Research on solution to attack and defense range platform for railway network
-
摘要: 为解决铁路网络安全主动防御能力不足的难题,缓解长期被动防护的压力,切实强化主动安全防护能力,结合铁路网络安全现状,针对铁路网络安全面临的突出问题,研究提出铁路网络攻防靶场平台方案;平台整合既有资源,可模拟铁路网络实际生产环境,提供业务流量仿真、网络攻防对抗演练、网络安全加固试验、人员培训教育等服务,有助于强化铁路网络安全防护能力,促进铁路网络安全防护水平的提升。Abstract: To solve the problem of insufficient active defense capability of railway network security, relieve the pressure of long-term passive protection, and strengthen the ability of active security protection, a solution to attack and defense range platform for railway network is presented to tackle those prominent problems of network security in combination with the current situation of railway network security. By integrating existing resources, this platform can simulate actual environment of railway network and provide a wide range of services including simulation of business traffic flow, network offensive and defensive countermeasures drill, network security reinforcement test, personnel training and education, conducive to improve defense capability of railway network security and to enhance the level of railway network security protection.
-
Keywords:
- railway network /
- network security /
- network attack and defense /
- network range /
- active defense
-
当前,铁路网络安全防护以事后处置为主,缺乏事前监测和预警手段,网络安全防护评估尚处于理论探讨,缺乏模拟验证环境的支持,难以开展有效验证。
随着国际形势不断变化及铁路信息化迅速发展,铁路网络安全面临的威胁越来越严峻,有组织、大规模的网络攻击日益猖獗,传统被动式防御措施的局限性越来越凸显[1]。物理隔离虽然是最有效的防御措施,但仅适用于局部防护,断网、断电等传统防护措施也仅适用于应急防护,无法保证铁路网络安全防护的长期稳定[2]。鉴于铁路多数信息系统已成为运输生产不可或缺的关键支撑,在生产过程中对这些系统进行安全防护处置可能影响系统稳定运行,往往明知系统中存在漏洞,也不宜轻易进行系统升级或补丁修复,由此造成系统普遍带病运行的窘境。
因此,在既有铁路网络安全防护体系基础上,建设铁路网络攻防靶场平台(简称:平台),以模拟实际生产环境,开展业务流量仿真、网络攻防对抗、安全加固补强、人员培训教育等工作,强化铁路网络安全人防、技防能力,促进铁路网络安全防护水平的提升。
1 铁路网络攻防靶场平台方案
1.1 总体架构
铁路网络攻防靶场平台是按照中国国家铁路集团有限公司(简称:国铁集团)网络安全的顶层设计要求,结合铁路综合信息网建设,面向国铁集团、铁路局集团公司和站段3级提供服务[3]。平台统一部署在铁科院集团公司,具有模式配置和自主配置2种模式,在铁路综合信息网和互联网端分别设置1个访问出口,综合信息网端出口满足业务仿真、攻防仿真、知识答题、培训教育等应用需求,互联网端出口则为互联网侧攻击渗透提供接口。
平台总体架构如图1所示,主要通过预先设置的各类虚拟设备库、版本库、漏洞补丁库、中间件库、网络库等,以不同组合形式模拟多种业务架构,再结合业务流量模拟技术,仿真业务实际应用场景[4]。
(1)运行支撑层:主要为数据库、服务器、网络设备、安全设备、可视化组件等硬件设备及软件环境,为平台提供运行环境;这些设备除支持平台本身运行外,还支持模拟系统的运行;平台中集成铁路各种业务场景、应用场景、设备型号及版本、中间件、配置情况等,平台运维人员统一录入调研数据,由平台自动对录入数据进行结构化解析和存储。
(2)资源保障层:是对数据库存储的各类设备信息、知识题库、攻防工具等的映射,以有效避免大量搜索操作对数据库性能造成影响;收集铁路各业务场景数据,采用Hadoop、Spark等分布式数据挖掘技术,搭建数据仓库,对所收集的数据进行整合、分类、存储[5],保障数据存储的灵活性、独立性,大幅降低数据库负载。
(3)核心业务层:基于平台存储的各类数据资源,采用虚拟化技术,完成业务场景搭建、业务流量模拟、攻击流量生成等,结合既有技战知识库、攻防工具库,操作人员可对模拟系统进行多种渗透攻击,以检测系统网络安全防护能力。
(4)应用层:根据铁路网络安全实际工作需求,设置业务仿真、场景仿真、攻防仿真、漏洞验证、攻击渗透、风险评估、知识答题、夺旗竞赛、培训教育等应用模块,并预留可扩展接口,还可结合业务发展要求和变化增加相应功能,如设备状态监测统计、设备性能优化分析、系统网络安全态势感知[6]等。
(5)安全保障层:收集存储铁路大量系统配置信息,结合国家网络安全等级保护标准及国铁集团有关要求,按照等级保护第三级的相关要求,开展铁路网络安全防护建设,设置网络安全及运行维护专职人员,部署漏洞扫描、安全审计、入侵防范等安全防护设备,切实保障平台运行安全。
1.2 业务流程
平台通过资源收集、整合和应用,对各类业务场景开展各类攻击、检测和安全防护方案验证等,业务流程示意图,如图2所示。
(1)平台技术负责人员将收集到的铁路各业务场景资源信息进行录入,由平台利用集成的数据挖掘技术和云存储技术,对数据进行分类存储。
(2)平台使用人员使用业务仿真模块建立业务场景框架,确定业务系统网络架构,在网络架构内填充存储的各类资源,同步对各类虚拟化设备进行参数配置,构建一套完备的虚拟业务系统,使用这套模拟业务系统开展攻防演练、业务培训等。
2 铁路网络攻防靶场平台构成
铁路网络攻防靶场平台通过整合现有资源实现仿真,其基础工作是收集的各类资源,核心则是实现靶场平台仿真的子系统,包括业务流量模拟子系统、攻击流量生成子系统、攻防仿真子系统和培训教育子系统。
2.1 业务流量模拟子系统
2.1.1 逻辑架构
业务场景流量模拟子系统提供安全测试过程所需的模拟流量,包括工业以太网、广域网[7]、IPV6、物联网、移动互联网、工业互联网等网络流量模拟,工业App、视频监控远程控制、5G边缘计算、PLC、RTU、车联网、基于IPV6的电信骨干网等应用模拟,以及物联网城市消防栓管理、物联网智能楼宇控制、物联网等业务场景模拟;其逻辑架构如图3所示,自下而上划分为南向接口层、数据处理层、功能逻辑层、北向接口层,通过南向接口层与其它系统进行数据交互。
2.1.2 功能描述
(1)南向接口层主要包括流量还原和分析与多源数据汇聚关联分析接口、恶意行为检测接口、流量注入与采集接口,实现与其它应用系统的数据交互。
(2)数据处理层主要负责本系统运行过程中所涉及的数据的存取、分析及计算等处理,包括流量生成、流量注入、流量采集和导入、流量重组、协议指纹匹配、流信息采集、域名采集等主要逻辑处理。
(3)功能逻辑层基于数据处理层,为上层提供有效的业务逻辑处理支撑,包括流量生成、流量注入、流量采集和导入、流量重组、协议指纹匹配、流信息采集、域名采集等主要逻辑处理。
(4)北向接口层通过与后端管理应用系统对接,面向终端操作用户提供一个可视化的人机交互界面操作入口,涉及的接口包括软件配置与管理接口、任务管理接口、规则管理接口、资源监视接口、数据展示接口等。
2.2 攻击流量生成子系统
2.2.1 逻辑架构
攻击流量生成子系统面向仿真模拟系统,集成高效的安全攻击流量、预制检测用例,构建可扩展伸缩的安全性自动检测框架,实现10余种攻击流量类型模拟,包括可生成拒绝服务攻击流量模拟、漏洞利用、病毒、恶意软件、ARP流量、扫描探测等;其逻辑架构,如图4所示。
2.2.2 功能描述
攻击流量生成子系统提供攻击数据集,以及全球源IP地址模块等系列攻击流量支撑资源;在匹配攻击流量过程中,由攻击数据集匹配攻击数据类型及数据,由攻击流量回放模块进行攻击流量的改造和按需组合,再由攻击流量投放模块执行攻击流量的投递。
此外,在大规模的攻击流量测试过程中,为了模拟大型的DDoS攻击及僵尸网络等攻击,模拟器将通过数据源的全球源IP地址模块,修改数据包中的源地址信息,模拟全球不同区域的大规模网络攻击行为。
2.3 攻防对抗子系统
攻防对抗子系统基于仿真模拟系统以及丰富的攻防资源,构建单兵竞技环境或多方混战环境,如图5所示。
(1)单兵竞技是指操作人员登陆后,以闯关的方式进行攻击,每一关均有一个靶场,难度逐级增加,获取对应关卡的FLAG值,提交正确后即可得分,提交失败不得分。
(2)攻防对抗内容主要包括信息挖掘与搜索、脚本注入、跨站欺骗、漏洞发现与利用、程序语言破解等。攻防实战模拟环境,通过攻防对抗子系统,双方或多方参与团队互为攻守,利用给定的目标靶机,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分,充分锻炼团队协作意识和个人能力水平。
2.4 培训教育子系统
培训教育子系统面向国铁集团、铁路局、站段3级人员,提供网络安全培训教育服务。靶场平台运营单位利用铁路网络攻防靶场平台的优势资源,编制国家法律法规和标准规范、铁路规章制度、网络安全意识、网络安全技术、网络安全攻击渗透等方面习题库,铁路职工可通过综合信息网出口访问靶场平台,参与知识答题活动以及单兵作战活动。
3 关键技术
3.1 基于云存储的模块化网络虚拟技术
针对铁路复杂多样的业务场景及系统特点,基于云存储技术理念,构建铁路网络虚拟云平台,采用模块化存储技术,将铁路现行广泛采用的终端、版本、补丁、中间件、服务器、数据库等分别进行虚拟化;同时,对虚拟资源进行灵活定制,预留扩展空间,有效满足虚拟化资源的灵活配备(分配或配置)、组合、更新、回收等需要,并可有效解决实际存储空间局限性问题,一定程度上实现“有限空间模拟无限场景”。
3.2 大规模虚拟网络快速构建技术
综合分析铁路网络架构和系统架构,统筹构建数据流节点,结合云化、模块化的信息基础资源虚拟仿真技术,在每个节点处设置相应信息基础资源,在不同节点之间搭建数据通道,模拟数据流向,通过节点化与虚拟化相结合技术,实现虚拟节点和数据流量无限复用,可有效迅速构建大规模虚拟网络。
3.3 多层级流量仿真技术
针对传统流量仿真方法单一的问题,构建多源异构流量生成系统,可模拟个人用户访问、关联设备访问、远程请求访问等多源访问流量,对于每项流量可配置结构化、非结构化等异构数据流量。开展流量模拟时,在流量生成系统中实时生成大量元流量,采取元流量频率控制、流量叠加、流量拼接等技术,在同一时刻生成混合流量。通过不断优化调整元流量控制策略,理论上可实现实际数据流量的1:1仿真。
3.4 多维度可量化攻防效果评估技术
建立科学合理的铁路网络安全攻防行为指标体系,引入可伸缩的实时绩效评估模型,通过对网络攻防双方行为流量的全时监测和实时分析,进行毫秒级运算,实现攻防效果实时评估,同时结合靶场平台可视化技术,实现攻防效果实时展示。
4 结束语
铁路网络安全经过多年的不断发展,已经基本建成“人防、物防、技防”三位一体的网络安全保障体系,初步具备网络较为完备的安全防护能力。但铁路网络安全在主动防御、人员技术能力建设、安全可靠环境模拟等方面依然存在不足。铁路网络攻防靶场平台的研究与设计,有助于解决铁路网络安全面临主动防御能力不足的难题,利用其资源整合优势,与云计算、大数据以及5G[8-10]等技术结合,以促进铁路网络安全防护技术的创新发展,提升铁路网络安全防护水平。
下一步将重点针对铁路网络安全精细化管理,基于铁路网络攻防靶场平台,研究构建集设备资产管理、运行配置、资源调配、运维保障、安全防护、漏洞修复等于一体的全过程管理模式,以加快实现铁路网络安全精准管控。
-
[1] 施卫忠. 铁路领域重要信息系统安全保障的创新与实践 [J]. 中国铁路,2020(4):2-6. [2] 程 静,雷 璟,袁雪芬. 国家网络靶场的建设与发展 [J]. 中国电子科学研究院学报,2014,9(5):446-452. DOI: 10.3969/j.issn.1673-5692.2014.05.002 [3] 尚麟宇,冯 军,刘明端,等. 铁路车站调车作业安全防护设备运维管理系统研究 [J]. 铁道运输与经济,2020,42(2):62-67. [4] 祝咏升. 铁路网络安全攻防仿真实验平台方案设计 [J]. 铁路计算机应用,2020,29(3):51-54, 59. DOI: 10.3969/j.issn.1005-8451.2020.03.013 [5] 刘康丽,朱元元,吴晓晔,等. 基于IEEE1451的靶场分布式无线传感器网络构建方案 [J]. 计算机测量与控制,2019,27(11):265-269. [6] 贾海艳,梅玉航. 靶场信息网安全态势感知系统设计 [J]. 太赫兹科学与电子信息学报,2015,13(3):497-502, 510. [7] 杨 军,周纯杰,应 欢,等. 电力系统信息安全验证平台中广域网仿真方法 [J]. 自动化与仪表,2018,33(6):9-14. [8] 余学锋,文 海,张开维,等. 基于云计算的靶场测试装备可用性服务架构研究 [J]. 计算机测量与控制,2019,27(5):64-66, 76. [9] 陈智勇,孙 嘉. 大数据下移动网络信息传输安全防御仿真 [J]. 计算机仿真,2018,35(5):207-210. DOI: 10.3969/j.issn.1006-9348.2018.05.044 [10] 徐 瑨,吴慧慈,陶小峰. 5G网络空间安全对抗博弈 [J]. 电子与信息学报,2020,42(10):2319-2329. DOI: 10.11999/JEIT200058
下载:
计量
- 文章访问数: 350
- HTML全文浏览量: 281
- PDF下载量: 44
