鐵路關鍵信息基礎設施安全防護建設思路初探

張文塔，王一芃

（中國鐵路信息科技集團有限公司 網(wǎng)信安全處，北京 100844）

關鍵信息基礎設施作為維持國家和社會正常運轉(zhuǎn)，保障人民基本利益的骨干設施，是國家重要的戰(zhàn)略資源，具有基礎性、支撐性、全局性作用。由于關鍵信息基礎設施廣泛業(yè)務關聯(lián)和大規(guī)模集成互聯(lián)的特點，使得其脆弱性和受到的安全威脅不再只是簡單的線性疊加，在有組織、高強度、持續(xù)性的攻擊面前，關鍵信息基礎設施的安全防護面臨著巨大挑戰(zhàn)[1]。

2014年以來，我國關鍵信息基礎設施保護工作持續(xù)推進?！吨腥A人民共和國網(wǎng)絡安全法》是落實國家總體安全觀的重要舉措，《關鍵信息基礎設施安全保護條例》的頒布強化了構建國家關鍵信息基礎設施安全保護體系的頂層設計，明確了運營組織需要承擔的自身責任。為推動關鍵信息基礎設施安全保護工作落實落細，指導關鍵信息基礎設施各參與方開展全面規(guī)范的安全防護工作，從2015年開始，我國陸續(xù)起草了一系列關鍵信息基礎設施保護標準[2]。但由于相關標準制定與發(fā)布周期較長，目前尚無正式官方標準和防護體系可供遵循。

根據(jù)《中華人民共和國網(wǎng)絡安全法》和《關鍵信息基礎設施保護條例》對關鍵信息基礎設施的認定原則，可歸納出其共性特征，包括支撐業(yè)務的高可用性、存儲數(shù)據(jù)的敏感性和面臨威脅的復雜性等[3]。圍繞上述共性特征，許多行業(yè)機構和科研院所提出了豐富的安全防護思路和方案[4-9]。由于各行業(yè)的業(yè)務特點不同，安全需求各異，導致僅基于關鍵信息基礎設施共性特征的安全防護設計無法完全貼合所有關鍵信息基礎設施的安全防護需求。因此，關鍵信息基礎設施的安全防護應當結合業(yè)務特點進行針對性設計。

鐵路是我國交通運輸體系的骨干、國民經(jīng)濟大動脈。鐵路關鍵信息基礎設施承載了客運服務、運輸組織和列車調(diào)度等信息化業(yè)務，本文在國家相關法律法規(guī)要求的基礎上，結合鐵路關鍵信息基礎設施的特點和防護現(xiàn)狀，提出了鐵路關鍵信息基礎設施安全防護能力的建設思路。

1 鐵路關鍵信息基礎設施概述

鐵路關鍵信息基礎設施主要包含服務于社會公眾的互聯(lián)網(wǎng)應用和服務于運輸組織、列車調(diào)度等業(yè)務的信息系統(tǒng)。鐵路關鍵信息基礎設施除具備系統(tǒng)結構復雜、受到的安全威脅復雜多變等典型關鍵信息基礎設施的特點之外，在業(yè)務形態(tài)、信息系統(tǒng)部署和信息交互方面還有自身的特點。

1.1 業(yè)務形態(tài)

鐵路關鍵信息基礎設施不僅承擔旅客、貨物等的運輸任務，而且涉及大量的國家基礎設施數(shù)據(jù)和公民個人隱私信息。一旦業(yè)務連續(xù)性遭到破壞或者關鍵信息遭到泄露，將會對國家安全、經(jīng)濟穩(wěn)定和公民生命財產(chǎn)安全造成嚴重危害[10]。

1.2 信息系統(tǒng)部署

大多數(shù)鐵路關鍵信息基礎設施伴隨鐵路線延伸，分散部署于不同地區(qū)。一些信息系統(tǒng)由于建設單位不同，導致系統(tǒng)架構和部分組件存在差異，相應軟硬件供應商和服務提供商也不統(tǒng)一，進一步增加了安全管控的難度。

1.3 信息交互

鐵路關鍵信息基礎設施主要包括提供客貨運輸和行車調(diào)度的信息系統(tǒng)，這些信息系統(tǒng)不僅需要依賴基礎通信設施、云資源服務進行數(shù)據(jù)傳輸和存儲計算，還會為政府部門、能源、金融和公共服務等重要領域的信息系統(tǒng)提供業(yè)務信息。多樣的互聯(lián)互通導致網(wǎng)絡攻擊路徑的增多，只依靠邊界防護手段難以有效地保障信息系統(tǒng)整體安全。

因此，針對鐵路關鍵信息基礎設施的安全防護不但需要考慮信息系統(tǒng)本身的正常運轉(zhuǎn)，還需要結合業(yè)務特點強化識別認定、安全防護、監(jiān)測預警、應急處置和檢測評估等能力，基于部署情況構建體系化、協(xié)同化的防御機制，加強核心業(yè)務穩(wěn)定性、重要信息安全性和供應鏈可控性。

2 鐵路關鍵信息基礎設施安全防護能力建設

根據(jù)我國《中華人民共和國網(wǎng)絡安全法》要求，關鍵信息基礎設施保護應當以業(yè)務連續(xù)性、數(shù)據(jù)安全和安全可控性為主要目標。我國信息安全標準化技術委員會于2020年公開征集意見的《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》（簡稱《防護能力評價方法》）提出了識別認定、安全防護、檢測評估、監(jiān)測預警和事件處置5項關鍵信息基礎設施保護核心能力[11]。結合鐵路網(wǎng)絡安全工作目標和工作要求，本文從業(yè)務應用、信息系統(tǒng)、重要數(shù)據(jù)和基礎設施4個層次對《防護能力評價方法》提出的5項核心能力進行逐個分析，并提出將監(jiān)督檢查融入檢測評估能力，作為對識別認定、安全防護、監(jiān)測預警、事件處置能力和整體安全狀況的持續(xù)檢驗，如圖1所示。

圖1 鐵路關鍵信息基礎設施安全防護的5項核心能力

2.1 識別認定

《關鍵信息基礎設施安全保護條例》提出應首先開展通信網(wǎng)絡、信息系統(tǒng)的識別工作。根據(jù)《防護能力評價方法》識別認定的對象，包括業(yè)務應用、信息系統(tǒng)、信息資產(chǎn)、重要數(shù)據(jù)和相關風險等。資產(chǎn)作為信息系統(tǒng)的基礎設備、重要數(shù)據(jù)的承載介質(zhì)、漏洞隱患的附著主體和攻擊威脅的直接目標，應當作為識別認定工作的重點對象。長期以來，通過建立集中安全管理平臺、開展資產(chǎn)掃描、資產(chǎn)測繪、補充自有資產(chǎn)指紋庫等工作，鐵路行業(yè)基本實現(xiàn)了對重要信息系統(tǒng)資產(chǎn)的全面覆蓋，有效地縮減了資產(chǎn)管理盲區(qū)，為安全防護提供了清晰可靠的依據(jù)。

對于關鍵信息基礎設施，安全防護的對象除了信息資產(chǎn)，還應包括所承載的業(yè)務應用、信息系統(tǒng)和重要數(shù)據(jù)等。

2.1.1 業(yè)務應用層面

識別認定工作應當包括熟悉業(yè)務流程、明確業(yè)務關鍵點、梳理本業(yè)務與外部關鍵業(yè)務之間的關聯(lián)關系，便于后期進行針對性防護。

2.1.2 信息系統(tǒng)層面

應當梳理系統(tǒng)基本情況和軟硬件信息，作為加強安全防護設計、完善檢測預警信息、確定安全事件影響范圍和開展應急處置工作的基本依據(jù)。其中，系統(tǒng)基本情況主要包括系統(tǒng)部署位置、應用范圍、存在數(shù)據(jù)交互的外聯(lián)系統(tǒng)和運營維護（簡稱：運維）工作信息等，軟/硬件信息主要包括系統(tǒng)架構、開發(fā)語言、部署方式，以及服務器操作系統(tǒng)、數(shù)據(jù)庫和中間件品牌和版本等。

2.1.3 重要數(shù)據(jù)層面

應當將業(yè)務數(shù)據(jù)、賬戶信息、開發(fā)代碼、組件信息、網(wǎng)絡拓撲、資產(chǎn)列表等納入識別，并從數(shù)據(jù)類別和安全級別兩方面進行評估認定，以支撐數(shù)據(jù)分類分級保護機制的建立。

2.1.4 基礎設施層面

除了識別信息資產(chǎn)配置信息、運行狀態(tài)和漏洞信息之外，還應當建立關鍵軟硬件、重要服務的供應鏈信息清單，為基礎設施的評估、改善、監(jiān)控和管理提供基本參考。

2.2 安全防護

基于資產(chǎn)、業(yè)務和風險的有效識別，通過補充相應安全防護能力可以有效地遏制預設安全事件的發(fā)生。《網(wǎng)絡安全等級保護條例》已經(jīng)對信息系統(tǒng)的安全防護要求進行了完善的規(guī)定，通過“一個中心三重防護”的思路，將安全制制度、組織機構、鑒別授權、邊界防護、容災備份、運維管理，以及數(shù)據(jù)安全和供應鏈安全均納入要求。通過持續(xù)落實等級保護要求，鐵路行業(yè)已基本構建出網(wǎng)絡、系統(tǒng)、主機和數(shù)據(jù)的層次化防御體系。針對關鍵信息基礎設施，在既有層次化防御體系的基礎上，還應當完善業(yè)務全流程、重要數(shù)據(jù)和基礎設施全生命周期的安全防護機制，增強針對關鍵業(yè)務、系統(tǒng)核心區(qū)域、重要數(shù)據(jù)的細粒度身份鑒別和訪問控制能力，提升基礎設施安全可控能力，以有效應對未知、復雜、多變的攻擊行為。

2.2.1 業(yè)務應用層面

應當根據(jù)業(yè)務重要性對用戶身份驗證、重要數(shù)據(jù)安全標記、訪問行為控制策略進行調(diào)整。當業(yè)務流程發(fā)生變化時，應當對相應策略等進行變更。為了保證業(yè)務穩(wěn)定，還應當逐步建立體系化的容災備份機制，承擔關鍵業(yè)務的實時切換、重要數(shù)據(jù)的實時備份工作。

2.2.2 信息系統(tǒng)層面

考慮到系統(tǒng)資產(chǎn)規(guī)模不斷擴大，以及應用云化的發(fā)展趨勢，應當采用零信任等細粒度網(wǎng)絡隔離技術，加強東西向網(wǎng)絡流量隔離，有效阻止橫向擴展。為應對持續(xù)多變的攻擊手段，應當采用蜜罐技術，主動擾亂攻擊者認知，延緩攻擊進程甚至進行反制，提高系統(tǒng)的主動防御能力。

2.2.3 重要數(shù)據(jù)層面

應當根據(jù)識別認定環(huán)節(jié)梳理的數(shù)據(jù)特征，建立采集、傳輸、存儲、處理、交換和銷毀等階段的分類分級保護機制，并部署數(shù)據(jù)掃描設備和監(jiān)測設備，與監(jiān)測阻斷設備進行協(xié)同防御。

2.2.4 基礎設施層面

應當加強服務器、數(shù)據(jù)庫、終端和網(wǎng)絡安全等關鍵設備的安全可控性。通過采購自主可控產(chǎn)品或在既有設備上部署可信計算模塊，建立可信架構，保障設備本體安全可信。此外，還應進一步完善供應鏈管理策略，基于識別認定環(huán)節(jié)建立的關鍵軟硬件、重要服務的供應鏈信息清單，對軟硬件和服務的變更活動進行記錄審核。

2.3 監(jiān)測預警

目前，鐵路行業(yè)已建立了鐵路范圍的網(wǎng)絡安全監(jiān)測預警機制，并根據(jù)等級保護的要求將重要業(yè)務系統(tǒng)的物理環(huán)境、通信環(huán)境、區(qū)域邊界、計算環(huán)境等納入監(jiān)測范圍。

針對關鍵信息基礎設施，應當在此基礎上進一步加強針對業(yè)務應用、重要數(shù)據(jù)和基礎設施的監(jiān)測能力，建立更加全面和立體的監(jiān)測預警體系。

2.3.1 業(yè)務應用層面

應當對業(yè)務流量、訪問行為進行持續(xù)監(jiān)測，及時發(fā)現(xiàn)非正常業(yè)務狀態(tài)和訪問行為。針對隱蔽且潛伏周期長的高級持續(xù)性攻擊威脅，監(jiān)測設備預置規(guī)則和模型往往無法進行有效識別，然而通過持續(xù)監(jiān)測記錄基礎網(wǎng)絡和信息系統(tǒng)的業(yè)務流量和訪問行為，可以總結正常業(yè)務行為特征并用于實時比對，從而即時發(fā)現(xiàn)異常，解決潛在威脅。

2.3.2 信息系統(tǒng)層面

（1）增強行業(yè)整體監(jiān)測能力，利用網(wǎng)絡安全態(tài)勢感知平臺，將來自各單位的網(wǎng)絡和安全設備的流量數(shù)據(jù)、資產(chǎn)信息、日志信息、惡意文件和情報類數(shù)據(jù)進行整合，將圍繞關鍵業(yè)務開展所涉及的各類監(jiān)測信息進行關聯(lián)匯集和融合分析，支撐安全策略和安全控制措施的優(yōu)化更新，也有利于從整體上把握關鍵信息基礎設施的安全態(tài)勢；

（2）提高持續(xù)監(jiān)測能力，對系統(tǒng)狀態(tài)、設備性能、訪問行為和資產(chǎn)信息等進行全程監(jiān)控，及時發(fā)現(xiàn)安全事件、資產(chǎn)脆弱性和異常行為；

（3）完善監(jiān)測范圍，將跨業(yè)務、跨系統(tǒng)、跨區(qū)域之間的信息流轉(zhuǎn)納入監(jiān)測，消除安全防護盲區(qū)。

2.3.3 重要數(shù)據(jù)層面

（1）應定期對系統(tǒng)服務器、數(shù)據(jù)庫和終端進行掃描，隔離或刪除重要數(shù)據(jù)；

（2）在網(wǎng)絡出口部署數(shù)據(jù)防泄漏設備，監(jiān)測網(wǎng)絡流量和文件，及時阻止重要數(shù)據(jù)外泄；

（3）對于存放重要數(shù)據(jù)和敏感信息的終端，還應當采用限制非授權外設接入、禁用截屏功能等方式進行防護。

2.3.4 基礎設施層面

應將服務器、網(wǎng)絡設備、安全設備、終端設備和外設等基礎設施納入監(jiān)控，并與威脅情報相結合，將攻擊行為、資產(chǎn)漏洞等威脅信息進行本地化驗證，及時評估威脅影響范圍，預先提供合理的安全防護措施，提高主動防御能力。

2.4 事件處置

高效事件處置可以在網(wǎng)絡設施或信息系統(tǒng)遭受攻擊的情況下快速恢復業(yè)務。為提高針對關鍵信息基礎設施的應急處置效率，優(yōu)化相應處置流程，鐵路行業(yè)已編制完成應對不同攻擊類型的應急預案，包括仿冒（釣魚）網(wǎng)站、網(wǎng)頁篡改、拒絕服務和勒索病毒等，并定期組織內(nèi)部單位開展網(wǎng)絡安全攻防演練，以鍛煉隊伍和優(yōu)化流程，加強響應處置能力。

針對關鍵信息基礎設施，還應當通過事件處置保障業(yè)務穩(wěn)定性，增加系統(tǒng)韌性，控制重要數(shù)據(jù)泄露影響等。

2.4.1 業(yè)務應用層面

應急預案中需明確要維護的關鍵業(yè)務功能、提供保證基本業(yè)務正常運轉(zhuǎn)和信息系統(tǒng)及時恢復的安全措施，并且加強攻擊阻斷、業(yè)務保持、容災備份、故障分析和追蹤溯源等場景演練。此外，在進行事件取證和追蹤溯源過程中，也應當設計合理方法，保證關鍵業(yè)務不受影響。

2.4.2 信息系統(tǒng)層面

應積極探索自動化響應處置技術的應用落地，通過將響應處置過程抽象為系統(tǒng)任務劇本，借助編排和自動化技術，將已部署安全設備進行聯(lián)動并自動下發(fā)處置命令，例如，設置防火墻自動封禁IP和端口，設置終端防護軟件自動刪除惡意文件、隔離高危文件等，提升處置效率。

2.4.3 重要數(shù)據(jù)層面

應基于已建立的數(shù)據(jù)保護機制，編寫針對重要數(shù)據(jù)泄露事件的應急處置方案，并積極開展場景演練，不斷降低重要數(shù)據(jù)泄露、篡改、損壞和刪除造成的影響和損失。

2.4.4 基礎設施層面

應針對軟硬件設備和安全服務可能出現(xiàn)的產(chǎn)品漏洞、代碼利用、補丁投毒和賬號泄露等風險隱患，編寫應急處置預案，并積極開展場景演練。

2.5 檢測評估

《關鍵信息基礎設施保護條例》第二十六條明確要求，保護工作部門應當定期開展本行業(yè)、本領域的安全檢查檢測，指導監(jiān)督運營者及時整改安全隱患、完善安全措施。鐵路行業(yè)已建立一整套針對信息系統(tǒng)安全防護工作的監(jiān)督檢查管理辦法，制定了針對信息系統(tǒng)設備配置基線和網(wǎng)絡接入的技術要求，且出臺了重要時期網(wǎng)絡安全保障工作方案和網(wǎng)絡安全事件應急預案。在識別認定和安全防護的基礎上，各鐵路單位會定期開展等級保護測評、風險評估、滲透測試等工作，已基本做到針對基礎網(wǎng)絡、信息系統(tǒng)的周期性檢測評估和整改完善。

針對關鍵信息基礎設施安全檢測，除了通過技術手段實現(xiàn)漏洞管理和入侵檢測之外，還應當進一步加強監(jiān)督檢查等能力建設，重點應包括識別認定工作是否完整準確，安全防護技術是否完善有效，監(jiān)測預警機制是否全面及時、事件處置過程是否規(guī)范得當?shù)?。針對關鍵信息基礎設施風險評估，應當結合業(yè)務流程、業(yè)務依賴關系，對安全設備防護范圍、跨系統(tǒng)訪問行為和重要數(shù)據(jù)傳輸進行細化評估；并根據(jù)應急演練和安全事件響應結果，對業(yè)務韌性和系統(tǒng)容災備份能力進行評估。

3 結束語

關鍵信息基礎設施作為關系國家安全、國計民生、公共利益的信息基礎系統(tǒng)，對其進行安全防護的意義不言而喻。本文以保障鐵路關鍵信息基礎設施重要業(yè)務穩(wěn)定運行和重要數(shù)據(jù)完整、保密和可用為目標，以鐵路網(wǎng)絡設施和信息系統(tǒng)保護現(xiàn)狀為基礎，結合鐵路關鍵信息基礎設施特點，從業(yè)務安全、系統(tǒng)安全、信息安全和基礎安全等層面對識別認定、安全防護、監(jiān)測預警、事件處置和檢測評估5項核心防御能力的建設重點進行了闡述，為鐵路關鍵信息基礎設施安全防護提供了建設思路。