要求將重要業(yè)務(wù)系統(tǒng)的物理環(huán)境、通信環(huán)境、區(qū)域邊界、計算環(huán)境等納入監(jiān)測范圍。

針對關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)當在此基礎(chǔ)上進一步加強針對業(yè)務(wù)應(yīng)用、重要數(shù)據(jù)和基礎(chǔ)設(shè)施的監(jiān)測能力，建立更加全面和立體的監(jiān)測預(yù)警體系。

2.3.1 業(yè)務(wù)應(yīng)用層面

應(yīng)當對業(yè)務(wù)流量、訪問行為進行持續(xù)監(jiān)測，及時發(fā)現(xiàn)非正常業(yè)務(wù)狀態(tài)和訪問行為。針對隱蔽且潛伏周期長的高級持續(xù)性攻擊威脅，監(jiān)測設(shè)備預(yù)置規(guī)則和模型往往無法進行有效識別，然而通過持續(xù)監(jiān)測記錄基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)的業(yè)務(wù)流量和訪問行為，可以總結(jié)正常業(yè)務(wù)行為特征并用于實時比對，從而即時發(fā)現(xiàn)異常，解決潛在威脅。

2.3.2 信息系統(tǒng)層面

（1）增強行業(yè)整體監(jiān)測能力，利用網(wǎng)絡(luò)安全態(tài)勢感知平臺，將來自各單位的網(wǎng)絡(luò)和安全設(shè)備的流量數(shù)據(jù)、資產(chǎn)信息、日志信息、惡意文件和情報類數(shù)據(jù)進行整合，將圍繞關(guān)鍵業(yè)務(wù)開展所涉及的各類監(jiān)測信息進行關(guān)聯(lián)匯集和融合分析，支撐安全策略和安全控制措施的優(yōu)化更新，也有利于從整體上把握關(guān)鍵信息基礎(chǔ)設(shè)施的安全態(tài)勢；

（2）提高持續(xù)監(jiān)測能力，對系統(tǒng)狀態(tài)、設(shè)備性能、訪問行為和資產(chǎn)信息等進行全程監(jiān)控，及時發(fā)現(xiàn)安全事件、資產(chǎn)脆弱性和異常行為；

（3）完善監(jiān)測范圍，將跨業(yè)務(wù)、跨系統(tǒng)、跨區(qū)域之間的信息流轉(zhuǎn)納入監(jiān)測，消除安全防護盲區(qū)。

2.3.3 重要數(shù)據(jù)層面

（1）應(yīng)定期對系統(tǒng)服務(wù)器、數(shù)據(jù)庫和終端進行掃描，隔離或刪除重要數(shù)據(jù)；

（2）在網(wǎng)絡(luò)出口部署數(shù)據(jù)防泄漏設(shè)備，監(jiān)測網(wǎng)絡(luò)流量和文件，及時阻止重要數(shù)據(jù)外泄；

（3）對于存放重要數(shù)據(jù)和敏感信息的終端，還應(yīng)當采用限制非授權(quán)外設(shè)接入、禁用截屏功能等方式進行防護。

2.3.4 基礎(chǔ)設(shè)施層面

應(yīng)將服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備和外設(shè)等基礎(chǔ)設(shè)施納入監(jiān)控，并與威脅情報相結(jié)合，將攻擊行為、資產(chǎn)漏洞等威脅信息進行本地化驗證，及時評估威脅影響范圍，預(yù)先提供合理的安全防護措施，提高主動防御能力。

2.4 事件處置

高效事件處置可以在網(wǎng)絡(luò)設(shè)施或信息系統(tǒng)遭受攻擊的情況下快速恢復(fù)業(yè)務(wù)。為提高針對關(guān)鍵信息基礎(chǔ)設(shè)施的應(yīng)急處置效率，優(yōu)化相應(yīng)處置流程，鐵路行業(yè)已編制完成應(yīng)對不同攻擊類型的應(yīng)急預(yù)案，包括仿冒（釣魚）網(wǎng)站、網(wǎng)頁篡改、拒絕服務(wù)和勒索病毒等，并定期組織內(nèi)部單位開展網(wǎng)絡(luò)安全攻防演練，以鍛煉隊伍和優(yōu)化流程，加強響應(yīng)處置能力。

針對關(guān)鍵信息基礎(chǔ)設(shè)施，還應(yīng)當通過事件處置保障業(yè)務(wù)穩(wěn)定性，增加系統(tǒng)韌性，控制重要數(shù)據(jù)泄露影響等。

2.4.1 業(yè)務(wù)應(yīng)用層面

應(yīng)急預(yù)案中需明確要維護的關(guān)鍵業(yè)務(wù)功能、提供保證基本業(yè)務(wù)正常運轉(zhuǎn)和信息系統(tǒng)及時恢復(fù)的安全措施，并且加強攻擊阻斷、業(yè)務(wù)保持、容災(zāi)備份、故障分析和追蹤溯源等場景演練。此外，在進行事件取證和追蹤溯源過程中，也應(yīng)當設(shè)計合理方法，保證關(guān)鍵業(yè)務(wù)不受影響。

2.4.2 信息系統(tǒng)層面

應(yīng)積極探索自動化響應(yīng)處置技術(shù)的應(yīng)用落地，通過將響應(yīng)處置過程抽象為系統(tǒng)任務(wù)劇本，借助編排和自動化技術(shù)，將已部署安全設(shè)備進行聯(lián)動并自動下發(fā)處置命令，例如，設(shè)置防火墻自動封禁IP和端口，設(shè)置終端防護軟件自動刪除惡意文件、隔離高危文件等，提升處置效率。

2.4.3 重要數(shù)據(jù)層面

應(yīng)基于已建立的數(shù)據(jù)保護機制，編寫針對重要數(shù)據(jù)泄露事件的應(yīng)急處置方案，并積極開展場景演練，不斷降低重要數(shù)據(jù)泄露、篡改、損壞和刪除造成的影響和損失。

2.4.4 基礎(chǔ)設(shè)施層面

應(yīng)針對軟硬件設(shè)備和安全服務(wù)可能出現(xiàn)的產(chǎn)品漏洞、代碼利用、補丁投毒和賬號泄露等風險隱患，編寫應(yīng)急處置預(yù)案，并積極開展場景演練。

2.5 檢測評估

《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》第二十六條明確要求，保護工作部門應(yīng)當定期開展本行業(yè)、本領(lǐng)域的安全檢查檢測，指導(dǎo)監(jiān)督運營者及時整改安全隱患、完善安全措施。鐵路行業(yè)已建立一整套針對信息系統(tǒng)安全防護工作的監(jiān)督檢查管理辦法，制定了針對信息系統(tǒng)設(shè)備配置基線和網(wǎng)絡(luò)接入的技術(shù)要求，且出臺了重要時期網(wǎng)絡(luò)安全保障工作方案和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。在識別認定和安全防護的基礎(chǔ)上，各鐵路單位會定期開展等級保護測評、風險評估、滲透測試等工作，已基本做到針對基礎(chǔ)網(wǎng)絡(luò)、信息系統(tǒng)的周期性檢測評估和整改完善。

針對關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測，除了通過技術(shù)手段實現(xiàn)漏洞管理和入侵檢測之外，還應(yīng)當進一步加強監(jiān)督檢查等能力建設(shè)，重點應(yīng)包括識別認定工作是否完整準確，安全防護技術(shù)是否完善有效，監(jiān)測預(yù)警機制是否全面及時、事件處置過程是否規(guī)范得當?shù)?。針對關(guān)鍵信息基礎(chǔ)設(shè)施風險評估，應(yīng)當結(jié)合業(yè)務(wù)流程、業(yè)務(wù)依賴關(guān)系，對安全設(shè)備防護范圍、跨系統(tǒng)訪問行為和重要數(shù)據(jù)傳輸進行細化評估；并根據(jù)應(yīng)急演練和安全事件響應(yīng)結(jié)果，對業(yè)務(wù)韌性和系統(tǒng)容災(zāi)備份能力進行評估。

3 結(jié)束語

關(guān)鍵信息基礎(chǔ)設(shè)施作為關(guān)系國家安全、國計民生、公共利益的信息基礎(chǔ)系統(tǒng)，對其進行安全防護的意義不言而喻。本文以保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施重要業(yè)務(wù)穩(wěn)定運行和重要數(shù)據(jù)完整、保密和可用為目標，以鐵路網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)保護現(xiàn)狀為基礎(chǔ)，結(jié)合鐵路關(guān)鍵信息基礎(chǔ)設(shè)施特點，從業(yè)務(wù)安全、系統(tǒng)安全、信息安全和基礎(chǔ)安全等層面對識別認定、安全防護、監(jiān)測預(yù)警、事件處置和檢測評估5項核心防御能力的建設(shè)重點進行了闡述，為鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全防護提供了建設(shè)思路。