2020年 第29卷 第8期
2020, 29(8): 1-5.
摘要
PDF 1460KB
摘要:
近年来,我国加快推进网络安全管理制度和标准建设,科学应对网络安全突出问题,不断加强网络安全治理能力建设。在全社会高度重视网络安全工作的新形势下,铁路企业积极构建网络安全纵深防御体系,全面收敛网络暴露面,大力加强网络安全监管,持续打造网络安全专业团队,多措并举提升铁路网络安全治理能力。在铁路改革发展新阶段,建设智能铁路、高度集中的大型数据中心、高度复杂的铁路信息网络,加大了铁路网络安全防控难度。面对新形势新问题,从系统性、整体性角度进行统筹考虑,研究提出加强铁路网络安全管理、提升铁路网络安全防护能力的若干策略,主要包括:加强顶层设计,推动制度机制体系完善、责任制落实,坚持分级分类、分区分域、纵深防御、重点突出,强化主动收敛暴露面、主动防护、实时全面态势感知、智能监测预警,加强应急演练、攻防对抗演练,注重技术储备、经验积累和人才培养。
近年来,我国加快推进网络安全管理制度和标准建设,科学应对网络安全突出问题,不断加强网络安全治理能力建设。在全社会高度重视网络安全工作的新形势下,铁路企业积极构建网络安全纵深防御体系,全面收敛网络暴露面,大力加强网络安全监管,持续打造网络安全专业团队,多措并举提升铁路网络安全治理能力。在铁路改革发展新阶段,建设智能铁路、高度集中的大型数据中心、高度复杂的铁路信息网络,加大了铁路网络安全防控难度。面对新形势新问题,从系统性、整体性角度进行统筹考虑,研究提出加强铁路网络安全管理、提升铁路网络安全防护能力的若干策略,主要包括:加强顶层设计,推动制度机制体系完善、责任制落实,坚持分级分类、分区分域、纵深防御、重点突出,强化主动收敛暴露面、主动防护、实时全面态势感知、智能监测预警,加强应急演练、攻防对抗演练,注重技术储备、经验积累和人才培养。
2020, 29(8): 6-10.
摘要:
介绍自适应安全框架的定义与特征,结合新形势下的铁路信息系统网络安全保障需求,从基础结构安全、纵深防御、主动防御、联防联治4个方面,提出基于自适应安全的铁路网络安全框架设计思路,并围绕该框架形成风险纵深安全防御、数据纵深安全检测、自动化快速响应、安全情报预警4个重点研究方向,通过体系化的建设模式,提升铁路网络安全防御自适应能力。
介绍自适应安全框架的定义与特征,结合新形势下的铁路信息系统网络安全保障需求,从基础结构安全、纵深防御、主动防御、联防联治4个方面,提出基于自适应安全的铁路网络安全框架设计思路,并围绕该框架形成风险纵深安全防御、数据纵深安全检测、自动化快速响应、安全情报预警4个重点研究方向,通过体系化的建设模式,提升铁路网络安全防御自适应能力。
2020, 29(8): 11-14.
摘要:
介绍国内针对特定网络的攻击防御策略理论研究概况,简述铁路网络系统复杂性特点与安全要求;为应对日益严峻的安全威胁,提出面向铁路网络的分层动态攻防博弈模型,将其构建过程按网络防御方案与资源分配、攻击效果最大化以及攻击损失最小化3个功能层次划分为3个步骤,在此基础上构建铁路网络3层攻防博弈模型,定义其各层的目标和约束条件的数学表达式,并给出求解方法。
介绍国内针对特定网络的攻击防御策略理论研究概况,简述铁路网络系统复杂性特点与安全要求;为应对日益严峻的安全威胁,提出面向铁路网络的分层动态攻防博弈模型,将其构建过程按网络防御方案与资源分配、攻击效果最大化以及攻击损失最小化3个功能层次划分为3个步骤,在此基础上构建铁路网络3层攻防博弈模型,定义其各层的目标和约束条件的数学表达式,并给出求解方法。
2020, 29(8): 15-18.
摘要:
网络空间测绘技术是当前网络安全领域的研究热点之一和未来发展趋势。简要介绍知识图谱、网络空间资产测绘的概念以及信息化资产知识图谱测绘的关键技术;结合铁路网络安全发展需要,阐述铁路信息化资产知识图谱测绘工作的内涵、信息化资产分类、知识图谱测绘工作阶段划分及其目标与主要任务,指明今后深入开展相关研究的方向。
网络空间测绘技术是当前网络安全领域的研究热点之一和未来发展趋势。简要介绍知识图谱、网络空间资产测绘的概念以及信息化资产知识图谱测绘的关键技术;结合铁路网络安全发展需要,阐述铁路信息化资产知识图谱测绘工作的内涵、信息化资产分类、知识图谱测绘工作阶段划分及其目标与主要任务,指明今后深入开展相关研究的方向。
2020, 29(8): 19-23,27.
摘要:
等级保护2.0系列标准于2019年正式发布,相对于等级保护1.0标准,等级保护2.0更注重动态防护、整体防控和精准防护。分析新形势下铁路网络安全面临的挑战和需求,结合铁路网络安全现状,提出等级保护2.0时代铁路网络安全技术体系的建设思路,构建基于安全管理中心、安全通信网络、安全区域边界和安全计算环境的网络安全体系,并针对铁路当前新兴的IT应用安全防护需求提出主要建设内容,为铁路运营单位建设技术防护体系提供参考。
等级保护2.0系列标准于2019年正式发布,相对于等级保护1.0标准,等级保护2.0更注重动态防护、整体防控和精准防护。分析新形势下铁路网络安全面临的挑战和需求,结合铁路网络安全现状,提出等级保护2.0时代铁路网络安全技术体系的建设思路,构建基于安全管理中心、安全通信网络、安全区域边界和安全计算环境的网络安全体系,并针对铁路当前新兴的IT应用安全防护需求提出主要建设内容,为铁路运营单位建设技术防护体系提供参考。
2020, 29(8): 24-27.
摘要:
简要介绍网络安全等级保护2.0标准,概述该标准中安全管理中心的定位及主要功能;结合铁路客票系统的现状和发展要求,依据该标准提出面向铁路客票系统的安全管理中心的初步设计,以实现系统网络安全的集中管控,满足合规性要求。
简要介绍网络安全等级保护2.0标准,概述该标准中安全管理中心的定位及主要功能;结合铁路客票系统的现状和发展要求,依据该标准提出面向铁路客票系统的安全管理中心的初步设计,以实现系统网络安全的集中管控,满足合规性要求。
2020, 29(8): 28-32.
摘要:
研究提出一种基于等级保护思想的网络安全风险评估模型,解决等级测评之后对系统整体安全状况进行风险分析和评估的问题。通过分析等级保护和风险评估的异同,给出二者之间的关联关系;通过对资产、脆弱性、威胁3要素的识别及其赋值进行深入研究,提出三维度资产赋值法、脆弱性CVSS计算法,威胁发生频率和影响权重古林计算法,并构造安全风险象限图,根据安全事件在象限图中的落点位置,评估安全风险严重程度。研究成果有助于企事业单位在开展网络安全实际工作时实现等级保护测评和风险评估的有机结合。
研究提出一种基于等级保护思想的网络安全风险评估模型,解决等级测评之后对系统整体安全状况进行风险分析和评估的问题。通过分析等级保护和风险评估的异同,给出二者之间的关联关系;通过对资产、脆弱性、威胁3要素的识别及其赋值进行深入研究,提出三维度资产赋值法、脆弱性CVSS计算法,威胁发生频率和影响权重古林计算法,并构造安全风险象限图,根据安全事件在象限图中的落点位置,评估安全风险严重程度。研究成果有助于企事业单位在开展网络安全实际工作时实现等级保护测评和风险评估的有机结合。
2020, 29(8): 33-37.
摘要:
借鉴国内外信息系统网络安全风险评估方面的经验和教训,结合铁路行业网络安全和信息化治理体系要求,从安全管理保障、安全技术保障和安全运维保障3个层面,建立铁路信息系统网络安全风险评估体系,开展定性与定量相结合的检查评估方法研究。该研究可为从事铁路网络安全管理人员、维护人员开展网络安全风险评估、安全自查工作提供理论依据和技术参考,对铁路信息系统网络安全管理工作具有重要意义。
借鉴国内外信息系统网络安全风险评估方面的经验和教训,结合铁路行业网络安全和信息化治理体系要求,从安全管理保障、安全技术保障和安全运维保障3个层面,建立铁路信息系统网络安全风险评估体系,开展定性与定量相结合的检查评估方法研究。该研究可为从事铁路网络安全管理人员、维护人员开展网络安全风险评估、安全自查工作提供理论依据和技术参考,对铁路信息系统网络安全管理工作具有重要意义。
2020, 29(8): 38-42,47.
摘要:
通过对铁路典型的网络安全等级保护测评、风险评估测评和安全检查3类检测方法有机融合,研究建立铁路三位一体网络安全测评体系,重点解决如何高效测评问题。建立铁路网络安全测评指标库是解决上述问题的关键和基础步骤,指标库主要包括通用指标和专用指标,其中,通用指标按照网络安全等级保护2.0标准(简称:等级保护2.0)梳理出安全通用指标、云扩展指标、物联网扩展指标、移动互联网扩展指标和工业控制扩展指标;专用指标重点考虑业务安全,从完整性、保密性、可用性出发梳理铁路重要系统的测评指标。运输调度管理信息系统的专用指标、网络安全测评指标库作为现场开展测评工作的基本依据和参考,具有实际意义。
通过对铁路典型的网络安全等级保护测评、风险评估测评和安全检查3类检测方法有机融合,研究建立铁路三位一体网络安全测评体系,重点解决如何高效测评问题。建立铁路网络安全测评指标库是解决上述问题的关键和基础步骤,指标库主要包括通用指标和专用指标,其中,通用指标按照网络安全等级保护2.0标准(简称:等级保护2.0)梳理出安全通用指标、云扩展指标、物联网扩展指标、移动互联网扩展指标和工业控制扩展指标;专用指标重点考虑业务安全,从完整性、保密性、可用性出发梳理铁路重要系统的测评指标。运输调度管理信息系统的专用指标、网络安全测评指标库作为现场开展测评工作的基本依据和参考,具有实际意义。
2020, 29(8): 43-47.
摘要:
针对商用密码技术在铁路应用的现状及问题,结合工业控制系统、云计算、物联网和大数据的应用场景,对铁路商用密码与新技术的融合进行了研究;结合铁路信息系统的实际安全需求和密码应用要求,提出了铁路商用密码的安全技术体系,为商用密码在铁路行业更加正确有效的全面应用奠定基础。
针对商用密码技术在铁路应用的现状及问题,结合工业控制系统、云计算、物联网和大数据的应用场景,对铁路商用密码与新技术的融合进行了研究;结合铁路信息系统的实际安全需求和密码应用要求,提出了铁路商用密码的安全技术体系,为商用密码在铁路行业更加正确有效的全面应用奠定基础。
2020, 29(8): 48-51.
摘要:
基于无证书公钥密码技术的铁路通信网访问控制,能够在显著降低系统开销、快速响应网络访问控制的同时,解决加密访问控制信息的公钥的真实性无法保证的问题。研究过程中使用了无证书公钥密码(CL-PKC,Certificateless Public Key Cryptography)技术和基于角色访问控制(RBAC,Role-Based Access Control),保证系统不被非法操作,相较于使用证书的密码技术,减少系统确认信息真实性的时间。此研究使得铁路通信网的访问控制实现了信息真实性和效率的充分兼顾,能够简单、高效地实现对铁路通信网内信息的保护,满足应用要求。
基于无证书公钥密码技术的铁路通信网访问控制,能够在显著降低系统开销、快速响应网络访问控制的同时,解决加密访问控制信息的公钥的真实性无法保证的问题。研究过程中使用了无证书公钥密码(CL-PKC,Certificateless Public Key Cryptography)技术和基于角色访问控制(RBAC,Role-Based Access Control),保证系统不被非法操作,相较于使用证书的密码技术,减少系统确认信息真实性的时间。此研究使得铁路通信网的访问控制实现了信息真实性和效率的充分兼顾,能够简单、高效地实现对铁路通信网内信息的保护,满足应用要求。
2020, 29(8): 52-56.
摘要:
通过对现行的代售点售票传统专线接入方式存在问题的研究分析,发现其存在专线租用费用较高、重要节点时搭建临时专线困难、代售点管理困难等缺陷,提出了铁路代售点公网安全接入平台方案,解决了现有问题,从保证安全工程项目验收角度出发,分跨域边界、服务端安全接入平台和代售点客票终端3个主要方面提出专项验收检测内容,为实现该平台的安全测试验收提供基础检测数据,明确现场检测内容和范围。
通过对现行的代售点售票传统专线接入方式存在问题的研究分析,发现其存在专线租用费用较高、重要节点时搭建临时专线困难、代售点管理困难等缺陷,提出了铁路代售点公网安全接入平台方案,解决了现有问题,从保证安全工程项目验收角度出发,分跨域边界、服务端安全接入平台和代售点客票终端3个主要方面提出专项验收检测内容,为实现该平台的安全测试验收提供基础检测数据,明确现场检测内容和范围。
2020, 29(8): 57-60.
摘要:
保障信息化基础环境及平台的安全平稳运行,是全路日常工作的重要内容之一。目前,铁路众多信息化基础环境及平台已具备内部本地高安全有效运维的条件,但在面对远程运维以及可能涉及到的外部多方协作运维等特殊需求时,如何能继续保障操作的安全性、及时性、有效性并实现对其行为的可管、可控和可追溯,仍需要进行不断思考和认真研究。针对工作场景中面临的以上实际情况,结合作者多年的实践经验和技术积累,从安全传输认证、云桌面及企业移动管理(EMM,Enterprise Mobility Management)等角度进行了技术分析和思考,归纳出3种远程服务安全保障模式,对如何利用多种资源助力信息化安全平稳运维给出了相应的建议和意见。
保障信息化基础环境及平台的安全平稳运行,是全路日常工作的重要内容之一。目前,铁路众多信息化基础环境及平台已具备内部本地高安全有效运维的条件,但在面对远程运维以及可能涉及到的外部多方协作运维等特殊需求时,如何能继续保障操作的安全性、及时性、有效性并实现对其行为的可管、可控和可追溯,仍需要进行不断思考和认真研究。针对工作场景中面临的以上实际情况,结合作者多年的实践经验和技术积累,从安全传输认证、云桌面及企业移动管理(EMM,Enterprise Mobility Management)等角度进行了技术分析和思考,归纳出3种远程服务安全保障模式,对如何利用多种资源助力信息化安全平稳运维给出了相应的建议和意见。
2020, 29(8): 61-65.
摘要:
为提高铁路行业对网络安全威胁及漏洞的整体防范能力,提升铁路系统运维管理水平,实现网络安全威胁及漏洞全生命周期闭环式管理,研究提出铁路网络安全威胁及漏洞管理平台。通过研究漏洞修复优先级算法、安全威胁及漏洞动态更新技术,设计平台总体架构、网络架构、主要功能及应用场景。可为建立铁路网络安全威胁及漏洞管理体系、构建行业漏洞知识库和补丁库提供参考。
为提高铁路行业对网络安全威胁及漏洞的整体防范能力,提升铁路系统运维管理水平,实现网络安全威胁及漏洞全生命周期闭环式管理,研究提出铁路网络安全威胁及漏洞管理平台。通过研究漏洞修复优先级算法、安全威胁及漏洞动态更新技术,设计平台总体架构、网络架构、主要功能及应用场景。可为建立铁路网络安全威胁及漏洞管理体系、构建行业漏洞知识库和补丁库提供参考。
2020, 29(8): 66-70.
摘要:
随着国内外网络安全形势逐渐严峻,铁路网络安全等级保护相关问题也日益倍增。为解决铁路网络安全工作不统一、不规范的问题,研究了铁路网络安全等级保护管理系统。结合网络安全等级保护2.0的标准要求,对系统进行了需求分析和架构设计。结合铁路特有的业务走向和管理流程,制定了备案、整改、测评流程,设计了工作台、台账管理、定级备案、测评管理、整改规划、监督检查、知识库、统计分析等多项功能。完善了铁路网络安全管理体系,在开展网络安全管理工作方面为铁路相关单位提供参考。
随着国内外网络安全形势逐渐严峻,铁路网络安全等级保护相关问题也日益倍增。为解决铁路网络安全工作不统一、不规范的问题,研究了铁路网络安全等级保护管理系统。结合网络安全等级保护2.0的标准要求,对系统进行了需求分析和架构设计。结合铁路特有的业务走向和管理流程,制定了备案、整改、测评流程,设计了工作台、台账管理、定级备案、测评管理、整改规划、监督检查、知识库、统计分析等多项功能。完善了铁路网络安全管理体系,在开展网络安全管理工作方面为铁路相关单位提供参考。
2020, 29(8): 71-75.
摘要:
为更好地保障铁路行业移动终端的信息安全,解决终端失控、非授权访问、信息泄露等安全问题,基于虚拟安全域(VSA,Virtual Security Area)技术,结合移动应用安全网关(MAG,Mobile Application Security Gateway)技术及动态加密通道(DEC,Dynamic Encryption Channel)技术,研究并开发了铁路移动智能安全管理平台(MISMP,Railway Mobile Intelligence Safety Management Platform),设计了平台架构,阐述了平台的业务能力、管控能力和安全传输能力。该平台可为铁路行业移动终端的信息安全建设提供参考。
为更好地保障铁路行业移动终端的信息安全,解决终端失控、非授权访问、信息泄露等安全问题,基于虚拟安全域(VSA,Virtual Security Area)技术,结合移动应用安全网关(MAG,Mobile Application Security Gateway)技术及动态加密通道(DEC,Dynamic Encryption Channel)技术,研究并开发了铁路移动智能安全管理平台(MISMP,Railway Mobile Intelligence Safety Management Platform),设计了平台架构,阐述了平台的业务能力、管控能力和安全传输能力。该平台可为铁路行业移动终端的信息安全建设提供参考。
2020, 29(8): 76-80.
摘要:
为保证铁路信息系统的信息安全,提高中国国家铁路集团有限公司(简称:国铁集团)的信息安全管理能力,设计铁路开发测试云管理平台,规范项目的开发测试流程,实现开发与测试环节的有效闭合,保证信息系统在上线前经过严格的安全检测。分析平台需求,展开平台方案设计,包括平台的总体架构、技术架构、功能架构和网络拓扑架构,并按设计方案进行了原型系统的开发,拟在铁路信息系统研发过程中试点。
为保证铁路信息系统的信息安全,提高中国国家铁路集团有限公司(简称:国铁集团)的信息安全管理能力,设计铁路开发测试云管理平台,规范项目的开发测试流程,实现开发与测试环节的有效闭合,保证信息系统在上线前经过严格的安全检测。分析平台需求,展开平台方案设计,包括平台的总体架构、技术架构、功能架构和网络拓扑架构,并按设计方案进行了原型系统的开发,拟在铁路信息系统研发过程中试点。
我要投稿
