鐵路站段網(wǎng)絡(luò)安全防護方案

導(dǎo)語：鐵路站段網(wǎng)絡(luò)安全防護方案一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文參考等保2.0的相關(guān)標(biāo)準(zhǔn)，結(jié)合鐵路基層站段實際，在深入分析站段信息系統(tǒng)架構(gòu)和安全問題的基礎(chǔ)上，圍繞安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心四個方面提出了鐵路站段網(wǎng)絡(luò)安全防護方案設(shè)計。

關(guān)鍵詞：網(wǎng)絡(luò)安全；等保2.0；鐵路站段；邊界防護；訪問控制

鐵路綜合信息網(wǎng)由國鐵集團、鐵路局集團公司和站段局域網(wǎng)構(gòu)成?；鶎诱径蔚木W(wǎng)絡(luò)安全處于鐵路“一個中心、三重防御”的縱深防御體系的最前端，其安全作用的發(fā)揮對整個鐵路信息系統(tǒng)網(wǎng)絡(luò)安全有著重要影響。當(dāng)前國鐵集團和集團公司的網(wǎng)絡(luò)安全防護體系已覆蓋到基層站段，但由于站段信息系統(tǒng)及其應(yīng)用環(huán)境的復(fù)雜程度、基層專業(yè)技術(shù)力量不足的現(xiàn)狀，基層站段的網(wǎng)絡(luò)安全仍然是整個鐵路信息網(wǎng)絡(luò)的一個薄弱環(huán)節(jié)。同時伴隨著我國鐵路的智能化發(fā)展，各類智能裝備、智能運維逐步賦能站段發(fā)展，物聯(lián)網(wǎng)設(shè)備、5G設(shè)備等的接入也給鐵路信息網(wǎng)絡(luò)帶來了新的安全威脅。網(wǎng)絡(luò)安全等級保護2.0制度，延續(xù)等保1.0標(biāo)準(zhǔn)的“安全管理中心、安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)”，并擴大了對大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等新型網(wǎng)絡(luò)的保護，為新時期網(wǎng)絡(luò)安全工作開展和網(wǎng)絡(luò)安全防護方案研究提供了指導(dǎo)。

1站段信息系統(tǒng)架構(gòu)

以某客運站為例，除專網(wǎng)系統(tǒng)外，信息系統(tǒng)大致分為辦公類系統(tǒng)、以車次信息為數(shù)據(jù)源的旅客服務(wù)類系統(tǒng)、保障車站設(shè)施運行的運維管理類系統(tǒng)。在傳統(tǒng)的信息系統(tǒng)基礎(chǔ)上，越來越多的物聯(lián)網(wǎng)系統(tǒng)也接入站段局域網(wǎng)內(nèi)，包括環(huán)境監(jiān)測、設(shè)備監(jiān)控、站臺防入侵、能源管理、指紋考勤、門禁系統(tǒng)等。系統(tǒng)總體框架如表1所示。

2站段網(wǎng)絡(luò)安全問題

站段信息系統(tǒng)種類繁雜，終端數(shù)量多且位置分散、暴露面廣。無法有效管控的資產(chǎn)、碎片化的安全策略、不規(guī)范的安全管理易造成整個鐵路信息網(wǎng)絡(luò)的隱患。站段網(wǎng)絡(luò)安全問題包括以下幾個方面。

2.1網(wǎng)絡(luò)傳輸

區(qū)域劃分：隨著鐵路信息化的發(fā)展，站段信息系統(tǒng)的規(guī)模在不斷增加，聚集的系統(tǒng)架構(gòu)變得難于管理，網(wǎng)絡(luò)安全域劃分不清缺少安全隔離，在安全事件發(fā)生時導(dǎo)致影響范圍擴大。物理環(huán)境：站段現(xiàn)場網(wǎng)絡(luò)設(shè)備布置分散，有的設(shè)備直接暴露于公共環(huán)境，易造成空閑的網(wǎng)絡(luò)端口被接入非法終端。系統(tǒng)漏洞：交換機、路由器等網(wǎng)絡(luò)設(shè)備及其管理平臺本身存在的安全漏洞易被攻擊。

2.2服務(wù)器

系統(tǒng)漏洞：服務(wù)器操作系統(tǒng)存在漏洞，特別是普速站開發(fā)較早的信息系統(tǒng)，由于部署于內(nèi)部局域網(wǎng)而疏于安裝補丁升級。訪問控制：系統(tǒng)管理員賬號密碼或數(shù)據(jù)庫管理員賬號密碼為弱口令易被攻破；服務(wù)器安裝了不必要的服務(wù)或開啟了不必要的端口，從而增加了安全隱患。應(yīng)用服務(wù)：Web應(yīng)用服務(wù)器安全配置錯誤導(dǎo)致攻擊者惡意代碼被執(zhí)行；服務(wù)器應(yīng)用軟件使用未經(jīng)安全驗證的開源代碼或存在sql注入漏洞。

2.3計算機終端

系統(tǒng)漏洞：目前站段計算機終端系統(tǒng)仍以Windows系統(tǒng)為主，其中Windows7、Windows10占絕大多數(shù)，主機系統(tǒng)存在漏洞后門風(fēng)險。訪問控制：站段的倒班或輪流值班制度情況下，信息系統(tǒng)易出現(xiàn)越權(quán)訪問或共用同一賬號的現(xiàn)象。使用行為：由于使用人員在內(nèi)部局域網(wǎng)計算機終端使用無線網(wǎng)卡或手機連接計算機以及計算機錯誤連接互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備等行為造成一機兩網(wǎng)。使用存在后門漏洞的瀏覽器、音視頻處理等辦公軟件。

2.4感知層設(shè)備

物理環(huán)境：感知層設(shè)備部署區(qū)域無人監(jiān)管，易發(fā)生終端被拆除替換的事件，成為入侵網(wǎng)絡(luò)的入口。設(shè)備漏洞：系統(tǒng)組件存在漏洞易被入侵；終端設(shè)備硬件調(diào)試接口無須身份認(rèn)證，成為惡意攻擊入口；存在弱口令導(dǎo)致被他人登錄；開放不必要的遠程服務(wù)被入侵。終端資產(chǎn)：站段物聯(lián)網(wǎng)設(shè)備越來越多，各廠家標(biāo)準(zhǔn)和協(xié)議不統(tǒng)一，海量終端接入造成身份認(rèn)證與資產(chǎn)管理難題。

2.5安全管理

資產(chǎn)管理：目前站段大多通過人工進行信息資產(chǎn)統(tǒng)計，難以全面掌握數(shù)量龐大的設(shè)備終端。技術(shù)隊伍：基層技術(shù)人員缺乏網(wǎng)絡(luò)安全專業(yè)培訓(xùn)，無法有效應(yīng)用各種安全設(shè)備，更缺乏對威脅的主動判斷能力。安全制度：使用人員安全意識淡薄，管理制度缺失導(dǎo)致數(shù)據(jù)泄漏、篡改、刪除問題。

3網(wǎng)絡(luò)安全方案

3.1安全通信網(wǎng)絡(luò)

（1）冗余設(shè)計：站段去往鐵路綜合信息網(wǎng)廣域網(wǎng)出口、站段局域網(wǎng)內(nèi)部網(wǎng)交換設(shè)備及鏈路均采用可靠的冗余備份機制，最大化保障數(shù)據(jù)訪問的可用性和業(yè)務(wù)的連續(xù)性。（2）安全域劃分：站段局域網(wǎng)按照同數(shù)據(jù)源、同業(yè)務(wù)類別、同安全等級的原則劃分VLAN，有效分散不同VLAN中的運行維護風(fēng)險和網(wǎng)絡(luò)攻擊風(fēng)險。以客運站為例，劃分VLAN分別為：廣域網(wǎng)接入?yún)^(qū)、核心交換區(qū)、服務(wù)器區(qū)、辦公系統(tǒng)區(qū)、旅客服務(wù)系統(tǒng)區(qū)、智能運維系統(tǒng)區(qū)、安全管理區(qū)，并利用ACL設(shè)置VLAN間訪問規(guī)則。安全區(qū)域劃分如圖1所示。

3.2安全區(qū)域邊界

對網(wǎng)絡(luò)區(qū)域邊界進行重點防護，邊界部署防火墻實現(xiàn)訪問控制、入侵防范、惡意代碼防范。核心交換機旁路部署審計服務(wù)器，實現(xiàn)邊界和重要網(wǎng)絡(luò)節(jié)點的審計功能。在核心交換機旁路通過鏡像部署流量感知設(shè)備。核心交換機旁路部署網(wǎng)絡(luò)準(zhǔn)入平臺，實現(xiàn)終端接入控制。（1）訪問控制：在廣域網(wǎng)接入邊界部署下一代防火墻，禁止外部網(wǎng)訪問內(nèi)部網(wǎng)，對所轄中間站及其他必要單位開啟白名單。在服務(wù)器邊界部署防火墻，只允許訪問服務(wù)器區(qū)域的特定服務(wù)器的特定端口。嚴(yán)格內(nèi)部網(wǎng)安全準(zhǔn)入，建立站段局域網(wǎng)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證平臺，基于網(wǎng)絡(luò)設(shè)備端口和終端設(shè)備MAC地址對終端設(shè)備的網(wǎng)絡(luò)訪問權(quán)限進行控制，實現(xiàn)邊界隔離和非法接入，從源頭上切斷外來安全威脅的流入通道。（2）入侵防范：在廣域網(wǎng)邊界開啟下一代防火墻IPS模塊并定期更新特征庫，檢測數(shù)據(jù)包，防范包括Flood、惡意掃描、欺騙防護、異常包攻擊等；對進出網(wǎng)絡(luò)的流量開啟雙向攻擊檢測，及時發(fā)現(xiàn)內(nèi)部網(wǎng)計算機威脅，做出處置并向集團公司相關(guān)部門報告。（3）惡意代碼防范：開啟下一代防火墻病毒防護模塊，定期更新策略，在網(wǎng)絡(luò)層進行病毒查殺，預(yù)防和阻斷網(wǎng)絡(luò)病毒、蠕蟲、木馬等惡意代碼攻擊。在網(wǎng)關(guān)處封閉135、138、139、445、3389等端口，阻止僵尸網(wǎng)絡(luò)的連接和病毒的更新、擴散。（4）安全審計：部署安全審計設(shè)備，記錄分析人員訪問以及對數(shù)據(jù)的增、刪、改、查等行為，對異常通信進行報警。開啟廣域網(wǎng)邊界下一代防火墻應(yīng)用審計，對特定文件內(nèi)容進行過濾，避免信息泄漏。檢測終端流量，并對特定類型文件進行流量深度監(jiān)測，防止數(shù)據(jù)文件被盜。

3.3安全計算環(huán)境

（1）身份鑒別：各應(yīng)用系統(tǒng)均設(shè)置身份鑒別策略，用戶登錄時對身份鑒別信息加密傳輸，拒絕未授權(quán)用戶登錄系統(tǒng)；對重要系統(tǒng)采用靜態(tài)口令+動態(tài)口令的雙因子認(rèn)證；對登錄失敗次數(shù)進行限制；主機開啟復(fù)雜口令保護、入站規(guī)則、限制非法登錄次數(shù)等安全策略。（2）訪問控制：各應(yīng)用系統(tǒng)設(shè)置用戶權(quán)限及訪問行為控制策略。設(shè)置用戶變更策略，及時清理長期未登錄賬號；制定管理制度，對人員離職、調(diào)動崗位及時調(diào)整賬號；刪除多余賬號、默認(rèn)賬號，避免共用權(quán)限。（3）入侵和惡意代碼防范：安裝統(tǒng)一的終端防護軟件，通過終端防護平臺防范一機兩網(wǎng)、非法外聯(lián)、非法接入，并實現(xiàn)病毒防護、補丁管理、介質(zhì)管控。定期對站段局域網(wǎng)內(nèi)設(shè)備進行漏洞掃描，并根據(jù)鐵路網(wǎng)絡(luò)安全漏洞平臺發(fā)布的信息及時修復(fù)可能存在漏洞。（4）資產(chǎn)管理：利用統(tǒng)一安全平臺實現(xiàn)終端資產(chǎn)識別和分析。通過IP掃描、SNMP掃描、流量發(fā)現(xiàn)等手段對網(wǎng)內(nèi)的IP存活情況進行跟蹤監(jiān)控，分組管理。（5）安全審計：利用日志審計服務(wù)器監(jiān)控分析安全生產(chǎn)網(wǎng)內(nèi)信息系統(tǒng)服務(wù)器系統(tǒng)資源、用戶操作、應(yīng)用程序等，及時發(fā)現(xiàn)系統(tǒng)異常行為。（6）感知層設(shè)備安全對感知層設(shè)備和節(jié)點裝置，進行軟件身份認(rèn)證或軟件加密。禁用閑置的外部設(shè)備接口、外接存儲設(shè)備的自啟動功能。通過本地接口進行軟件更新調(diào)試時，需進行人員身份認(rèn)證、權(quán)限控制。

3.4安全管理中心

建設(shè)安全管理中心，實現(xiàn)主動防御和態(tài)勢感知。設(shè)立系統(tǒng)管理賬戶、審計管理賬戶。系統(tǒng)管理賬戶負責(zé)系統(tǒng)運行資源配置、控制和管理；審計管理賬戶負責(zé)審計記錄分析和處理。在安全管理區(qū)集中部署審計設(shè)備、網(wǎng)絡(luò)準(zhǔn)入平臺、流量監(jiān)控設(shè)備，及時發(fā)現(xiàn)異常行為和網(wǎng)絡(luò)安全事件。利用終端防護平臺實現(xiàn)資產(chǎn)統(tǒng)一管理。對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備等進行信息采集，實施掌握鏈路、設(shè)備、應(yīng)用系統(tǒng)情況，掌握系統(tǒng)整體態(tài)勢，做到早發(fā)現(xiàn)早防御。

4結(jié)論

本文依據(jù)等保2.0標(biāo)準(zhǔn)，提出鐵路基層站段“一個中心、三重防御”的網(wǎng)絡(luò)安全防護方案。明確基層站段網(wǎng)絡(luò)邊界，合理劃分區(qū)域，制定出恰當(dāng)?shù)倪吔绶雷o策略，以兼顧數(shù)據(jù)共享和網(wǎng)絡(luò)安全需要。在國鐵集團和集團公司的網(wǎng)絡(luò)安全體系總體框架下，利用鐵路統(tǒng)一的終端防護平臺以及安全漏洞平臺等，結(jié)合站段的網(wǎng)絡(luò)準(zhǔn)入平臺和安全審計設(shè)備，設(shè)計出站段信息資產(chǎn)識別管理、漏洞補丁修復(fù)、入侵和病毒防范、威脅監(jiān)測報告等機制，實現(xiàn)站段網(wǎng)絡(luò)安全主動防御，并與上級部門緊密聯(lián)系，形成協(xié)同防護的網(wǎng)絡(luò)安全局面。

參考文獻：

[1]張伯駒.新形勢下鐵路網(wǎng)絡(luò)安全工作探索與發(fā)展展望[J].鐵路計算機應(yīng)用，2020，29（8）：1-5.

[2]劉剛，楊軼杰.基于等級保護2.0的鐵路網(wǎng)絡(luò)安全技術(shù)防護體系研究[J].鐵路計算機應(yīng)用，2020，29（8）：19-27.

[3]李向陽，王冰，馬曉雅.鐵路網(wǎng)絡(luò)安全防護策略研究[J].鐵路計算機應(yīng)用，2021，30（11）：11-14.

[4]范博，龔鋼軍，孫淑嫻.基于等保2.0的配電物聯(lián)網(wǎng)動態(tài)安全體系研究[J].信息網(wǎng)絡(luò)安全，2020，20（11）：10-14.

[5]趙姍.網(wǎng)絡(luò)安全主動防御體系淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（4）：4-5.

作者：胡文君 單位：中國鐵路北京局集團有限公司北京站