鐵路通信網網絡安全管控平臺技術簡談

陳丹暉 劉清濤 張衛軍

(中國鐵路北京局集團有限公司北京鐵路通信技術中心，北京 100038）

1 概述

十三五期間，隨著高速鐵路網的快速建設，鐵路通信網作為承載鐵路智能化、營銷信息化、管理信息化的重要基礎設施，其重要性日益凸現，同時隨著云計算、物聯網、大數據等新一代信息化技術的深度融合，使網絡攻擊、網絡戰等一系列以網絡為對抗手段的新型沖突方式愈演愈烈，鐵路通信網網絡安全防御也將面臨更大的威脅和挑戰，網絡安全防護能力亟待加強。本文針對鐵路通信網安全防護現狀及安全管理需求進行了研究、分析，通過對國家、行業的技術借鑒，提出適合鐵路通信網的網絡安全管控平臺的技術架構，建立和完善鐵路通信網網絡安全威脅、關鍵信息基礎設施事前監測和防御、事后追蹤溯源的良好機制。

2 鐵路通信網安全防護現狀

鐵路通信是保障鐵路運輸安全、提高效率的重要工具。其中，通信網絡作為承載鐵路業務應用系統各個節點之間的數據、傳真、圖像等各種信息交換的主要通道,主要由承載網、業務網、支撐網3部分構成。

依據《中國鐵路總公司運輸局關于做好鐵路數據通信網網絡安全專項整治工作的通知》（運電通信函〔2016〕123號）文件要求，各路局集團公司數據網專項整治工作已陸續完成，重點從系統冗余配置、邊界隔離、集中登陸與審計、入侵防范、終端管控等方面進行了安全補強，安全風險大幅降低。但鐵路通信網其他構成，例如業務網（包括綜合視頻監控、會議電視、應急通信、調度通信等系統）、支撐網（主要包括專業網管、監控監測、通信綜合網管、骨干通信網運維與資源管理、GSM-R數據管理、通信技術履歷管理、鐵路通信地理信息管理等系統）等，其網絡安全防護技術、運維、管理等手段較為薄弱，抵御外來攻擊能力不足，安全風險較為突出。風險包括：各種類型的惡意入侵、木馬、病毒、惡意文件傳播、DDoS攻擊；無法檢測并記錄對設備的入侵的行為；在發生嚴重入侵行為時無法提供威脅報警；系統缺乏內控審計措施，管理員對網絡設備的配置操作沒有監管，操作記錄沒有集中統一建檔管理，容易丟失，造成事后追查困難；缺乏日志采集和分析系統，無法做到系統內所有IT設備資源的日志收集及分析，無法對網絡進行監測和管控等。

3 鐵路通信網網絡安全管理需求分析

《中華人民共和國網絡安全法》第三章第33條指出，建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。因此在加強鐵路通信網網絡安全設備補強的同時，同步規劃網絡安全管理是保障鐵路通信網穩定、持續運行的重要基礎。

近年來，隨著各類網絡安全事件的頻發，鐵路通信對于網絡安全管理的認識也由簡單到復雜、由部分到全面、由被動防御到主動防護。現階段，鐵路通信網網絡安全管理的需求集中表現在以下幾個方面。

1）類型繁雜、部署分散的網絡設備、安全設備、服務器、數據庫、中間件、操作系統、業務系統等（以下簡稱：IT資源)存在著較大的管理問題，需要進行集中、有效的管理。

2）需要對各類安全事件實現集中監控、采集和分析。

3）通過監控安全設備運行狀態，及時發現可能出現安全問題的故障點，將安全問題消滅在源頭。一旦出現安全故障，能快速定位安全故障的原因、安全故障影響的范圍，同時能夠迅速做出正確的反應，將損失減少到最小。

4）通過自動化手段定期對各業務系統、安全設備、主機進行安全風險評估，定位風險點，并提供相應的解決方案。

5）基于資源狀態、安全事件等建立分析模型輸出安全態勢，進而有效的衡量安全系統建設和安全日常維護的效果，為下一階段的安全工作提供指導和依據。

因此，建設統一、集中的鐵路通信網網絡安全管控平臺，實現各類IT資源的統一管理、安全策略統一部署、安全事件統一呈現，全面提升鐵路通信網安全管理能力，最大程度保證通信網安全穩定運行，是鐵路通信網在解決當前網絡安全防護的同時亦需面對的重要問題。

4 鐵路通信網網絡安全管控平臺總體架構

4.1 鐵路通信網網絡安全管控目標

根據鐵路通信網網絡安全現狀及管理需求，實現不同位置、不同資源中分散且海量的安全信息進行范式化、匯總、過濾和關聯分析，形成基于資源/域的統一等級的威脅與風險管理，并通過安全策略、綜合分析、集中監控、集中運維、統一管理等功能，建立健康指數分析視圖、業務雷達、業務應用列表等運行監控視圖。從業務視角對網絡設備、安全設備、服務器、數據庫等IT資源進行管理，了解鐵路通信的健康走勢、業務實時運行狀況、告警信息、健康度、繁忙度和可用性等信息，全局掌握網絡、業務的健康水平，保障業務的高質量無間斷運行。

4.2 鐵路通信網網絡安全管控平臺總體架構

4.2.1 設計思想

基于P2DR理論模型（包含4個主要部分：Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）。防護、檢測和響應構建“完整的、動態”的安全循環，在安全策略的整體指導下保證信息系統的安全。）構建適用于鐵路通信網的網絡安全管控平臺，是協助實現安全策略管理、安全組織管理、安全運作管理和安全技術框架的中心樞紐。鐵路通信網網絡安全管控平臺是一種安全管理的形式，它的存在有效地將策略管理、安全組織管理、安全運作管理和安全技術框架結合在一起，保持一致性。

4.2.2 技術架構

鐵路通信網網絡安全管控平臺技術架構是由綜合展現層、業務功能層、綜合分析層、專項管理層、采集層等部分組成，如圖1所示。

1）采集層

采集層由數據采集子系統構成，系統采用主動、被動技術，實時對各類設備事件日志及流量、操作、行為等異常記錄的采集和存儲。

2）專項管理層

專項管理層由事件管理子系統、漏洞管理子系統、基線管理子系統及策略管理子系統構成，系統對采集的風險進行管理配置。通過定制任務，驅動掃描器進行風險獲取，并依據風險實現策略管理、調整、下發。

a.事件管理子系統

實現對鐵路通信網各類IT資源日志及異常行為、異常流量、僵木蠕、漏洞等事件的數據分類、查詢、管理。實現海量日志全生命周期管理。海量日志數據經過過濾、歸并、標準化格式后進行深度分析。

b.漏洞管理子系統

實現對鐵路通信網網絡各類IT資源的漏洞進行全生命周期性管理。漏洞全生命周期管理主要包括資源管理摸塊、漏洞掃描、漏洞生命周期管理流程。

c.基線管理子系統

實現對鐵路通信網各類IT資源進行主動、被動的基線掃描核查及分析，并輸出相關安全建議。通過基線策略管理，實施符合鐵路通信網安全規范要求的基線核查模板，并根據運維需求，部署策略自動化進行基線核查，大幅提高運維效率及核查質量。

d.策略管理子系統

實現對鐵路通信網各類IT資源的統一管理，同時通過大數據分析和數據挖掘，發現網絡安全問題，通過安全策略管理實現策略管理、調整、下發等工作。

3）數據分析層

數據分析層基于動態實時的網絡安全分析與可視化技術，對存在的主要安全威脅和攻擊事件進行檢測，利用大數據分析方法對各種安全信息進行深層次關聯融合，以攻防的視角，從整體安全態勢、系統安全態勢、業務應用安全態勢、異常流量態勢、DDOS攻擊態勢、脆弱性利用態勢、數據泄露態勢、通報態勢、僵木蠕毒態勢、資產安全態勢、賬號安全態勢、等保態勢等維度進行立體化深入分析，通過發現有用信息，給出級別度量，完成以往需專家完成的風險計算工作，并自動觸發任務單和響應來降低風險，達到管理和控制風險的效果。從而實現對大型系統網絡安全狀況動態實時分析，也為平臺安全運維管理提供整體安全視圖，并對安全狀況發展趨勢進行預測。

4）業務功能層

業務功能層由資產管理子系統、系統運維管理子系統、安全運維管理子系統等構成。實現對網絡安全業務的支撐，以及系統自身運行的管理。在此基礎上，通過分析事件與漏洞、配置、資產的相互關系，計算風險、產生告警以及派發工單，產生報表等。與此同時，業務功能層提供資產管理、報表管理、知識庫管理、告警管理，分別支撐用戶的相關業務功能。

a.資產管理子系統

資產管理子系統主要實現對IT資源進行管理，同時資產管理子系統提供資產網絡拓撲的展示，針對網絡拓撲中的資產對象，可以對資產漏洞、配置等進行管理。

b.系統運維管理子系統

實現對鐵路通信網網絡中的IT資源進行主動、被動的巡檢，監測設備、應用系統等對象的狀態及資源利用情況，滿足運維需求。

c.安全運營管理子系統

通過關聯分析，實現告警、報表、KPI、知識庫及工單等對象的管理。

5）展示層

通過對安全態勢、風險、告警等進行多維度的展示，實現安全管理的總體掌控，并提供動態配置功能，根據角色配置展示主題，如系統操作員的首頁包含全局風險趨勢、安全域風險趨勢、待處理工單、風險安全對象、事件相關監控、系統性能監控等內容。

4.2.3 部署架構

兩級架構部署如圖2所示。

網絡安全管控平臺按照由鐵路總公司和各路局集團公司兩級系統構建，采用分級部署模式將鐵路通信網的IT資源進行監控管理和安全分析。各路局集團公司構建本區域鐵路通信網網絡安全管控平臺，全面掌握集團公司鐵路通信網網絡安全態勢，各集團公司安全管控平臺通過外部接口與鐵路總公司層面網絡安全管控平臺進行業務對接，實現鐵路總公司可直接訪問各路局集團公司網絡安全管控平臺的功能頁面，實現大規模、跨地域的資源監管和安全分析統一呈現，總公司安全網絡安全管控平臺實現對全路鐵路通信網的網絡安全管理。

5 鐵路通信網網絡安全管控平臺關鍵技術研究

通過研究，鐵路通信網網絡安全管控平臺應包含數據采集、大數據分析、聯動處理、態勢感知4方面關鍵技術。

5.1 數據采集技術

鐵路通信網網絡安全管控是一種基于環境的動態、全面洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式。數據作為管控平臺的基礎資源，其采集對象的廣泛程度將對分析結果產生重要影響。因此，通過部署日志代理探針、流量探針、僵木蠕探針、異常操作探針、異常行為探針、病毒檢測探針等，實現各類數據源的收集，包括異常操作類告警數據、異常流量類告警數據、病毒告警類數據、僵木蠕告警類數據等，并通過數據的匯入，完成數據源的存儲，為大數據分析提供數據保障。

5.2 大數據分析技術

利用采集的IT資源數據，按照資產、漏洞、事件、風險、事件等多位度進行建模分析，實現對攻擊異常行為的識別和預警。同時利用機器學習技術，建立業務訪問模型，對異常業務訪問、網絡入侵、數據竊取等非法行為進行及時判斷發現，實現鐵路通信網防御及處理。

5.3 聯動處理技術

5.3.1 攻擊處理

為實現網絡對已知威脅的主動防御，鐵路通信網網絡安全管控平臺支持與安全設備聯動機制。當發現明確攻擊類型時，在管理員進行信息確認后，進行阻斷指令下發（或平臺自動向安全設備下發阻斷指令）。實現對網絡威脅的及時控制，以及網絡安全與業務運行的合理平衡。

5.3.2 基線違規處理

鐵路通信網網絡安全管控平臺基線掃描發現違規操作后（例如非法登陸、密碼強度不符合要求、未啟用合法協議進行遠程管理、日志保存時間未能滿足規定要求等），發布告警通知，運維人員通過及時整改，降低由于安全控制不足導致的安全風險。5.3.3 惡意代碼/漏洞威脅處理

通過引入互聯網安全情報數據，結合本地的實時日志信息進行綜合分析，針對預警信息進行安全的事前檢測和整改，如“永恒之藍”的防御，通過互聯網安全情報在爆發初期就同步到本地平臺并發布預警通知，協同其他安全設備針對高危端口進行掃描和檢測，并進行安全策略下發，防范由于惡意代碼或漏洞造成的安全威脅。

5.4 態勢感知技術

現階段面對傳統安全防御體系失效的風險，態勢感知能夠較為全面的感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態，通過大數據建模技術對各類告警、安全事件進行分析，發現潛在入侵和高隱蔽性攻擊，并綜合歷史安全事件，對未來短期的安全態勢做出預測。其功能如下。

1）安全事件告警和檢索

對生成的告警和安全事件進行定時監控和處理說明，并對告警事件進行分析和檢索。

2）安全風險量化和預測

對各類日志及安全事件量化分析，并通過資源依賴關系和攻擊手段進行關聯性判斷，預測潛在的安全風險。同時通過鐵路通信網網絡安全管控平臺進行安全策略調整和配置。

6 結束語

鐵路通信網承載著眾多鐵路重要運營業務及數據，隨著云計算、虛擬化、大數據、物聯網等新技術的發展，安全問題不斷涌現。為保證鐵路通信網的穩定運行，通過部署各類安全產品抵御內、外部安全威脅，但在網絡規模急劇擴大的時候，安全設備也在同步增加，如何實現安全設備的統一管理、實現全局安全的統一掌握是工作中的迫切需求。因此，通過梳理鐵路通信網的安全現狀和業務特點，參考國家、行業的相關安全管理經驗，結合信息系統安全等級保護測評要求、信息安全完全參考手冊等安全資料，針對鐵路業務特性和在網數據情況進行深度分析，包括滲透測試、模擬攻擊和入侵嘗試等，找到鐵路業務安全風險和脆弱性，提出了鐵路通信網網絡安全管控平臺的技術研究。該平臺的運用可為鐵路通信各業務系統安全防護設備提供集中管理及相關安全服務。實現對網絡安全的態勢覺察、跟蹤、預測和預警，及時掌握網絡安全威脅、風險和隱患，及時監測漏洞、病毒木馬、網絡攻擊情況，及時發現網絡安全事件線索，及時預警重大網絡安全威脅，及時處置安全事件，從而實時的掌握網絡安全態勢，有效提升鐵路通信網的安全整體防護能力。