新時期鐵路網絡空間安全防御技術架構研究

司 群，魏長水，王震華

（1.中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2.中國國家鐵路集團有限公司 科技和信息化部，北京 100844；3.中國鐵路西安局集團有限公司 科技和信息化部，西安 710054）

2015 年，我國頒布重新修訂的《國家安全法》，明確將網絡安全納入國家安全體系，提出了“沒有網絡安全，就沒有國家安全”等一系列新思想新觀點新論斷，作出了“網絡強國建設”等網絡安全工作決策部署。同時，我國相繼出臺《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規，對網絡安全工作提出了更為具體的要求。

隨著鐵路信息化建設加快推進，信息網絡規模不斷擴大，信息基礎設施全天候不間斷運行，重要系統安全風險壓力增大。面對新的安全形勢和安全環境，安全防護體系建設從合規導向轉向能力導向，網絡安全防護和監管更加關注實戰化。需要充分發揮先進的網絡安全技術保障作用，增強安全預警能力，強化安全監控手段，加強安全過程控制，防范安全風險，保證鐵路網絡及系統的持續穩定。

隨著我國智能鐵路建設的不斷推進，鐵路正逐步向智能化轉型，鐵路業務應用有機融合各類新型信息技術，出現了包括云計算應用邊界限定較模糊、大數據應用潛在數據安全泄露風險較大、物聯網和5G 移動通信設備接入安全和授權認證等問題，直接關系到鐵路相關信息系統的安全，從而使得網絡安全復雜度和工作量成倍增長，給建設智能鐵路帶來新的挑戰。同時，網絡安全攻擊上升至網絡戰，鐵路面臨更大的安全威脅挑戰。面臨常態化和實戰化的高水平攻擊時，在確保資產清晰化、風險動態化和能力生態化的基礎上，還需要滿足監測實時化、防御體系化、威脅預警化、響應迅速化、信息共享化、指揮精確化的安全保障一體化建設目標。

為此，本文基于“十四五”鐵路網絡安全和信息化規劃，提出符合鐵路領域需求的鐵路網絡空間安全防御技術架構，建立“基礎+強化+協同”的層次防御技術架構，從網絡安全等級保護合規、關鍵信息基礎設施強化保護、協同共享等方面為后續網絡安全工作提供參考。

1 網絡空間安全防御現狀

1.1 國內外網絡空間安全防御形勢

2010 年，美國將移動目標防御、定制可信任空間等確立為新的防御技術后，新型防御技術應用進入快速發展階段，且取得了系列實用化成果。新型網絡防御技術從解決網絡空間安全問題的基礎原因出發，通過對信息系統安全機制的重新設計，獲得改變攻防“游戲規則”的防御效果。

國內開展了大量針對主動防御技術的研究，鄔江興院士團隊的原創網絡空間擬態防御[1]，已完成從理論研究、技術研發、系統研制、測試測評、攻防試驗到示范應用的全鏈條科研創新。基于主動防御思想的防御技術有入侵容忍、蜜罐、移動目標防御、可信計算和擬態防御等，這些防御技術各有特點，如表1 所示。

表1 基于主動防御思想的部分技術對比

1.2 鐵路網絡空間安全防御現狀

鐵路網絡安全經過多年建設，2018 年之后，基本建成了“五網三級”的鐵路縱深防御體系。目前，全國鐵路已部署了安全隔離、訪問控制、病毒防護、終端防護、移動端防護、網站防護、態勢感知、情報分析、風險分析等網絡安全措施，提升了網絡安全防護能力。隨著網絡空間安全威脅的不斷演進和改變，傳統的被動防御手段已不能適用于對新型網絡空間安全威脅的防御；針對移動互聯網、大數據、云計算等技術應用，缺乏專有的安全防護措施。與此同時，大數據分析、威脅情報分析、云計算等技術的發展，也賦予了網絡空間安全防護新思路和新手段[2-5]。

此外，針對鐵路面臨的新的監管要求及新技術應用帶來的新風險管控要求，缺乏解決未知漏洞、未知攻擊的手段和措施，目前，鐵路網絡安全防御的主要問題是主動感知和主動防御能力薄弱。鐵路系統大部分在專網運行，對運行狀態的監控手段薄弱，缺乏有效的網絡感知能力；大部分系統，特別是控制類系統的安全措施已部署多年，技術更新較慢，部分設備逐漸老化，對于攻擊手法多樣的安全威脅，尚缺乏充分防范[6]。

2 鐵路網絡空間安全防御需求分析

綜合分析鐵路網絡空間安全防御現狀，提出資產集中管理、風險統一管控、網絡安全等級保護合規、關鍵信息基礎設施強化保護、網絡安全攻防、供應鏈安全管理和數據安全管理等7 個方面提出需求，如圖1 所示。

圖1 鐵路網絡空間安全防御需求

（1）資產集中管理需求：鐵路資產量龐大，需要建立完善的資產庫，對資產進行詳細畫像，實現資產、數據和業務的關聯分析及集中可視化管理。

（2）風險統一管控需求：需要通過收集威脅情報和脆弱點，構建風險庫，實現統一管控及整改進度跟蹤。

（3）網絡安全等級保護合規需求：需要強調實施網絡安全等級保護制度，加強測評、整改和“一中心三重防護”建設，達到真正的合規建設。

（4）關鍵信息基礎設施保護強化保護需求：需要以鐵路關鍵信息基礎設施識別認定工作為基礎，統籌組織風險評估、監測預警和應急處置。

（5）網絡安全攻防需求：需要搭建基于網絡安全攻防場景的模擬演練環境，驗證安全運行流程，強化安全加固措施，有效應對實戰化攻防演習，促進“三化六防”的有效落地。

（6）供應鏈安全管理需求：需要加強對鐵路網絡安全供應鏈的管控力度，包括源代碼安全需求、網絡安全審查管理和供應鏈管理等。

（7）數據安全管理需求：需要全面梳理掌握本單位重要數據，強化重要數據保護，主要包括網絡數據安全風險評估、分類分級和差異化防護措施建設等。

3 技術架構

本文針對國鐵集團關鍵信息基礎設施、所屬各單位重要信息系統和其他系統網絡安全等級保護對象，提出基于“基礎+強化+協同”3 層防護機制的鐵路網絡空間安全縱深防御技術架構，如圖2 所示。

圖2 鐵路網絡空間安全防御技術架構

3.1 基礎保護層

基礎保護是針對所有保護對象，實現基礎合規建設的目標，包括網絡安全基礎庫建設、網絡安全等級保護和商用密碼應用安全評估（簡稱：密評）等3 個層面的技術要求。

（1）加強資產庫、風險庫和能力庫等3 個網絡安全基礎庫建設。資產庫主要是對網絡空間中的全資產進行測繪，識別出系統數字資產，繪制資產圖譜，并實現依托資產屬性的分級分類；風險庫通過各類測評、檢查和專項任務梳理，形成保護對象的外部威脅和內部脆弱性清單；能力庫建設核心是提升威脅情報能力和防御能力，完善防御工具和攻擊武器庫。

（2）對所有保護對象，實施網絡安全等級保護通用要求和安全擴展合規性安全技術要求[7]，其中，針對通用要求的保護對象，從分區分域、通信傳輸、可信驗證、入侵防范、邊界防護、個人信息保護、身份鑒別、訪問控制、安全審計、剩余信息保護、惡意代碼防范、垃圾郵件保護、數據完整性、數據保密性和數據備份恢復等方面，根據不同網絡安全保護等級設計安全策略。對于采用云計算、大數據、工業控制（簡稱：工控）系統、物聯網、移動互聯等技術的保護對象，分別設計了安全擴展要求。其中，云計算場景考慮網絡架構、鏡像和快照保護、集中管控等內容；大數據場景設計了數據傳輸安全、大數據業務安全、大數據應用支撐環境安全和訪問層安全等內容要求；工控系統設計了控制設備安全和無線使用安全等內容；物聯網場景考慮接入控制、感知節點設備安全、網關節點設備安全、抗數據重放和數據融合處理等要求；移動互聯場景考慮邊界防護、訪問控制、移動終端管控和移動應用管控等要求。

（3）根據國家密碼應用相關標準要求，對不同網絡安全保護等級的保護對象開展密評工作，主要從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面，對采用了國產密碼（簡稱：國密）的設備和系統提出防護要求。

3.2 強化保護層

強化保護是在滿足基礎保護的前提下，針對鐵路關鍵信息基礎設施提出的強化要求，通過開展網絡攻防、數據安全、風險評估、供應鏈安全、國密應用安全和國產化等具體工作，逐步實現情報預測、綜合防御、檢測評估、應急響應能力的提升，落實“三化六防”的具體目標。其中，網絡攻防主要包括網絡安全靶場仿真、攻防實戰化對抗、常態化攻擊監測預警、主動防御等基礎設施和技術措施建設，目的是增強攻防對抗的實戰技能；數據安全包括網絡數據分級分類、技術防護和網絡數據安全風險評估；風險評估主要是對鐵路關鍵信息基礎設施的資產、脆弱性、威脅、已有安全措施等方面進行分析評估，計算安全風險，開展風險處置；供應鏈安全主要包括建立供應鏈圖譜、源代碼安全審查、產品準入驗證、第三方權限管理等內容；國密應用安全包括商用密碼應用方案設計、國密算法設計、商用密碼應用產品研發等內容；國產化工作主要包括整機芯片國產化、操作系統國產化、數據庫國產化和系統適配遷移等內容。

3.3 協同保護層

協同保護層設計主要是建立鐵路企業內部、企業與監管單位和行業主管部門間，以及行業間的信息共享和指揮協同機制，從而實現安全場景化和決策智慧化。建立鐵路信息共享機制，實現鐵路典型安全事件、漏洞信息、情報信息、最佳實踐等在企業內部、行業、監管單位間的有效傳遞及共享；建立鐵路協同指揮機制，聚焦資源協同、能力協同、應急協同、生態協同等，實現鐵路企業內外部統一指揮協同及動態聯動[8-9]。

4 技術架構應用情況

在落實《“十四五”鐵路網絡安全和信息化規劃》的過程中，基于網絡安全管理信息系統研發和網絡安全等級保護整改等工作，鐵路網絡空間安全防御技術架構的基礎保護層內容得到逐步完善；強化保護層中的網絡攻防和風險評估內容已實施，研究建成了鐵路網絡安全靶場平臺實驗環境，起草了鐵路關鍵信息基礎設施風險評估規范標準，并搭建了鐵路典型關鍵信息基礎設施仿真系統。同時，開展了一系列的技術驗證、攻防對抗、培訓及競賽。

強化保護層中的網絡安全攻防目前已在鐵路內網絡安全護網演習、全國護網行動、網絡安全競賽中得到廣泛應用，對于保障鐵路關鍵信息基礎設施的安全穩定起到重要作用。

5 結束語

本文根據新時期鐵路網絡空間安全防御現狀及需求，提出基于“基礎+強化+協同”3 層防御機制的鐵路網絡空間防御技術架構，建立資產庫、風險庫和能力庫等3 個網絡安全基礎庫，進一步加強合規性安全和基線要求。從攻防對抗、數據安全、供應鏈安全、國產化和風險評估等方面，強化關鍵信息基礎設施保護措施，最終實現鐵路內、外部的信息共享和指揮協同，從整體設計上為鐵路網絡空間安全防御體系建設提供參考。