鐵路網絡攻防靶場平臺方案研究

崔偉健，馬小寧，李 琪

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

當前，鐵路網絡安全防護以事后處置為主，缺乏事前監測和預警手段，網絡安全防護評估尚處于理論探討，缺乏模擬驗證環境的支持，難以開展有效驗證。

隨著國際形勢不斷變化及鐵路信息化迅速發展，鐵路網絡安全面臨的威脅越來越嚴峻，有組織、大規模的網絡攻擊日益猖獗，傳統被動式防御措施的局限性越來越凸顯[1]。物理隔離雖然是最有效的防御措施，但僅適用于局部防護，斷網、斷電等傳統防護措施也僅適用于應急防護，無法保證鐵路網絡安全防護的長期穩定[2]。鑒于鐵路多數信息系統已成為運輸生產不可或缺的關鍵支撐，在生產過程中對這些系統進行安全防護處置可能影響系統穩定運行，往往明知系統中存在漏洞，也不宜輕易進行系統升級或補丁修復，由此造成系統普遍帶病運行的窘境。

因此，在既有鐵路網絡安全防護體系基礎上，建設鐵路網絡攻防靶場平臺（簡稱：平臺），以模擬實際生產環境，開展業務流量仿真、網絡攻防對抗、安全加固補強、人員培訓教育等工作，強化鐵路網絡安全人防、技防能力，促進鐵路網絡安全防護水平的提升。

1 鐵路網絡攻防靶場平臺方案

1.1 總體架構

鐵路網絡攻防靶場平臺是按照中國國家鐵路集團有限公司（簡稱：國鐵集團）網絡安全的頂層設計要求，結合鐵路綜合信息網建設，面向國鐵集團、鐵路局集團公司和站段3 級提供服務[3]。平臺統一部署在鐵科院集團公司，具有模式配置和自主配置2種模式，在鐵路綜合信息網和互聯網端分別設置1個訪問出口，綜合信息網端出口滿足業務仿真、攻防仿真、知識答題、培訓教育等應用需求，互聯網端出口則為互聯網側攻擊滲透提供接口。

平臺總體架構如圖1 所示，主要通過預先設置的各類虛擬設備庫、版本庫、漏洞補丁庫、中間件庫、網絡庫等，以不同組合形式模擬多種業務架構，再結合業務流量模擬技術，仿真業務實際應用場景[4]。

圖1 鐵路網絡攻防靶場平臺總體架構

（1）運行支撐層：主要為數據庫、服務器、網絡設備、安全設備、可視化組件等硬件設備及軟件環境，為平臺提供運行環境；這些設備除支持平臺本身運行外，還支持模擬系統的運行；平臺中集成鐵路各種業務場景、應用場景、設備型號及版本、中間件、配置情況等，平臺運維人員統一錄入調研數據，由平臺自動對錄入數據進行結構化解析和存儲。

（2）資源保障層：是對數據庫存儲的各類設備信息、知識題庫、攻防工具等的映射，以有效避免大量搜索操作對數據庫性能造成影響；收集鐵路各業務場景數據，采用Hadoop、Spark 等分布式數據挖掘技術，搭建數據倉庫，對所收集的數據進行整合、分類、存儲[5]，保障數據存儲的靈活性、獨立性，大幅降低數據庫負載。

（3）核心業務層：基于平臺存儲的各類數據資源，采用虛擬化技術，完成業務場景搭建、業務流量模擬、攻擊流量生成等，結合既有技戰知識庫、攻防工具庫，操作人員可對模擬系統進行多種滲透攻擊，以檢測系統網絡安全防護能力。

（4）應用層：根據鐵路網絡安全實際工作需求，設置業務仿真、場景仿真、攻防仿真、漏洞驗證、攻擊滲透、風險評估、知識答題、奪旗競賽、培訓教育等應用模塊，并預留可擴展接口，還可結合業務發展要求和變化增加相應功能，如設備狀態監測統計、設備性能優化分析、系統網絡安全態勢感知[6]等。

（5）安全保障層：收集存儲鐵路大量系統配置信息，結合國家網絡安全等級保護標準及國鐵集團有關要求，按照等級保護第三級的相關要求，開展鐵路網絡安全防護建設，設置網絡安全及運行維護專職人員，部署漏洞掃描、安全審計、入侵防范等安全防護設備，切實保障平臺運行安全。

1.2 業務流程

平臺通過資源收集、整合和應用，對各類業務場景開展各類攻擊、檢測和安全防護方案驗證等，業務流程示意圖，如圖2 所示。

圖2 鐵路網絡攻防靶場平臺業務流程

（1）平臺技術負責人員將收集到的鐵路各業務場景資源信息進行錄入，由平臺利用集成的數據挖掘技術和云存儲技術，對數據進行分類存儲。

（2）平臺使用人員使用業務仿真模塊建立業務場景框架，確定業務系統網絡架構，在網絡架構內填充存儲的各類資源，同步對各類虛擬化設備進行參數配置，構建一套完備的虛擬業務系統，使用這套模擬業務系統開展攻防演練、業務培訓等。

2 鐵路網絡攻防靶場平臺構成

鐵路網絡攻防靶場平臺通過整合現有資源實現仿真，其基礎工作是收集的各類資源，核心則是實現靶場平臺仿真的子系統，包括業務流量模擬子系統、攻擊流量生成子系統、攻防仿真子系統和培訓教育子系統。

2.1 業務流量模擬子系統

2.1.1 邏輯架構

業務場景流量模擬子系統提供安全測試過程所需的模擬流量，包括工業以太網、廣域網[7]、IPV6、物聯網、移動互聯網、工業互聯網等網絡流量模擬，工業App、視頻監控遠程控制、5G 邊緣計算、PLC、RTU、車聯網、基于IPV6 的電信骨干網等應用模擬，以及物聯網城市消防栓管理、物聯網智能樓宇控制、物聯網等業務場景模擬；其邏輯架構如圖3 所示，自下而上劃分為南向接口層、數據處理層、功能邏輯層、北向接口層，通過南向接口層與其它系統進行數據交互。

圖3 業務流量模擬子系統邏輯架構

2.1.2 功能描述

（1）南向接口層主要包括流量還原和分析與多源數據匯聚關聯分析接口、惡意行為檢測接口、流量注入與采集接口，實現與其它應用系統的數據交互。

（2）數據處理層主要負責本系統運行過程中所涉及的數據的存取、分析及計算等處理，包括流量生成、流量注入、流量采集和導入、流量重組、協議指紋匹配、流信息采集、域名采集等主要邏輯處理。

（3）功能邏輯層基于數據處理層，為上層提供有效的業務邏輯處理支撐，包括流量生成、流量注入、流量采集和導入、流量重組、協議指紋匹配、流信息采集、域名采集等主要邏輯處理。

（4）北向接口層通過與后端管理應用系統對接，面向終端操作用戶提供一個可視化的人機交互界面操作入口，涉及的接口包括軟件配置與管理接口、任務管理接口、規則管理接口、資源監視接口、數據展示接口等。

2.2 攻擊流量生成子系統

2.2.1 邏輯架構

攻擊流量生成子系統面向仿真模擬系統，集成高效的安全攻擊流量、預制檢測用例，構建可擴展伸縮的安全性自動檢測框架，實現10 余種攻擊流量類型模擬，包括可生成拒絕服務攻擊流量模擬、漏洞利用、病毒、惡意軟件、ARP 流量、掃描探測等；其邏輯架構，如圖4 所示。

圖4 攻擊流量生成子系統的邏輯架構

2.2.2 功能描述

攻擊流量生成子系統提供攻擊數據集，以及全球源IP 地址模塊等系列攻擊流量支撐資源；在匹配攻擊流量過程中，由攻擊數據集匹配攻擊數據類型及數據，由攻擊流量回放模塊進行攻擊流量的改造和按需組合，再由攻擊流量投放模塊執行攻擊流量的投遞。

此外，在大規模的攻擊流量測試過程中，為了模擬大型的DDoS 攻擊及僵尸網絡等攻擊，模擬器將通過數據源的全球源IP 地址模塊，修改數據包中的源地址信息，模擬全球不同區域的大規模網絡攻擊行為。

2.3 攻防對抗子系統

攻防對抗子系統基于仿真模擬系統以及豐富的攻防資源，構建單兵競技環境或多方混戰環境，如圖5 所示。

圖5 攻防對抗子系統示意圖

（1）單兵競技是指操作人員登陸后，以闖關的方式進行攻擊，每一關均有一個靶場，難度逐級增加，獲取對應關卡的FLAG 值，提交正確后即可得分，提交失敗不得分。

（2）攻防對抗內容主要包括信息挖掘與搜索、腳本注入、跨站欺騙、漏洞發現與利用、程序語言破解等。攻防實戰模擬環境，通過攻防對抗子系統，雙方或多方參與團隊互為攻守，利用給定的目標靶機，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分，充分鍛煉團隊協作意識和個人能力水平。

2.4 培訓教育子系統

培訓教育子系統面向國鐵集團、鐵路局、站段3 級人員，提供網絡安全培訓教育服務。靶場平臺運營單位利用鐵路網絡攻防靶場平臺的優勢資源，編制國家法律法規和標準規范、鐵路規章制度、網絡安全意識、網絡安全技術、網絡安全攻擊滲透等方面習題庫，鐵路職工可通過綜合信息網出口訪問靶場平臺，參與知識答題活動以及單兵作戰活動。

3 關鍵技術

3.1 基于云存儲的模塊化網絡虛擬技術

針對鐵路復雜多樣的業務場景及系統特點，基于云存儲技術理念，構建鐵路網絡虛擬云平臺，采用模塊化存儲技術，將鐵路現行廣泛采用的終端、版本、補丁、中間件、服務器、數據庫等分別進行虛擬化；同時，對虛擬資源進行靈活定制，預留擴展空間，有效滿足虛擬化資源的靈活配備（分配或配置）、組合、更新、回收等需要，并可有效解決實際存儲空間局限性問題，一定程度上實現“有限空間模擬無限場景”。

3.2 大規模虛擬網絡快速構建技術

綜合分析鐵路網絡架構和系統架構，統籌構建數據流節點，結合云化、模塊化的信息基礎資源虛擬仿真技術，在每個節點處設置相應信息基礎資源，在不同節點之間搭建數據通道，模擬數據流向，通過節點化與虛擬化相結合技術，實現虛擬節點和數據流量無限復用，可有效迅速構建大規模虛擬網絡。

3.3 多層級流量仿真技術

針對傳統流量仿真方法單一的問題，構建多源異構流量生成系統，可模擬個人用戶訪問、關聯設備訪問、遠程請求訪問等多源訪問流量，對于每項流量可配置結構化、非結構化等異構數據流量。開展流量模擬時，在流量生成系統中實時生成大量元流量，采取元流量頻率控制、流量疊加、流量拼接等技術，在同一時刻生成混合流量。通過不斷優化調整元流量控制策略，理論上可實現實際數據流量的1:1 仿真。

3.4 多維度可量化攻防效果評估技術

建立科學合理的鐵路網絡安全攻防行為指標體系，引入可伸縮的實時績效評估模型，通過對網絡攻防雙方行為流量的全時監測和實時分析，進行毫秒級運算，實現攻防效果實時評估，同時結合靶場平臺可視化技術，實現攻防效果實時展示。

4 結束語

鐵路網絡安全經過多年的不斷發展，已經基本建成“人防、物防、技防”三位一體的網絡安全保障體系，初步具備網絡較為完備的安全防護能力。但鐵路網絡安全在主動防御、人員技術能力建設、安全可靠環境模擬等方面依然存在不足。鐵路網絡攻防靶場平臺的研究與設計，有助于解決鐵路網絡安全面臨主動防御能力不足的難題，利用其資源整合優勢，與云計算、大數據以及5G[8-10]等技術結合，以促進鐵路網絡安全防護技術的創新發展，提升鐵路網絡安全防護水平。

下一步將重點針對鐵路網絡安全精細化管理，基于鐵路網絡攻防靶場平臺，研究構建集設備資產管理、運行配置、資源調配、運維保障、安全防護、漏洞修復等于一體的全過程管理模式，以加快實現鐵路網絡安全精準管控。