應對供應鏈攻擊的鐵路企業網絡SDP部署方案研究

周 游，趙悠麒

（中國鐵路上海局集團有限公司 信息技術所，上海 200071）

傳統基于邊界的IT安全模型中，主要在網絡邊界上建立可靠的安全防御措施，通過部署防火墻（FW，Firewall）、入侵檢測系統（IDS，Intrusion Detection System） 、入侵預防系統（IPS，Intrusion Prevention System）、 Web應用防火墻（WAF，Web Application Firewall）等網絡安全設備，防止來自外界的入侵。從企業數字化轉型和IT環境的演變過程來看，云計算、移動互聯的快速發展，導致企業網絡的傳統內外網邊界模糊，基于邊界的網絡安全防護模式越來越難以應對企業網絡如今正在面臨的各種復雜多變的攻擊手段。

零信任理念打破了物理邊界的局限性，人和設備不再以簡單的物理邊界來定義，不嚴格區分內網外網，無論人在哪、設備在哪、訪問什么應用，提倡以人、身份為中心，去構建一個移動的動態防御邊界。其核心思想是“從不信任、始終驗證”，拒絕傳統安全架構上默認的“信任”[1]，不信任任何網絡、人和設備，在訪問連接之前須建立動態的訪問權限，并對訪問權限實行精細管理，進行細粒度的權限切分，即使一個用戶被攻陷，也不會因為他的訪問權限過大，致使整個內網資源都暴露出去，這種安全技術架構尤其適用于云計算和移動互聯網時代企業網絡安全防護體系的建設要求。

零信任不是一種技術，而是一種安全框架和理念，它意味著企業可以將其構建到現有的體系結構中，而無需拆除現有的基礎設施。基于零信任理念建設企業網絡安全防護體系，可以改善既有的傳統邊界型IP網絡架構，將IP網絡架構與ID身份驗證相結合，有效提高企業網絡安全防護能力。目前，企業實施零信任安全理念主要采用3種技術方案：軟件定義邊界（SDP，Software Defined Perimeter）、身份權限管理（IAM，Identity and Access Management）和微隔離（MSG，Micro Segmentation）。

“十三五”期間，鐵路信息化取得一系列新突破，數字紅利充分釋放，鐵路“互聯網+”及鐵路電子商務應用實現快速發展，客戶服務能力大幅提升[2]。在鐵路企業信息系統日益開放、拓展互聯的過程中，供應鏈攻擊也成為鐵路企業網絡安全當前面臨的主要挑戰之一。

本文基于零信任理念，結合鐵路企業網絡攻防演練實踐，探討將SDP網絡安全模型應用于防范供應鏈攻擊的具體技術方案，以構建更加安全的鐵路企業網絡安全防護體系。

1 鐵路企業網絡面臨供應鏈攻擊的現狀及問題

1.1 鐵路企業網絡正面臨著日益嚴峻的供應鏈攻擊

供應鏈攻擊，顧名思義就是指針對供應鏈發動的網絡攻擊，也稱為第三方或價值鏈攻擊。攻擊者將供應鏈作為攻擊對象，先攻擊供應鏈中安全防護相對薄弱的企業，再利用供應鏈之間的相互連接，如軟件供應、開源應用等，將風險擴大至上下游企業，通過供應鏈將網絡攻擊延伸至相關的合作伙伴和下游企業客戶，產生攻擊漣漪效應和巨大的破壞性。供應鏈攻擊往往牽涉到更多的企業，且更具破壞性，甚至會給整個行業帶來巨大的影響[3]。

對于企業網絡，當攻擊者使用外部合作伙伴（如供應商、客戶）擁有或使用的連接應用程序或服務破壞企業網絡時，就會發生供應鏈攻擊。對于攻擊者來說，供應鏈攻擊的吸引力在于信任。攻擊者可以從連接的供應鏈應用程序橫向移動到更大的企業網絡，以竊取、加密或破壞關鍵數據，給企業造成巨額維修成本和聲譽損失。近年來，供應鏈攻擊事件呈現暴發增長的態勢，歐洲網絡和信息安全局發布的《供應鏈攻擊的威脅分析》報告指出，和2020年相比，2021年供應鏈攻擊已經顯著提升，犯罪分子和國家資助的黑客一直在尋找易受攻擊的目標，導致針對供應鏈網絡的攻擊一直在持續增加。

鐵路在我國綜合交通體系中處于骨干地位，是國民經濟發展的大動脈，也是大眾化的交通工具，對經濟社會發展產生重大作用和深遠影響。目前，鐵路客戶服務中心已成為鐵路與客戶互動交互的重要窗口，互聯網售票成為客票銷售主要渠道，鐵路95306網站的網上貨運受理量超過99%；鐵路物資采購與招商線上應用快速延伸，鐵路電子支付平臺提供了網銀、第三方等多種支付手段，為旅客貨主提供便捷支付手段；車站旅客服務系統廣泛應用，車站秩序得到有效改善。鐵路企業線上信息服務與線下業務管理緊密結合，實現了貨物全程信息追蹤、旅客列車正晚點查詢，在很大程度上方便了旅客貨主，客戶服務體驗得到顯著改善[2]。然而，鐵路企業信息系統所面臨的供應鏈攻擊風險日益嚴峻。

在鐵路企業網絡攻防演練實戰中，攻擊方往往把供應鏈攻擊作為主要的攻擊策略，通過收集和摸清防守方使用的供應鏈產品，在相關的供應鏈產品或者供應鏈企業上尋找漏洞，找到新的攻擊路徑或切入點。

目前，與供應鏈相關的鐵路信息系統不僅缺乏精細化的安全防護，且大多采用基于開源的代碼框架開發，系統開發商所使用的開源組件、中間件、版本以及源代碼的安全性難以保障，而且這些系統由于使用年限較長，普遍存在難以修復的體系結構漏洞。

供應鏈攻擊的手段包括：利用第三方應用程序、利用開放源代碼庫中包含的漏洞等等。

1.2 傳統的攻擊防范措施難以應對供應鏈攻擊

在傳統網絡安全的架構中，對于惡意攻擊防范需要在網絡內部部署入侵防御系統，對外部、內部發起的網絡攻擊行為進行檢測。在核心辦公網絡區域，需要部署安全態勢感知平臺，對新型網絡攻擊行為進行檢測和分析；并有效聯動入侵防御系統的防惡意代碼檢測模塊，將關鍵網絡節點處的惡意代碼進行檢測和清除。

入侵檢測設備會詳細記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間等內容，并對記錄信息進行一定程度的自動分析，為系統強化網絡安全防護、改進運維策略提供基礎依據[4]。當設備違規連接非授權網絡時，終端安全防護系統能夠主動報警并進行阻斷，避免設備違規連接非授權網絡。

傳統的網絡安全防護通過配套安全設備之間的聯動，基于定期更新的安全設備規則庫來防范惡意代碼的攻擊。各類安全設備的告警中，誤報比例普遍較高，這無疑加大了系統辨別真實攻擊并及時響應的難度。雖然可以通過統一日志管理平臺，對關鍵信息進行快速查詢檢索，以提高攻擊檢測效率。但這種主要依賴多種安全設備規則庫來判定惡意攻擊的方式，一旦安全設備的規則庫出現問題，將嚴重影響安全防護措施的有效性。

2 SDP網絡安全模型

2.1 SDP的概念

SDP也稱作零信任網絡訪問（ZTNA，Zero-Trust Network Access），是由云安全聯盟（CSA，Cloud Security Alliance）開發的一種安全框架，根據身份控制對資源的訪問。該框架基于美國國防部的“need to know”模型，每一個終端在連接服務器前均須進行驗證，確保每臺設備都是允許接入的。企業或組織采用SDP架構，可隱藏其核心網絡資產與設施，使之不直接暴露在互聯網下，確保企業網絡資產與設施免受外來安全威脅[5]。

SDP主要功能是：（1）對設備進行身份認證和驗證；（2）對用戶進行身份驗證和授權；（3）確保雙向加密通信；（4）動態提供連接；（5）控制用戶與服務之間連接，同時隱藏這些連接。

2.2 SDP架構 、工作流程及部署模型

SDP架構中主要包括3個組件：SDP控制器（SDP Controler）、SDP連接發起主機（IH，Initial Host）、SDP連接接受主機（AH，Accept Host），如圖1所示。

圖1 SDP架構及工作流程

其中，SDP主機可以發起連接也可以接受連接，IH和AH會直接連接到SDP控制器，通過控制器與安全控制信道的交互來管理。這一結構可使控制層能夠與數據層相分離，以便實現高可擴展的安全系統。此外，所有組件都可以是冗余的，提高可靠性和方便擴容。

SDP的基本工作流程如下：

（1）在SDP 中添加并激活一個或多個SDP控制器，并連接到身份驗證和授權服務，例如AM、PKI 服務、設備驗證、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos、多因子身份驗證、身份聯盟和其它類似的服務；

（2）在 SDP 中添加并激活一個或多個 AH，它們以安全的方式連接控制器，并進行驗證；AH 不響應來自任何其它主機的通信，也不會響應任何未許可的請求；

（3）將每個 IH 添加 SDP 中并激活，并與SDP控制器連接并進行身份驗證；

（4）IH 被驗證之后， SDP 控制器會確定IH可被授權允許連接的AH列表；

（5）SDP 控制器指示AH接受來自IH的通信，并啟動加密通信所需的任何可選策略；

（6）SDP 控制器為IH提供AH列表，以及加密通信所需的任何可選策略；

（7）IH向每個授權的AH發起單包授權（SPA，Single Packet Authorization，它可使未授權的用戶和設備無法感知或訪問）；IH 和這些AH創建雙向加密連接（例如，雙向驗證 TLS 或 mTLS）；

（8）IH 通過AH并使用雙向加密的數據信道與目標系統通信。

CSA制定的SDP標準規范1.0中定義了6種可能用在組織中SDP部署模型：客戶端—網關、服務器—服務器、客戶端—網關—客戶端、客戶端—服務器、客戶端—服務器—客戶端、網關—網關。

3 基于SDP的鐵路企業網絡供應鏈攻擊安全防范方案

3.1 鐵路企業網絡中SDP部署模型

鐵路企業網絡面臨供應鏈攻擊，普遍存在“檢測監控難、判斷處置難”的問題。在規模龐大的鐵路企業網絡中，攻擊者隨時可能通過入侵供應鏈網絡中的一臺計算機穿透進入內部網絡，然后橫向移動獲得高價值信息資產的訪問權限。

為此，通過在鐵路網絡安全管理中心區域內設置SDP控制器，將關鍵應用程序與數據中心中的其它應用程序隔離開來，并對各個應用網絡區域內的授權用戶進行隔離，嚴格按照SDP控制器的規則賦予訪問權限，可對用戶訪問行為的安全控制細化到單次。未經授權的用戶將無法檢測到受保護的應用程序，從而限制供應鏈攻擊的橫向移動范圍。對于獲得授權的用戶，一旦發現其異常的數據訪問行為，也會被動態地臨時取消權限，以降低可能由受信用戶造成的安全風險。

SDP控制器包括3個主要模塊：流量檢測模塊、規則控制模塊、流量時間特性分析模塊，通過這3個模塊的協同工作，來輔助統一日志管理平臺完成對鐵路信息系統與外部系統的細粒度動態訪問控制，以有效應對供應鏈攻擊，具體的SDP部署模型如圖2所示。

圖2 鐵路企業網絡中SDP部署模型示意

其中，流量檢測模塊完成對供應鏈相關系統邊界流量的檢測和溯源；規則控制模塊結合IPS、WAF、FW等網絡安全設備的訪問規則，利用溯源數據、安全系統的審計、日志數據，針對單一業務系統，制定動態訪問控制策略規則和微隔離策略；而流量時間特性分析模塊則從時間維度上，為流量檢測模塊和規則控制模塊的規則和策略調整提供流量時間特征的補充信息。

SDP控制器通過這3個模塊的協同工作來實現安全訪問控制，并將訪問行為和安全審計數據匯總至統一日志管理平臺，用于為運維和安全人員提供可視化管理界面。

3.2 流量檢測模塊

僅依靠單一設備，難以完成供應鏈上鏈路邊界的流量分析以及從WEB、郵件、文件3個維度檢測高級持續性威脅（APT，Advanced Persistent Threat ）。而僅靠堆疊多種安全檢測設備，會增加安全設備投資和運維成本，而且也會大大增加企業網絡安全人員對業務流量進行監控的負擔。

為此，將全流量檢測技術與安全設備、網絡協議的有機結合，設計了SDP控制器的流量檢測模塊，對供應鏈邊界上的流量進行溯源分析，其主要功能如圖3所示。

圖3 流量檢測模塊的主要功能

3.2.1 對供應鏈重要邊界實施全流量監控

全面調查和梳理鐵路企業網絡中可能遭受供應鏈攻擊的暴露面清單，確認供應鏈的重要邊界，對重要邊界流量實施重點監控。重要邊界包括互聯網訪問邊界、直屬單位與平行單位邊界、內網業務邊界、靶機邊界。在所有重要邊界上部署流量探針，以實施全方位監控；記錄通過各個邊界的流量，對長時間內各類核心業務流量進行統計分析，同時結合相關業務系統的業務流量趨勢報告，從而掌握各個網絡邊界流量的總體趨勢和變化特征。

3.2.2 對加密的協議流量進行解析和檢測

對于無法直接識別和檢測到的加密協議流量，例如HTTPS流量，可以通過加載對應的SSL證書，對流量解密后再進行識別檢測；考慮到對HTTPS流量的統一管理和檢測，可將解析HTTPS流量的CA證書遷移到負載均衡上，接入負載均衡之后，可將HTTPS流量解密為明文，以供各類安全設備進行流量識別和檢測。

3.2.3 對供應鏈相關方的IP資產加注標簽

通過威脅分析一體機設備，對供應鏈相關方的IP資產加注標簽；對IP資源按業務、用戶、用途進行分類和加注標簽，并將可能為攻擊者的IP標記為情報攻擊IP；當發現情報攻擊IP對供應鏈相關方系統的訪問或者攻擊事件時，能夠快速判斷和響應該攻擊事件，全面掌握攻擊態勢、攻擊者主要攻擊的系統服務、以及業務間的調用關系，并及時做出封堵處理和流量追溯。

3.2.4 利用零信任框架管控供應鏈邊界流量

基于零信任框架設計的安全設備，采用“SPA+默認丟包”策略，按照“先認證后連接”原則，加強遠程接入用戶的動態安全管控，以收斂鐵路企業網絡的暴露面，減少不必要的穿越供應鏈邊界的流量[6]。

通過上述的流量溯源統計手段，SDP控制器的流量檢測模塊大致可以確定與供應鏈相關方在交互邊界上的有效流量，完成多個層面流量檢測與分析任務，如表1所示，以全面檢測和監控供應鏈網絡攻擊。

表1 流量檢測模塊完成的流量檢測與分析任務

3.3 規則控制模塊

鐵路信息系統規模龐大，業務復雜，僅依靠單一鏈路的安全設備，難以完全防范供應鏈攻擊。且攻擊者往往通過偽裝成鐵路供應鏈相關業務系統的正常授權用戶進行入侵，利用網絡安全人員未知的安全漏洞進行數據獲取和提權，但攻擊者僅在進行非法操作時才會漏出馬腳。倘若網絡安全管理員采用過于嚴苛的網絡防護策略，一些老舊、代碼開發不規范的業務系統的正常操作就容易被安全設備誤認為是攻擊行為而被攔截。

為此，設計了SDP控制器規則控制模塊，通過與鐵路網絡各類安全系統及設備進行信息交互，可有效降低對單一設備安全規則庫的依賴，形成了結合審計、日志、安全防護、業務代碼特征的規則控制模型，如圖4所示。

圖4 規則控制模塊與網絡安全系統及設備間的交互

規則控制模塊將SDP控制器管理區域內所有業務活動、業務系統劃分不同區域。控制器可按不同業務區域，將各業務系統的具體業務操作納入安全審計系統，對用戶操作行為進行記錄和審計，并將記錄全量備份至審計數據存儲服務器。規則控制模塊從安全審計系統中獲取較長時段內各業務系統的操作審計數據進行統計，再與入侵防范相關的安全設備規則庫相結合，可生成具有審計功能的惡意代碼防御規則，而不僅僅依賴于入侵防御設備和防火墻設備的規則庫。

規則控制模塊的規則庫是通過整合各個業務系統的操作審計記錄生成的，相對于IPS、WAF等安全設備的規則庫，考慮了業務系統的代碼特征，而且還能隨著相關業務系統的持續升級，動態地更新代碼規則庫，能夠基于持續的信任評估規則，對業務系統流量的信任基礎進行動態重構[8]。

除安全審計系統外，規則控制模塊還建立了與態勢感知設備、業務服務監控等系統間的信息交互。通過這些信息交互，使得SDP控制器的規則庫可以根據業務系統軟件版本特征、業務系統用戶行為特征等來構建動態的、細粒度的“業務訪問隧道”，實現了對供應鏈環節中的中間件、操作系統、開源框架、供應鏈用戶的動態管理。除此之外，規則控制模塊還能將把不符合正常業務訪問的操作實時地反饋給統一日志管理平臺，有助于提升網絡安全人員應對網絡安全事件的處置速度和準確率。

概而言之，規則控制模塊基于動態構建的規則庫，顯著降低了攻擊者成功入侵的概率，且與安全審計系統的數據相結合，在保障安全防護的同時，也有助于業務系統開展代碼規范和業務操作規范的建設。

3.4 流量時間特性分析模塊

一些供應鏈上的業務應用系統，由于代碼不規范、所用開源框架的年代過于久遠，可能會產生許多具有攻擊特性的正常業務流量。為了避免SDP控制器和安全設備影響老舊業務的正常運行，將這些攻擊流量特性加入相應區域的SDP動態訪問規則庫，但這種操作往往又會成為攻擊方利用的對象。

SDP控制器將全流量檢測技術與多種安全設備、安全系統相結合，具有強大的流量檢測、規則管控等功能，但也帶來了新問題：對檢測出來的業務流量進行分析，將控制器識別的業務系統的正常操作行為加入規則控制模塊，造成過度依賴于控制器控制模塊的算法。

為了降低對規則控制模塊算法的依賴，設計了流量時間特性分析模塊，以降低對端對端IP流量規則的依賴。流量時間特性分析模塊統計不同業務區域實時流量的特征，按節假日、重要時刻、業務高峰、業務冰谷、日常業務流量等不同時段，生成各類業務流量時刻圖（圖5所示）。業務流量時刻圖上繪有業務流量上限、正常業務流量、業務流量下限3條趨勢線，一旦超過正常業務流量的上下業務流量，即判斷該流量行為異常。

圖5 日常業務流量時刻圖

SDP控制器的流量檢測模塊會時刻統計各個業務區域內的實時流量特征，并將其反饋給流量時間特性分析模塊進行比對。雖然來自某一供應鏈業務模塊的流量還是傳統網絡架構下基于源IP到目的IP的訪問流量，但訪問控制已不只依賴于目的地址、源地址、端口，還加入時間流因素。在某一時段內，哪怕流量是可信的IP訪問行為，且訪問操作和正常業務操作一樣，只要其流量高于設定的安全閾值，也會判定該流量行為不可控。一旦檢測到流量行為不可控，將對第一時間反饋給規則控制模塊進行規則調整，同時將檢測結果傳遞給統一日志管理平臺，以便網絡安全及運維人員進行及時處理。

4 結束語

通過零信任理念和SDP網絡安全模型的應用，將安全審計、全流量溯源和基于安全設備防護策略的訪問控制等傳統網絡防護手段進行整合，設計SDP模型部署方案；SDP控制器設置在鐵路網絡安全管理中心區域，主要由協同工作的流量檢測模塊、規則控制模塊、流量時間特性分析模塊3個模塊構成。該SDP控制器默認不信任供應鏈網絡內外的任何人、設備和系統，通過建立與多個安全設備和安全系統的信息交互和規則聯動，引入更多的數據角度和安全策略評定標準，來動態地調整細粒度的訪問控制，有效降低對受信任系統訪問權限的依賴。

采用本文提出的SDP部署模型建立起動態的、細粒度的訪問控制機制，能夠有效解決鐵路企業網絡遭受供應鏈攻擊時面臨的“檢測監控難、判斷處置難”問題，可屏蔽非法用戶對鐵路企業網絡資源的訪問，防止外部攻擊方利用供應鏈相關方系統的暴露面，進行“野蠻陌生人”暴力攻擊（如DDoS流量攻擊）、精準打擊（如APT威脅）、漏洞利用（如心臟出血漏洞）等，降低鐵路信息系統遭受供應鏈網絡攻擊的安全風險。