新形勢下鐵路網絡安全防御機制研究

區奕據

（中國鐵路廣州局集團有限公司 信息技術所，廣州 510088）

網絡安全新形勢主要表現在以下3個方面。（1）國內外網絡環境發生較大變化：以網絡為主要媒介的工作、生活方式逐步流行，針對網絡的攻擊行為也逐步升級，圍繞疫情話題的攻擊呈爆發式增長[1-2]。（2）新技術應用引發了新的網絡安全問題：以工業互聯網、人工智能等技術為代表的新技術正不斷被應用，增加了設備聯通性的同時，也使得網絡暴露面明顯增加。（3）各國加快制定網絡安全防護戰略進程：美國在《2022年關鍵基礎設施網絡事件報告法》中規定了網絡攻擊發生后的報告制度[3]，澳大利亞在《2021年安全立法修正案法》中規定網絡安全事件需要強制報告，我國也已實施《中華人民共和國個人信息保護法》等多部法律法規。

已有的網絡安全防御體系采用在不同區域之間邏輯隔離，并在各自區域內進行部署的方案[4]。鐵路網絡安全防御已實現從整體上建立防御體系，并針對關鍵系統建立重點防御機制[5-6]。隨著網絡安全形勢的變化，攻擊者發起攻擊的模式不斷升級，攻擊目標有所變化，因此，亟需根據新環境及新需求，從機制上深入研究，滿足新形勢下鐵路網絡安全防御的要求。本文基于當前研究成果、網絡安全背景及發展趨勢，從防御框架出發，研究新形勢下鐵路網絡安全防御機制。

1 需求分析

鐵路網絡安全防御須與網絡安全形勢、網絡安全防御策略、新技術應用等相適應。

1.1 網絡安全形勢

網絡安全形勢變化方面，鐵路網絡在已實現的態勢感知基礎上，須隨著網絡安全事件發生的規律特點，對不同場景的網絡接入、數據等開展監測與檢測。目前，網絡安全事件呈現出多領域、多維度發生的特點，需要在態勢感知技術更新的同時，實現事前預警、事中響應與事后處置，針對常規網絡攻擊開展普適性防御，并在攻擊目標明確時，實現特殊防護。例如，在面對已被通報的攻擊事件時，可采取針對性防御措施[7]。

1.2 網絡安全防御策略

網絡安全防御策略方面，隨著網絡用戶增加及監測標準的提高，用戶行為分析、接入權限限制、終端安全管理等方面的需求也隨之增加。在網絡邊界不斷擴展的情況下，需要強化網絡資產管理，進一步明確目標資產的數量、部署位置、數據流向、運行狀況等屬性，為網絡安全防御提供信息基礎[8]。

1.3 新技術應用

新技術應用方面，工業互聯網、云計算等新技術的發展進一步豐富了鐵路網絡數據的類型和數量，當前的網絡攻擊方式也從設備管理權限奪取向數據權限奪取轉變。因此，新的機制需對網絡數據開展針對性防護，對從數據產生到銷毀的各個環節開展風險管控，對于敏感數據需要在已有的數據保護基礎上開展特殊保護，經過脫敏等特殊處理后再進行一般處理[9]。

2 鐵路網絡安全防御機制

針對上述網絡安全防御需求，本文提出新形勢下的鐵路網絡安全防御機制，如圖1所示。

圖1 鐵路網絡安全防御機制

該防御機制以攻擊行為原理分析為中心，包含整體防御、防御執行、技術研究和協作防御4個方向。在網絡安全防御執行過程中，以事先建立的防御框架為基礎，通過構建防御執行流程，從流程中分析需要的防御技術，在技術研究環節中開展新型防御技術攻關與相應的模型應用，最終在應用新的防御技術的基礎上實現強化協作防御的目標，并形成新的整體防御框架。

2.1 整體防御

鐵路網絡安全防御框架涵蓋網絡安全防御的整個過程，作為鐵路網絡安全防御機制的基礎，需從威脅源頭展開分析，圍繞感知、處理、分析、評估等關鍵環節進行框架構建，如圖2所示。

圖2 鐵路網絡安全防御框架

（1）威脅來源與環境感知。作為鐵路網絡安全防御框架的基礎，該層主要由感知設備、威脅分析人員和專家共同參與。基于新形勢下網絡攻擊行為的隨機性、攻擊目標的不確定性等因素，本文在采用網絡數據采集、平臺數據匯總、傳感數據采集等常規手段的基礎上，提出了針對威脅信息的隨機推送策略。該策略包括對已登記威脅信息的推送，可用于威脅數據采集、分析及處置，實現在安全防護設備運行時威脅數據的采集功能。

（2）威脅數據加工處理。該層以上一層數據為處理對象，鑒別威脅數據中的噪聲數據并進行刪除、修正等處理后，通過匯聚分析、關聯模型構建及知識圖譜構建方式來建立不同數據之間的聯系，并以關系構建反饋方式向數據采集環節反饋數據質量。

（3）威脅事件分析。本層是在搜索威脅數據元素（如數據的采集時間、地點、數據內容等）的基礎上，進行事件溯源及處置預案設定。①無效數據主要包括收集到的明顯違反常規的數據和威脅事件重復數據，根據威脅事件發生的規律可對其作刪除處理；②假設驗證與檢驗是威脅事件關系分析的一種策略，通過研究數據之間的關系來假設威脅事件發生的時間、攻擊方式、形成的后果等，并對其進行驗證；③情報事件關聯是對一系列威脅事件進行時間排序，對于多次出現的威脅事件，根據事件發生的時間、地點，提示威脅事件的處置重點，對有關聯性的數據進行推導及預測。

（4）防御效果評估。防御指標是對威脅事件防御量化考核的依據。現階段的防御資源一定程度上反映了前期防御工作的基礎；威脅分析方法是否高效在一定程度上反映了當前的防御機制是否運行暢通及對威脅事件的響應效率。本文綜合現有的防御資源及防御效果，從防御資源是否充足、威脅分析方法是否高效、防御路徑是否可行等方面提出防御工作應該實現的目標，具體指標包括威脅事件響應速度、處理效果、追蹤溯源及基于事件的改進需求等。

2.2 防御執行

根據前文提出的鐵路網絡安全防御框架，通過威脅數據分析、處理等技術，構建了鐵路網絡安全防御執行流程，如圖3所示。

圖3 鐵路網絡安全防御執行流程

（1）威脅感知是防御觸發的前提條件，這一階段的作用是收集數據，并對數據進行分類存儲。感知內容包括威脅結構數據、系統漏洞數據、用戶行為數據及脆弱性數據等；

（2）威脅響應階段針對感知數據進行威脅分析，即從已收集到的數據中開展分析，通過對感知數據的進一步處理，形成防御觸發的依據，包括威脅數據研判、威脅數據與策略間關聯匹配、威脅分析及威脅事件關聯防御等；

（3）防御觸發是在威脅感知與響應的基礎上進行的執行環節。根據威脅響應得出的結果，在防御觸發過程中采取相應的策略，包括防御資源配置、攻擊行為預測、輔助決策研判、用戶流量監控等。

2.3 技術研究

技術研究主要是針對新型網絡安全防御技術進行技術攻關與模型應用研究，是鐵路網絡安全防御機制的重要環節，利用網絡技術、通信技術，以及數據挖掘、人工智能等技術，結合理論與實際構建相應的模型，例如通過數據分析模型構建日常網絡安全數據的評估、預測模型，對網絡事件的時間、地點、類型開展預警。本文將技術研究分為基礎理論創新與模型應用2個階段，如圖4所示。

圖4 技術研究路徑

從流程看，基礎理論創新是模型應用的基礎，是運用已有的理論，從網絡安全事件的特征入手，分析網絡安全事件現有的響應技術、響應執行流程及防御效果等要素，給出鐵路網絡安全事件需求的理論表述。根據已有的理論成果，量化并推導出解決方案的表達式。模型應用研究就是結合鐵路網絡安全防御需求及理論推導的仿真驗證結果開展匹配度研究，根據匹配結果進行模型研究效果分析。

2.4 協作防御

鐵路網絡安全防御須從以前的單個主體各自防御向團隊協作防御轉化。本文根據已經建立的鐵路網絡安全防御架構，將協作防御強化結構分為協作網絡偽裝、入侵數據共享、用戶行為協同防護、攻擊行為協作取證4個部分。

（1）協作網絡偽裝：通過對網絡數據流量、網絡架構及網絡服務等進行動態偽裝，可降低攻擊者發起攻擊后的成功概率，增加攻擊者的難度。

（2）入侵數據共享：在各終端通過對攻擊行為分別開展實時檢測完成協同檢測。如在單個設備內部，通過自身安全檢測功能完成實時檢測，在網關處根據各個設備檢測獲得的數據開展數據交換。

（3）用戶行為協同防護：以防火墻為主要設備，每個終端有各自的防火墻，同時對各終端的防火墻建立松耦合聯動，形成整個系統的協同防護。

（4）攻擊行為協作取證：在攻擊行為發生后，分析入侵檢測得到的數據，當發現攻擊者的特征時，多個設備能夠共同存儲攻擊者的行為痕跡，例如訪問記錄、數據讀取、修改記錄等。

在網絡攻擊行為更有組織性的環境下，協作防御可組織防守力量綜合分析攻擊方的特征，如攻擊發起的時間、攻擊重點、滲透機制等，并根據已有的防御資源進行針對性配置，還可構建協作防御結構，通過不同設備、不同系統之間的數據交換來強化協作防御。

3 關鍵技術

3.1 入侵檢測技術

在鐵路網絡安全防御機制中，入侵檢測技術是應用于鐵路網絡安全防御框架中威脅來源與環境感知層的重要技術，主要通過檢測用戶的接入時間、接入IP地址及訪問設備等行為規律來識別攻擊行為。通過該技術可實現：（1）針對目標進行用戶行為監視，具體目標可以是計算機終端、網絡設備、安全設備及網絡系統；（2）檢測目標系統并識別已發生攻擊的行為，在此基礎上發出告警信息；（3）針對目標系統存在的異常行為，記錄并保存其行為數據，分析統計結果。

3.2 擬態防御技術

擬態防御技術是一種主動防御技術，擬態防御的理念是在目標遭到攻擊之前開展狀態轉換，達到提前預防攻擊的目的。鐵路網絡安全防御機制研究中，擬態防御技術是應用于防御執行流程中威脅響應階段的重要技術，通過威脅事件研判與分析，判斷是否需要采用擬態防御的方式開展防御，當防御觸發后，通過調動防御資源、預測攻擊者的行為并監控其流量，結合其他網絡安全防御決策，完成防御的最終執行。

3.3 威脅事件分析技術

威脅事件分析技術是應用于鐵路網絡安全防御框架的重要技術，進一步處理初步加工后的威脅數據感知與威脅數據，主要包括無效數據刪除、威脅數據假設驗證與檢驗、情報事件關聯等。無效數據刪除針對除噪聲以外的威脅數據開展有效性分析，通常采用的分析技術有支持度分析、置信度分析等。通過對威脅事件分析，可實現對威脅事件的定位及分類，從威脅事件發生的時間、地點、可能導致的后果等方面給出分析結論，為防御觸發環節采取的防御策略提供參考。

4 結束語

本文從新形勢下的鐵路網絡安全需求出發，分析需要補足的防御短板，并闡述鐵路網絡安全防御新機制的構建思路。通過對鐵路網絡安全防御框架、防御執行流程、技術攻關與模型應用、協作防御強化的分析，從技術、管理等方面構建新形勢下鐵路網絡安全防御機制。未來還須與鐵路網絡安全現狀相結合，對本文提出的防御機制進行及時更新和調整，以適應網絡安全防御的新需求，進一步提升網絡安全防御能力。