鐵路網絡安全防護策略研究

李向陽，王 冰，馬曉雅

（1. 中國鐵路信息科技集團有限公司，北京 100844；2. 中鐵信弘遠（北京）軟件科技有限責任公司，北京 100038）

近年來，我國推進網絡強國建設，加快交通傳統基礎設施的數字化改造。鐵路作為國民經濟大動脈，在經濟社會發展中的地位和作用至關重要[1]。目前，鐵路網絡受到的外部攻擊顯著增多，網絡安全形勢日趨嚴峻，甚至直接影響運輸安全。因此，筑強鐵路網絡安全基石，筑牢網絡安全防線，推進網絡安全持續健康發展極其重要[2]。

本文結合國家及鐵路行業關于網絡安全的工作要求，從鐵路網絡安全防護總體要求入手，提出建立鐵路全方位網絡安全防護策略。

1 鐵路網絡安全防護總體要求

1.1 嚴格履行法定責任義務

1.1.1 提高網絡安全責任意識

鐵路網絡安全工作堅持“積極利用、科學發展、依法管理、確保安全”和“誰主管誰負責，誰運營誰負責，管業務必須管網絡安全”的原則。在全國鐵路廣泛宣傳國家網絡安全相關法律法規，包括網絡安全等級保護2.0系列標準（簡稱：等級保護2.0）、《網絡安全事件調查處理和定責考核管理辦法》《關于進一步規范鐵路信息化建設管理工作》等。根據崗位責任的不同提供與之對應的網絡安全培訓，做到網絡安全觀念熟稔于心，不斷提升全員網絡安全意識。

1.1.2 落實等級保護 2.0

等級保護2.0是新時期國家網絡安全的基本制度和基本國策[3]。鐵路企業應根據相關要求，落實《網絡安全法》[4]要求的“三同步”原則，即同步規劃、同步建設、同步使用，有效地落實網絡安全保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施。扎實完成信息系統的定級、備案、安全建設整改、等級測評和監督管理等有關工作。

1.1.3 強化網絡安全信息通報工作

以“統一指導、歸口負責、分級管理、信息共享、反應及時”為原則，建立由上至下、逐級負責、聯動高效的鐵路網絡安全通報機制，主要架構為中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團公司、站段三級[5]，實現鐵路系統各單位網絡與信息安全信息共享。

1.2 全面提升網絡安全能力

1.2.1 提升監測發現能力

利用安全態勢感知平臺、入侵防御系統、流量分析系統和新一代防火墻等工具，形成有效的網絡安全預警監測能力。定期進行網絡安全風險評估、等級測評和安全測試。

1.2.2 提升應急處置能力

制定網絡安全事件應急預案，緊密結合實際，合理確定內容，定期開展應急演練，檢驗并完善應急預案，增強應急預案的針對性、實用性和可操作性。與中華人民共和國公安部及國家相關部門建立網絡安全突發事件應急處置機制，強化快速響應協調能力。

2 鐵路網絡安全防護策略探討

目前，鐵路網絡安全防護理念由靜態防護、被動防護轉向動態防御、主動防御，因此構建鐵路網絡安全防護策略對保障鐵路網絡安全具有重要意義。

2.1 強化互聯網接入和互聯網應用管理

2.1.1 強化互聯網出入口管理

鐵路外部服務網是鐵路系統唯一能夠與互聯網連接的網絡。鐵路外部服務網與互聯網的出入口僅部署在國鐵集團和鐵路局集團公司本級[6]，即“1+18”模式，除此之外的任何互聯網出入口均為非法連接，必須嚴格禁止。

2.1.2 強化互聯網網站備案和集中防護

按照鐵路互聯網網站備案流程要求對互聯網網站進行備案管理，及時更新既有網站備案信息。對“不必要、不規范、不安全”的網站要及時關停，并做好后續數據處理工作，實現集中管理、防護和監測。

2.1.3 強化終端防護

加強管理措施的落實和深化宣傳教育，嚴禁終端設備的“一機兩網”；終端設備應安裝病毒防護軟件，及時更新病毒庫和操作系統補丁；部署安全防護系統，做好終端準入控制工作；嚴禁隨意設置無線路由設備為移動終端提供入網服務。

2.1.4 強化信息化資產管理

定期梳理信息化資產，落實資產屬性，摸清硬件、軟件、中間件及應用系統情況；建立動態資產臺賬，掌握資產分布與歸屬情況，對下線過期資產、僵尸設備和賬戶進行清理，防止類似死角被攻擊者利用造成損失。

2.1.5 強化移動應用端管理

從版本控制、發布渠道、代碼安全和進程安全等方面加強移動應用端管理。

（1）在客戶端程序上線前對其進行簽名，保證發布渠道的真實性。

（2）在程序啟動和更新時進行真實性和完整性校驗，防范程序被篡改或替換。

（3）對客戶端程序增加加殼、混淆等措施，加強抗逆向分析、對抗反匯編等防護能力，防范攻擊者對客戶端程序進行調試、分析和篡改。

（4）使用互聯網企業提供服務且與鐵路信息系統有數據交互的移動應用，在鐵路移動應用接入平臺進行集中管理和統一發布，嚴禁將敏感數據傳送至移動應用端所屬互聯網企業。

2.2 強化網絡安全縱深防御

2.2.1 強化分區分域管控

目前，鐵路網絡安全體系初步形成外部服務網、內部服務網和安全生產網為層次的縱深防御體系，為確保各系統根據服務功能，在相應的安全區域內合理部署[7]。

2.2.1.1 外部服務網

（1）外部服務網由互聯網接入區、廣域網接入區、應用服務區、專線接入區、終端接入區和運維管理區構組成。各區域訪問控制，如表1所示。

表1 外部服務網各區域間訪問控制

（2）互聯網接入區是鐵路外部服務網與互聯網物理連接的唯一區域。在實現互聯網接入多鏈路負載均衡時，各鏈路的安全策略要保持一致。辦公類與生產類的互聯網出口通道要相互分離、相互獨立，并采用相匹配的安全防護手段與互聯網連接。

（3）應用服務區獨立設置開發測試區域、前置區域、數據庫區域、公共服務區域和外部用戶區域等。根據各區域的功能特性設定訪問策略，遵循訪問策略遵循最小化原則。應用服務區訪問控制，如表2所示。

表2 外部服務網應用服務區訪問控制

2.2.1.2 內部服務網、安全生產網

內部服務網、安全生產網由應用服務區、運維管理區、廣域網接入區、專線接入區、終端接入區組成。各區域間訪問控制，如表3所示。

表3 內部服務網、安全生產網各區域間訪問控制

內部服務網、安全生產網應用服務區的訪問控制，如表4所示。

表4 內部服務網、安全生產網應用服務區訪問控制

2.2.2 強化訪問控制策略管理

（1）網絡區域的訪問控制主要是在分區域的基礎上強化邊界防護的策略，如2.2.1節所述。

（2）操作系統的訪問控制是建立在身份識別基礎上，根據權限對系統本身進行的防護。對于服務器端，對系統用戶進行唯一身份標識和鑒別，并授予其所需的最小訪問權限；對于用戶端，杜絕用戶弱口令和口令長期不更新[8]。

（3）應用的訪問控制是在應用系統的等級保護定級基礎上，按照等級保護2.0對應的要求進行。在應用設計時，根據等級保護2.0設計身份鑒別方式和口令復雜度；在應用運維時，做到各類用戶信息及其權限的全生命周期管理。

2.2.3 強化主機防護

（1）主機防護應實現主機內核加固、文件保護、登錄防護、防端口掃描、服務器漏洞修復、系統資源監控、網絡訪問控制等防護功能。

（2）需進行資產清查、關停廢舊設備、分區域合理部署并進行訪問控制、按照基線標準進行配置管理。

2.2.4 強化數據庫防護

數據庫防護關鍵點是確保數據不被非法訪問、篡改、盜取和破壞。通過數據表、字段、字段值、字段關系4個維度的分級、分類和不同角色擁有不同數據訪問權限，建立數據使用的授權鑒權機制。重要數據和敏感數據需進行加密存儲或脫敏處理[9]，對已知的數據庫漏洞及時做補丁升級。

2.2.5 強化 Web 應用防護

Web應用防護需根據業務類型部署應用層安全防護，如Web應用防火墻等，通過配置防護策略對SQL 注入、跨站腳本攻擊（XSS，Cross Site Script Attack）跨站、Webshell上傳、后門隔離保護、命令注入、非法HTTP協議請求、Web服務器漏洞攻擊、核心文件非授權訪問、路徑穿越、掃描防護等進行安全防護。

2.2.6 強化郵件服務器管控

在郵件系統前端增加郵件安全網關等設備，及時發現釣魚郵件、惡意郵件，采用HTTPS協議確保郵件數據傳輸安全，采用數字證書技術對重要郵件進行加密和簽名，要求用戶提高郵件登錄口令強度。

2.3 強化網絡安全主動防御

2.3.1 強化態勢感知

利用鐵路安全態勢感知平臺進行全路網絡安全情況態勢感知和分析，對安全事件進行通報預警、追蹤溯源和快速處置，進行應用系統的監督管理和等級保護管理，收集安全情報信息等，同時也可與國家主管部門進行數據交換，更全面地把握全國鐵路網絡安全情況。

2.3.2 強化聯動處置

對抗網絡攻擊需要多點聯動，深入分析定位攻擊屬性，在發現持續、有組織的網絡攻擊時，及時向國鐵集團匯報，再會同公安機關聯動處置。聯動處置不應只解決單點問題，還應該阻斷單點攻擊后進行溯源分析，做到處置徹底。涉及內網的安全事件處理時，除國鐵集團、鐵路局集團公司上下聯動外，還應加強鐵路局集團公司間橫向聯動，形成聯防聯守格局，為攻擊溯源，徹底處置提供必要條件。

2.3.3 強化漏洞修復

做好網絡和信息系統漏洞巡檢和補丁修復工作[10]，并對修復情況定時回查，特別是重大安全漏洞，發現問題及時通報，督促整改。零日漏洞具有出現時間段不定、缺少技術細節、難以防范及修復的特點，可以采用“黑白名單”策略，基于對應用系統路徑架構的有效管理，對正常服務的路徑進行加白；基于對攻擊載荷的分析，將攻擊路徑加黑。各單位對漏洞的分析和驗證能力目前還不夠高，所以對已知的漏洞要提高修復效率，各類設備不留遺漏，避免造成安全事件。

3 結束語

經過多年經驗積累，結合新技術與新的網絡安全形勢，鐵路網絡安全防護體系進入了全新的升級階段，從被動防護逐漸向主動防御轉變，單點防守逐漸向全網聯動轉變。但網絡防護是一個持續性的長久過程，也是一項需要統籌策劃、各部門密切協作配合的系統性、綜合性工程。要樹立正確的網絡安全觀，緊跟網絡安全技術發展趨勢，落實管理、壓實責任、加強技術、聯防聯控，全面提升鐵路網絡安全保障能力。