基于等级保护2.0的铁路网络安全技术防护体系研究

刘 刚，杨轶杰

（1. 中国国家铁路集团有限公司 科技和信息化部，北京 100844；2. 中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

网络安全等级保护2.0系列标准（简称：等级保护2.0）于2019年正式发布实施[1-3]，标志着我国网络安全等级保护迈入2.0时代。同年，我国发布多项等级保护标准，将工业控制系统、移动互联网、云计算等新技术纳入等级保护标准体系。在该标准指导下，国内专家重新思考网络安全工作，并出版培训教材[4]。

当前，我国网络安全形势越来越严峻，国内多家研究机构根据等级保护2.0的要求开展网络安全技术体系以及具体实施路线的研究[5-10]。在铁路网络安全领域，针对新形势下系统安全与风险管理也进行了前期研究[11]。自2017年以来，中国国家铁路集团有限公司（简称：国铁集团）相继出台多项网络安全规章制度，针对网络安全责任落实、重要信息系统保护、互联网专项保护等进行部署，在产品研发上积极推进“铁网护栏”工程，在一定程度上保障了铁路网络安全。随着铁路信息化建设进度不断加快，重要信息系统的安全防护压力依然严峻，呈现出攻击手段组织化、攻击目标数据化、攻防手段实战化以及基础数据云端化等特点，要求从全新角度建立铁路网络安全技术体系[12-14]。

本文依据等级保护2.0的安全防护要求，结合新形势下铁路信息系统面临的安全挑战，提出基于等级保护2.0的铁路网络安全技术防护体系。

1 铁路网络安全防护面临的挑战

在等级保护2.0时代，根据铁路网络安全的现状，铁路网络安全面临的风险和挑战可归纳为以下几个方面：

（1）防护对象复杂分散

铁路跨域系统按照国铁集团、铁路局集团有限公司（简称：铁路局）、站段三级架构构建，并按不同的服务对象横向隔离，网络安全防护对象复杂而分散，各类安全设备和系统防护策略执行不统一，各自为战，呈现“碎片化”现象，站段级安全防护问题尤为突出。在集中管控部署模式下，网络安全发展需要全局洞察和预警能力，将安全防护要素贯穿全过程，以进一步加强主动防御能力。

（2）规模性大、有组织的网络攻击风险增大

近年来，规模性大、破坏性强的网络攻击事件急剧上升，铁路信息系统面临着愈加严峻的有组织、有目的的网络攻击，国铁企业建立体系化的协同防护将成为网络安全保障新趋势。通过共同应对和协同防护，确保逐步建立铁路关键信息基础设施的安全评估、监测与防护，加强数据情报互通，共同应对新型高级网络攻击威胁。

（3）用户数据安全保护能力亟待提升

数据安全领域，铁路互联网售票系统积累的公民个人信息多达上亿条，铁路货运电子商务系统积累的客户货主信息多达几十万，针对铁路业务系统内部个人隐私数据的安全防护与风险预警能力有待加强。尤其云计算与大数据广泛应用后，使得应用系统和数据高度集中，数据安全防护意识更需进一步提升，防范大规模数据泄露事件能力需要有效加强。

（4）既有安全防护手段能力不足

等级保护2.0增加了对云计算、大数据、移动互联网等扩展安全防护要求，对业务规模大、应用系统复杂程度高的铁路系统而言，网络安全复杂度和工作量将成倍增长，而传统防护手段在适应新技术应用的能力尚为不足。

2 铁路网络安全技术防护体系

按照等级保护2.0要求，以安全管理中心为核心，以安全通信网络、安全区域边界和安全计算环境为框架，构建铁路网络安全技术防护体系。

2.1 安全管理中心

安全管理中心是实现数据安全保障、安全事件快速处置的中心环节。如图1所示，按照不同的服务对象，铁路网络划分为外部服务网和内部服务网，分别设置相应的安全管理中心。

图1 铁路安全管理中心的部署示意

安全管理中心利用大数据技术，通过广域网对铁路企业实施网上资产汇总，实现资产统一管理。同时，安全管理中心对各系统及平台运行状态进行监控管理、安全事件汇总和响应，通过网络数据传输手段实现安全事件的实时报告与潜在威胁的预警，支持顶层事件分析与安全问题的闭环管理。

2.2 安全通信网络

铁路安全通信网络的部署主要涉及外部服务网、内部服务网、安全生产网与专网，互联网与5G互联网通过外部服务网安全接入，如图2所示。

（1）外部服务网

图2 铁路安全通信网络架构示意

国铁集团、铁路局两级局域网中分别搭建外部服务网，按铁路业务系统资源类型划分2类安全域：互联网网站群安全域和移动互联网安全域。其中，互联网网站群安全域承载面向社会提供公共服务的应用，移动互联网安全域承载通过互联网接入铁路外部服务网的移动应用。

（2）内部服务网

国铁集团、铁路局、站段三级局域网中搭建内部服务网，按照“二级系统统一成域、三级系统独立成域”的原则，划分4类安全域：大数据安全域、云计算平台安全域、二级系统统一安全域、三级系统安全域。

（3）安全生产网

在国铁集团、铁路局、站段三级搭建安全生产网，部署直接关系铁路运输生产的应用；按照“二级系统统一成域、三级系统独立成域”的原则，划分4类安全域：控制系统安全域、物联网安全域、二级系统统一安全域和三级系统安全域；国铁集团所属其他单位可参照铁路局局域网架构部署其局域网。

（4）专网

铁路信息网络广域网构建在铁路通信网之上；其中，内部服务网和安全生产网的广域网由铁路数据通信网承载，外部服务网的广域网单独构建。目前，部分铁路应用系统采用专线通道独立组网，难以与其它铁路应用系统实现互联互通，应在保障应用和网络安全前提下，逐步整合既有专网，纳入统一的铁路综合信息网，提高网络资源综合利用水平。

2.3 安全区域边界

如图3所示，铁路综合信息网的边界防护主要涉及3类区域边界：互联网边界、内外网边界及安全域间边界。

图3 铁路综合信息网安全区域边界构成示意

（1）互联网边界：指外部服务网与互联网之间的边界，通过安全平台实现区域边界安全隔离。

（2）内外网边界：指外部服务网与内部服务网之间的边界，内外部服务网通过安全平台实现安全的数据共享和交换，并由其提供区域边界逻辑隔离。

（3）安全域边界：指外部服务网、内部服务网、安全生产网内部系统间的区域边界，根据安全级别、资源类型和服务等级协议（SLA）要求，采用不同强度的区域边界隔离策略；其中，二级系统可根据业务类型，进行集中统一部署，采取统一区域边界防护策略，而三级系统单独成域，采取独立安全策略。

2.4 安全计算环境

如图4所示，铁路综合信息网安全计算环境涉及3类计算环境，包括终端计算环境、服务器计算环境和身份认证计算环境，按三级模式部署，涉及国铁集团网络、铁路局网络及站段网络。

图4 铁路综合信息网安全计算环境构成示意

其中，终端计算环境安全管控包括基本安全控制、办公增强安全控制、生产增强安全控制；服务器计算环境安全管控包括基本安全控制和生产增强安全控制；身份认证计算环境安全防护以铁路外部服务网、内部服务网、安全生产网内部系统间的区域边界为划分，在国铁集团外部服务网的认证服务平台网络安全域中部署电子认证服务系统、外网RA系统、运营管理系统和相关应用服务系统；内网RA系统和相关应用服务系统部署在内部服务网和安全生产网中。在铁路局内部服务网中部署业务受理点安全终端，通过铁路计算机广域网访问内网证书注册管理中心。

3 安全扩展体系建设

当前铁路网络的部署结构面临技术升级与新的应用需求，云计算、大数据、移动互联、互联网等应用方兴未艾，需要进行针对性的安全体系建设。同时，各关键业务系统的数据安全也面临严峻挑战，要求着重加强数据安全防护技术。

3.1 云计算安全扩展体系建设

根据国铁集团云计算和虚拟化技术的应用现状，参考云计算安全国家标准，结合等级保护2.0要求中云计算安全防护要求，开展虚拟化和云环境的网络安全风险评估，规划和实施虚拟化和云环境安全防护技术方案，实现恶意软件防范、边界防护、完整性监控和安全审计，保障应用系统和数据安全，其主要建设内容见表1 。

3.2 大数据安全扩展体系建设

参考大数据安全相关国家标准，建设大数据技术平台，支持大数据采集、处理和分析，采取安全控制措施，保障大数据平台基础设施、大数据应用和大数据资产安全，建设大数据安全防护体系，保障大数据资产安全，促进大数据技术应用发展，其主要建设内容见表2。

表1 云计算安全扩展体系的建设内容

3.3 移动互联安全扩展体系建设

建设国铁集团移动互联安全防护体系，实现对移动互联网络、移动终端、移动App及其数据等的安全防护，保障移动互联应用的可信安全接入和业务交互，其主要建设内容见表3。

表2 大数据安全扩展体系的建设内容

表3 移动互联安全扩展体系的建设内容

3.4 互联网应用安全防护

建设国铁集团互联网应用安全防护体系，为国铁集团基于互联网的应用系统（如网站、电子邮件系统等）提供安全防护，防范来自互联网的SQL注入攻击、拒绝服务攻击、跨站攻击、网站挂马、隐蔽链接等安全隐患，保障集团互联网应用安全可靠，其主要建设内容见表4。

表4 国铁集团互联网应用安全防护体系的主要建设内容

3.5 数据安全防护

根据国家网络安全等级保护基本要求、国铁集团数据安全相关制度和文件要求，实现国铁集团关键业务信息系统数据的生命周期安全管理，确保在其生命周期各个阶段的保密性、完整性和可用性，其主要建设内容见表5。

表5 国铁集团数据安全防护体系的主要建设内容

4 结束语

根据等级保护2.0时代网络安全的要求，结合铁路既有网络安全现状，提出以安全管理中心为核心，以安全通信网络、安全区域边界和安全计算环境为框架的铁路网络安全技术防护体系；并针对未来应用需求，提出基于云计算、大数据、移动互联网技术的网络安全体系的主要建设内容，可为铁路企业开展网络安全技术防护体系建设提供参考。