面向復雜網絡環(huán)境的鐵路安全防護技術

楊軼杰

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

網絡安全是鐵路安全運行的基本條件之一。當前環(huán)境下，網絡安全形勢和攻擊模式都處于不斷變化中，亟需在思維方式和技術體制上進行變革。

已有的研究成果中，針對鐵路網絡安全的研究主要集中在防火墻、入侵檢測及基于數(shù)據挖掘的安全檢測等方面。如文獻[1]提出了防火墻規(guī)則動態(tài)生成的設計方案；文獻[2]在分析入侵檢測技術的基礎上構建了鐵路網絡入侵檢測模型，并研究了測評方法；文獻[3]研究了數(shù)據挖掘技術在入侵檢測中的應用，通過構建數(shù)據模型，與入侵行為進行匹配度關聯(lián)，完成數(shù)據模型的不斷更新。以上研究對鐵路網絡安全防護有一定借鑒作用。復雜網絡環(huán)境具有網絡架構復雜、數(shù)據種類多、用戶接入數(shù)量大且用戶屬性不確定等特點，因此，面對復雜的網絡環(huán)境，鐵路安全防護技術需要在已有研究基礎上進一步改進和提高，從身份驗證、用戶接入等方面入手，以網絡數(shù)據為主要防護點，形成該環(huán)境下的網絡安全防護機制。本文提出的鐵路網絡安全防護技術可適應復雜網絡環(huán)境下的安全防護要求，做到提前預測、精確研判、及時響應。

1 鐵路網絡安全的特點及需求

本文從以下幾個方面分析鐵路網絡安全的特點及需求。

1.1 網絡安全防護范圍

復雜網絡環(huán)境下的鐵路網絡安全防護范圍更加廣泛，除常規(guī)環(huán)境下的安全防護要點外，還需要關注由鐵路自身特點形成的網絡安全防護關鍵點。由于列車運行環(huán)境的復雜性，網絡設施的使用和維護環(huán)境比較特殊，發(fā)生故障的概率相對較高，故需要在常規(guī)網絡安全防護的基礎上增加對設備運行狀態(tài)的重點防護，包括故障及時響應和前期預測。

1.2 防護機制

在現(xiàn)有網絡安全防護基礎上，需要根據鐵路自有特點完善網絡安全防護機制，包括分析面向橋梁、隧道等建筑自身性能的傳感數(shù)據特點，研究傳感數(shù)據篡改自恢復策略及傳輸加密算法；分析鐵路沿線地理環(huán)境的安全特征，針對性建立該環(huán)境下網絡設備安全防護機制，實現(xiàn)設備受損后數(shù)據不泄露并及時恢復運行。

1.3 安全威脅溯源

鐵路網絡系統(tǒng)一旦發(fā)生重大故障或遭到破壞，將嚴重影響鐵路正常運行。因此，為保障列車安全，需要對問題精確溯源；在網絡安全防護上，要能夠通過已有的歷史數(shù)據或現(xiàn)有的檢測策略精確探測威脅來源，為排除威脅、運營維護提供基礎保障。

1.4 事件響應速度

列車運行過程中一旦發(fā)生故障，若不能及時處置，可能會造成列車延誤、運行事故等嚴重后果。因此，對復雜網絡環(huán)境下的運維響應時間要求更短，以便為后續(xù)事件的處置提供時間保障。

2 以數(shù)據為中心的鐵路網絡安全防護架構

根據《中華人民共和國數(shù)據安全法》的要求，鐵路網絡安全防護除在物理安全環(huán)境、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等方面開展安全部署以外，還要結合安全數(shù)據的采集、處理、解析與運用，以數(shù)據為中心開展網絡安全防護機制研究。

鐵路在復雜網絡環(huán)境下的安全防護不僅需要滿足調度指揮和多層聯(lián)動的要求，還要結合運營的實際情況，滿足安全防護覆蓋范圍廣、溯源精確、響應迅速等要求。本文以鐵路網絡安全數(shù)據為核心，建立數(shù)據采集、匯聚、存儲與分析的4層鐵路網絡安全防護架構，在此基礎上，實現(xiàn)數(shù)據展示、智能診斷、安全態(tài)勢感知及安全預警可視化分析等功能，如圖1所示。

圖1 鐵路網絡安全防護架構

2.1 數(shù)據采集層

該層的數(shù)據來源包括鐵路安全數(shù)據采集和運行數(shù)據匯總。安全數(shù)據包括本級鐵路網絡安全檢測得出的漏洞數(shù)量、漏洞類別、漏洞等級、弱口令、高危端口號等，同時包括鐵路網絡安全臨時檢查、巡檢等安全數(shù)據錄入。運行數(shù)據匯總包括本級范圍內鐵路正常運行數(shù)據采集：從數(shù)據來源上分為中心設備數(shù)據、工區(qū)與車間設備運行數(shù)據及站內數(shù)據；從數(shù)據類型上可分為信號監(jiān)測類數(shù)據、通信類數(shù)據、行車指揮類數(shù)據及視頻監(jiān)控類數(shù)據。

2.2 數(shù)據匯聚層

數(shù)據匯聚包括數(shù)據清洗、標準化、歸一化整合等。數(shù)據清洗主要面向數(shù)據采集、接入過程中收集到的無效數(shù)據及錯誤數(shù)據開展清除工作；標準化與歸一化整合是將收集到的數(shù)據格式、占用內存大小、數(shù)據收集時間等數(shù)據，按比例縮放去除數(shù)據間的限制，將其轉化以便于各指標數(shù)據進行加權和比較。

2.3 數(shù)據存儲層

該層存儲匯聚后的數(shù)據，存儲方式包括結構化存儲、非結構化存儲、本地存儲與集中存儲。在以數(shù)據為中心的鐵路網絡安全防護中，根據數(shù)據的冷熱程度選擇數(shù)據存儲方式。對于冷數(shù)據，由于其使用頻度較低，可以存儲于數(shù)據中心，即選擇集中存儲；對于熱數(shù)據，可以選擇本地存儲，當數(shù)據的使用頻率變化時，存儲方式可以動態(tài)調整。

2.4 數(shù)據分析層

數(shù)據分析層的內容包括實時分析、驗證分析、趨勢預測等。實時分析是對實時收集的數(shù)據進行現(xiàn)場分析，并給出分析結論，用于頂層的態(tài)勢感知與智能診斷；驗證分析面向事先假設開展驗證，包括態(tài)勢感知后開展的趨勢分析驗證、故障診斷后的原因驗證等；趨勢預測是鐵路網絡安全防護的深化，主要利用已有的數(shù)據開展安全形勢預測，包括用戶接入趨勢、特定時間內用戶的接入數(shù)量等。

3 鐵路網絡安全防護關鍵技術

3.1 以身份驗證為中心的安全驗證技術

在傳統(tǒng)的安全防護策略中，鐵路網絡安全防護以邊界防護為主，通過在內部服務網、外部服務網的邊界處部署防火墻、態(tài)勢感知平臺等策略，實現(xiàn)邊界處用戶身份認證和行為分析[4]，在網絡區(qū)域以內不再進行身份驗證。在網絡安全形勢更加嚴峻的背景下，在邊界實施防護的策略已經不能完全滿足安全防護要求。因此，本文提出從用戶身份驗證入手，以零信任的方式開展安全防護，如圖2所示。

圖2 以身份驗證為中心的安全防護方式示意

零信任是一種基于身份驗證的訪問控制機制，通過將認證信息與用戶的真實身份綁定在一起，來保證用戶對網絡資源的使用權限。該安全防護方式分為數(shù)據平面與控制平面2部分。

（1）控制平面：主要發(fā)揮決策授權、安全性分析的作用，針對發(fā)起請求的訪問主體開展安全性評估，并結合已有的安全評估數(shù)據制定允許訪問或禁止訪問的授權策略。

（2）數(shù)據平面：以鐵路網絡數(shù)據為中心，由控制平面指揮和配置。該平面中，訪問主體主要指發(fā)起訪問需求的用戶、終端等；零信任安全代理主要針對訪問主體發(fā)起的需求開展安全審查，并與零信任安全控制中心協(xié)作分析，完成對訪問主體的授權或禁止；鐵路內部網絡（簡稱：內網）資源是需要實施安全防護的鐵路網絡數(shù)據。

3.2 多因素保障技術

在以身份為中心的安全防護基礎上，除了采用口令、生物識別等對用戶身份進行鑒別以外，還需根據用戶的身份屬性、發(fā)起訪問請求的時間、地點及訪問對象，進行訪問行為的約束，進一步降低目標資源被非法入侵的概率。

多因素保障技術研究中，需要對常用的授權策略進行動態(tài)授權或取消，保障用戶高效接入。常用的策略包括用戶ID識別、用戶資源授權、沙箱及水印防泄露技術等[5]。在復雜網絡環(huán)境鐵路安全防護中，通過該技術可以實現(xiàn)：（1）以網絡安全特征為導向，對用戶接入開展多因素動態(tài)授權，針對非法用戶入侵頻繁的場景，開展用戶ID強識別及二次身份識別；（2）針對資源敏感的訪問行為，進一步開展用戶資源授權和登錄地點驗證，使得訪問行為權限最小化；（3）針對數(shù)據已泄露的場景，如必須用個人終端登錄查看的數(shù)據，采用水印的方式標注登錄者信息，促使使用者加強防護。

3.3 算力分配技術

數(shù)據是網絡安全防護的重要資源，在網絡運行狀態(tài)的檢測中，檢測結果均以數(shù)據的形式搜集、存儲、分析。本文結合算力網絡的研究成果[6-8]，通過對鐵路網絡數(shù)據的采集和存儲，在數(shù)據分析的基礎上針對當前算力網絡部署，以資源利用率為主要約束條件，以計算響應時間為優(yōu)化目標開展認知分配，具體分配流程如圖3所示。

圖3 算力分配流程

算力分配機制在接收計算任務的同時初始化資源利用率，根據接收到的計算任務檢驗計算資源是否滿足要求，通過動態(tài)調整計算資源的方式滿足計算任務的資源利用要求。完成計算任務后，還需要繼續(xù)檢查響應時間是否滿足要求，當由于資源利用率不足導致響應時間過長時，需要調整資源利用率，重新分配計算任務。

4 鐵路網絡安全防護技術應用

本文結合復雜網絡環(huán)境下的鐵路安全防護特點、需求及架構，將以上關鍵技術應用于互聯(lián)網及內網區(qū)域的安全防護中，其應用架構如圖4所示。

圖4 鐵路網路安全防護技術應用架構

（1）用戶訪問區(qū)包括互聯(lián)網區(qū)域訪問客戶端和內網區(qū)域訪問客戶端，是網絡安全防護策略觸發(fā)單元?？蛻舳送ㄟ^發(fā)起訪問請求，經過交換機、防火墻等網絡設備進入安全防護區(qū)，實現(xiàn)在授權訪問的基礎上對目標資源的訪問。

（2）安全防護區(qū)是執(zhí)行鐵路網絡安全的環(huán)節(jié)。防病毒服務器、入侵防御系統(tǒng)（IPS，Intrusion Prevention System）結合已有的用戶數(shù)據可實現(xiàn)對異常用戶行為的分析、對非法用戶的提前預測，并對用戶的屬性精確研判；零信任控制器通過對用戶的實時授權，可實現(xiàn)對異常用戶行為的快速響應；通過與零信任控制網關的相互協(xié)作，可實現(xiàn)用戶身份驗證，并根據網絡安全態(tài)勢對用戶動態(tài)授權。

（3）目標資源區(qū)在常規(guī)設備外增加了算力分配服務器，可實現(xiàn)根據應用服務器等單元的算力需求開展算力分配，及時協(xié)調計算資源。

5 結束語

本文根據復雜網絡環(huán)境下鐵路安全防護的特點及需求，結合當前研究成果進行鐵路網絡安全防護技術的研究，形成以數(shù)據為中心的鐵路網絡安全防護架構，從而實現(xiàn)數(shù)據從采集到安全分析的鐵路網絡全流程防護，為鐵路網絡安全防御體系的建立提供技術支持。今后，還將從資產、身份、權限3個維度深入研究網絡安全防護技術，進一步保障鐵路網絡和信息系統(tǒng)的安全、持續(xù)及穩(wěn)定運行。