鐵路通信承載網網絡安全方案研究

摘要：鐵路通信承載網是由傳輸網和數據網組成的鐵路通信基礎平臺，承載列控、無線通信、視頻監控、客票、辦公管理等鐵路重要業務。文章基于鐵路通信承載網的組網情況及防護現狀，對承載網的網絡安全方案進行研究，提出網絡安全平臺總體架構及承載網網絡安全方案，以保護鐵路通信承載網相關設備設施免受攻擊和破壞，維護承載網運營的安全與穩定，可為將來的鐵路通信承載網的規劃與建設提供參考。

關鍵詞：鐵路通信；通信承載網；網絡安全；安全方案

doi：10.3969/J.ISSN.1672-7274.2023.06.004

中圖分類號：U 285" " " " " " " "文獻標志碼：A" " " " " " " "文章編碼：1672-7274（2023）06-00-04

Abstract： The railway communication carrier network is the basic platform of railway communication composed of transmission network and data network， which carries important railway businesses such as train control， wireless communication， video monitoring， passenger ticket， office management， etc. Based on the networking and protection status of railway communication carrier network， this paper studies the network security scheme of the carrier network， proposes the overall architecture of the network security platform and the network security scheme of the carrier network， in order to protect the the railway communication carrier network from attack and damage， maintain the security and stability of the carrier network operation， and provide reference for the planning and construction of the railway communication carrier network in the future.

Key words： railway communication; communication carrier network; network security; security scheme

鐵路通信承載網包括傳輸網和數據網，是鐵路上基礎的專用通信網，為鐵路運輸及生產生活需要提供語音、數據和圖像通信傳輸業務。鐵路通信承載網保障了鐵路的安全運營，是鐵路運輸中的重要組成部分。

近年來，網絡安全形勢日益嚴峻，網絡攻擊的破壞性和威脅性持續增加，鐵路通信網面臨越來越大的挑戰[1]。鐵路通信承載網一旦遭到攻擊、侵入、干擾或破壞，將對鐵路的正常運行產生影響，嚴重時甚至會威脅鐵路安全。因此，如何保障通信承載網的網絡安全成為運營管理部門關心的重要問題。

1" 鐵路通信承載網現狀

1.1 傳輸網

鐵路傳輸網通常采用三層組網結構，由骨干層傳輸網、匯聚層傳輸網和接入層傳輸網組成，為承載的業務提供網絡及迂回保護。骨干層主要承載鐵路總公司到鐵路局和各鐵路局之間的業務信息，匯聚層主要承載鐵路局內較大通信站點之間的業務信息[2]，接入層主要承載各鐵路車站及區間站點之間的業務信息。

鐵路傳輸網網管負責傳輸網的數據配置、對傳輸網運行情況進行實時監控，及時發現系統故障并發出告警，為網絡維護及障礙處理提供技術支持[3][4]。

1.2 數據網

數據網為鐵路運輸組織、客貨營銷、經營管理等信息系統，以及GSM-R、視頻等通信系統提供廣域網IP承載網絡[5][6]。

數據網采用分層設計，根據業務需要，設置核心層、匯聚層和接入層。數據網設置網元級管理系統，具備故障、配置、性能、安全及VPN管理的功能，根據需要提供流量分析功能。

1.3 網絡安全防護現狀

近年來，隨著鐵路信息化建設進程不斷加快，我國鐵路網絡安全形勢也越來越嚴峻，在前端接口、網絡互聯、平臺及業務等多方面存在一定風險。

2020年以來國家鐵路集團陸續發布了針對承載網、GSM-R系統和綜合視頻監控系統的鐵路通信網絡安全技術要求，多個鐵路局已開始相關系統網絡安全平臺的部署建設工作，其中承載網的網絡安全平臺建設工作仍處于前期階段，建設相對緩慢。因此有必要對鐵路通信基礎承載網的網絡安全平臺架構及方案展開研究，以科學高效地應對網絡安全風險。

2" 網絡安全要求

2.1 等級保護定級

等保2.0文件中規定，網絡信息系統安全等級保護按防護水平由低至高分為五級[7]，依次為自主保護級、指導保護級、監督保護級、強制保護級和專控保護級，各級受侵害的客體及對客體的侵害程度見表1。

為保障鐵路通信基礎設施安全保護工作，鐵路網絡信息系統在等保2.0文件的基礎上，按照同步規劃、同步建設和同步使用的原則，提出了鐵路通信網絡安全等級保護的基本要求，對鐵路通信承載網的網絡安全技術要求進行約束，要求鐵路通信承載網需滿足安全等級保護第三級保護要求[8]。

2.2 傳輸網安全要求

鐵路通信網絡安全技術要求中提出鐵路通信傳輸網安全應從安全防護范圍、安全防護內容、安全防護要求和安全管理四個方面考慮[8]，具體內容包括：①安全防護范圍：傳輸網的安全防護范圍包括SDH/MSTP、OTN、PTN。②安全防護內容：主要包括防護對象的確定、設備及網絡的安全等。③安全防護要求：包括系統安全要求、設備安全要求、災難備份及恢復要求。④安全管理：包括系統安全管理、安全服務管理和安全機制管理。

2.3 數據網安全要求

鐵路通信數據網安全包括安全防護范圍、安全防護內容、安全防護要求、安全服務與安全機制、安全服務與模型分層和安全管理六個方面[9]。①安全防護范圍：包括骨干數據網和區域數據網，其中區域數據網包括國鐵集團區域數據網和鐵路局集團公司區域數據網。②安全防護內容：包括防護對象的確定、設備及網絡的安全等。③安全防護要求：包括系統安全要求、設備安全要求、災難備份及恢復要求。④安全服務與安全機制：包含安全服務使用時與安全機制的適用情況。⑤安全服務與模型分層：將模型分為鏈路層、網絡層、傳輸層和應用層，對各層提供安全服務并配置相應的安全機制。⑥安全管理：包括系統安全管理、安全服務管理和安全機制管理。

3" 網絡安全系統架構

3.1 總體架構

通過對通信承載網網絡安全要求的分析，提出網絡安全方案，構建網絡安全平臺，實現網絡安全監測預警、集中管控及響應處置。該架構由數據采集層、業務分析層、終端展示層和安全管理模塊四部分組成。

3.2 子平臺構建

（1）數據采集層。該層是網絡安全防護平臺的基礎，針對來自服務器、終端、日志系統等設備的數據源，進行主動或被動采集。采集的數據包括資產、設備運行及安全風險數據，數據采集層對這些數據源進行預處理，完成數據采集、過濾、提取、轉換、標簽與成庫工作。

（2）業務分析層。該層是網絡安全防護平臺的核心層，通過對所采集的數據進行分析與管理，向上層終端展示層提供業務服務。根據功能應用的特點，對業務分析層做進一步細分，形成風險管理、威脅分析、響應處置及知識庫管理等多個子應用平臺。子應用平臺功能明細如表2所示。

（3）終端展示層。終端展示層對系統的區域邊界安全進行管控，通過對資產情況、威脅態勢、事件預警、事件和漏洞分布、關鍵資產運行狀態、事件進度及設備運行狀態等的綜合分析，實現系統安全的可視化感知及總體掌控。

（4）安全管理模塊。為了保障網絡安全系統高效運行，由安全管理模塊對系統、用戶、權限和審計等進行管理，并做進一步的詳細要求。

4" 承載網網絡安全部署方案

基于承載網網絡安全系統總體架構，考慮到部署承載網網絡安全平臺的緊迫性與重要性，建議在鐵路局局端規劃設置承載網網絡安全平臺，以實現承載網網管域內各類設備的集中管控與監測及安全情況的實時感知和預警，以便進行高效的分析和處理，滿足承載網網絡安全需求。

4.1 網絡安全管理中心

在鐵路通信承載網內設置網絡安全中心，由管理中心服務器和運維審計、日志審計、終端控制等各類服務器組成，主要實現綜合態勢分析、資產集中管理、安全隱患管理、集中策略管控、橫向溯源分析、運維協同分析、聯動響應處置和報表統計管理業務。

（1）綜合態勢分析。該中心基于多維度實現資產、隱患和威脅等全局的綜合態勢分析，通過采集的日志數據分析，利用內置規則關聯分析、機器學習等關鍵技術，以發現網絡面臨的漏洞、攻擊和威脅情況。

（2）資產集中管理。該中心提供對資產的發現、檢查和維護，對資產網絡準入和地址沖突進行管理與告警。系統可按網絡設備、安全設備、其他分組對IT資產進行管理維護，支持根據分組對子類型進行維護，可通過分組、標記等對資產進行細致管理。

（3）安全隱患管理。該中心通過接口集成，可支持直接調度漏洞掃描系統，實現掃描任務的創建和下發，同時支持多種廠家的漏洞報告的集中導入管理，支持靈活自定義的漏洞報告解析規則，對于導入漏洞資產，可按照資產的情況進行漏洞的歸并展示，直觀掌握資產隱患漏洞情況。

（4）集中策略管控。該中心可實時監控網絡設備和服務器的安全運行狀態，并對防火墻、防病毒網關等邊界安全設備和漏洞、病毒補丁進行集中管理，根據安全事件處置需求對服務器等終端進行聯動配置管理。

（5）橫向溯源分析。該中心具備對原始數據的深度采集以及溯源分析能力，針對安全事件從日志、流量中實時提取特征摘要和原始報文，通過深度解析追溯原始信息，形成溯源線索。此外，系統基于時間保留一定的數據包，以資產維度進行梳理，從而可以針對某個節點發生的安全事件進行追溯與大數據分析，為后續溯源提供證據鏈，在必要時可進行預警處置任務下發，為安全運營管理提供閉環管控。

（6）運維協同分析。該中心具備運維協同分析能力，對系統運行情況進行監測、工單下發及事件處置，并對當日設備安全進行預警等。系統支持對告警查詢及統計管理。通過處置工作臺對告警進行處置，平臺自身行為模型對異常訪問行為進行告警，并基于報表功能對告警可視化展現。

（7）聯動響應處置。該中心對各類安全事件進行即時告警觸發，通過與邊界部署安全設備聯動，根據研判策略自動下發通報處置任務，對未知惡意代碼植入等及時進行分析阻斷。聯動響應處置基于不同的事件類型可配置不同的響應策略，以實現適配現場環境的處置策略。

（8）報表統計管理。該中心可提供靈活的報表統計管理功能，可按照特定周期生成報表，以掌控網絡全局的安全情況，滿足平臺監控需求。

4.2 終端管控防病毒系統

設置終端管控防病毒系統，通過安裝定制化防病毒軟件，對通信承載網內終端及服務器所遭受的惡意代碼攻擊進行有效防范，并且實現防病毒策略、病毒庫升級的統一管理。

4.3 審計系統

審計系統包括運維審計、日志審計、數據庫審計和網絡審計。

（1）運維審計：其主要業務依托堡壘機設備實現，對具有準入權限的用戶操作行為進行監控和記錄，提供集中統一的安全管理接入，以便互聯網有效監督、審計定責和風險防范。

（2）日志審計：是指針對網絡設備、安全設備、存儲和服務等各類審計數據源的日志進行采集及范式化處理，并進行日志分析與告警。

（3）數據庫審計：通過采集網管域的進出網絡流量，集中監控數據庫攻擊、高危操作等風險行為并進行告警及追溯。

（4）網絡審計：對網絡邊界和重要節點進行安全審計，實時監控網絡的性能和存在問題，為突發安全事件提供網絡流量層面的審計依據。

4.4 漏洞掃描系統

該系統對各主機的操作系統進行即時、定期的漏洞掃描，提供每個主機的基本信息、監測到漏洞描述及修補建議，為系統管理人員修補漏洞提供有效參考。

4.5 防火墻與入侵檢測系統

為了提升安全等級，設置防火墻和入侵檢測系統，實現網絡設備間的邏輯隔離，并及時分析網絡內的惡意入侵行為及漏洞代碼。

4.6 準入控制系統

該系統實現外網主機接入發現、合規檢查、入網追溯等業務功能，具備對終端接入網絡的認證、檢查、管控等功能，實現終端接入合規可信。

4.7 配置核查系統

該系統對接入承載網網管域新設設備類型進行分類管理，并對服務器地址、管理端口等合規性進行核查，即時發現違規、弱口令等設置。

5" 結束語

本文在分析鐵路通信承載網現狀的基礎上，提出了網絡安全平臺總體架構及承載網網絡安全部署方案，并對其子平臺模塊及業務功能進行具體闡述，該方案緊跟鐵路通信網絡安全發展趨勢，具有一定的可行性、適用性和經濟性，可為將來鐵路通信承載網的網絡安全建設的優化與改進提供借鑒思路與參考。

參考文獻

[1] 張伯駒．新形勢下鐵路網絡安全工作探索與發展展望[J]．鐵路計算機應用，2020，29（8）：1-5.

[2] 冶文慶．客運專線中鐵路通信技術的運用分析[J]．中國新通信，2014， 16（23）：58.

[3] 李正濤．鐵路通信承載網技術發展研究[J]．鐵路通信信號工程技術，2017，14（5）：18-20.

[4] 李繼元．鐵路通信承載網技術發展與應對策略研究[J]．鐵道通信信號，2022，58（7）：65-68.

[5] 喬楨．鐵路數據通信網網管系統安全防護的研究[J]．鐵路通信信號工程技術，2017，14（4）：23-25.

[6] 國家鐵路局．鐵路通信設計規范：TB10006-2016[S]．北京：中國鐵道出版社，2016.

[7] 鐵路網絡安全等級保護基本要求安全通用要求：Q/CR 772[S]．中國國家鐵路集團有限公司．2020.

[8] 劉剛，楊軼杰．基于等級保護2.0的鐵路網絡安全技術防護體系研究[J]．鐵路計算機應用，2020，29（8）：19-23.

[9] 鐵路通信網絡安全技術要求 第2部分：承載網：Q/CR783.2[S]．中國國家鐵路集團有限公司．2020.