鐵路通信綜合網絡管理系統網絡安全建設的研究

魏 旻

（中國鐵路上海局集團有限公司南京鐵路樞紐工程建設指揮部，南京 210000）

隨著《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）的頒布實施，網絡安全已經提升到國家戰略層面的高度，網絡安全建設工作也成為各行各業信息系統建設中的核心和落腳點。鐵路通信系統是鐵路的關鍵基礎設施，是保障鐵路運輸安全、提高運營效率的重要工具。鐵路通信綜合網絡管理系統作為通信系統運維的主要手段之一，其安全防護建設也面臨著巨大的威脅和挑戰，其安全防護體系的研究也亟需加強和規范。中國國家鐵路集團有限公司（簡稱國鐵集團）作為國民經濟建設中的先行企業，從鐵路實際情況出發，先后制定了一系列企業安全標準，其中《鐵路通信網絡安全技術要求第1 部分 總體技術要求》（Q/CR 783.1-2021）（簡稱標準Q/CR 783.1）《鐵路網絡安全等級保護基本要求 安全通用要求》（Q/CR 772-2020）（簡稱標準Q/CR 722）為鐵路通信綜合網管系統（簡稱綜合網管）的網絡安全建設提供了標準和指導規范。本文將結合以上兩個標準要求，著重研究如何建設綜合網管的網絡安全。

1 概述

鐵路通信網涵蓋承載網、業務網、支撐網3 個部分。綜合網管作為支撐網的一個關鍵系統，對保障承載網、業務網和支撐網的正常運行、監控網絡運行和服務質量發揮著重要作用。隨著鐵路通信網絡和設備的數量增多、分布更加廣泛，鐵路通信網絡內部有許多個相互獨立的大型異構系統，存在著傳輸系統、數據通信系統、調度通信系統、移動通信系統、電源及機房環境監控系統、綜合視頻監控系統等多個專業網管子系統。綜合網管依據《鐵路通信綜合網絡管理系統技術條件》（Q/CR 852-2021）（簡稱標準Q/CR 852）完成各專業系統的資源、性能和告警數據采集，實現了運維統一門戶、運維數據資源共享、業務狀態感知、設備和工作質量評價、告警故障工單工作流卡控和輔助決策等功能。通過規范中系統架構的描述，不難發現綜合網管具有各專業網管系統的最頂層設計和高度模塊集成化的特點，這也決定了綜合網管的網絡安全建設具有超融合模式的特性，也決定了在做安全設計時，要采用集中式的防護，而不是分散式的防護方式。

2 現狀及不足

綜合網管及各個專業網管系統在早期建設過程中，在安全技術層面僅要求在網絡邊界安裝防火墻進行安全防護。在標準Q/CR 852 發布后，根據新標準一方面加強了對區域邊界中防火墻層面的安全項要求，同時新增了安全計算環境、安全通信網絡、安全管理中心和安全物理環境等安全類要求，形成了以安全管理中心為核心，以安全通信網絡、安全區域邊界和安全計算環境為框架的鐵路網絡安全技術防護體系。

結合綜合網管的特點和新標準規范的實施情況，目前綜合網管主要存在以下幾個方面的安全風險。

1）安全控制點驗證對象的歸屬問題

身份鑒別、訪問控制防護、安全傳輸、數據完整性等功能到底是在綜合網管系統自身實現，還是由安全產品實現，或由網絡產品實現，或是需要綜合網管系統自身、安全產品和網絡產品都要實現。安全審計、入侵防范、數據備份與恢復都存在以上問題。只有以上安全控制點的驗證對象能夠正確的進行實現歸屬，才能在綜合網管的網絡安全建設、等級測評上有的放矢。

2）系統本身風險

弱口令風險：一條線路或多個線路設置同一個口令的現象普遍存在；賬號亂用風險：多個不同用戶使用同一個賬號的現象普遍存在；角色混用風險：未進行管理員、安全員、審計員的角色劃分，不同角色人員使用同一個賬號登錄；鑒別信息被竊聽風險：鑒別信息未采用安全技術進行加密處理；未采用最小權限策略風險：一個角色統管管理、操作、安全和審計業務；漏洞風險：操作系統、應用軟件、中間件未進行最新升級或實時補丁升級，存在很多安全漏洞。

3）專業網管系統風險

數據完整性風險，直接采用http 非安全協議訪問；如弱口令風險，口令非復雜化、未定期進行口令更改。

4）安全管理中心風險

未能實現安全產品防護功能的統一管控風險，存在系統查殺、漏洞掃描、補丁更新、病毒庫不能更新或未能進行統一操控的現象。

3 安全建設內容探討

通過對標準Q/CR 722 和標準Q/CR 783.1 的研讀，結合標準Q/CR 852 的系統架構要求，綜合網管的網絡安全建設包括兩大方面：一個是安全計算環境、安全通信網絡層面的安全防護功能。另一個是通過防火墻、入侵檢測、日志審計、病毒預防與查殺等安全產品實現的安全防護功能。安全計算環境防護建設是通過綜合網管自身實現即可，還是需借助安全產品和網絡產品組合實現；安全通信網絡防護建設是通過網絡產品自身實現即可，還是需借助安全產品組合實現；安全區域邊界防護建設是通過防火墻自身實現即可，還是需借助網絡產品和其他安全產品組合實現；安全管理中心防護建設是通過安全產品自身實現即可，還是需借助綜合網管、網絡產品和其他安全產品組合實現的，能正確區分這些防護功能的歸屬才是綜合網管系統網絡安全建設的關鍵。

3.1 綜合網管網絡安全架構

結合標準Q/CR 772 和標準Q/CR 852，綜合網管的網絡安全架構如圖1 所示。

圖1 綜合網管網絡安全域劃分示意Fig.1 Schematic division diagram of cyber-security zones ofintegrated network management system

結合綜合網管系統構成及安全產品防護的目標，將綜合網管系統網絡安全域劃分為內部安全計算環境、安全通信網絡、安全管理中心、安全物理環境和外部安全區域邊界。內部安全區域中的安全計算環境主要對整個系統內部的設備級、操作系統級、應用軟件級進行安全防護，通過安全設備、網絡設備、網管應用軟件、中間件等進行實現；安全通信網絡主要對系統內網絡架構及安全通信進行安全防護，通過網絡設備（如交換機）進行實現；安全管理中心主要對系統的整體安全設備及策略進行安全防護，通過安全設備（堡壘機、殺毒軟件等）和網管應用軟件結合實現；安全物理環境不在本文進行闡述。外部安全區域邊界主要實現系統內外間通信的安全隔離及安全策略防護，主要通過安全設備（如防火墻）實現。

3.2 安全計算環境防護

在整個綜合網管的網絡安全架構中，安全計算環境并不只是針對綜合網管應用單元，而是對應整個綜合網管系統中所有具備計算、身份鑒別和控制的設備和應用，是通過整個綜合網管系統整體來實現的，只是在安全控制項上各有側重或要求的符合程度不同。

在安全計算環境中有些安全控制點是通用的，需安全產品、網絡產品、綜合網管進行實現。這些通用控制點包括身份鑒別、訪問控制、入侵防范、數據完整性、數據備份恢復和安全審計保護。如身份鑒別中的用戶身份登錄是任何一個系統或單元安全的必備條件，訪問控制中用戶角色權限的配置管理是身份鑒別的前提條件；入侵防范中的最小安裝、關閉非必要服務和端口等也要求所有的設備或應用必須遵循方能起到防護作用；數據完整性要求需要各個系統采用安全傳輸及數據加密（如采用https、ftps 訪問，SSH 遠程控制）技術來實現；數據備份恢復是防止數據丟失、應對災難恢復、系統可靠性的基本要求，需要支持重要數據的本地和異地備份，并支持數據恢復功能；安全審計則要求各個系統具有用戶級及系統級日志的記錄功能，為安全管理中心提供數據基礎。

惡意代碼防范功能，則需要綜合網管系統配備入侵、防病毒、殺毒軟件等實現；對于個人信息保護方面，則根據系統是否具有個人信息收集、存儲、分發功能來判斷是否實現。

在現實實踐中，訪問控制點中的最小權限原則是用戶使用過程中最常見和普遍存在的安全問題之一。按照標準Q/CR 722 的要求，需要對權限進行管理員、操作員、審計員和安全員管理劃分，而在現實中為了簡單操作，不進行最小權限劃分，如果一旦忘記或修改管理員密碼，則需要修改系統數據庫方可恢復。一旦對系統基礎數據進行誤操作，則會導致一系列訪問控制問題。所以，建議在日常使用中要遵循最小化權限原則，不同角色的人員使用不同的身份登錄系統。

3.3 安全通信網絡

在綜合網管的網絡安全架構中安全通信網絡是整個系統的網絡架構基礎，主要通過路由器、交換機、無線接入設備等提供網絡通信功能的設備或相關組件實現。同時要求這些設備支持校驗技術或密碼技術進行傳輸，如采用SSL 證書、數據MD5 加密等。

在安全通信網絡中的安全控制點網絡架構主要通過交換機來實現管理層面、業務層面、維護層面的VLAN 劃分，也可以根據需要采用VPN 進行遠程訪問，同時在設計之初，要考慮到端口、設備性能的冗余。安全控制點通信傳輸主要通過交換機實現采用SSL、MD5 技術進行實現。

3.4 安全區域邊界

在綜合網管的網絡安全架構中安全區域邊界主要完成與各個專業網管子系統、上級綜合網管及其他第三方系統的隔離防護，通過防火墻、入侵檢測、病毒防控等安全設備實現。

在安全區域邊界中的安全控制點邊界防護主要通過部署防火墻隔離設備，實現跨越邊界受控訪問、控制粒度為端口級、狀態檢測功能；訪問控制安全控制點主要通過配置防火墻的ACL 安全策略控制（允許、拒絕、監視、記錄）進出網絡的訪問行為、基于五元組的訪問控制（進行端口的策略配置）、ACL 無冗余且最小功能；入侵防范安全控制點主要通過入侵設備或單元來實現監視網絡攻擊行為、違規連接非授權功能；惡意代碼防范主要通過病毒防控設備或單元實現防病毒、殺毒功能。

3.5 安全管理中心

在綜合網管的網絡安全架構中安全管理中心主要通過安全設備和綜合網管應用單元組合來實現，完成安全設備的統一管控、統一查殺、病毒庫更新、日志審計等集中管理功能。目前安全設備只能做到同一廠家平臺下的安全設備的統一管控和集中管理。但考慮到用戶在使用過程中對綜合網管安全防護的需求，這項功能需要在安全平臺上來實現。也就是說無論是哪個廠家第一個完成安全平臺建設，都應該在平臺上能夠集中展示本廠家安全設備以及后續擴容新增廠家的安全設備的相關內容。同時綜合網管應用單元實現應用部分基礎配置、重要數據的備份和恢復、日志審計等功能。

4 安全建設模型探討

綜合上述研究和分析，綜合網管的網絡安全建設模型如圖2 所示。

圖2 綜合網管安全建設模型示意Fig.2 Schematic construction model diagram for cyber-security ofintegrated network management system

通過在網絡邊界與核心交換機互聯處設置防火墻，對外部接入各專業網管系統、網管終端及一級綜合網管來進行邏輯隔離。防火墻可配置IDS、IPS、反病毒等模塊功能，實現入侵監測防護、防病毒、安全策略和業務行為監視及告警功能。

通過與核心交換機互聯處設置日志審計、堡壘機、防殺病毒、漏洞掃描設備或模塊，對網絡設備、邊界防火墻、綜合網管應用單元、網管終端進行安全審計、遠程安全登錄、防毒及殺毒和漏洞掃描。日志審計對重要的用戶行為和重要安全事件進行審計；堡壘機設備或單元實現對遠程登錄用戶的統一管控；殺毒設備或單元實現病毒預防、防御、檢測、響應一體化的威脅防御能力，有效預防、抵御各類流行病毒以及勒索軟件對終端的入侵，洞察威脅本質，幫助客戶快速檢測和響應安全問題，全面提升終端安全防護能力；漏洞掃描設備進行主機或系統漏洞掃描、Web 漏洞掃描和弱密碼掃描等。

通過對網絡設備、安全設備、綜合網管應用單元的身份鑒別、訪問控制、入侵防范、數據完整性、備份與恢復和安全審計通用功能的自身實現，來保證以上設備或單元的安全計算中主要的控制點要求。對于其他安全控制點則需要根據不同的應用需要在不同的單元實現。

以上建設模型是基于標準Q/CR 783.1、標準Q/CR 722、標準Q/CR 852 中的相關要求設計的。圖2 中安全設備或單元代表設備種類，各類設備設置的具體數量根據工程情況進行配置。圖2 中未配置的安全設備，根據業主要求和工程需求也可補充設置，對綜合網管系統的安全進一步進行完善和補充。

5 結束語

由于綜合網管是一個高度集成的統一業務管理系統，所以在安全建設時，要充分認識到安全產品的定位點，不能按照采取完全隔離式的安全區域劃分來進行安全設備的設置，要從整體性和系統性上來進行安全產品的設置：一方面要考慮到通用安全控制點的建設要求。另一方面也要考慮到安全產品的固有特性和優勢的應用建設要求。

希望本文中對綜合網管的網絡安全研究分析以及建設模型的建議，可對后續的工程建設起到借鑒作用。使綜合網管在更加安全的環境中應用，在保障鐵路通信安全及服務質量方面發揮更加穩定的作用。