铁路设计企业管理信息化系统网络安全关键技术研究

刘 峰，韩 寓

（中国铁路设计集团有限公司，天津 300308）

近年来，铁路设计企业转型升级稳步推进，从发展战略上对企业管理信息化、移动办公提出了更高的要求。因此，企业大力开展管理信息化系统升级建设工作，打破信息孤岛，将分散的管理信息化系统进行集成重构，打造信息集成平台，实现企业流程和业务数据有机结合。

管理信息化系统集成重构，通过服务总线、数据集成等技术，打通了各管理业务数据壁垒，畅通了服务流程，提升了企业的管理质量和效率。然而，异构应用集成和数据整合使得业务系统内部结构变得复杂，各业务系统间建立了密集的调用关系；办公业务信息化建设也增加了企业互联网的暴露面，导致系统内、外部安全风险增加。传统网络的边界安全存在局限性，迫切需要建立更加精准、完善的安全防护体系。

本文围绕铁路设计企业管理信息化系统建设项目，提出了网络安全防御技术体系，并在Web 安全、数据安全、威胁分析及自动化响应方面落地应用，切实提高了信息系统整体安全性。

1 安全防御技术体系

管理信息化系统建设过程中须严格遵照网络安全等级保护（简称：等级保护）相关要求[1]，并落实网路安全攻防实战演练的防御经验，降低管理信息化系统自身安全隐患，有效抵御外部威胁。管理信息化系统的安全风险主要分为系统安全隐患及外部安全威胁[2-4]，系统安全隐患主要源于该类系统在设计建设过程中存在的问题，包括信息资产漏洞（供应链安全隐患）、系统互联网暴露面大、系统运行时数据监测不到位，审计不全面等；外部安全威胁来自外部的各种恶意攻击，主要包括Web 后台探测扫描、Web 权限控制及系统间横向渗透等。

针对上述安全风险，根据等级保护2.0 中“一个中心，三重防护”的总体思路，建立企业管理信息化系统网路安全防御技术体系[5]，如图1 所示。以安全管理中心为核心、以计算环境安全为基础、以区域边界安全和通信网络安全为支撑，实现事前精细化防护、事中快速识别响应和事后可审计溯源的安全闭环管理。

图1 管理信息化系统网络安全防御技术体系

（1）安全管理中心：是企业信息安全事件管理的核心平台，该平台集中汇聚企业网络各种信息资产、各类安全系统的日志数据，以及原始网络流量数据，实现全面数据监测及审计；基于大数据分析技术进行威胁建模分析，对触发安全规则的攻击威胁按预先编排的脚本，调动对应网络区域的安全设备执行主动防御，实现信息安全事件从事前、事中到事后的自动化闭环管理[6-8]。

（2）安全通信网络：指承载管理信息化系统的网络通信环境安全，通过网络区域隔离、网络传输加密及网络通信流量审计等方面实现通信网络安全。

（3）安全计算环境：指管理信息化系统的软、硬件资产运行安全，通过解决供应链资产漏洞、消除Web 安全隐患、系统运行日志审计，实现计算环境安全。

（4）安全区域边界：指管理信息化系统服务端与客户端、管理信息化系统与第三方系统、管理信息化系统内部组件之间的信息安全边界，通过网络边界安全防护技术、Web 应用暴露面控制及应用程序接口（API，Application Programming Interface）安全控制，实现区域边界安全。

2 网络安全关键技术

本文通过Web 应用安全防护、集中数据监测与审计、综合威胁分析及响应等关键技术，实现管理信息化系统网络安全防御技术体系的落地。

2.1 Web 应用安全防护技术

管理信息化系统应用安全网关集中对外发布服务。应用安全网关主要具备7 层负载均衡和Web 应用防护体系功能，基于应用安全网关的SSL（Secure Sockets Layer）证书卸载技术和超文本传输协议（HTTP，Hyper Text Transfer Protocol）请求头部安全校验技术，加强应用暴露面管控，建成Web 应用级安全区域边界。

2.1.1 SSL 证书集中卸载

管理信息化系统通过HTTPS 协议对外提供服务，为实现HTTPS 流量集中管控，使用应用安全网关SSL 证书卸载技术，统一代理各应用、与用户建立HTTPS 连接。用户与应用安全网关建立HTTPS 连接、应用安全网关与管理信息化系统各应用建立HTTP 连接，如图2 所示。

图2 应用安全网关SSL 证书集中卸载

SSL 证书集中卸载，为应用安全网关实施HTTP 请求头部安全校验提供基础，同时也为流量安全分析创造条件。通过镜像采集应用集中发布平台解密后的HTTP 流量，可开展威胁分析，避免镜像HTTPS 加密流量无法分析问题。

2.1.2 HTTP 请求头部安全校验

基于前期信息资产调研结果，对管理信息化系统实施HTTP 请求头安全校验，能够有效地缩减应用暴露面。HTTP 请求头部校验技术主要包括统一资源标识符（URI，Uniform Resource Identifier）校验、用户代理（UA，User-Agent）校验和跨域请求源校验3 种安全机制，具体应用如下。

（1）统一资源定位符（URL，Uniform Resource Locator）校验：通过应用安全网关严格限制对互联网暴露URI，仅允许白名单内的URI 请求调度到指定应用服务器上。如图3 所示，基于URI 校验技术能够屏蔽掉网站后台、中间件后台等维护入口，同时实现同一个传输控制协议（TCP，Transmission Control Protocol）端口上发布多个应用系统，避免不同厂商子系统占用不同TCP 端口，增加暴露面。

图3 应用安全网关SSL 证书集中卸载

（2）UA 字段校验：UA 字段携带了客户端工具的标识信息（如浏览器类型和版本、浏览器渲染引擎、浏览器语言等），服务端根据UA 字段采取相应响应方式。应用安全网关对请求报文头UA 做白名单过滤，仅允许管理信息化系统移动端App 特定UA 标识通过，实现对客户端工具的合法性校验，进一步控制应用暴露面。

（3）跨域请求校验：为防止某些敏感URL（如用户认证API 接口）被恶意请求，应用安全网关针对敏感URL 实施跨域请求校验，仅允许通过指定网址或指定标识符跳转访问。根据不同请求场景校验的HTTP 头部字段不同：对PC 端浏览器发出的敏感URL 请求，应用安全网关校验Referer 字段是否为管理信息化系统网址；对移动端App 发出的敏感URL请求，则校验X-Requested-With 字段是否为App 特定标识（管理信息化系统移动端App 上使用Ajax 请求）。跨域请求源校验策略要求HTTP 请求头必须携带指定校验字段（Referer 或X-Requested-With）且字段值必须在白名单内，若条件不满足则中断TCP 连接。实施跨域请求源校验，能够防止暴露于互联网的敏感URL 被恶意请求。

2.2 集中数据监测与审计技术

管理信息化系统的安全数据主要包括系统日志数据和流量数据，对客户端采集、Syslog 转发、流量镜像等技术实现集中数据监测和审计。

2.2.1 客户端和Syslog 的系统日志采集

管理信息化系统日志数据包括系统级日志、网络安全系统日志。

（1）系统级日志（包括应用、中间件、数据库、操作系统）采集主要通过服务器部署日志采集客户端，统一收集并转发。其中，应用日志主要采集用户登录日志、用户操作行为日志，要求在开发阶段明确日志格式，至少包含时间、账户名、真实源IP地址、行为等必要信息，用于事后取证；中间件日志主要采集Web 请求日志，用于网络扫描威胁分析；数据库采集数据查询操作审计记录，用于SQL 注入攻击的事后取证；操作系统日志主要采集用户、进程、文件、命令等关键行为。

（2）网络安全系统日志采集主要基于Syslog 协议转发。企业数据中心既有的网络防火墙、Web 应用防火墙（WAF，Web Application Firewall）、网络检 测 和 响 应 系 统（NDR，Network Detection and Response）、端点检测和响应系统（EDR，Endpoint Detection and Response）、蜜罐系统产生的安全告警日志，是辅助威胁判定的重要依据。

2.2.2 基于SDN 和NFV 的流量采集

管理信息化系统流量数据主要包括用户与系统间的南北向流量和系统内部不同组件间的东西向流量。基于企业数据中心云计算网络技术，包括软件定义网络技术（SDN，Software-Defined Network）和网络功能虚拟化技术（NFV，Network Function Virtualization），实现在一张物理网络之上构建多张虚拟网络及虚拟防火墙。通过网络分区隔离，原本同网段内东西向流量转变为跨网段间南北向流量，为管理信息化系统内部互访流量镜像采集分析创造条件。

鉴于各虚拟防火墙与虚拟网络均构筑在物理网络之上，仅需要将镜像采集点设置在物理交换机与防火墙之间即可采集所有分区互访流量。此外，采用隧道封装远程交换端口镜像（ ERSPAN，Encapsulated Remote Switch Port Analyzer）技术解决虚拟网络分区内东西向流量采集。ERSPAN 基于通用路由封装（GRE，Generic Routing Encapsulation）技术和本地流量镜像技术，在底层网络可达基础上构建端到端GRE 虚拟网络隧道，将目标网络内部流量跨3 层远程传输到流量分析设备上，实现对管理信息化系统的东西向流量采集，如图4 所示。

图4 系统全流量采集

2.3 综合威胁分析与响应技术

综合威胁分析与响应技术基于管理信息化系统网络流量和日志监测数据，通过安全编排自动化响 应（ SOAR， Security Orchestration Automation Response）技术，主动且快速控制威胁风险，其技术架构主要包括威胁感知层、威胁分析层及威胁处置层，如图5 所示。综合威胁分析与响应技术的实施主要包括基础环境建设、威胁模型建立和威胁防御策略形成，重点针对管理信息化系统的服务总线模块面临的横向威胁开展防护。

图5 综合威胁分析与响应技术架构

2.3.1 基础环境建设

基础环境建设内容主要包括威胁感知层和威胁处置层建设。

威胁感知层主要基于集中数据监测和审计技术，将管理信息化系统南北向与东西向的网络流量、系统运行日志、安全设备日志、数据库审计日志进行全面采集，其信息采集深度与广度决定了威胁研判的准确性。

威胁处置层通过SOAR 技术与企业网内各分区、各层级安全防御系统（如防火墙、WAF、蜜罐）建立联动，对分析明确的威胁行为，调动对应区域安全防御系统快速封锁攻击源，实现精准防护。处置层的可控制安全防御设备数量决定了威胁防御的时效性。

2.3.2 横向威胁识别模型建立

威胁识别模型建设基于威胁分析层的大数据分析，通过提取原始流量或日志中的安全特征，根据不同威胁情况将安全特征进行组合建立威胁识别模型。

针对管理信息化系统服务总线的横向威胁识别，内置威胁模型，如ARP 扫描、端口扫描、口令爆破等，可识别基础的横向威胁；服务总线API 接口规范抽取安全特征，建立定制化的横向威胁模型。

应用场景：服务总线平台会校验访问API 接口请求报文的合法性，即请求报文的HTTP 头部须携带预先注册的请求方身份标识（ClienId）及目的操作（OperationCode）。对于未携带指定字段、或者指定字段的值与注册信息不一致则判定为非法请求，服务总线会返回特定错误码。如图6 所示，在请求中伪造ClientId 值，服务总线校验为非法请求并返回XML 格式错误码“1008”。

图6 服务总线对非法请求返回错误码

将ClientId 和OperationCode 字段及服务总线非法请求错误码作为安全特征，三者进行关联即得到针对服务总线API 接口的横向威胁模型。

2.3.3 威胁防御策略形成

根据不同业务安全需求场景，以统计、关联等形式应用威胁模型并基于SOAR 建立联动处置规则，最终形成面向实际业务安全场景的威胁防御策略。

应用场景：基于服务总线平台API 接口横向威胁模型，采取频率统计方法判定攻击威胁，即在指定时间段内多次匹配该威胁模型则认定服务总线遭受横向渗透攻击，进而，基于态势感知平台SOAR实施自动化联动防御。威胁防御策略的应用，实现了威胁从发现到处置在1 min 内完成，提高安全威胁处置时效性，在当今攻防实战中具有很高实用价值。

3 结束语

铁路设计企业将网络安全充分融入到企业管理信息化系统建设项目中，为网络安全与信息化深度融合打下良好基础。基于等级保护2.0 中 “一个中心，三重防护”安全框架，建立网络安全防御技术体系。该安全防御技术体系已在某铁路设计企业得到应用，有效提升了企业管理信息化系统纵深防御能力。对信息系统安全建设有一定借鉴意义。

未来，还须继续完善网络安全体系，依托等级保护定级、安全风险量化分级、数据分类分级等措施，形成网络安全分级防护策略，并建设安全分级防护基础设施环境，进一步提高企业网络安全管理水平。