铁路通信综合网络管理系统网络安全建设的研究

魏 旻

（中国铁路上海局集团有限公司南京铁路枢纽工程建设指挥部，南京 210000）

随着《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的颁布实施，网络安全已经提升到国家战略层面的高度，网络安全建设工作也成为各行各业信息系统建设中的核心和落脚点。铁路通信系统是铁路的关键基础设施，是保障铁路运输安全、提高运营效率的重要工具。铁路通信综合网络管理系统作为通信系统运维的主要手段之一，其安全防护建设也面临着巨大的威胁和挑战，其安全防护体系的研究也亟需加强和规范。中国国家铁路集团有限公司（简称国铁集团）作为国民经济建设中的先行企业，从铁路实际情况出发，先后制定了一系列企业安全标准，其中《铁路通信网络安全技术要求第1 部分 总体技术要求》（Q/CR 783.1-2021）（简称标准Q/CR 783.1）《铁路网络安全等级保护基本要求 安全通用要求》（Q/CR 772-2020）（简称标准Q/CR 722）为铁路通信综合网管系统（简称综合网管）的网络安全建设提供了标准和指导规范。本文将结合以上两个标准要求，着重研究如何建设综合网管的网络安全。

1 概述

铁路通信网涵盖承载网、业务网、支撑网3 个部分。综合网管作为支撑网的一个关键系统，对保障承载网、业务网和支撑网的正常运行、监控网络运行和服务质量发挥着重要作用。随着铁路通信网络和设备的数量增多、分布更加广泛，铁路通信网络内部有许多个相互独立的大型异构系统，存在着传输系统、数据通信系统、调度通信系统、移动通信系统、电源及机房环境监控系统、综合视频监控系统等多个专业网管子系统。综合网管依据《铁路通信综合网络管理系统技术条件》（Q/CR 852-2021）（简称标准Q/CR 852）完成各专业系统的资源、性能和告警数据采集，实现了运维统一门户、运维数据资源共享、业务状态感知、设备和工作质量评价、告警故障工单工作流卡控和辅助决策等功能。通过规范中系统架构的描述，不难发现综合网管具有各专业网管系统的最顶层设计和高度模块集成化的特点，这也决定了综合网管的网络安全建设具有超融合模式的特性，也决定了在做安全设计时，要采用集中式的防护，而不是分散式的防护方式。

2 现状及不足

综合网管及各个专业网管系统在早期建设过程中，在安全技术层面仅要求在网络边界安装防火墙进行安全防护。在标准Q/CR 852 发布后，根据新标准一方面加强了对区域边界中防火墙层面的安全项要求，同时新增了安全计算环境、安全通信网络、安全管理中心和安全物理环境等安全类要求，形成了以安全管理中心为核心，以安全通信网络、安全区域边界和安全计算环境为框架的铁路网络安全技术防护体系。

结合综合网管的特点和新标准规范的实施情况，目前综合网管主要存在以下几个方面的安全风险。

1）安全控制点验证对象的归属问题

身份鉴别、访问控制防护、安全传输、数据完整性等功能到底是在综合网管系统自身实现，还是由安全产品实现，或由网络产品实现，或是需要综合网管系统自身、安全产品和网络产品都要实现。安全审计、入侵防范、数据备份与恢复都存在以上问题。只有以上安全控制点的验证对象能够正确的进行实现归属，才能在综合网管的网络安全建设、等级测评上有的放矢。

2）系统本身风险

弱口令风险：一条线路或多个线路设置同一个口令的现象普遍存在；账号乱用风险：多个不同用户使用同一个账号的现象普遍存在；角色混用风险：未进行管理员、安全员、审计员的角色划分，不同角色人员使用同一个账号登录；鉴别信息被窃听风险：鉴别信息未采用安全技术进行加密处理；未采用最小权限策略风险：一个角色统管管理、操作、安全和审计业务；漏洞风险：操作系统、应用软件、中间件未进行最新升级或实时补丁升级，存在很多安全漏洞。

3）专业网管系统风险

数据完整性风险，直接采用http 非安全协议访问；如弱口令风险，口令非复杂化、未定期进行口令更改。

4）安全管理中心风险

未能实现安全产品防护功能的统一管控风险，存在系统查杀、漏洞扫描、补丁更新、病毒库不能更新或未能进行统一操控的现象。

3 安全建设内容探讨

通过对标准Q/CR 722 和标准Q/CR 783.1 的研读，结合标准Q/CR 852 的系统架构要求，综合网管的网络安全建设包括两大方面：一个是安全计算环境、安全通信网络层面的安全防护功能。另一个是通过防火墙、入侵检测、日志审计、病毒预防与查杀等安全产品实现的安全防护功能。安全计算环境防护建设是通过综合网管自身实现即可，还是需借助安全产品和网络产品组合实现；安全通信网络防护建设是通过网络产品自身实现即可，还是需借助安全产品组合实现；安全区域边界防护建设是通过防火墙自身实现即可，还是需借助网络产品和其他安全产品组合实现；安全管理中心防护建设是通过安全产品自身实现即可，还是需借助综合网管、网络产品和其他安全产品组合实现的，能正确区分这些防护功能的归属才是综合网管系统网络安全建设的关键。

3.1 综合网管网络安全架构

结合标准Q/CR 772 和标准Q/CR 852，综合网管的网络安全架构如图1 所示。

图1 综合网管网络安全域划分示意Fig.1 Schematic division diagram of cyber-security zones ofintegrated network management system

结合综合网管系统构成及安全产品防护的目标，将综合网管系统网络安全域划分为内部安全计算环境、安全通信网络、安全管理中心、安全物理环境和外部安全区域边界。内部安全区域中的安全计算环境主要对整个系统内部的设备级、操作系统级、应用软件级进行安全防护，通过安全设备、网络设备、网管应用软件、中间件等进行实现；安全通信网络主要对系统内网络架构及安全通信进行安全防护，通过网络设备（如交换机）进行实现；安全管理中心主要对系统的整体安全设备及策略进行安全防护，通过安全设备（堡垒机、杀毒软件等）和网管应用软件结合实现；安全物理环境不在本文进行阐述。外部安全区域边界主要实现系统内外间通信的安全隔离及安全策略防护，主要通过安全设备（如防火墙）实现。

3.2 安全计算环境防护

在整个综合网管的网络安全架构中，安全计算环境并不只是针对综合网管应用单元，而是对应整个综合网管系统中所有具备计算、身份鉴别和控制的设备和应用，是通过整个综合网管系统整体来实现的，只是在安全控制项上各有侧重或要求的符合程度不同。

在安全计算环境中有些安全控制点是通用的，需安全产品、网络产品、综合网管进行实现。这些通用控制点包括身份鉴别、访问控制、入侵防范、数据完整性、数据备份恢复和安全审计保护。如身份鉴别中的用户身份登录是任何一个系统或单元安全的必备条件，访问控制中用户角色权限的配置管理是身份鉴别的前提条件；入侵防范中的最小安装、关闭非必要服务和端口等也要求所有的设备或应用必须遵循方能起到防护作用；数据完整性要求需要各个系统采用安全传输及数据加密（如采用https、ftps 访问，SSH 远程控制）技术来实现；数据备份恢复是防止数据丢失、应对灾难恢复、系统可靠性的基本要求，需要支持重要数据的本地和异地备份，并支持数据恢复功能；安全审计则要求各个系统具有用户级及系统级日志的记录功能，为安全管理中心提供数据基础。

恶意代码防范功能，则需要综合网管系统配备入侵、防病毒、杀毒软件等实现；对于个人信息保护方面，则根据系统是否具有个人信息收集、存储、分发功能来判断是否实现。

在现实实践中，访问控制点中的最小权限原则是用户使用过程中最常见和普遍存在的安全问题之一。按照标准Q/CR 722 的要求，需要对权限进行管理员、操作员、审计员和安全员管理划分，而在现实中为了简单操作，不进行最小权限划分，如果一旦忘记或修改管理员密码，则需要修改系统数据库方可恢复。一旦对系统基础数据进行误操作，则会导致一系列访问控制问题。所以，建议在日常使用中要遵循最小化权限原则，不同角色的人员使用不同的身份登录系统。

3.3 安全通信网络

在综合网管的网络安全架构中安全通信网络是整个系统的网络架构基础，主要通过路由器、交换机、无线接入设备等提供网络通信功能的设备或相关组件实现。同时要求这些设备支持校验技术或密码技术进行传输，如采用SSL 证书、数据MD5 加密等。

在安全通信网络中的安全控制点网络架构主要通过交换机来实现管理层面、业务层面、维护层面的VLAN 划分，也可以根据需要采用VPN 进行远程访问，同时在设计之初，要考虑到端口、设备性能的冗余。安全控制点通信传输主要通过交换机实现采用SSL、MD5 技术进行实现。

3.4 安全区域边界

在综合网管的网络安全架构中安全区域边界主要完成与各个专业网管子系统、上级综合网管及其他第三方系统的隔离防护，通过防火墙、入侵检测、病毒防控等安全设备实现。

在安全区域边界中的安全控制点边界防护主要通过部署防火墙隔离设备，实现跨越边界受控访问、控制粒度为端口级、状态检测功能；访问控制安全控制点主要通过配置防火墙的ACL 安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为、基于五元组的访问控制（进行端口的策略配置）、ACL 无冗余且最小功能；入侵防范安全控制点主要通过入侵设备或单元来实现监视网络攻击行为、违规连接非授权功能；恶意代码防范主要通过病毒防控设备或单元实现防病毒、杀毒功能。

3.5 安全管理中心

在综合网管的网络安全架构中安全管理中心主要通过安全设备和综合网管应用单元组合来实现，完成安全设备的统一管控、统一查杀、病毒库更新、日志审计等集中管理功能。目前安全设备只能做到同一厂家平台下的安全设备的统一管控和集中管理。但考虑到用户在使用过程中对综合网管安全防护的需求，这项功能需要在安全平台上来实现。也就是说无论是哪个厂家第一个完成安全平台建设，都应该在平台上能够集中展示本厂家安全设备以及后续扩容新增厂家的安全设备的相关内容。同时综合网管应用单元实现应用部分基础配置、重要数据的备份和恢复、日志审计等功能。

4 安全建设模型探讨

综合上述研究和分析，综合网管的网络安全建设模型如图2 所示。

图2 综合网管安全建设模型示意Fig.2 Schematic construction model diagram for cyber-security ofintegrated network management system

通过在网络边界与核心交换机互联处设置防火墙，对外部接入各专业网管系统、网管终端及一级综合网管来进行逻辑隔离。防火墙可配置IDS、IPS、反病毒等模块功能，实现入侵监测防护、防病毒、安全策略和业务行为监视及告警功能。

通过与核心交换机互联处设置日志审计、堡垒机、防杀病毒、漏洞扫描设备或模块，对网络设备、边界防火墙、综合网管应用单元、网管终端进行安全审计、远程安全登录、防毒及杀毒和漏洞扫描。日志审计对重要的用户行为和重要安全事件进行审计；堡垒机设备或单元实现对远程登录用户的统一管控；杀毒设备或单元实现病毒预防、防御、检测、响应一体化的威胁防御能力，有效预防、抵御各类流行病毒以及勒索软件对终端的入侵，洞察威胁本质，帮助客户快速检测和响应安全问题，全面提升终端安全防护能力；漏洞扫描设备进行主机或系统漏洞扫描、Web 漏洞扫描和弱密码扫描等。

通过对网络设备、安全设备、综合网管应用单元的身份鉴别、访问控制、入侵防范、数据完整性、备份与恢复和安全审计通用功能的自身实现，来保证以上设备或单元的安全计算中主要的控制点要求。对于其他安全控制点则需要根据不同的应用需要在不同的单元实现。

以上建设模型是基于标准Q/CR 783.1、标准Q/CR 722、标准Q/CR 852 中的相关要求设计的。图2 中安全设备或单元代表设备种类，各类设备设置的具体数量根据工程情况进行配置。图2 中未配置的安全设备，根据业主要求和工程需求也可补充设置，对综合网管系统的安全进一步进行完善和补充。

5 结束语

由于综合网管是一个高度集成的统一业务管理系统，所以在安全建设时，要充分认识到安全产品的定位点，不能按照采取完全隔离式的安全区域划分来进行安全设备的设置，要从整体性和系统性上来进行安全产品的设置：一方面要考虑到通用安全控制点的建设要求。另一方面也要考虑到安全产品的固有特性和优势的应用建设要求。

希望本文中对综合网管的网络安全研究分析以及建设模型的建议，可对后续的工程建设起到借鉴作用。使综合网管在更加安全的环境中应用，在保障铁路通信安全及服务质量方面发挥更加稳定的作用。