陈丹晖 刘清涛 张卫军
(中国铁路北京局集团有限公司北京铁路通信技术中心,北京 100038)
十三五期间,随着高速铁路网的快速建设,铁路通信网作为承载铁路智能化、营销信息化、管理信息化的重要基础设施,其重要性日益凸现,同时随着云计算、物联网、大数据等新一代信息化技术的深度融合,使网络攻击、网络战等一系列以网络为对抗手段的新型冲突方式愈演愈烈,铁路通信网网络安全防御也将面临更大的威胁和挑战,网络安全防护能力亟待加强。本文针对铁路通信网安全防护现状及安全管理需求进行了研究、分析,通过对国家、行业的技术借鉴,提出适合铁路通信网的网络安全管控平台的技术架构,建立和完善铁路通信网网络安全威胁、关键信息基础设施事前监测和防御、事后追踪溯源的良好机制。
铁路通信是保障铁路运输安全、提高效率的重要工具。其中,通信网络作为承载铁路业务应用系统各个节点之间的数据、传真、图像等各种信息交换的主要通道,主要由承载网、业务网、支撑网3部分构成。
依据《中国铁路总公司运输局关于做好铁路数据通信网网络安全专项整治工作的通知》(运电通信函〔2016〕123号)文件要求,各路局集团公司数据网专项整治工作已陆续完成,重点从系统冗余配置、边界隔离、集中登陆与审计、入侵防范、终端管控等方面进行了安全补强,安全风险大幅降低。但铁路通信网其他构成,例如业务网(包括综合视频监控、会议电视、应急通信、调度通信等系统)、支撑网(主要包括专业网管、监控监测、通信综合网管、骨干通信网运维与资源管理、GSM-R数据管理、通信技术履历管理、铁路通信地理信息管理等系统)等,其网络安全防护技术、运维、管理等手段较为薄弱,抵御外来攻击能力不足,安全风险较为突出。风险包括:各种类型的恶意入侵、木马、病毒、恶意文件传播、DDoS攻击;无法检测并记录对设备的入侵的行为;在发生严重入侵行为时无法提供威胁报警;系统缺乏内控审计措施,管理员对网络设备的配置操作没有监管,操作记录没有集中统一建档管理,容易丢失,造成事后追查困难;缺乏日志采集和分析系统,无法做到系统内所有IT设备资源的日志收集及分析,无法对网络进行监测和管控等。
《中华人民共和国网络安全法》第三章第33条指出,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。因此在加强铁路通信网网络安全设备补强的同时,同步规划网络安全管理是保障铁路通信网稳定、持续运行的重要基础。
近年来,随着各类网络安全事件的频发,铁路通信对于网络安全管理的认识也由简单到复杂、由部分到全面、由被动防御到主动防护。现阶段,铁路通信网网络安全管理的需求集中表现在以下几个方面。
1)类型繁杂、部署分散的网络设备、安全设备、服务器、数据库、中间件、操作系统、业务系统等(以下简称:IT资源)存在着较大的管理问题,需要进行集中、有效的管理。
2)需要对各类安全事件实现集中监控、采集和分析。
3)通过监控安全设备运行状态,及时发现可能出现安全问题的故障点,将安全问题消灭在源头。一旦出现安全故障,能快速定位安全故障的原因、安全故障影响的范围,同时能够迅速做出正确的反应,将损失减少到最小。
4)通过自动化手段定期对各业务系统、安全设备、主机进行安全风险评估,定位风险点,并提供相应的解决方案。
5)基于资源状态、安全事件等建立分析模型输出安全态势,进而有效的衡量安全系统建设和安全日常维护的效果,为下一阶段的安全工作提供指导和依据。
因此,建设统一、集中的铁路通信网网络安全管控平台,实现各类IT资源的统一管理、安全策略统一部署、安全事件统一呈现,全面提升铁路通信网安全管理能力,最大程度保证通信网安全稳定运行,是铁路通信网在解决当前网络安全防护的同时亦需面对的重要问题。
根据铁路通信网网络安全现状及管理需求,实现不同位置、不同资源中分散且海量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资源/域的统一等级的威胁与风险管理,并通过安全策略、综合分析、集中监控、集中运维、统一管理等功能,建立健康指数分析视图、业务雷达、业务应用列表等运行监控视图。从业务视角对网络设备、安全设备、服务器、数据库等IT资源进行管理,了解铁路通信的健康走势、业务实时运行状况、告警信息、健康度、繁忙度和可用性等信息,全局掌握网络、业务的健康水平,保障业务的高质量无间断运行。
4.2.1 设计思想
基于P2DR理论模型(包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应构建“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。)构建适用于铁路通信网的网络安全管控平台,是协助实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。铁路通信网网络安全管控平台是一种安全管理的形式,它的存在有效地将策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起,保持一致性。
4.2.2 技术架构
铁路通信网网络安全管控平台技术架构是由综合展现层、业务功能层、综合分析层、专项管理层、采集层等部分组成,如图1所示。
1)采集层
采集层由数据采集子系统构成,系统采用主动、被动技术,实时对各类设备事件日志及流量、操作、行为等异常记录的采集和存储。
2)专项管理层
专项管理层由事件管理子系统、漏洞管理子系统、基线管理子系统及策略管理子系统构成,系统对采集的风险进行管理配置。通过定制任务,驱动扫描器进行风险获取,并依据风险实现策略管理、调整、下发。
a.事件管理子系统
实现对铁路通信网各类IT资源日志及异常行为、异常流量、僵木蠕、漏洞等事件的数据分类、查询、管理。实现海量日志全生命周期管理。海量日志数据经过过滤、归并、标准化格式后进行深度分析。
b.漏洞管理子系统
实现对铁路通信网网络各类IT资源的漏洞进行全生命周期性管理。漏洞全生命周期管理主要包括资源管理摸块、漏洞扫描、漏洞生命周期管理流程。
c.基线管理子系统
实现对铁路通信网各类IT资源进行主动、被动的基线扫描核查及分析,并输出相关安全建议。通过基线策略管理,实施符合铁路通信网安全规范要求的基线核查模板,并根据运维需求,部署策略自动化进行基线核查,大幅提高运维效率及核查质量。
d.策略管理子系统
实现对铁路通信网各类IT资源的统一管理,同时通过大数据分析和数据挖掘,发现网络安全问题,通过安全策略管理实现策略管理、调整、下发等工作。
3)数据分析层
数据分析层基于动态实时的网络安全分析与可视化技术,对存在的主要安全威胁和攻击事件进行检测,利用大数据分析方法对各种安全信息进行深层次关联融合,以攻防的视角,从整体安全态势、系统安全态势、业务应用安全态势、异常流量态势、DDOS攻击态势、脆弱性利用态势、数据泄露态势、通报态势、僵木蠕毒态势、资产安全态势、账号安全态势、等保态势等维度进行立体化深入分析,通过发现有用信息,给出级别度量,完成以往需专家完成的风险计算工作,并自动触发任务单和响应来降低风险,达到管理和控制风险的效果。从而实现对大型系统网络安全状况动态实时分析,也为平台安全运维管理提供整体安全视图,并对安全状况发展趋势进行预测。
4)业务功能层
业务功能层由资产管理子系统、系统运维管理子系统、安全运维管理子系统等构成。实现对网络安全业务的支撑,以及系统自身运行的管理。在此基础上,通过分析事件与漏洞、配置、资产的相互关系,计算风险、产生告警以及派发工单,产生报表等。与此同时,业务功能层提供资产管理、报表管理、知识库管理、告警管理,分别支撑用户的相关业务功能。
a.资产管理子系统
资产管理子系统主要实现对IT资源进行管理,同时资产管理子系统提供资产网络拓扑的展示,针对网络拓扑中的资产对象,可以对资产漏洞、配置等进行管理。
b.系统运维管理子系统
实现对铁路通信网网络中的IT资源进行主动、被动的巡检,监测设备、应用系统等对象的状态及资源利用情况,满足运维需求。
c.安全运营管理子系统
通过关联分析,实现告警、报表、KPI、知识库及工单等对象的管理。
5)展示层
通过对安全态势、风险、告警等进行多维度的展示,实现安全管理的总体掌控,并提供动态配置功能,根据角色配置展示主题,如系统操作员的首页包含全局风险趋势、安全域风险趋势、待处理工单、风险安全对象、事件相关监控、系统性能监控等内容。
4.2.3 部署架构
两级架构部署如图2所示。
网络安全管控平台按照由铁路总公司和各路局集团公司两级系统构建,采用分级部署模式将铁路通信网的IT资源进行监控管理和安全分析。各路局集团公司构建本区域铁路通信网网络安全管控平台,全面掌握集团公司铁路通信网网络安全态势,各集团公司安全管控平台通过外部接口与铁路总公司层面网络安全管控平台进行业务对接,实现铁路总公司可直接访问各路局集团公司网络安全管控平台的功能页面,实现大规模、跨地域的资源监管和安全分析统一呈现,总公司安全网络安全管控平台实现对全路铁路通信网的网络安全管理。
通过研究,铁路通信网网络安全管控平台应包含数据采集、大数据分析、联动处理、态势感知4方面关键技术。
铁路通信网网络安全管控是一种基于环境的动态、全面洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。数据作为管控平台的基础资源,其采集对象的广泛程度将对分析结果产生重要影响。因此,通过部署日志代理探针、流量探针、僵木蠕探针、异常操作探针、异常行为探针、病毒检测探针等,实现各类数据源的收集,包括异常操作类告警数据、异常流量类告警数据、病毒告警类数据、僵木蠕告警类数据等,并通过数据的汇入,完成数据源的存储,为大数据分析提供数据保障。
利用采集的IT资源数据,按照资产、漏洞、事件、风险、事件等多位度进行建模分析,实现对攻击异常行为的识别和预警。同时利用机器学习技术,建立业务访问模型,对异常业务访问、网络入侵、数据窃取等非法行为进行及时判断发现,实现铁路通信网防御及处理。
5.3.1 攻击处理
为实现网络对已知威胁的主动防御,铁路通信网网络安全管控平台支持与安全设备联动机制。当发现明确攻击类型时,在管理员进行信息确认后,进行阻断指令下发(或平台自动向安全设备下发阻断指令)。实现对网络威胁的及时控制,以及网络安全与业务运行的合理平衡。
5.3.2 基线违规处理
铁路通信网网络安全管控平台基线扫描发现违规操作后(例如非法登陆、密码强度不符合要求、未启用合法协议进行远程管理、日志保存时间未能满足规定要求等),发布告警通知,运维人员通过及时整改,降低由于安全控制不足导致的安全风险。5.3.3 恶意代码/漏洞威胁处理
通过引入互联网安全情报数据,结合本地的实时日志信息进行综合分析,针对预警信息进行安全的事前检测和整改,如“永恒之蓝”的防御,通过互联网安全情报在爆发初期就同步到本地平台并发布预警通知,协同其他安全设备针对高危端口进行扫描和检测,并进行安全策略下发,防范由于恶意代码或漏洞造成的安全威胁。
现阶段面对传统安全防御体系失效的风险,态势感知能够较为全面的感知网络安全威胁态势、洞悉网络及应用运行健康状态,通过大数据建模技术对各类告警、安全事件进行分析,发现潜在入侵和高隐蔽性攻击,并综合历史安全事件,对未来短期的安全态势做出预测。其功能如下。
1)安全事件告警和检索
对生成的告警和安全事件进行定时监控和处理说明,并对告警事件进行分析和检索。
2)安全风险量化和预测
对各类日志及安全事件量化分析,并通过资源依赖关系和攻击手段进行关联性判断,预测潜在的安全风险。同时通过铁路通信网网络安全管控平台进行安全策略调整和配置。
铁路通信网承载着众多铁路重要运营业务及数据,随着云计算、虚拟化、大数据、物联网等新技术的发展,安全问题不断涌现。为保证铁路通信网的稳定运行,通过部署各类安全产品抵御内、外部安全威胁,但在网络规模急剧扩大的时候,安全设备也在同步增加,如何实现安全设备的统一管理、实现全局安全的统一掌握是工作中的迫切需求。因此,通过梳理铁路通信网的安全现状和业务特点,参考国家、行业的相关安全管理经验,结合信息系统安全等级保护测评要求、信息安全完全参考手册等安全资料,针对铁路业务特性和在网数据情况进行深度分析,包括渗透测试、模拟攻击和入侵尝试等,找到铁路业务安全风险和脆弱性,提出了铁路通信网网络安全管控平台的技术研究。该平台的运用可为铁路通信各业务系统安全防护设备提供集中管理及相关安全服务。实现对网络安全的态势觉察、跟踪、预测和预警,及时掌握网络安全威胁、风险和隐患,及时监测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时预警重大网络安全威胁,及时处置安全事件,从而实时的掌握网络安全态势,有效提升铁路通信网的安全整体防护能力。