等保2.0 下鐵路站段網絡安全防護方案研究

◆胡文君

（中國鐵路北京局集團有限公司北京站 北京 100005）

鐵路綜合信息網由國鐵集團、鐵路局集團公司和站段局域網構成。基層站段的網絡安全處于鐵路“一個中心、三重防御”的縱深防御體系的最前端，其安全作用的發揮對整個鐵路信息系統網絡安全有著重要影響。

當前國鐵集團和集團公司的網絡安全防護體系已覆蓋到基層站段，但由于站段信息系統及其應用環境的復雜程度、基層專業技術力量不足的現狀，基層站段的網絡安全仍然是整個鐵路信息網絡的一個薄弱環節。同時伴隨著我國鐵路的智能化發展，各類智能裝備、智能運維逐步賦能站段發展，物聯網設備、5G 設備等的接入也給鐵路信息網絡帶來了新的安全威脅。

網絡安全等級保護2.0制度，延續等保1.0標準的“安全管理中心、安全計算環境、安全區域邊界、安全通信網絡”，并擴大了對大數據、物聯網、云計算等新型網絡的保護，為新時期網絡安全工作開展和網絡安全防護方案研究提供了指導。

1 站段信息系統架構

以某客運站為例，除專網系統外，信息系統大致分為辦公類系統、以車次信息為數據源的旅客服務類系統、保障車站設施運行的運維管理類系統。在傳統的信息系統基礎上，越來越多的物聯網系統也接入站段局域網內，包括環境監測、設備監控、站臺防入侵、能源管理、指紋考勤、門禁系統等。系統總體框架如表1 所示。

表1 站段信息系統架構

2 站段網絡安全問題

站段信息系統種類繁雜，終端數量多且位置分散、暴露面廣。無法有效管控的資產、碎片化的安全策略、不規范的安全管理易造成整個鐵路信息網絡的隱患。站段網絡安全問題包括以下幾個方面。

2.1 網絡傳輸

區域劃分：隨著鐵路信息化的發展，站段信息系統的規模在不斷增加，聚集的系統架構變得難于管理，網絡安全域劃分不清缺少安全隔離，在安全事件發生時導致影響范圍擴大。

物理環境：站段現場網絡設備布置分散，有的設備直接暴露于公共環境，易造成空閑的網絡端口被接入非法終端。

系統漏洞：交換機、路由器等網絡設備及其管理平臺本身存在的安全漏洞易被攻擊。

2.2 服務器

系統漏洞：服務器操作系統存在漏洞，特別是普速站開發較早的信息系統，由于部署于內部局域網而疏于安裝補丁升級。

訪問控制：系統管理員賬號密碼或數據庫管理員賬號密碼為弱口令易被攻破；服務器安裝了不必要的服務或開啟了不必要的端口，從而增加了安全隱患。

應用服務：Web 應用服務器安全配置錯誤導致攻擊者惡意代碼被執行；服務器應用軟件使用未經安全驗證的開源代碼或存在sql 注入漏洞。

2.3 計算機終端

系統漏洞：目前站段計算機終端系統仍以Windows 系統為主，其中Windows7、Windows10 占絕大多數，主機系統存在漏洞后門風險。

訪問控制：站段的倒班或輪流值班制度情況下，信息系統易出現越權訪問或共用同一賬號的現象。

使用行為：由于使用人員在內部局域網計算機終端使用無線網卡或手機連接計算機以及計算機錯誤連接互聯網網絡設備等行為造成一機兩網。使用存在后門漏洞的瀏覽器、音視頻處理等辦公軟件。

2.4 感知層設備

物理環境：感知層設備部署區域無人監管，易發生終端被拆除替換的事件，成為入侵網絡的入口。

設備漏洞：系統組件存在漏洞易被入侵；終端設備硬件調試接口無須身份認證，成為惡意攻擊入口；存在弱口令導致被他人登錄；開放不必要的遠程服務被入侵。

終端資產：站段物聯網設備越來越多，各廠家標準和協議不統一，海量終端接入造成身份認證與資產管理難題。

2.5 安全管理

資產管理：目前站段大多通過人工進行信息資產統計，難以全面掌握數量龐大的設備終端。

技術隊伍：基層技術人員缺乏網絡安全專業培訓，無法有效應用各種安全設備，更缺乏對威脅的主動判斷能力。

安全制度：使用人員安全意識淡薄，管理制度缺失導致數據泄漏、篡改、刪除問題。

3 網絡安全方案

3.1 安全通信網絡

（1）冗余設計：站段去往鐵路綜合信息網廣域網出口、站段局域網內部網交換設備及鏈路均采用可靠的冗余備份機制，最大化保障數據訪問的可用性和業務的連續性。

（2）安全域劃分：站段局域網按照同數據源、同業務類別、同安全等級的原則劃分VLAN，有效分散不同VLAN 中的運行維護風險和網絡攻擊風險。以客運站為例，劃分VLAN 分別為：廣域網接入區、核心交換區、服務器區、辦公系統區、旅客服務系統區、智能運維系統區、安全管理區，并利用ACL 設置VLAN 間訪問規則。安全區域劃分如圖1 所示。

圖1 站段網絡安全區域劃分

3.2 安全區域邊界

對網絡區域邊界進行重點防護，邊界部署防火墻實現訪問控制、入侵防范、惡意代碼防范。核心交換機旁路部署審計服務器，實現邊界和重要網絡節點的審計功能。在核心交換機旁路通過鏡像部署流量感知設備。核心交換機旁路部署網絡準入平臺，實現終端接入控制。

（1）訪問控制：在廣域網接入邊界部署下一代防火墻，禁止外部網訪問內部網，對所轄中間站及其他必要單位開啟白名單。在服務器邊界部署防火墻，只允許訪問服務器區域的特定服務器的特定端口。

嚴格內部網安全準入，建立站段局域網網絡準入認證平臺，基于網絡設備端口和終端設備MAC 地址對終端設備的網絡訪問權限進行控制，實現邊界隔離和非法接入，從源頭上切斷外來安全威脅的流入通道。

（2）入侵防范：在廣域網邊界開啟下一代防火墻IPS 模塊并定期更新特征庫，檢測數據包，防范包括Flood、惡意掃描、欺騙防護、異常包攻擊等；對進出網絡的流量開啟雙向攻擊檢測，及時發現內部網計算機威脅，做出處置并向集團公司相關部門報告。

（3）惡意代碼防范：開啟下一代防火墻病毒防護模塊，定期更新策略，在網絡層進行病毒查殺，預防和阻斷網絡病毒、蠕蟲、木馬等惡意代碼攻擊。在網關處封閉135、138、139、445、3389 等端口，阻止僵尸網絡的連接和病毒的更新、擴散。

（4）安全審計：部署安全審計設備，記錄分析人員訪問以及對數據的增、刪、改、查等行為，對異常通信進行報警。開啟廣域網邊界下一代防火墻應用審計，對特定文件內容進行過濾，避免信息泄漏。檢測終端流量，并對特定類型文件進行流量深度監測，防止數據文件被盜。

3.3 安全計算環境

（1）身份鑒別：各應用系統均設置身份鑒別策略，用戶登錄時對身份鑒別信息加密傳輸，拒絕未授權用戶登錄系統；對重要系統采用靜態口令+動態口令的雙因子認證；對登錄失敗次數進行限制；主機開啟復雜口令保護、入站規則、限制非法登錄次數等安全策略。

（2）訪問控制：各應用系統設置用戶權限及訪問行為控制策略。設置用戶變更策略，及時清理長期未登錄賬號；制定管理制度，對人員離職、調動崗位及時調整賬號；刪除多余賬號、默認賬號，避免共用權限。

（3）入侵和惡意代碼防范：安裝統一的終端防護軟件，通過終端防護平臺防范一機兩網、非法外聯、非法接入，并實現病毒防護、補丁管理、介質管控。定期對站段局域網內設備進行漏洞掃描，并根據鐵路網絡安全漏洞平臺發布的信息及時修復可能存在漏洞。

（4）資產管理：利用統一安全平臺實現終端資產識別和分析。通過IP 掃描、SNMP 掃描、流量發現等手段對網內的IP 存活情況進行跟蹤監控，分組管理。

（5）安全審計：利用日志審計服務器監控分析安全生產網內信息系統服務器系統資源、用戶操作、應用程序等，及時發現系統異常行為。

（6）感知層設備安全

對感知層設備和節點裝置，進行軟件身份認證或軟件加密。禁用閑置的外部設備接口、外接存儲設備的自啟動功能。通過本地接口進行軟件更新調試時，需進行人員身份認證、權限控制。

3.4 安全管理中心

建設安全管理中心，實現主動防御和態勢感知。設立系統管理賬戶、審計管理賬戶。系統管理賬戶負責系統運行資源配置、控制和管理；審計管理賬戶負責審計記錄分析和處理。在安全管理區集中部署審計設備、網絡準入平臺、流量監控設備，及時發現異常行為和網絡安全事件。利用終端防護平臺實現資產統一管理。對網絡設備、服務器、安全設備等進行信息采集，實施掌握鏈路、設備、應用系統情況，掌握系統整體態勢，做到早發現早防御。

4 結論

本文依據等保2.0 標準，提出鐵路基層站段“一個中心、三重防御”的網絡安全防護方案。明確基層站段網絡邊界，合理劃分區域，制定出恰當的邊界防護策略，以兼顧數據共享和網絡安全需要。在國鐵集團和集團公司的網絡安全體系總體框架下，利用鐵路統一的終端防護平臺以及安全漏洞平臺等，結合站段的網絡準入平臺和安全審計設備，設計出站段信息資產識別管理、漏洞補丁修復、入侵和病毒防范、威脅監測報告等機制，實現站段網絡安全主動防御，并與上級部門緊密聯系，形成協同防護的網絡安全局面。