面向鐵路信息網(wǎng)絡(luò)的可信計(jì)算安全機(jī)制探討

王一芃, 劉 洋, 許云龍, 郝健宇

(中國(guó)鐵路信息科技集團(tuán)有限公司, 北京 100083)

0 引言

隨著鐵路信息化的飛速發(fā)展,信息系統(tǒng)在鐵路運(yùn)輸?shù)母鱾€(gè)方面得到廣泛應(yīng)用,從運(yùn)輸組織到貨運(yùn)營(yíng)銷(xiāo),以及經(jīng)營(yíng)管理等方面,業(yè)務(wù)流程對(duì)信息系統(tǒng)的依賴程度持續(xù)上升. 這種趨勢(shì)意味著信息系統(tǒng)的安全風(fēng)險(xiǎn)在對(duì)業(yè)務(wù)平穩(wěn)運(yùn)行方面可能會(huì)產(chǎn)生更大的影響. 信息系統(tǒng)的關(guān)鍵性在于他們已成為鐵路運(yùn)輸業(yè)務(wù)的支柱,任何系統(tǒng)中斷、數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊都有可能對(duì)鐵路運(yùn)輸?shù)恼＿\(yùn)行造成重大影響. 因此確保信息系統(tǒng)的安全和穩(wěn)定性對(duì)于保障鐵路運(yùn)輸?shù)倪B續(xù)性和高效性至關(guān)重要.

1 鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)與挑戰(zhàn)

1.1 安全現(xiàn)狀

鐵路信息網(wǎng)絡(luò)主要包括鐵路綜合信息網(wǎng)和鐵路專用信息網(wǎng)(例如客票專網(wǎng)、列車(chē)調(diào)度指揮專網(wǎng)、旅服專網(wǎng)等),整體覆蓋國(guó)鐵集團(tuán)、鐵路局、站段3級(jí),各級(jí)之間通過(guò)鐵路數(shù)據(jù)通信網(wǎng)實(shí)現(xiàn)互聯(lián)互通[1]. 鐵路綜合信息網(wǎng)是承載通用性、基礎(chǔ)性信息化應(yīng)用系統(tǒng)的重要網(wǎng)絡(luò),涵蓋戰(zhàn)略決策、經(jīng)營(yíng)開(kāi)發(fā)、運(yùn)輸生產(chǎn)等眾多業(yè)務(wù)領(lǐng)域. 鐵路專用信息網(wǎng)承載了對(duì)功能性能、部署環(huán)境以及安全防護(hù)有特殊要求的信息化應(yīng)用系統(tǒng)[2].

鐵路信息網(wǎng)實(shí)行分區(qū)部署、分級(jí)防護(hù)的安全策略,在網(wǎng)絡(luò)內(nèi)部根據(jù)功能特點(diǎn)進(jìn)行區(qū)域劃分,不同區(qū)域各司其職,為上層信息系統(tǒng)提供部署資源和接入條件[3]. 根據(jù)鐵路相關(guān)技術(shù)標(biāo)準(zhǔn),各區(qū)域配置差異化安全防護(hù)措施,并在區(qū)域邊界進(jìn)行物理隔離或邏輯隔離,構(gòu)成縱深防御的網(wǎng)絡(luò)結(jié)構(gòu)[4]. 此外,鐵路信息網(wǎng)還部署了主機(jī)防護(hù)、終端防護(hù)等計(jì)算環(huán)境安全防護(hù)設(shè)備,以及入侵檢測(cè)、流量探針、日志審計(jì)等安全態(tài)勢(shì)檢測(cè)分析設(shè)備,進(jìn)一步提升了鐵路信息網(wǎng)絡(luò)安全防護(hù)綜合能力[5].

1.2 風(fēng)險(xiǎn)與挑戰(zhàn)

日常網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練過(guò)程中,除弱口令、漏洞修復(fù)不及時(shí)、私搭亂建互聯(lián)網(wǎng)網(wǎng)站等問(wèn)題外,供應(yīng)鏈安全、代碼開(kāi)發(fā)不規(guī)范等問(wèn)題也較突出. 此外,信息化和數(shù)字化技術(shù)在鐵路業(yè)務(wù)場(chǎng)景的應(yīng)用引入了新的安全風(fēng)險(xiǎn),既有安全防御手段逐漸顯露出局限性. 大量鐵路業(yè)務(wù)應(yīng)用系統(tǒng)已遷移至云端,系統(tǒng)的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的物理位置不斷變化,打破了傳統(tǒng)的安全邊界,使基礎(chǔ)設(shè)施和網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜和異構(gòu),導(dǎo)致容易實(shí)施、難以預(yù)防、難以追蹤的攻擊. 各個(gè)鐵路業(yè)務(wù)領(lǐng)域正在構(gòu)建或已建設(shè)大數(shù)據(jù)平臺(tái),廣泛收集、存儲(chǔ)、分析和管理各種同構(gòu)和異構(gòu)數(shù)據(jù),使得大量異構(gòu)數(shù)據(jù)的融合、存儲(chǔ)和管理成為難題,也對(duì)數(shù)據(jù)的分類(lèi)和分級(jí)防護(hù)提出了挑戰(zhàn)[6].

鐵路信息網(wǎng)絡(luò)當(dāng)前的安全防御架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界,存在對(duì)內(nèi)部用戶和行為的過(guò)度信任,內(nèi)部威脅檢測(cè)和防護(hù)能力不足,對(duì)終端和應(yīng)用層面的威脅分析不夠全面的局限性. 已構(gòu)建的縱深防御架構(gòu)雖然通過(guò)多層次的防御機(jī)制抵御各種網(wǎng)絡(luò)攻擊,但由于主要依賴已知威脅的檢測(cè)防護(hù)邏輯,缺乏主動(dòng)防御機(jī)制,難以抵御APT攻擊和0 day攻擊. 并且縱深防御架構(gòu)主要針對(duì)傳統(tǒng)信息系統(tǒng)設(shè)計(jì),對(duì)虛擬化和云化所導(dǎo)致的網(wǎng)絡(luò)邊界模糊等問(wèn)題關(guān)注太少. 防火墻策略、入侵檢測(cè)規(guī)則越來(lái)越負(fù)載,惡意代碼庫(kù)越來(lái)越龐大,逐漸增加的安全投入,使得維護(hù)和管理變得愈加復(fù)雜及執(zhí)行困難.

1.3 網(wǎng)絡(luò)安全等級(jí)保護(hù)要求

《等級(jí)保護(hù)2.0》引入了主動(dòng)防御理念,取代了傳統(tǒng)的被動(dòng)防御. 其主要變化之一是引入可信計(jì)算,為信息系統(tǒng)打造1個(gè)可信、主動(dòng)的安全防護(hù)體系,旨在改變?cè)械谋粍?dòng)防護(hù)態(tài)勢(shì),推動(dòng)等級(jí)保護(hù)制度得以科學(xué)執(zhí)行. 根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070—2019)的規(guī)定,不同級(jí)別網(wǎng)絡(luò)系統(tǒng)對(duì)可信驗(yàn)證要求不同.

1.3.1 等級(jí)保護(hù)1級(jí)系統(tǒng)

核心是確保信任鏈從可信啟動(dòng)階段開(kāi)始傳遞. 等保1級(jí)系統(tǒng)要求對(duì)設(shè)備實(shí)體進(jìn)行可信驗(yàn)證,包括 BIOS、引導(dǎo)程序和操作系統(tǒng)內(nèi)核等. 設(shè)備需確保具備獨(dú)有可靠的身份,借助可信連接機(jī)制,確保系統(tǒng)的安全性[7].

1.3.2 等級(jí)保護(hù)2級(jí)系統(tǒng)

在等級(jí)保護(hù)1級(jí)系統(tǒng)的基礎(chǔ)上,將信任鏈的傳遞延伸至靜態(tài)度量階段. 實(shí)現(xiàn)對(duì)執(zhí)行程序等實(shí)體的可信驗(yàn)證,在設(shè)備加入網(wǎng)絡(luò)時(shí)對(duì)其身份及執(zhí)行程序進(jìn)行認(rèn)證. 這將系統(tǒng)的安全級(jí)別提升到更高層次,可應(yīng)對(duì)更高級(jí)別的威脅[7].

1.3.3 等級(jí)保護(hù)3級(jí)系統(tǒng)

將信任鏈的傳遞升級(jí)到動(dòng)態(tài)度量階段,增強(qiáng)了系統(tǒng)的安全性. 等保3級(jí)系統(tǒng)要求對(duì)安全配置等實(shí)體實(shí)施可信驗(yàn)證,并生成審計(jì)記錄. 可信連接機(jī)制在設(shè)備加入網(wǎng)絡(luò)時(shí)用于對(duì)身份、執(zhí)行程序及關(guān)鍵執(zhí)行環(huán)節(jié)的執(zhí)行資源進(jìn)行認(rèn)證,確保系統(tǒng)安全[7].

1.3.4 等級(jí)保護(hù)4級(jí)系統(tǒng)

在動(dòng)態(tài)度量階段的基礎(chǔ)上,進(jìn)一步擴(kuò)展可信驗(yàn)證的范圍,覆蓋應(yīng)用程序的所有執(zhí)行環(huán)節(jié). 等保四級(jí)系統(tǒng)支持動(dòng)態(tài)關(guān)聯(lián)感知,發(fā)現(xiàn)可信性受損時(shí)可采取對(duì)應(yīng)措施恢復(fù)系統(tǒng). 為系統(tǒng)提供最高級(jí)別的安全保障,應(yīng)對(duì)高級(jí)威脅[7].

2 可信計(jì)算體系介紹

2.1 基本思想

網(wǎng)絡(luò)安全系統(tǒng)在過(guò)去主要依賴傳統(tǒng)的組件,例如防火墻、入侵檢測(cè)系統(tǒng)和病毒防范軟件等. 這些傳統(tǒng)方法通常采用被動(dòng)式的封鎖和查殺策略,存在難以有效對(duì)抗邏輯漏洞攻擊的問(wèn)題. 此外,他們僅能被動(dòng)地應(yīng)對(duì)已知病毒和攻擊,對(duì)于新型未知威脅的適應(yīng)能力有限.

主動(dòng)免疫可信計(jì)算提出了全新理念,其核心目標(biāo)在于在計(jì)算體系結(jié)構(gòu)層面實(shí)現(xiàn)主動(dòng)免疫[8]. 以內(nèi)置可信芯片或外接可信硬件模塊作為可信根,綜合考慮物理安全、技術(shù)安全、管理安全等多方面因素,共同確?？尚鸥目尚判?從而構(gòu)建了堅(jiān)實(shí)的信任基礎(chǔ). 信任鏈從可信根出發(fā),涵蓋了硬件平臺(tái)、操作系統(tǒng)、應(yīng)用程序等多個(gè)層面,通過(guò)逐層認(rèn)證和信任傳遞,確保整個(gè)計(jì)算機(jī)系統(tǒng)的可信性.

2.2 主要特征

2.2.1 雙體系結(jié)構(gòu)

主動(dòng)免疫可信計(jì)算采用雙體系結(jié)構(gòu),包括計(jì)算部件和防護(hù)部件. 計(jì)算部件代表常規(guī)計(jì)算系統(tǒng),防護(hù)部件是主動(dòng)免疫可信計(jì)算的實(shí)施者. 通過(guò)防護(hù)部件,系統(tǒng)對(duì)計(jì)算部件實(shí)現(xiàn)全生命周期的可信監(jiān)控,保證可信性. 連接到計(jì)算部件的防護(hù)部件以可信平臺(tái)控制模塊(TPCM)為基礎(chǔ). 可信平臺(tái)控制模塊采用總線級(jí)控制方式對(duì)設(shè)備計(jì)算部件和設(shè)備外設(shè)進(jìn)行度量控制. 可信平臺(tái)控制模塊整合密碼及控制機(jī)制,在計(jì)算部件中央處理器(CPU)啟動(dòng)前,優(yōu)先進(jìn)行度量和控制. 此外,系統(tǒng)還配備了可信軟件,主動(dòng)監(jiān)控并調(diào)度管理可信硬件資源[9].

圖1 雙體系結(jié)構(gòu)圖

2.2.2 四要素可信動(dòng)態(tài)訪問(wèn)控制

傳統(tǒng)訪問(wèn)控制機(jī)制作為保障系統(tǒng)安全的關(guān)鍵方法,基于主體、客體、操作3個(gè)要素,旨在控制主體對(duì)客體的操作行為,以維護(hù)系統(tǒng)訪問(wèn)的安全性. 傳統(tǒng)訪問(wèn)控制策略實(shí)施過(guò)程中存在不可避免的安全漏洞,如惡意用戶偽裝成合法實(shí)體訪問(wèn)資源、合法實(shí)體被篡改導(dǎo)致越權(quán)訪問(wèn)、以及破壞授權(quán)客體完整性等問(wèn)題. 因此,對(duì)于訪問(wèn)控制中的“主體、客體、操作、環(huán)境”4個(gè)要素,有必要進(jìn)行動(dòng)態(tài)可信度量、識(shí)別和控制的優(yōu)化改進(jìn).

2.2.3 三重防護(hù)框架

旨在確保安全管理中心、安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的整體合規(guī)和信息安全. 該方案的核心理念是：以計(jì)算環(huán)境的安全為基礎(chǔ),同時(shí)又以區(qū)域邊界安全和通信網(wǎng)絡(luò)安全為支撐,以安全管理中心為核心,從而構(gòu)建1個(gè)全面的信息安全保障體系.

2.3 可信計(jì)算信任鏈構(gòu)建關(guān)鍵技術(shù)

可信計(jì)算3.0技術(shù)體系的關(guān)鍵技術(shù)包括安全啟動(dòng)、動(dòng)態(tài)度量、可信存儲(chǔ)和可信連接技術(shù),這些技術(shù)可保證信息系統(tǒng)整體安全. 其中,安全啟動(dòng)是構(gòu)建可信計(jì)算平臺(tái)的基礎(chǔ),安全啟動(dòng)保證初始環(huán)境的可信性. 動(dòng)態(tài)度量通過(guò)主動(dòng)攔截和驗(yàn)證應(yīng)用程序的系統(tǒng)調(diào)用行為,保證系統(tǒng)在運(yùn)行時(shí)的動(dòng)態(tài)可信性. 基于 TPCM 密碼的可信存儲(chǔ),對(duì)重要信息如文件數(shù)據(jù)進(jìn)行加解密和完整性保護(hù). 可信連接負(fù)責(zé)驗(yàn)證互聯(lián)節(jié)點(diǎn)的可信性,阻止非法終端接入[10].

2.3.1 靜態(tài)度量(安全啟動(dòng))

靜態(tài)度量過(guò)程主導(dǎo)計(jì)算平臺(tái)主板上電時(shí)序和信息讀取,對(duì)從閃存中讀取的啟動(dòng)代碼數(shù)據(jù)(如BIOS、BMC)進(jìn)行可信性和完整性的度量驗(yàn)證. 如果啟動(dòng)代碼完整性未被破壞,系統(tǒng)允許計(jì)算平臺(tái)啟動(dòng),并對(duì)操作系統(tǒng)引導(dǎo)程序進(jìn)行完整性度量. 通過(guò)逐步驗(yàn)證操作系統(tǒng)內(nèi)核的完整性,系統(tǒng)允許加載操作系統(tǒng)內(nèi)核,確保系統(tǒng)進(jìn)入可信工作環(huán)境. 靜態(tài)度量驗(yàn)證機(jī)制用于衡量程序的完整性,在程序啟動(dòng)前執(zhí)行,只有度量結(jié)果與預(yù)期值一致時(shí)允許啟動(dòng),否則拒絕執(zhí)行. 這些關(guān)系為從BIOS到上層應(yīng)用建立了系統(tǒng)初始環(huán)境可信性的信任鏈.

2.3.2 動(dòng)態(tài)度量

以安全啟動(dòng)技術(shù)為基礎(chǔ),收集預(yù)期值并在系統(tǒng)運(yùn)行過(guò)程中驗(yàn)證其狀態(tài). 通過(guò)高速總線對(duì)度量對(duì)象進(jìn)行動(dòng)態(tài)監(jiān)測(cè),捕獲進(jìn)程的系統(tǒng)調(diào)用行為,并根據(jù)度量機(jī)制和可信基準(zhǔn)庫(kù)對(duì)進(jìn)程狀態(tài)和系統(tǒng)環(huán)境的可信性進(jìn)行評(píng)估. 度量結(jié)果顯示主體和系統(tǒng)環(huán)境可信時(shí),由其他安全機(jī)制負(fù)責(zé)處理;否則,根據(jù)策略進(jìn)行上報(bào),甚至斷開(kāi)物理接口,并發(fā)送告警審計(jì)信息,以實(shí)現(xiàn)可信運(yùn)行環(huán)境的實(shí)時(shí)保護(hù)[11].

3 鐵路信息系統(tǒng)信任鏈構(gòu)建設(shè)計(jì)

在鐵路運(yùn)輸組織、貨運(yùn)營(yíng)銷(xiāo)和經(jīng)營(yíng)管理等業(yè)務(wù)領(lǐng)域的信息系統(tǒng)中,構(gòu)建信任鏈?zhǔn)谴_保其安全運(yùn)行的重要環(huán)節(jié). 在鐵路綜合信息網(wǎng)的局域網(wǎng)劃分過(guò)程中,需要全面考慮不同因素,比如所支持的信息系統(tǒng)的業(yè)務(wù)類(lèi)型、各部門(mén)權(quán)責(zé)劃分以及現(xiàn)有的網(wǎng)絡(luò)狀況[12].

1)業(yè)務(wù)類(lèi)型是信任鏈構(gòu)建的關(guān)鍵考量因素之一. 核心生產(chǎn)、生產(chǎn)管理、公共信息和行政管理等業(yè)務(wù)內(nèi)容都可能有著不同的安全需求,因此對(duì)其安全性的考慮也需因情況而異;2)關(guān)聯(lián)部門(mén)之間的權(quán)責(zé)劃分是構(gòu)建信任鏈時(shí)需要明確的重要因素. 不同部門(mén)可能在信息系統(tǒng)中擔(dān)任不同的角色和職責(zé),其操作權(quán)限和信息訪問(wèn)需求會(huì)有所不同. 這種差異需要在信任鏈的搭建中得到充分的考慮和體現(xiàn),確保各個(gè)部門(mén)的安全性和信息系統(tǒng)的整體安全;3)既有網(wǎng)絡(luò)情況也是信任鏈構(gòu)建的重要參考因素. 已有網(wǎng)絡(luò)設(shè)施和結(jié)構(gòu)對(duì)信任鏈的構(gòu)建和設(shè)計(jì)也有重要影響,因?yàn)檫@會(huì)涉及到網(wǎng)絡(luò)設(shè)備的整合、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì),以及可能出現(xiàn)的安全隱患.

總之,在鐵路綜合信息網(wǎng)內(nèi)局域網(wǎng)的劃分中,這3個(gè)方面的綜合考慮是構(gòu)建信任鏈的重要因素,他們相互交織,共同確保信息系統(tǒng)在各業(yè)務(wù)領(lǐng)域中的安全性和高效性. 鐵路信息系統(tǒng)部署應(yīng)用方式和等級(jí)保護(hù)定級(jí)情況可較準(zhǔn)確反映各個(gè)系統(tǒng)業(yè)務(wù)的重要性以及安全防護(hù)要求. 鑒于此,結(jié)合等保技術(shù)標(biāo)準(zhǔn)對(duì)可信驗(yàn)證的要求,對(duì)采用統(tǒng)一建設(shè)、自建設(shè)等不同部署應(yīng)用方式的信息系統(tǒng)服務(wù)器構(gòu)建了不同范圍的信任鏈,具體策略如表1所示.

表1 鐵路信息系統(tǒng)信任鏈構(gòu)建策略

1)建立可信根對(duì)于需要構(gòu)建信任鏈的信息系統(tǒng),可利用服務(wù)器內(nèi)置的可信芯片或外接可信模塊作為可信根.

2)構(gòu)建信任鏈在鐵路信息系統(tǒng)的安全架構(gòu)中,不同的系統(tǒng)保護(hù)等級(jí)要求不同的信任鏈構(gòu)建,以確保系統(tǒng)在運(yùn)行過(guò)程中的可信性和安全性. 以下將進(jìn)一步探討每個(gè)保護(hù)等級(jí)下的信任鏈構(gòu)建和相應(yīng)的安全措施.

①對(duì)于保護(hù)等級(jí)為1級(jí)或站段級(jí)單位自建的系統(tǒng),信任鏈的焦點(diǎn)是從服務(wù)器硬件設(shè)備加電到操作系統(tǒng)啟動(dòng)的過(guò)程. 這一信任鏈的第1步是對(duì)服務(wù)器硬件上的BIOS、BMC等硬件啟動(dòng)代碼程序的可信性和完整性進(jìn)行度量驗(yàn)證. 這確保了硬件啟動(dòng)代碼沒(méi)有被篡改或受到惡意干擾. 如果啟動(dòng)代碼的完整性未受破壞,系統(tǒng)將允許應(yīng)用服務(wù)器啟動(dòng). 在應(yīng)用服務(wù)器啟動(dòng)后,系統(tǒng)會(huì)繼續(xù)對(duì)操作系統(tǒng)引導(dǎo)程序進(jìn)行完整性度量. 只有當(dāng)操作系統(tǒng)引導(dǎo)程序的完整性未被破壞時(shí),系統(tǒng)才會(huì)繼續(xù)操作系統(tǒng)的啟動(dòng)和加載應(yīng)用服務(wù)器操作系統(tǒng)內(nèi)核. 這個(gè)過(guò)程確保了從硬件層到操作系統(tǒng)層的連續(xù)可信性.

②對(duì)于保護(hù)等級(jí)為2級(jí)或各鐵路局集團(tuán)統(tǒng)一建設(shè)的系統(tǒng),信任鏈擴(kuò)展到了服務(wù)器硬件設(shè)備加電到應(yīng)用程序啟動(dòng)的過(guò)程. 基于等保1級(jí)系統(tǒng)的可信驗(yàn)證工作,對(duì)已部署的應(yīng)用系統(tǒng)相關(guān)程序進(jìn)行完整性校驗(yàn). 這意味著系統(tǒng)將對(duì)比即將啟動(dòng)的應(yīng)用系統(tǒng)相關(guān)程序與預(yù)存的應(yīng)用系統(tǒng)程序. 當(dāng)度量結(jié)果與預(yù)存值相同時(shí),該程序才被啟動(dòng),否則將阻止其執(zhí)行. 此外,可信驗(yàn)證的結(jié)果會(huì)被記錄在本地審計(jì)記錄中,以便日后進(jìn)行安全審計(jì)和檢查.

③對(duì)于保護(hù)等級(jí)為3級(jí)或國(guó)鐵集團(tuán)統(tǒng)一建設(shè)的系統(tǒng),信任鏈進(jìn)一步擴(kuò)展至應(yīng)用系統(tǒng)相關(guān)程序執(zhí)行的關(guān)鍵環(huán)節(jié). 這包括用戶登錄、數(shù)據(jù)庫(kù)訪問(wèn)、版本更新、調(diào)用外部應(yīng)用程序接口,以及存在多個(gè)依賴關(guān)系的進(jìn)程等關(guān)鍵環(huán)節(jié). 系統(tǒng)會(huì)對(duì)這些關(guān)鍵環(huán)節(jié)進(jìn)行度量,以確保它們的執(zhí)行是可信的. 這也包括對(duì)系統(tǒng)中涉及的各個(gè)環(huán)節(jié)的可信驗(yàn)證結(jié)果形成審計(jì)記錄,然后上傳至鐵路網(wǎng)絡(luò)安全運(yùn)營(yíng)工作支撐平臺(tái). 這有助于監(jiān)測(cè)系統(tǒng)的運(yùn)行狀態(tài)并及時(shí)發(fā)現(xiàn)異常行為.

④對(duì)于保護(hù)等級(jí)為4級(jí)的系統(tǒng)以及關(guān)鍵信息基礎(chǔ)設(shè)施,信任鏈擴(kuò)展至應(yīng)用系統(tǒng)相關(guān)程序執(zhí)行的全部環(huán)節(jié). 每個(gè)環(huán)節(jié)都會(huì)接受可信驗(yàn)證,并相關(guān)驗(yàn)證結(jié)果會(huì)被記錄并上傳至鐵路網(wǎng)絡(luò)安全運(yùn)營(yíng)工作支撐平臺(tái). 這種多層次的信任鏈建立了從硬件到操作系統(tǒng)和應(yīng)用程序的信任路徑,以確保系統(tǒng)運(yùn)行的可信性和安全性. 此外,將驗(yàn)證結(jié)果上傳到運(yùn)營(yíng)支撐平臺(tái)有助于中心化的監(jiān)控和分析,以及實(shí)時(shí)響應(yīng)潛在威脅. 這種多層信任鏈的設(shè)計(jì)使鐵路信息系統(tǒng)能適應(yīng)不同保護(hù)等級(jí)的要求,提供全面的安全保障.

4 結(jié)束語(yǔ)

盡管鐵路信息系統(tǒng)的信息安全防護(hù)技術(shù)持續(xù)升級(jí),構(gòu)建的多層防御體系(如邊界、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用和主機(jī)等)能有效抵御外部入侵,但內(nèi)部攻擊和信息泄露等問(wèn)題仍構(gòu)成威脅. 這是因?yàn)閭鹘y(tǒng)安全技術(shù)在防范外部威脅的同時(shí),當(dāng)前內(nèi)部威脅的實(shí)際狀況不容忽視. 為解決內(nèi)部安全問(wèn)題,有必要構(gòu)建1種信息信任傳遞模式,實(shí)現(xiàn)人對(duì)程序、人與機(jī)器之間信息安全傳遞的源頭控制.

通過(guò)利用“可信計(jì)算”技術(shù),可構(gòu)建1個(gè)以硬件可信根為基礎(chǔ)的信任度量過(guò)程,涵蓋信息系統(tǒng)從硬件啟動(dòng)到應(yīng)用系統(tǒng)程序運(yùn)行的整個(gè)流程控制機(jī)制. 這一過(guò)程依據(jù)信息系統(tǒng)的業(yè)務(wù)重要性、安全防護(hù)要求,選擇相匹配的信任鏈構(gòu)建范圍,有助于防止未經(jīng)授權(quán)的訪問(wèn)和信息泄漏,從而提高了信息系統(tǒng)的整體安全性和保護(hù)機(jī)制. 因此,可信計(jì)算技術(shù)在鐵路網(wǎng)絡(luò)安全領(lǐng)域具有廣泛的應(yīng)用前景,尤其對(duì)于需要高度安全性的信息系統(tǒng).