鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護平臺研究

馮凱亮，陳 勛，張德棟，王紅偉

（中國鐵道科學研究院集團有限公司 電子計算技術(shù)研究所，北京 100081）

近年來，隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件屢有發(fā)生。 2010年，震網(wǎng)病毒入侵全球至少4.5萬個工業(yè)控制系統(tǒng)； 2017年，永恒之藍勒索病毒全球爆發(fā)；2021年，美國最大輸油管道商Colonial Pipeline遭受網(wǎng)絡(luò)攻擊，導致供油系統(tǒng)癱瘓。針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊強度和范圍仍在不斷擴大，黑客勢力逐漸從對關(guān)鍵信息基礎(chǔ)設(shè)施的探測、滲透、隱藏到對重要數(shù)據(jù)的竊取、破壞和非法傳播。

關(guān)鍵信息基礎(chǔ)設(shè)施是國家安全和公共利益的核心支撐，我國“十四五”規(guī)劃強調(diào)要建立、健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，提升網(wǎng)絡(luò)安全保障和維護國家主權(quán)能力，為我國各行業(yè)深入開展關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全保護提供了法律基礎(chǔ)、具體要求和實施依據(jù)。

鐵路作為我國重要的關(guān)鍵信息基礎(chǔ)設(shè)施，負責我國鐵路客貨運輸經(jīng)營管理，其重要信息系統(tǒng)在運輸指揮、經(jīng)營管理等領(lǐng)域發(fā)揮重要作用。若數(shù)據(jù)在收集、存儲、使用過程中，遭到非法竊取、篡改、破壞、利用，將直接影響到關(guān)鍵信息基礎(chǔ)設(shè)施運行的安全、穩(wěn)定、可靠，進而影響鐵路運輸生產(chǎn)安全，因此，對鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)進行安全防護是十分必要的。

1 安全防護現(xiàn)狀分析

本文對鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施及重要信息系統(tǒng)數(shù)據(jù)全生命周期過程進行現(xiàn)狀分析，對關(guān)鍵信息基礎(chǔ)設(shè)施及重要信息系統(tǒng)涉及到的終端數(shù)據(jù)接入、傳輸和存儲、共享使用及流動監(jiān)測等進行了研究。

1.1 終端身份缺少認證

終端身份缺少認證，接入不可信。采集設(shè)備或終端設(shè)備在接入系統(tǒng)時基本沒有進行身份認證[1]，缺失對接入設(shè)備的可信驗證[2]，未按照分級、分類規(guī)范對數(shù)據(jù)接入進行防護。

1.2 數(shù)據(jù)傳輸和存儲存在明文現(xiàn)象

重要數(shù)據(jù)在傳輸和存儲過程中存在明文現(xiàn)象，沒有采用加密及數(shù)據(jù)校驗[3]手段，存在傳輸過程中被篡改、存儲過程中被非法竊取利用的風險。

1.3 共享使用不可控

關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)存在共享使用不可控的情況。重要數(shù)據(jù)的使用缺失權(quán)限控制和身份確認。第三方系統(tǒng)賬號只要能調(diào)用接口，就能直接訪問并獲取數(shù)據(jù)資源。

1.4 流動過程安全狀態(tài)不明

關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)整體流動過程中的安全狀態(tài)不清楚，缺少對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)流動的監(jiān)測手段，對數(shù)據(jù)在傳輸過程中是否被篡改、利用、竊取等情況無法把控。

2 平臺設(shè)計

本文基于國家網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)法律法規(guī)和標準，結(jié)合中國國國家鐵路集團有限公司（簡稱：國鐵集團）網(wǎng)絡(luò)安全管理辦法，針對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)從采集、傳輸、存儲、使用、共享、銷毀全生命周期[4]過程的風險點，設(shè)計基于自主可控、安全可靠的關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護平臺。

2.1 平臺架構(gòu)

平臺提供輕量級的鏈路層數(shù)據(jù)加密技術(shù)、可信接入認證和數(shù)據(jù)安全傳輸服務(wù)，解決關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)可信接入認證、加密傳輸[5]等安全問題，保證關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)傳輸過程中的安全可控、可視、可審，滿足關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)機密性、完整性、真實性的網(wǎng)絡(luò)安全需求，平臺架構(gòu)如圖1所示。

圖1 鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護平臺架構(gòu)

（1）基礎(chǔ)支撐層

基于服務(wù)器密碼機、簽名驗簽服務(wù)器、SM9算法密碼機等構(gòu)建數(shù)據(jù)安全服務(wù)，通過密碼模塊、PCIE密碼卡、可信卡、安全U盾、安全SDK等構(gòu)建接入端的安全服務(wù)。

（2）技術(shù)支持層

通過集成對稱加密、非對稱加密、摘要等算法，及安全認證、密鑰管理[6]、訪問控制、脫敏等技術(shù)，構(gòu)建基于中華人民共和國商用密碼（簡稱：國密）算法的可信接入認證模型和數(shù)據(jù)傳輸安全模型。

（3）服務(wù)提供層

平臺提供權(quán)限管控、密鑰管理、鏈路加密、監(jiān)測分析、安全審計[7]、存儲安全[8]等服務(wù)，滿足關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)全生命周期安全需要。

2.2 平臺特點

（1）平臺研究輕量級數(shù)據(jù)加密算法與安全傳輸協(xié)議集成技術(shù)，設(shè)計基于國密算法的輕量級認證與傳輸通信協(xié)議，采用軟件算法優(yōu)化和硬件加速相結(jié)合的思路，為關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)各級之間的數(shù)據(jù)交互提供輕量級加解密與高時效安全傳輸服務(wù)。

（2）平臺為關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)提供采集、傳輸、存儲、使用、共享、銷毀全生命周期的安全防護，做到對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)整體流動狀態(tài)的事前態(tài)勢感知、事中實時響應(yīng)、事后追蹤溯源。

（3）平臺以密碼技術(shù)為核心，支持國密SM1、SM2、SM3、SM4等算法，結(jié)合身份認證和訪問控制等技術(shù)手段，提供開放、靈活的接口服務(wù)，關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)經(jīng)過簡單調(diào)用即可實現(xiàn)業(yè)務(wù)數(shù)據(jù)安全。

（4）該平臺基于動態(tài)數(shù)據(jù)安全防護思路，提供對大數(shù)據(jù)架構(gòu)的可信訪問服務(wù)、傳輸安全可控、運行感知監(jiān)控等能力，將數(shù)據(jù)安全與關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)深度融合，讓網(wǎng)絡(luò)安全服務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)，形成一體化的安全防護體系[9]，構(gòu)筑可信、可管、可控的安全運行環(huán)境。

2.3 平臺功能

平臺為關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)提供存儲、加解密、密鑰管理、認證、脫敏等安全服務(wù)，為關(guān)鍵信息基礎(chǔ)設(shè)施運維人員提供監(jiān)測分析、狀態(tài)監(jiān)控、安全審計等監(jiān)審服務(wù)，為關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全管理人員提供數(shù)據(jù)授權(quán)、接入控制等管控服務(wù)。平臺功能架構(gòu)如圖2所示。

圖2 數(shù)據(jù)安全防護平臺功能架構(gòu)

（1）權(quán)限管控

包括終端數(shù)據(jù)可信接入認證及重要數(shù)據(jù)訪問授權(quán)功能。根據(jù)接入設(shè)備/系統(tǒng)標識、用戶身份、業(yè)務(wù)類型等標識信息，建立身份標識信息庫，為每一個接入設(shè)備/系統(tǒng)，生成唯一的身份標識。通過終端側(cè)加密模塊、加密卡等，對接入設(shè)備、用戶進行身份可信認證，只有身份合法才能進行數(shù)據(jù)交互。通過運用輕量級可信接入認證，對數(shù)據(jù)進行細粒度訪問控制，實現(xiàn)對授權(quán)訪問允許操作，對未授權(quán)訪問和越權(quán)訪問進行阻斷的防護效果[10]。

（2）密鑰管理

對平臺所有密碼模塊或密碼設(shè)備使用的密鑰進行統(tǒng)一管理，包括密鑰的初始化、申請、更新、遷移、銷毀等全生命周期的密鑰管理。采用層次化的密鑰結(jié)構(gòu)，使用主密鑰加密獲得密鑰加密密鑰，對密鑰加密密鑰加密獲得會話密鑰，用會話密鑰加密明文和解密密文，滿足關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)對密鑰統(tǒng)一管理的需求。同時，提供開放接口，與其他密鑰管理平臺進行對接，完成密鑰的統(tǒng)一管理和更新等。

（3）鏈路加密

通過運用輕量級安全傳輸協(xié)議構(gòu)建數(shù)據(jù)鏈路加密服務(wù)，為關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)在網(wǎng)絡(luò)傳輸提供安全鏈路服務(wù)，具備防重放、抗抵賴等功能，支持IPSec或SSL加密方式，保證重要數(shù)據(jù)報文在網(wǎng)絡(luò)上端到端傳輸?shù)臋C密性和完整性。

（4）監(jiān)測分析

運用大數(shù)據(jù)技術(shù)，動態(tài)分析海量安全日志、監(jiān)測數(shù)據(jù)流量，實現(xiàn)數(shù)據(jù)威脅的可視化呈現(xiàn)。實時掌握關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全威脅并及時預警，做到對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)事前可管、事中可控、事后可查，為關(guān)鍵信息基礎(chǔ)設(shè)施安全運營提供可靠的信息數(shù)據(jù)支撐。提供對平臺下的密碼設(shè)備、密碼應(yīng)用、密碼模塊、密碼卡等密碼資產(chǎn)、服務(wù)等運行狀態(tài)監(jiān)控的功能，能夠?qū)υO(shè)備進行實時管理和監(jiān)控，保證密碼運算服務(wù)在不影響關(guān)鍵信息基礎(chǔ)設(shè)施正常運轉(zhuǎn)的情況下快速、高效運行。

（5）安全審計

具備對用戶訪問重要數(shù)據(jù)、賬號和權(quán)限管理、用戶登錄登出、數(shù)據(jù)修改等操作行為的審計功能，對數(shù)據(jù)接入、數(shù)據(jù)使用、數(shù)據(jù)共享等過程進行詳細審計，對接口層的訪問行為進行詳細記錄審計，從而形成操作行為和API級別的日志審計。

（6）存儲安全

提供存儲安全加解密、訪問控制及重要數(shù)據(jù)脫敏處理等功能，確保無論受到外部攻擊導致“拖庫”，還是內(nèi)部人員惡意攜帶數(shù)據(jù)文件，在未得到授權(quán)的情況下都無法對數(shù)據(jù)內(nèi)容進行提取或破解。該平臺具備透明加解密功能，保障加密成本最小化和執(zhí)行效率最大化，具備數(shù)據(jù)文件使用校驗功能，保持分布式文件的一致性，具備三權(quán)分立功能，在滿足網(wǎng)絡(luò)安全要求的同時，通過授權(quán)訪問關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)，確保重要數(shù)據(jù)及密文訪問權(quán)限受控。

（7）開放接口

平臺提供安全開放接口服務(wù)，關(guān)鍵信息基礎(chǔ)設(shè)施及重要系統(tǒng)經(jīng)過簡單調(diào)用即可實現(xiàn)業(yè)務(wù)數(shù)據(jù)安全。支持多操作系統(tǒng)（Windows、Linux、iOS、Android、HarmonyOS等）、多層次（業(yè)務(wù)層、系統(tǒng)層、硬件設(shè)備層等）調(diào)用方式，可與密鑰管理平臺、統(tǒng)一身份認證、LDAP、4A等提供對接服務(wù)，滿足下游需求和上游要求。

3 結(jié)束語

本文闡述了鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全現(xiàn)狀，研究了數(shù)據(jù)安全防護平臺的架構(gòu)[11]、特點及功能，提出了動態(tài)數(shù)據(jù)安全防護思路，運用輕量級數(shù)據(jù)加密算法與安全傳輸協(xié)議集成技術(shù)，對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)全生命周期進行安全防護，具備對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)流動過程事前感知、事中響應(yīng)、事后溯源的能力。該平臺與鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施及重要信息系統(tǒng)集成，可確保多層級數(shù)據(jù)或互聯(lián)網(wǎng)數(shù)據(jù)在接入時的安全校驗認證、傳輸及存儲時安全加密，有效防止黑客非法篡改或竊取，對鐵路行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全防護具有參考價值。