2022年 第31卷 第11期
2022, 31(11): 1-5.
doi: 10.3969/j.issn.1005-8451.2022.11.01
摘要:
铁路作为我国重要基础设施,在国民经济及综合交通运输中占有极其重要的地位。文章对铁路关键信息基础设施防护需求进行分析,提出铁路关键信息基础设施的基础保护、强化保护、协同保护3层安全保障体系框架,通过实施工程项目和系统实验室建设,完善了该保障体系建设,进一步提升了铁路关键信息基础设施整体安全保护能力。
铁路作为我国重要基础设施,在国民经济及综合交通运输中占有极其重要的地位。文章对铁路关键信息基础设施防护需求进行分析,提出铁路关键信息基础设施的基础保护、强化保护、协同保护3层安全保障体系框架,通过实施工程项目和系统实验室建设,完善了该保障体系建设,进一步提升了铁路关键信息基础设施整体安全保护能力。
2022, 31(11): 6-9.
doi: 10.3969/j.issn.1005-8451.2022.11.02
摘要:
根据新形势下网络安全防御的特征及铁路网络安全的防御需求,围绕整体防御、防御执行、技术研究和协作防御4个方向,提出了新形势下的铁路网络安全防御机制。该机制基于入侵检测、拟态防御及威胁事件分析等关键技术,以防御框架为主导,纵深技术攻关及协作防御,以期实现铁路网络安全防御的快速响应和连贯执行,进一步提升铁路网络安全防御能力。
根据新形势下网络安全防御的特征及铁路网络安全的防御需求,围绕整体防御、防御执行、技术研究和协作防御4个方向,提出了新形势下的铁路网络安全防御机制。该机制基于入侵检测、拟态防御及威胁事件分析等关键技术,以防御框架为主导,纵深技术攻关及协作防御,以期实现铁路网络安全防御的快速响应和连贯执行,进一步提升铁路网络安全防御能力。
2022, 31(11): 10-13.
doi: 10.3969/j.issn.1005-8451.2022.11.03
摘要:
为实现网络安全策略可视化、精细化和集中化管理,并将网络安全策略自动化管理融入日常网络运行维护(简称:运维)工作中,文章分别从网络安全视角和工作流程视角,研究网络安全策略优化清理技术、安全拓扑域管理技术、建模与分析技术及策略应急处置技术,构建基于网络安全策略的可视化管理平台。该平台提供快速检测不合规安全策略及实时监测网络防火墙状态等功能。在运维管理工作中的实际应用表明,该平台可确保网络安全策略满足合规管理要求与安全控制要求,实现网络安全策略持续合规运维,提高防火墙的应用效果与网络安全防御的整体水平。
为实现网络安全策略可视化、精细化和集中化管理,并将网络安全策略自动化管理融入日常网络运行维护(简称:运维)工作中,文章分别从网络安全视角和工作流程视角,研究网络安全策略优化清理技术、安全拓扑域管理技术、建模与分析技术及策略应急处置技术,构建基于网络安全策略的可视化管理平台。该平台提供快速检测不合规安全策略及实时监测网络防火墙状态等功能。在运维管理工作中的实际应用表明,该平台可确保网络安全策略满足合规管理要求与安全控制要求,实现网络安全策略持续合规运维,提高防火墙的应用效果与网络安全防御的整体水平。
2022, 31(11): 14-19.
doi: 10.3969/j.issn.1005-8451.2022.11.04
摘要:
为了更准确和高效地检测针对铁路信息系统的高级持续性威胁(APT,Advanced Persistent Threat)攻击,研究并设计了基于堆叠式长短期记忆(LSTM,Long Short -Term Memory)模型的APT恶意流量预警系统。将UNSW-NB15数据集改造为适用于APT恶意流量预警系统中模型训练的数据集;提出利用APT攻击阶段性的特性进行预警结果再计算的方法,引入置信度的概念,从而更准确地判定流量类型。在Kaggle云平台上对APT恶意流量预警系统进行了实验,其准确率、精确率和召回率等指标均优于其他方法。实验结果表明,所设计的系统具有更好的性能表现,能够有效提高APT恶意流量预警的准确率,降低误报率和漏报率。
为了更准确和高效地检测针对铁路信息系统的高级持续性威胁(APT,Advanced Persistent Threat)攻击,研究并设计了基于堆叠式长短期记忆(LSTM,Long Short -Term Memory)模型的APT恶意流量预警系统。将UNSW-NB15数据集改造为适用于APT恶意流量预警系统中模型训练的数据集;提出利用APT攻击阶段性的特性进行预警结果再计算的方法,引入置信度的概念,从而更准确地判定流量类型。在Kaggle云平台上对APT恶意流量预警系统进行了实验,其准确率、精确率和召回率等指标均优于其他方法。实验结果表明,所设计的系统具有更好的性能表现,能够有效提高APT恶意流量预警的准确率,降低误报率和漏报率。
2022, 31(11): 20-24.
doi: 10.3969/j.issn.1005-8451.2022.11.05
摘要:
为贯彻落实我国关键信息基础设施的保护要求,践行关键信息基础设施运营者主体责任,充分发挥安全运营价值,文章依据国家关键信息基础设施安全防护法要求,参考相关技术标准,分析铁路关键信息基础设施业务特点和防护现状,提出从业务应用、信息系统、重要数据和基础设施4个层面持续加强识别认定、安全防护、监测预警、事件处置和检测评估5项安全防护能力的建设思路,为铁路关键信息基础设施安全防护工作提供理论参考。
为贯彻落实我国关键信息基础设施的保护要求,践行关键信息基础设施运营者主体责任,充分发挥安全运营价值,文章依据国家关键信息基础设施安全防护法要求,参考相关技术标准,分析铁路关键信息基础设施业务特点和防护现状,提出从业务应用、信息系统、重要数据和基础设施4个层面持续加强识别认定、安全防护、监测预警、事件处置和检测评估5项安全防护能力的建设思路,为铁路关键信息基础设施安全防护工作提供理论参考。
2022, 31(11): 25-28.
doi: 10.3969/j.issn.1005-8451.2022.11.06
摘要:
为应对严峻的网络安全形势,中国国家铁路集团有限公司连续5年参加由国家相关部门牵头组织的网络安全攻防实战演练活动,取得了优异成绩。为更好地总结、丰富铁路网络安全攻防实战演练经验,文章介绍了攻防演练的定义;结合铁路近年参与攻防演练的情况,总结了常用的网络攻击和防御方法,以及铁路攻防演练的经验,以提高铁路网络安全防护、监测和应急处置的能力。
为应对严峻的网络安全形势,中国国家铁路集团有限公司连续5年参加由国家相关部门牵头组织的网络安全攻防实战演练活动,取得了优异成绩。为更好地总结、丰富铁路网络安全攻防实战演练经验,文章介绍了攻防演练的定义;结合铁路近年参与攻防演练的情况,总结了常用的网络攻击和防御方法,以及铁路攻防演练的经验,以提高铁路网络安全防护、监测和应急处置的能力。
2022, 31(11): 29-32.
doi: 10.3969/j.issn.1005-8451.2022.11.07
摘要:
当前网络环境愈趋复杂,而网络安全是铁路安全的基础,开展针对复杂网络环境的铁路安全防护研究具有重要的现实意义。文章根据铁路网络安全特点及需求,以网络安全数据为核心,建立4层铁路网络安全防护架构,结合以身份验证为中心的安全验证及服务于数据计算与处理的算力分配等技术,实现铁路网络从数据采集到安全分析的全过程防护。该研究可为铁路网络安全防御提供一定参考。
当前网络环境愈趋复杂,而网络安全是铁路安全的基础,开展针对复杂网络环境的铁路安全防护研究具有重要的现实意义。文章根据铁路网络安全特点及需求,以网络安全数据为核心,建立4层铁路网络安全防护架构,结合以身份验证为中心的安全验证及服务于数据计算与处理的算力分配等技术,实现铁路网络从数据采集到安全分析的全过程防护。该研究可为铁路网络安全防御提供一定参考。
2022, 31(11): 33-36.
doi: 10.3969/j.issn.1005-8451.2022.11.08
摘要:
随着信息技术在铁路领域的应用不断深化,铁路业务系统中产生和积累了海量的网络数据,成为铁路企业重要的生产要素之一。网络数据在收集、存储、传输、应用、销毁等各个环节面临着被泄露、窃取、非法使用的安全风险。通过分析铁路网络数据面临的主要安全风险,结合铁路企业网络数据应用场景,研究提出网络数据安全风险应对措施,可为铁路企业网络数据安全管理工作提供借鉴和参考。
随着信息技术在铁路领域的应用不断深化,铁路业务系统中产生和积累了海量的网络数据,成为铁路企业重要的生产要素之一。网络数据在收集、存储、传输、应用、销毁等各个环节面临着被泄露、窃取、非法使用的安全风险。通过分析铁路网络数据面临的主要安全风险,结合铁路企业网络数据应用场景,研究提出网络数据安全风险应对措施,可为铁路企业网络数据安全管理工作提供借鉴和参考。
2022, 31(11): 37-40.
doi: 10.3969/j.issn.1005-8451.2022.11.09
摘要:
铁路企事业单位(简称:铁路单位)与采购业务相关的数据具有体量大、类型杂、价值高等特点,亟需针对此类数据开展安全治理。文章阐述了采购业务相关数据安全治理的必要性,并针对组织建设、现状摸底、数据分类分级、风险评估、体系建设、员工培训6个方面展开深入探讨,为铁路单位提升采购业务保密工作的能力和效率、杜绝信息泄密事件提供参考。
铁路企事业单位(简称:铁路单位)与采购业务相关的数据具有体量大、类型杂、价值高等特点,亟需针对此类数据开展安全治理。文章阐述了采购业务相关数据安全治理的必要性,并针对组织建设、现状摸底、数据分类分级、风险评估、体系建设、员工培训6个方面展开深入探讨,为铁路单位提升采购业务保密工作的能力和效率、杜绝信息泄密事件提供参考。
2022, 31(11): 41-47.
doi: 10.3969/j.issn.1005-8451.2022.11.10
摘要:
在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界(SDP,Software Defined Perimeter)模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。
在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界(SDP,Software Defined Perimeter)模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。
2022, 31(11): 48-54.
doi: 10.3969/j.issn.1005-8451.2022.11.11
摘要:
文章介绍了拟态防御技术的基本思想和动态异构冗余架构模型,从整体架构分析和局部算法改进两个方面对拟态防御的技术理论研究进行了总结,深入分析了铁路纵深防御体系面临的问题和采用拟态防御的必要性。结合铁路实际需求和应用场景,从部分设备拟态改造、整体网络架构拟态改造、系统拟态改造3方面对拟态防御技术实践应用开展分析,对提升铁路主动防御能力具有参考意义。
文章介绍了拟态防御技术的基本思想和动态异构冗余架构模型,从整体架构分析和局部算法改进两个方面对拟态防御的技术理论研究进行了总结,深入分析了铁路纵深防御体系面临的问题和采用拟态防御的必要性。结合铁路实际需求和应用场景,从部分设备拟态改造、整体网络架构拟态改造、系统拟态改造3方面对拟态防御技术实践应用开展分析,对提升铁路主动防御能力具有参考意义。
2022, 31(11): 55-60.
doi: 10.3969/j.issn.1005-8451.2022.11.12
摘要:
针对铁路网络安全防护现状,结合铁路网络安全知识图谱的应用需求,研究铁路网络安全领域知识图谱构建技术,应用该技术构建了某铁路局集团公司的互联网安全知识图谱。该知识图谱在铁路网络安全态势动态监测与响应、全资产库建立和资产集中管理实现等方面取得了良好的应用效果。
针对铁路网络安全防护现状,结合铁路网络安全知识图谱的应用需求,研究铁路网络安全领域知识图谱构建技术,应用该技术构建了某铁路局集团公司的互联网安全知识图谱。该知识图谱在铁路网络安全态势动态监测与响应、全资产库建立和资产集中管理实现等方面取得了良好的应用效果。
2022, 31(11): 61-66.
doi: 10.3969/j.issn.1005-8451.2022.11.13
摘要:
铁路信息系统网络架构复杂、业务数据量巨大、系统关联交错,用户身份信息管理长期存在账号信息易泄露、账号违规提权、账号共享等安全风险。通过研究信息自动化管理技术,设计了用户身份自动化管理系统,实现对用户身份信息的自动检测、自动修改密码与验证、自动推送、安全备份、威胁分析检测等功能,解决铁路运行维护单位在用户身份管理过程中的问题和困难,更全面地管理和保护各类资源的身份凭证,避免因用户身份信息管理不当,造成资源信息泄漏或被滥用,降低用户身份相关数据安全事故的发生概率。
铁路信息系统网络架构复杂、业务数据量巨大、系统关联交错,用户身份信息管理长期存在账号信息易泄露、账号违规提权、账号共享等安全风险。通过研究信息自动化管理技术,设计了用户身份自动化管理系统,实现对用户身份信息的自动检测、自动修改密码与验证、自动推送、安全备份、威胁分析检测等功能,解决铁路运行维护单位在用户身份管理过程中的问题和困难,更全面地管理和保护各类资源的身份凭证,避免因用户身份信息管理不当,造成资源信息泄漏或被滥用,降低用户身份相关数据安全事故的发生概率。
2022, 31(11): 67-70.
doi: 10.3969/j.issn.1005-8451.2022.11.14
摘要:
为进一步提高铁路职工网络安全意识和攻防技能水平,文章采用Docker Swarm集群和动态独立靶机技术,设计网络安全靶场。该靶场具有快速部署、快速恢复、易扩容的特点,可用于日常的网络安全学习、竞赛及仿真环境渗透测试,已在中国铁路兰州局集团有限公司上线使用。使用结果表明,该靶场在培养铁路站段网络安全人才、提升铁路网络安全“人防”水平等方面发挥了重要作用。
为进一步提高铁路职工网络安全意识和攻防技能水平,文章采用Docker Swarm集群和动态独立靶机技术,设计网络安全靶场。该靶场具有快速部署、快速恢复、易扩容的特点,可用于日常的网络安全学习、竞赛及仿真环境渗透测试,已在中国铁路兰州局集团有限公司上线使用。使用结果表明,该靶场在培养铁路站段网络安全人才、提升铁路网络安全“人防”水平等方面发挥了重要作用。
2022, 31(11): 71-78.
doi: 10.3969/j.issn.1005-8451.2022.11.15
摘要:
音视频监控系统在铁路企业安全生产中发挥着重要作用,各专业部门自建或通过租赁数量众多的音视频监控系统来满足其业务需求。随着重复建设和独立运用的系统越来越多,系统利用率低、技术标准繁杂、应用软件各异、信息无法共享、网络安全和数据安全不可控等诸多问题日益凸显。为此,在全面调查既有音视频监控系统建设和运用情况的基础上,与各专业部门就音视频监控资源应用需求进行充分探讨,提出铁路企业音视频监控集成平台方案,按照“一套标准、一个平台、一张专网”建设目标,实现对既有音视频监控资源的深度集成和有效融合,在充分保障系统网络安全的同时,显著提升了音视频监控资源的利用率;实现了设备统一运维管理和规范化履历管理,可为今后音视频监控系统改扩建决策提供准确依据,有助于改变以往音视频监控资源分散建设、重复投资的不利局面。
音视频监控系统在铁路企业安全生产中发挥着重要作用,各专业部门自建或通过租赁数量众多的音视频监控系统来满足其业务需求。随着重复建设和独立运用的系统越来越多,系统利用率低、技术标准繁杂、应用软件各异、信息无法共享、网络安全和数据安全不可控等诸多问题日益凸显。为此,在全面调查既有音视频监控系统建设和运用情况的基础上,与各专业部门就音视频监控资源应用需求进行充分探讨,提出铁路企业音视频监控集成平台方案,按照“一套标准、一个平台、一张专网”建设目标,实现对既有音视频监控资源的深度集成和有效融合,在充分保障系统网络安全的同时,显著提升了音视频监控资源的利用率;实现了设备统一运维管理和规范化履历管理,可为今后音视频监控系统改扩建决策提供准确依据,有助于改变以往音视频监控资源分散建设、重复投资的不利局面。