Exploration and development prospect of railway network security under new situation
-
摘要: 近年来,我国加快推进网络安全管理制度和标准建设,科学应对网络安全突出问题,不断加强网络安全治理能力建设。在全社会高度重视网络安全工作的新形势下,铁路企业积极构建网络安全纵深防御体系,全面收敛网络暴露面,大力加强网络安全监管,持续打造网络安全专业团队,多措并举提升铁路网络安全治理能力。在铁路改革发展新阶段,建设智能铁路、高度集中的大型数据中心、高度复杂的铁路信息网络,加大了铁路网络安全防控难度。面对新形势新问题,从系统性、整体性角度进行统筹考虑,研究提出加强铁路网络安全管理、提升铁路网络安全防护能力的若干策略,主要包括:加强顶层设计,推动制度机制体系完善、责任制落实,坚持分级分类、分区分域、纵深防御、重点突出,强化主动收敛暴露面、主动防护、实时全面态势感知、智能监测预警,加强应急演练、攻防对抗演练,注重技术储备、经验积累和人才培养。Abstract: In recent years, China has accelerated the construction of network security management system and standards, responded to the prominent problems in network security scientifically, and continuously strengthened the construction of network security governance capacity. Under the new situation that the whole society attaches great importance to the network security work, railway enterprises actively construct the network security defense in depth system, comprehensively reduce the network exposure, vigorously strengthen the network security supervision, continuously build network security professional teams, and take various measures to improve the railway network security governance ability. In the new stage of railway reform and development, the construction of intelligent railway, highly centralized large scaledata center and highly complex railway information network has increased the difficulty of railway network security prevention and control. In the face of the new situation and new problems, this paper studied and put forward some strategies to strengthen the railway network security management and enhance the railway network security protection ability from the perspective of system and integrity, mainly including:strengthening the top-level design, promoting the improvement of the system and mechanism system, the implementation of the responsibility system, adhering to the classification, zoning, defense in depth, highlighting the key points, strengthening the active convergence of exposed surfaces, active protection, real-time comprehensivesituation awareness, intelligent monitoring and early warning, and strengthen emergency drills, offensive and defensive drills, and pay attention to technical reserves, experience accumulation and personnel training.
-
以云计算为代表的新型计算环境大部分是基于高速网络访问并可共享访问,按需分配的计算模式[1]。自提出以来,云计算已进入稳定发展的阶段。但是,云计算的大规模应用使安全事故频发,出现了诸如横向扩展、访问混乱、账户劫持等问题[2]。铁路业务系统经过长期的分散发展,一直以业务或者应用为中心进行安全防护和建设,产生了许多“碎片化”“区域化”网络,因而网络安全的防护设计在整体上不够全面,易出现“单兵作战”的情况,降低铁路业务系统的整体防护能力[3]。尤其在应对新型网络威胁下,铁路网络安全由于主动防御能力欠佳,联防联控防护能力较弱,导致在云计算环境下的安全事件频发。
按照《网络安全等级保护2.0》系列标准的要求,在三级及以上的信息系统要求在安全区域网络、安全区域边界、安全计算等各个层面实施强制访问控制,通过对重要主体和客体设置安全标记的方式,控制主体对有安全标记信息资源的访问[4]。访问控制技术可以通过授权信息,对资源访问操作进行控制,实现对信息资源的保护[5],从而有效阻止非法接入和非法入侵,保证信息资源的合法使用。
本文设计基于标记技术的强制访问控制模型(简称:访问模型),以两个安全要求为设计原则:
(1)只有经过认证并授权的主体可以发出访问或者执行请求;
(2)只有正确的访问或者执行请求才可以到达客体资源,实现了铁路业务系统在云计算环境下的纵深防御、多级安全和细粒度访问控制和防护。
1 铁路网络安全架构
铁路网络现已覆盖中国国家铁路集团有限公司(简称:国铁集团)、18个铁路局集团公司和5 000多个基层站段,在纵向上分为国铁集团级、铁路局集团公司级(简称:铁路局级)和站段级三级网络[6],在横向上在国铁集团和铁路局集团公司形成外部服务网、内部服务网和安全生产网三网分离的架构,如图1所示。外部服务网承载面向社会大众,提供服务的系统。内部服务网承载面向铁路内部人员,提供一般性服务的系统。安全生产网承载关系到铁路运输生产的系统。另外,根据安全生产需要,铁路网络建设了专用业务生产网络,如列车运行控制专网、列车调度指挥专网、客票系统专网、资金专网、公安专网等。
2 模型设计
2.1 铁路网络空间安全体系架构设计
按照国家相关管理部门的要求,进一步优化铁路网络安全的体系架构,本文在既有的铁路网络架构基础上,设计了铁路网络空间安全体系架构,如图2所示。铁路网络空间安全体系对应于现有的铁路网络架构,将铁路信息分为服务网络空间、管理网络空间和生产网络空间。
(1)服务网络空间在物理上由互联网和外部服务网构成,主要部署对外服务和外网应用,以及外网终端。
(2)管理网络空间基于内部服务网,主要部署应用服务资源和内网终端。
(3)生产网络空间基于铁路业务的各个生产网,合并构成新的用于生产服务的网络空间,由生产设备构成。
铁路网络空间安全体系架构在密码技术和可信计算的基础上,以“一个中心三重防护”作为总体思路,进行安全体系架构设计。
“一个中心”即安全管理中心[7]。作为统一管理调度平台,安全管理中心对策略对象统一进行建立、维护、下发、跟踪、收集,实现完整的智能策略调度闭环管理。安全管理中心由可信策略管理模块、访问关系管理模块、客体策略管理模块和主体策略管理模块组成。
“三重防护”即计算环境安全、区域边界安全和通信网络安全。该体系通过标记强制访问控制技术和可信安全计算,在物理环境安全的基础上不仅可以满足三重防护的要求,还可以实现应用开发安全。标记强制访问控制技术通过每一次访问操作进行管控,可确保访问操作安全可控。可信安全计算技术通过网络准入控制和程序白名单机制,确保访问过程安全可信。
网络空间的子空间之间通过安全隔离交换设备进行数据的安全交换,并将收集的威胁信息、边界网络和终端的日志数据上传到态势感知系统进行智能化关联分析,将全网的安全态势可视化展现。
2.2 访问模型
网络空间4要素为载体、主体、操作和资源,其中,载体是部署在网络空间的物理设备;主体泛指各种应用、程序等;操作指主体对资源的访问过程;资源又称为客体,一般为文件、数据库等。在不同网络空间,仅有限资源可以跨越网络空间。在各网络空间安全域之间采用有限的安全数据交换,实现空间之间的信息有限共享,铁路计算平台安全方案是以资源为核心的防护模型,空间安全域之间仅交互有限资源,空间安全域内需要确保有限访问。铁路网络空间的安全域划分如图3所示。每个网络子空间内部划分为不同的安全域:服务网络空间和管理网络空间划分为服务器域和终端域;生产网络空间划分为管理域、设备域,实现不同安全域之间的相互隔离和分层防护。
基于标记技术的可信访问模型的建立可以确保访问过程中每个主客体的操作都是可信的。铁路网络空间内的访问需求主要有3种访问模型:(1)主体对相同空间、相同域内的客体进行访问;(2)主体对相同空间、不同域内的客体进行访问;(3)主体对不同空间、不同域内的客体进行访问。
第1种访问模型如图4所示。主体和客体不仅在相同的空间,而且也在相同的域内。首先,操作系统或安全模块根据进程的签名信息和安全配置策略文件信息,生成主体标记信息。主体发出携带该标记信息的访问请求,该请求可以通过代理实现对客体的安全访问。代理提供数据传输接口,通过对标记信息识别判断是否可以传递主体的访问请求给对应客体单元。客体对象受资源保护单元保护,资源保护单元收到来自主体的访问请求后,根据请求中所携带的标记信息进行判断,给予本次访问对应的客体操作权限。
第2种访问模型如图5所示。主体和客体虽然都在同一空间,但是需要跨越不同的安全域(域1、域2)进行传输。操作系统或安全模块根据安全配置策略文件信息,结合进程的签名信息生成主体标记信息。主体发出的访问请求中携带该标记信息,该请求可以通过代理实现对客体的安全访问。代理提供数据传输接口,通过对标记信息识别判断是否可以传递该请求给客体所在的域。到达客体域后,代理通过对标记识别判断是否可以传递该请求给对应客体单元。客体对象受资源保护单元保护,资源保护单元收到来自主体的访问请求后,根据请求中所携带的标记信息进行判断,给予本次访问对应的客体操作权限。
第3种访问模型如图6所示。主体不仅要跨越不同域,还要跨越不同空间。此时主体的访问请求不仅需要域内代理和访问代理,同时需要数据交换平台进行数据摆渡。操作系统或安全模块根据安全配置策略文件信息,结合进程的签名信息生成主体标记信息。主体发出的访问请求中携带该标记信息,该请求可以通过代理实现对客体的安全访问。代理提供数据传输接口,通过对标记信息识别判断是否可以传递该请求给客体所在的网络空间,在网络空间边界处数据交换平台通过对标记进行识别判断,实现数据的准入控制。在客体空间内,代理通过对标记信息识别判断是否可以传递该请求给对应客体单元。客体对象受资源保护单元保护,资源保护单元收到来自主体的访问请求后,根据请求中所携带的标记信息进行判断,给予本次访问对应的客体操作权限。
3 模型应用
3.1 系统构成
基于访问模型的系统由部署在服务器或终端计算节点内的可信操作系统或安全模块、部署在云虚拟机内的安全数据交换总线和部署在不同网络空间边界的网络安全数据交换系统构成。该系统可以对每一次主客体的访问操作进行管理,将主体标记—操作标记—客体标记为每次访问会话的标识依据,以对空间内的每次访问进行准确管控。
(1)数据交换系统
数据交换系统与网络隔离技术、标记强制访问技术、准入控制技术和数据加密技术相结合,在不同的区域边界部署性能不同的数据交换系统,以保证数据的机密性和完整性,防止病毒、恶意程序、非法授权访问跨越不同安全域[8]。数据交换系统还具有添加和去除标记信息的功能,是标记强制访问的核心系统。
(2)数据交换总线
数据交换总线运行在支持标记技术的操作系统上,提供数据传输接口,通过对标记信息识别判断,控制数据流向,实现同一子空间的不同应用之间,以及不同子空间之间的数据安全交换。数据交换总线还设置了数据缓存区,通过直接读取缓存区中的数据提高运行效率。
(3)可信操作系统
可信操作系统可以实现操作系统之上的可信,而在操作系统之前启动的程序就无法进行访问[9],只有经过安全模块验证的、带有正确标记信息的进程主体才可以在操作系统中运行,发出操作请求;没有标记信息或者标记信息错误的请求则会被抛弃。可信操作系统还会建立主客体和对应操作的访问控制矩阵,按照控制矩阵确认对每个访问操作进行控制,实现强约束条件下的受控访问。
3.2 数据传输
数据传输分为以下两种情况。
(1)应用若访问同一个网络子空间的数据资源,其数据传输如图7所示。
① 应用(主体)调用安全模块给访问请求添加标记信息,完成标记的初始化。
②安全模块将带有标记信息的报文发送到数据交换总线,由数据交换总线依据报文信息的目标地址,将访问请求传输到被访问端的安全模块。
③安全模块依据访问控制矩阵判断操作请求的合理化,请求按照访问操作矩阵的规定对资源进行有限访问。
(2)应用的访问请求若要跨越不同的网络子空间,其数据传输如图8所示。
① 应用(主体)调用安全模块,给访问请求添加标记信息,完成标记的初始化。
②安全模块将带有标记的报文发送到数据交换总线,数据交换总线依据报文信息的目标地址,将数据报文发送至数据交换平台。
③数据交换平台对标记信息进行检查,核实能否向下传输。核实之后,当前数据交换平台将报文发送至下一个网络子空间的数据安全平台。
④目标端的数据交换平台会重新添加标记信息,对数据报文进行重新组装,然后发送至数据交换总线。
⑤数据交换总线将报文发送至安全模块,安全模块对标记信息识别判断后进行资源访问。
4 关键技术
标记技术是铁路计算平台安全方案实现强制访问控制的关键技术,由安全模块生成标记信息。标记信息是操作系统、网络控制设备对主客体进行标记和强制访问控制的依据,包括安全等级、数据基本属性、安全机制等信息。主体是主动发起动作的实体,一般指进程;客体是主体发起动作的对象,一般指文档、图像等数据。在铁路网络空间内利用标记技术对客体进行保护,对空间内的操作进行管控,仅有空间内允许的资源可以通过隔离设备穿越空间;同时,建立主体、资源和对应操作的访问控制矩阵,利用控制矩阵对每次操作进行访问控制,对应的主体只进行固定的操作,完成在强约束条件下的受控访问。在输入/输出层部署管控模块,实现客体对主体访问操作的识别和认定,同时对资源进行加密保护,只有操作正确才可以透明地施加在资源上,非授权的访问则被禁止。
5 结束语
本文从铁路网络架构实际情况出发,结合网络安全的要求及发展,设计了铁路网络空间安全体系架构,为铁路各信息系统与生产系统的空间划分、安全优化、访问防控等方面提供了基础研究保障。本文所提出的基于标记技术的强制访问控制模型可以对网络空间内每个访问进行控制,实现铁路网络空间内的端到端安全访问,实现了铁路网络内空间、区、域、端的基于一体化安全策略的安全访问控制模型。
-
[1] 何志乐.《网络安全法》的制度设计和法制化进程[J]. 中国信息安全, 2016(12):34-36. [2] 国家计算机网络应急技术处理协调中心. 2019年我国互联网网络安全态势综述[R]. 北京:国家计算机网络应急技术处理协调中心, 2020. [3] 陆东福. 勇担"交通强国、铁路先行"历史使命全面提升铁路对经济社会发展的服务保障水平[J]. 城市轨道交通研究, 2018(5):2-7. [4] 史天运. 铁路行业信息安全管理面临的挑战及对策探讨[J]. 铁路计算机应用, 2015, 24(2):1-4. [5] 王同军.智能铁路总体架构与发展展望[J]. 铁路计算机应用, 2018, 27(7):1-8. [6] 全国信息安全标准化技术委员会. 信息安全技术信息安全管理体系要求:GB/T 22080-2008[S]. 北京:中国标准出版社, 2008. [7] 全国信息安全标准化技术委员会. 信息安全技术信息安全管理实用规则:GB/T 22081-2008[S]. 北京:中国标准出版社, 2008. [8] 中国电子信息产业发展研究院. 2018-2019年中国网络安全发展蓝皮书[M]. 北京:中国工信出版集团, 2019. [9] 王万齐,张德栋,黄勤龙. 铁路网络与信息安全管理系统研究与设计[J]. 铁路计算机应用, 2017, 26(11):32-35. [10] 杨连报,李平,徐贵红,等. 基于大数据技术的铁路安全管理研究[J]. 铁路计算机应用, 2016, 25(9):83-89. [11] 沈海燕,端嘉盈,王浩,等. 云物大智、区块链、CPS间的关系及在铁路领域研究综述[J]. 铁路计算机应用, 2019, 28(2):1-6. [12] 高原,吕欣,李阳,等. 国家关键信息基础设施系统安全防护研究综述[J]. 信息安全研究, 2020, 6(1):14-24. [13] 何熙巽,张玉清,刘奇旭. 软件供应链安全综述[J]. 信息安全学报, 2020, 5(1):57-73. [14] 杨增宇. 新时期网络安全工作顶层设计研究[J]. 中国金融电脑, 2020(1):79-81. [15] 崔传桢. 网络空间安全大国战略2019新动向[J]. 信息安全研究, 2019, 5(6):464-469. -
期刊类型引用(1)
1. 黄兴中,谯英,刘培林,孙志刚. 高速公路双活数据中心建设探讨. 中国交通信息化. 2024(10): 125-128+132 . 
百度学术
其他类型引用(0)
下载:
计量
- 文章访问数: 204
- HTML全文浏览量: 97
- PDF下载量: 92
- 被引次数: 1
