基于自適應安全的鐵路網絡安全框架設計研究

王啟東

（中國國家鐵路集團有限公司 科技和信息化部，北京 100844）

鐵路網絡安全保障體系經過多年建設，初步構建了以外部服務網、內部服務網和安全生產網為層次的縱深防御體系。目前，隨著5G、大數據、工業(yè)互聯(lián)網等新技術迅速發(fā)展和在鐵路信息化建設中的逐步應用，鐵路信息系統(tǒng)面臨的網絡安全威脅已經由互聯(lián)網攻擊、病毒、木馬植入等傳統(tǒng)攻擊方式，轉變?yōu)槭录汀⒘闳章┒垂簟⒏哳l度APT（Advanced Persistent Threat）攻擊、黑產形式的大規(guī)模數據竊取等威脅行為。以外部網絡安全設備為核心的防御體系已經無法滿足當前形式下應對網絡安全威脅的需要，亟需以實現疊加演進的安全能力為目標，構建體系化、實戰(zhàn)化的網絡安全保障體系，構成動態(tài)、主動的鐵路網絡安全防御體系。建立能夠適應大規(guī)模新型網絡安全威脅的自適應網絡安全保障體系，將會是未來鐵路網絡安全工作的重點思考方向之一。

本文介紹自適應安全框架的定義與特征，結合新形勢下的鐵路信息系統(tǒng)網絡安全保障需求，提出基于自適應安全的鐵路網絡安全框架設計思路，并基于該框架提出了4個應用研究方向。

1 自適應安全框架概述

1.1 自適應安全框架定義

自適應安全框架是2014年由IT研究與顧問咨詢公司Gartner提出的面向下一代的安全體系框架之一[1]，以應對云計算、物聯(lián)網、大數據、移動互聯(lián)（簡稱：云物大移）等環(huán)境下所面臨的安全風險。自適應安全框架按照防御、檢測、響應、預測4個維度，把龐大而復雜的網絡安全防御工作作為一個持續(xù)演進、循環(huán)的過程，強調對網絡進行細粒度、多角度的監(jiān)測與響應，對安全威脅進行持續(xù)化的實時動態(tài)分析。自適應安全框架和經典的PDR（Protection-Detection-Response）網絡安全模型相比，在保護、檢測和響應領域均有重合的設計思想，而在預測領域，基于對歷史風險和安全現狀的分析，突出了對風險不斷適應和循環(huán)改進的過程，這也是自適應安全框架中具有突破意義的設計理念，尤其在高級持續(xù)性攻擊防御中，例如對抗APT攻擊、DDos（Distributed Denial of service）攻擊、0Day攻擊，自適應網絡安全框架將體現重要優(yōu)勢。

1.2 自適應安全框架的關鍵能力

自適應安全框架模型如圖1所示，以持續(xù)監(jiān)控和分析為核心，包含防御、檢測、響應和預測4部分循環(huán)內容[2]。該框架假設系統(tǒng)始終處在安全風險的環(huán)境中，不同于以事件驅動的PDR模型，在一定程度上弱化了防御手段的重要性與有效性，通過檢測和響應環(huán)節(jié)的持續(xù)監(jiān)控與分析，強調對未知威脅的預測和感知，自動適應不斷變化的網絡環(huán)境，優(yōu)化自身安全防御機制。

圖1 Gartner自適應安全框架模型

（1）安全防御層面，主要包括加固和隔離、攻擊轉移和事故預防能力，設計目標在于通過多種成熟的安全防護手段，減少對系統(tǒng)暴露面的攻擊。

（2）安全檢測層面，主要包括事故檢測、風險確認和優(yōu)先排序、事故隔離能力，設計目標在于檢測分析可能繞過安全預防機制的潛在入侵行為，并根據風險進行安全評估、確認和排序，一旦入侵行為被識別，立即進行系統(tǒng)隔離，防止威脅進一步擴散。

（3）安全響應方面，主要包括調查取證、設計建模、修復改善能力，設計目標在于為修復系統(tǒng)和預防新攻擊，通過完整的事件調查取證、追蹤溯源，重新調整相應的防護策略和控制措施。

（4）安全預測方面，主要包括主動評估風險、預測攻擊、安全基線能力，設計目標在于面對不斷變化的業(yè)務需求和安全威脅，基于態(tài)勢感知、情報預警等關聯(lián)分析技術，不斷修改、完善安全基線，實現主動風險評估和威脅預測。

2 鐵路網絡安全內外部風險因素分析

基于縱深防御的國鐵企業(yè)網絡安全框架已建立多年，隨著云物大移等信息技術的廣泛應用，鐵路網絡安全框架亟需轉型升級，以適應新形勢下網絡安全保護的需要。目前，鐵路網絡安全技術防護手段方面缺乏對攻擊的快速識別和快速響應能力，難以應對更多、更復雜的未知安全威脅。

（1）當前，國鐵企業(yè)統(tǒng)建系統(tǒng)總體上按照中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團有限公司（簡稱：鐵路局）、站段三級架構構建[3]，按照信息系統(tǒng)不同類型進行橫向隔離，網絡安全防護對象復雜分散，防護手段以防火墻、防病毒、入侵檢測等傳統(tǒng)安全防護設備為主，各類網絡安全設備和系統(tǒng)防護策略執(zhí)行力度不統(tǒng)一，網絡安全防護工作逐漸呈現出“碎片化”現象，網絡安全整體發(fā)展缺乏實戰(zhàn)化的全局洞察和預警能力。

（2）國內外規(guī)模性大、破壞性強的網絡攻擊事件急劇上升，面對愈加嚴峻的有組織、有目的的網絡攻擊形勢和突發(fā)威脅，能夠快速觸發(fā)響應措施，迅速、彈性恢復業(yè)務運轉的能力尚為不足[4]，缺乏對事件告警、情報預警、威脅線索等各個方面的閉環(huán)管理機制，對網絡安全事件的響應速度和預防水平亟待加強。

（3）鐵路互聯(lián)網售票系統(tǒng)和互聯(lián)網貨運系統(tǒng)積累了大量公民個人信息和客戶貨主信息，針對鐵路業(yè)務系統(tǒng)內部個人隱私數據的安全防護與風險預警能力有待加強，尤其在云計算與大數據廣泛應用后，應用系統(tǒng)和數據高度集中，大規(guī)模數據泄露風險增加。

（4）新技術應用帶來新的安全隱患，適應新技術應用的能力尚為不足。云物大移等信息技術已在鐵路系統(tǒng)內廣泛應用，在提升業(yè)務競爭力的同時，也給鐵路網絡安全防護工作帶來新挑戰(zhàn)。對于業(yè)務規(guī)模大、應用系統(tǒng)復雜程度高的鐵路系統(tǒng)而言，網絡安全復雜度和工作量將成倍增長，而傳統(tǒng)防護手段對新技術應用的適應能力尚顯不足。

3 設計思路

以應對新形勢下網絡安全威脅、優(yōu)化自身安全防御機制為目標，結合鐵路網絡安全內外部風險因素分析，提出基于自適應安全的鐵路網絡安全框架，如圖2所示。該框架是以構建疊加演進型的網絡安全能力建設為目的，以提高安全威脅主動檢測和網絡安全風險動態(tài)感知為手段，開展國鐵企業(yè)基礎結構安全、縱深防御能力、主動防御能力、聯(lián)防聯(lián)治能力建設[5-6]。

圖2 基于自適應安全的鐵路網絡安全框架

3.1 基礎結構安全能力建設

是指國鐵企業(yè)原有傳統(tǒng)網絡安全相關工作，具體包括網絡安全組織管理、安全制度管理、網絡分區(qū)分域、系統(tǒng)安全、數據安全、應用開發(fā)安全、漏洞與補丁管理、云平臺內生安全、大數據平臺安全等。基礎結構安全作為鐵路網絡安全根基性的保障工作，是投入成本高、重視度高、長期性重復的工作，是一切網絡安全工作的前提。

3.2 縱深防御安全能力建設

是指國鐵企業(yè)內部為落實網絡安全工作，部署在網絡、主機、應用等基礎架構層面上的靜態(tài)、被動、外掛式的安全防護設備和系統(tǒng)[7]，依靠安全防護設備內置的安全策略監(jiān)控、抵御內外部安全威脅，是國鐵企業(yè)網絡安全防護體系中的重要環(huán)節(jié)。具體包括縱深防護體系設計、網絡邊界防護、終端安全、局域網安全等。

3.3 主動防御安全能力建設

主動防御安全能力是指強調網絡安全防護工作的積極、主動、動態(tài)能力，包括網絡安全日志匯聚、安全事件分析、安全編排與自動化、系統(tǒng)內部威脅防控等。國鐵企業(yè)推行網絡安全監(jiān)控指揮中心后，依托態(tài)勢感知平臺、集中安全管理平臺、網絡安全監(jiān)控指揮信息平臺等技術平臺，規(guī)范網絡安全監(jiān)控、攻防演練、事件響應處置流程，強化安全事件的分析、研判和響應處置。

3.4 聯(lián)防聯(lián)治能力建設

是指對國鐵企業(yè)內部網絡威脅的識別、理解和預見性的安全能力。基于國鐵企業(yè)基礎安全、縱深防御安全和主動防御能力建設與保障工作，通過擴大威脅視野，使鐵路網絡安全工作由各自為戰(zhàn)轉向聯(lián)合行動，具體包括情報收集、情報生產、情報使用、情報共享等[8]。

上述網絡安全框架設計體現了以網絡安全能力為導向的設計思路，構建安全與信息化“深度融合、全面覆蓋”的自適應安全體系，逐步提高國鐵企業(yè)網絡安全成熟度。

4 設計實現

4.1 基于風險的縱深安全防御

以健全鐵路網絡安全基礎防御能力為目標，遵循縱深防御理念，基于傳統(tǒng)安全防護手段與策略，以等級保護合規(guī)建設為基礎，綜合運用云物大移等信息技術，規(guī)劃鐵路網絡安全技術架構，構建覆蓋安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境等全方位的技術藍圖。在安全工具和技術平臺的更新升級、安全技術策略的統(tǒng)籌優(yōu)化方面，確保安全基線和安全技術規(guī)范在鐵路應用開發(fā)、科研管理、生產運營等工作中有效貫徹落實。

基于風險的網絡安全防御技術體系如圖3所示，在縱深防御能力建設方面，按照網絡安全等級保護2.0要求，優(yōu)化網絡安全基礎性防護措施，強化通信網絡、區(qū)域邊界、計算環(huán)境安全防護。在此基礎上，利用安全態(tài)勢感知、異常行為深度檢測、威脅情報預警、資產深度數據防護等規(guī)劃，加強主動防御能力建設。

圖3 網絡安全防御技術體系

4.2 基于數據的縱深安全檢測

以提高鐵路網絡安全主動監(jiān)管能力為目標，圍繞鐵路系統(tǒng)核心資產、內部風險脆弱點，依托滲透測試、風險評估、等級保護等手段，組織漏洞分析排查和補丁修復。通過對鐵路系統(tǒng)內部終端設備、應用系統(tǒng)、網絡設備、存儲系統(tǒng)、操作系統(tǒng)、數據庫等信息化資產的深度分析，對每個縱深層所產生的數據進行分析研判、信任評估，將不同縱深的數據進行融合關聯(lián)分析，不斷減少對威脅的檢測時間，完善檢測規(guī)則。基于數據的縱深安全檢測技術構成如圖4所示。

圖4 基于數據的縱深安全檢測技術構成

4.3 基于自動化手段的快速響應

以加強鐵路網絡安全持續(xù)響應能力為目標[9]，推進信息系統(tǒng)運維調度和應急指揮中心，強化對安全事件的調查取證和追蹤溯源能力。建立安全事件問題整改追蹤平臺，通過集約管理實現安全事件的敏捷運營及快速處置，形成安全響應聯(lián)動機制，優(yōu)化防護策略和控制措施，減少事件響應時間，不斷提升防護強度，網絡安全自動化響應流程如圖5所示。

圖5 網絡安全自動化響應流程示意

4.4 基于安全情報的威脅防控

以深化鐵路網絡安全主動防御能力為目標，依托信息溝通渠道和通報機制，借助大數據分析、可視化等技術，加快推進安全態(tài)勢平臺、安全情報分析平臺建設[10-11]。圍繞終端設備、服務器、業(yè)務系統(tǒng)的內在安全要求，持續(xù)優(yōu)化鐵路網絡安全基線系統(tǒng)能力，逐漸實現對未知、新型攻擊的預測與研判，增強對鐵路系統(tǒng)內部潛在威脅的識別、理解和預見性的安全能力。通過對網絡流量、系統(tǒng)日志、用戶行為、文件內容等方面的深度檢測，構建鐵路內部威脅安全管控機制，對多種安全威脅數據進行自動化挖掘和網絡威脅情報關聯(lián)分析，實現網絡安全態(tài)勢感知和安全威脅的精準預測。

網絡安全威脅預警流程如圖6所示，包含感知、理解和預測3個層次的信息處理。感知層用于獲取網絡環(huán)境中的重要數據和安全信息；理解層用于整合、分析感知層的數據和信息，定性或定量地評估網絡環(huán)境的安全級別與可能面臨的安全威脅；預測層基于評估結果，預測網絡發(fā)展趨勢，輔助決策，防止大規(guī)模網絡安全事件的發(fā)生。

圖6 網絡安全威脅預警流程

5 結束語

基于自適應安全的鐵路網絡安全框架給出了以能力為導向的網絡安全規(guī)劃思路，能夠避免傳統(tǒng)模型下網絡安全產品的堆疊，將局部整改模式轉變?yōu)轶w系化規(guī)劃建設模式。本文介紹的規(guī)劃思路還需要長遠的驗證過程，同時也要匹配鐵路網絡安全工作過程中的現狀問題，不斷適應網絡安全的快速發(fā)展，確保安全能力能在鐵路系統(tǒng)內有效集成，全面提升鐵路網絡安全保障能力。