Railway network security defense mechanism under new situation
-
摘要: 根据新形势下网络安全防御的特征及铁路网络安全的防御需求,围绕整体防御、防御执行、技术研究和协作防御4个方向,提出了新形势下的铁路网络安全防御机制。该机制基于入侵检测、拟态防御及威胁事件分析等关键技术,以防御框架为主导,纵深技术攻关及协作防御,以期实现铁路网络安全防御的快速响应和连贯执行,进一步提升铁路网络安全防御能力。Abstract: According to the characteristics of network security defense under the new situation and the defense requirements of railway network security, this paper proposed a railway network security defense mechanism under the new situation around four directions: overall defense, defense execution, technical research and cooperative defense. This mechanism was based on the key technologies such as intrusion detection, pseudo defense and threat event analysis. It took the defense framework as the leading role and was in depth technical breakthrough and cooperative defense, with a view to realizing rapid response and consistent implementation of railway network security defense, and further improving the railway network security defense capability.
-
网络安全新形势主要表现在以下3个方面。(1)国内外网络环境发生较大变化:以网络为主要媒介的工作、生活方式逐步流行,针对网络的攻击行为也逐步升级,围绕疫情话题的攻击呈爆发式增长[1-2]。(2)新技术应用引发了新的网络安全问题:以工业互联网、人工智能等技术为代表的新技术正不断被应用,增加了设备联通性的同时,也使得网络暴露面明显增加。(3)各国加快制定网络安全防护战略进程:美国在《2022年关键基础设施网络事件报告法》中规定了网络攻击发生后的报告制度[3],澳大利亚在《2021年安全立法修正案法》中规定网络安全事件需要强制报告,我国也已实施《中华人民共和国个人信息保护法》等多部法律法规。
已有的网络安全防御体系采用在不同区域之间逻辑隔离,并在各自区域内进行部署的方案[4]。铁路网络安全防御已实现从整体上建立防御体系,并针对关键系统建立重点防御机制[5-6]。随着网络安全形势的变化,攻击者发起攻击的模式不断升级,攻击目标有所变化,因此,亟需根据新环境及新需求,从机制上深入研究,满足新形势下铁路网络安全防御的要求。本文基于当前研究成果、网络安全背景及发展趋势,从防御框架出发,研究新形势下铁路网络安全防御机制。
1 需求分析
铁路网络安全防御须与网络安全形势、网络安全防御策略、新技术应用等相适应。
1.1 网络安全形势
网络安全形势变化方面,铁路网络在已实现的态势感知基础上,须随着网络安全事件发生的规律特点,对不同场景的网络接入、数据等开展监测与检测。目前,网络安全事件呈现出多领域、多维度发生的特点,需要在态势感知技术更新的同时,实现事前预警、事中响应与事后处置,针对常规网络攻击开展普适性防御,并在攻击目标明确时,实现特殊防护。例如,在面对已被通报的攻击事件时,可采取针对性防御措施[7]。
1.2 网络安全防御策略
网络安全防御策略方面,随着网络用户增加及监测标准的提高,用户行为分析、接入权限限制、终端安全管理等方面的需求也随之增加。在网络边界不断扩展的情况下,需要强化网络资产管理,进一步明确目标资产的数量、部署位置、数据流向、运行状况等属性,为网络安全防御提供信息基础[8]。
1.3 新技术应用
新技术应用方面,工业互联网、云计算等新技术的发展进一步丰富了铁路网络数据的类型和数量,当前的网络攻击方式也从设备管理权限夺取向数据权限夺取转变。因此,新的机制需对网络数据开展针对性防护,对从数据产生到销毁的各个环节开展风险管控,对于敏感数据需要在已有的数据保护基础上开展特殊保护,经过脱敏等特殊处理后再进行一般处理[9]。
2 铁路网络安全防御机制
针对上述网络安全防御需求,本文提出新形势下的铁路网络安全防御机制,如图1所示。
该防御机制以攻击行为原理分析为中心,包含整体防御、防御执行、技术研究和协作防御4个方向。在网络安全防御执行过程中,以事先建立的防御框架为基础,通过构建防御执行流程,从流程中分析需要的防御技术,在技术研究环节中开展新型防御技术攻关与相应的模型应用,最终在应用新的防御技术的基础上实现强化协作防御的目标,并形成新的整体防御框架。
2.1 整体防御
铁路网络安全防御框架涵盖网络安全防御的整个过程,作为铁路网络安全防御机制的基础,需从威胁源头展开分析,围绕感知、处理、分析、评估等关键环节进行框架构建,如图2所示。
(1)威胁来源与环境感知。作为铁路网络安全防御框架的基础,该层主要由感知设备、威胁分析人员和专家共同参与。基于新形势下网络攻击行为的随机性、攻击目标的不确定性等因素,本文在采用网络数据采集、平台数据汇总、传感数据采集等常规手段的基础上,提出了针对威胁信息的随机推送策略。该策略包括对已登记威胁信息的推送,可用于威胁数据采集、分析及处置,实现在安全防护设备运行时威胁数据的采集功能。
(2)威胁数据加工处理。该层以上一层数据为处理对象,鉴别威胁数据中的噪声数据并进行删除、修正等处理后,通过汇聚分析、关联模型构建及知识图谱构建方式来建立不同数据之间的联系,并以关系构建反馈方式向数据采集环节反馈数据质量。
(3)威胁事件分析。本层是在搜索威胁数据元素(如数据的采集时间、地点、数据内容等)的基础上,进行事件溯源及处置预案设定。①无效数据主要包括收集到的明显违反常规的数据和威胁事件重复数据,根据威胁事件发生的规律可对其作删除处理;②假设验证与检验是威胁事件关系分析的一种策略,通过研究数据之间的关系来假设威胁事件发生的时间、攻击方式、形成的后果等,并对其进行验证;③情报事件关联是对一系列威胁事件进行时间排序,对于多次出现的威胁事件,根据事件发生的时间、地点,提示威胁事件的处置重点,对有关联性的数据进行推导及预测。
(4)防御效果评估。防御指标是对威胁事件防御量化考核的依据。现阶段的防御资源一定程度上反映了前期防御工作的基础;威胁分析方法是否高效在一定程度上反映了当前的防御机制是否运行畅通及对威胁事件的响应效率。本文综合现有的防御资源及防御效果,从防御资源是否充足、威胁分析方法是否高效、防御路径是否可行等方面提出防御工作应该实现的目标,具体指标包括威胁事件响应速度、处理效果、追踪溯源及基于事件的改进需求等。
2.2 防御执行
根据前文提出的铁路网络安全防御框架,通过威胁数据分析、处理等技术,构建了铁路网络安全防御执行流程,如图3所示。
(1)威胁感知是防御触发的前提条件,这一阶段的作用是收集数据,并对数据进行分类存储。感知内容包括威胁结构数据、系统漏洞数据、用户行为数据及脆弱性数据等;
(2)威胁响应阶段针对感知数据进行威胁分析,即从已收集到的数据中开展分析,通过对感知数据的进一步处理,形成防御触发的依据,包括威胁数据研判、威胁数据与策略间关联匹配、威胁分析及威胁事件关联防御等;
(3)防御触发是在威胁感知与响应的基础上进行的执行环节。根据威胁响应得出的结果,在防御触发过程中采取相应的策略,包括防御资源配置、攻击行为预测、辅助决策研判、用户流量监控等。
2.3 技术研究
技术研究主要是针对新型网络安全防御技术进行技术攻关与模型应用研究,是铁路网络安全防御机制的重要环节,利用网络技术、通信技术,以及数据挖掘、人工智能等技术,结合理论与实际构建相应的模型,例如通过数据分析模型构建日常网络安全数据的评估、预测模型,对网络事件的时间、地点、类型开展预警。本文将技术研究分为基础理论创新与模型应用2个阶段,如图4所示。
从流程看,基础理论创新是模型应用的基础,是运用已有的理论,从网络安全事件的特征入手,分析网络安全事件现有的响应技术、响应执行流程及防御效果等要素,给出铁路网络安全事件需求的理论表述。根据已有的理论成果,量化并推导出解决方案的表达式。模型应用研究就是结合铁路网络安全防御需求及理论推导的仿真验证结果开展匹配度研究,根据匹配结果进行模型研究效果分析。
2.4 协作防御
铁路网络安全防御须从以前的单个主体各自防御向团队协作防御转化。本文根据已经建立的铁路网络安全防御架构,将协作防御强化结构分为协作网络伪装、入侵数据共享、用户行为协同防护、攻击行为协作取证4个部分。
(1)协作网络伪装:通过对网络数据流量、网络架构及网络服务等进行动态伪装,可降低攻击者发起攻击后的成功概率,增加攻击者的难度。
(2)入侵数据共享:在各终端通过对攻击行为分别开展实时检测完成协同检测。如在单个设备内部,通过自身安全检测功能完成实时检测,在网关处根据各个设备检测获得的数据开展数据交换。
(3)用户行为协同防护:以防火墙为主要设备,每个终端有各自的防火墙,同时对各终端的防火墙建立松耦合联动,形成整个系统的协同防护。
(4)攻击行为协作取证:在攻击行为发生后,分析入侵检测得到的数据,当发现攻击者的特征时,多个设备能够共同存储攻击者的行为痕迹,例如访问记录、数据读取、修改记录等。
在网络攻击行为更有组织性的环境下,协作防御可组织防守力量综合分析攻击方的特征,如攻击发起的时间、攻击重点、渗透机制等,并根据已有的防御资源进行针对性配置,还可构建协作防御结构,通过不同设备、不同系统之间的数据交换来强化协作防御。
3 关键技术
3.1 入侵检测技术
在铁路网络安全防御机制中,入侵检测技术是应用于铁路网络安全防御框架中威胁来源与环境感知层的重要技术,主要通过检测用户的接入时间、接入IP地址及访问设备等行为规律来识别攻击行为。通过该技术可实现:(1)针对目标进行用户行为监视,具体目标可以是计算机终端、网络设备、安全设备及网络系统;(2)检测目标系统并识别已发生攻击的行为,在此基础上发出告警信息;(3)针对目标系统存在的异常行为,记录并保存其行为数据,分析统计结果。
3.2 拟态防御技术
拟态防御技术是一种主动防御技术,拟态防御的理念是在目标遭到攻击之前开展状态转换,达到提前预防攻击的目的。铁路网络安全防御机制研究中,拟态防御技术是应用于防御执行流程中威胁响应阶段的重要技术,通过威胁事件研判与分析,判断是否需要采用拟态防御的方式开展防御,当防御触发后,通过调动防御资源、预测攻击者的行为并监控其流量,结合其他网络安全防御决策,完成防御的最终执行。
3.3 威胁事件分析技术
威胁事件分析技术是应用于铁路网络安全防御框架的重要技术,进一步处理初步加工后的威胁数据感知与威胁数据,主要包括无效数据删除、威胁数据假设验证与检验、情报事件关联等。无效数据删除针对除噪声以外的威胁数据开展有效性分析,通常采用的分析技术有支持度分析、置信度分析等。通过对威胁事件分析,可实现对威胁事件的定位及分类,从威胁事件发生的时间、地点、可能导致的后果等方面给出分析结论,为防御触发环节采取的防御策略提供参考。
4 结束语
本文从新形势下的铁路网络安全需求出发,分析需要补足的防御短板,并阐述铁路网络安全防御新机制的构建思路。通过对铁路网络安全防御框架、防御执行流程、技术攻关与模型应用、协作防御强化的分析,从技术、管理等方面构建新形势下铁路网络安全防御机制。未来还须与铁路网络安全现状相结合,对本文提出的防御机制进行及时更新和调整,以适应网络安全防御的新需求,进一步提升网络安全防御能力。
-
[1] 李盛葆,向媛媛,赵 煜,等. 全球视野下网络空间安全形势与战略研究 [J]. 网络安全技术与应用,2021(8):182-184. DOI: 10.3969/j.issn.1009-6833.2021.08.103 [2] 谢 玮,焦贝贝. 网络安全发展形势分析与趋势展望 [J]. 通信世界,2022(7):40-41. DOI: 10.3969/j.issn.1009-1564.2022.07.016 [3] 申大伟. 网络安全形势新动向及对策分析 [J]. 中国新通信,2020(22):119-120. DOI: 10.3969/j.issn.1673-4866.2020.22.057 [4] 刘 刚,杨轶杰. 基于等级保护2.0的铁路网络安全技术防护体系研究 [J]. 铁路计算机应用,2020,29(8):19-23,27. DOI: 10.3969/j.issn.1005-8451.2020.08.006 [5] 刘 沛. 网络安全现状及安全防护实施方案 [J]. 信息与电脑,2019,31(24):196-199. [6] 朱广劼. 面向铁路网络安全的零信任防护机制探讨[C]// 2020中国网络安全等级保护和关键信息基础设施保护大会论文集, 2020-12-20, 南宁. 北京: 《计算机工程与应用》编辑部, 2020, 5. [7] 董 鹏,马小宁,高明星. 铁路网络安全态势感知平台方案研究 [J]. 铁路计算机应用,2020,29(4):50-54. DOI: 10.3969/j.issn.1005-8451.2020.04.012 [8] 李向阳,王 冰,马晓雅. 铁路网络安全防护策略研究 [J]. 铁路计算机应用,2021,30(11):11-14. [9] 张 骁. 铁路数据安全与隐私保护管理策略研究 [J]. 铁路计算机应用,2021,30(11):43-46. -
期刊类型引用(2)
1. 张靖琦. 高铁车站视频系统安全保障体系的构建. 网络安全技术与应用. 2024(04): 112-114 . 
百度学术
2. 王祥,邹杰新,李成就,林海. 电力系统蓄电池远程核容安全防护体系建设. 中国新技术新产品. 2023(11): 144-148 . 百度学术
其他类型引用(2)
下载:
计量
- 文章访问数: 176
- HTML全文浏览量: 62
- PDF下载量: 61
- 被引次数: 4
