王一芃，田海波，季宏志

（中国铁路信息科技集团有限公司 网信安全处，北京 100038）

铁路综合信息网的前身为铁路综合计算机网，目前已发展为覆盖中国国家铁路集团有限公司（简称：国铁集团）、18个铁路局集团公司、上千个基层站段的综合承载网络，涉及办公、财务、劳卫、货运、客运、机辆、工电等铁路业务部门，涵盖铁路运输组织、货运营销、经营管理等多个领域[1]。相较于铁路综合计算机网这种相对局限和封闭的信息管理应用系统，铁路综合信息网不仅承载了大量的应用系统，还汇接了铁路12306互联网售票系统（简称：12306）、铁路综合视频监控系统和铁路调度指挥系统（TDCS，Train Dispatching Command System）/调度集中控制（CTC，Centralized Traffic Control ）系统等的多个专用网络，为互联网应用场景提供更加开放的服务。多样化和差异化的业务及安全需求成为了铁路综合信息网亟须解决的问题。

为应对各类应用系统和业务专网的需求，铁路综合信息网的区域划分变得越来越复杂，区域边界的安全防护策略也越来越多样化，使得铁路综合信息网的安全管理难度越来越高[2]。目前，铁路综合信息网承载的许多应用系统除了提供简单的网站信息发布外，还提供移动互联和双向交互的功能，这带来跨网络的多类型数据交互。这些交互数据的安全需要得到全面保护。

网络区域边界是网络区域内部业务系统安全防护和防止敏感信息泄露的必经渠道。按照网络安全等级保护2.0系列标准（简称：等级保护2.0）“一个中心，三重防御”的纵深防御思想，网络区域边界防护构成了安全防御的第2道防线[3]。网络区域边界面临的安全风险主要来自3个方面：网络区域边界的不确定性、网络本身的脆弱性和漏洞、网络威胁。网络威胁包括黑客攻击、病毒入侵、信息窃取等。

对于铁路综合信息网而言，其应用系统均有明确的应用场景和用户群体。近些年来，随着铁路网络安全管理的逐步深入，铁路综合信息网的网络区域边界已经较为明确。因此，本文主要研究铁路综合信息网自身脆弱性和以网络为目标的攻击威胁。

基于对铁路综合信息网既有应用系统和业务专网的前期调研，本文以等级保护2.0对网络区域边界的防护要求为指导，从网络区域边界安全和应用系统业务需求的角度出发，对铁路综合信息网的网络区域边界进行分析，对各类典型网络区域边界的风险进行明确。

根据现有网络区域边界安全防护技术，本文为各类网络区域边界提出安全防护重点及防护措施，以供网络安全管理工作人员参考。

1 铁路综合信息网区域划分现状

1.1 网络区域类型

铁路综合信息网由国铁集团、铁路局集团公司和站段三级局域网构成，通过铁路通信网实现互联互通。国铁集团级和铁路局集团公司级局域网根据是否与互联网物理连接可进一步划分为外部服务网、内部服务网和安全生产网[4]。

外部服务网是与互联网和其他行业网络相连接的网络，主要部署面向社会提供公共服务的业务应用。外部服务网的出口统一部署在国铁集团级和铁路局集团公司级局域网。站段级局域网只包含内部服务网和安全生产网。

内部服务网和安全生产网均不与互联网和其他行业网络直接相连，为铁路行业内部网络环境。内部服务网部署面向铁路内部的一般性业务应用，安全生产网部署直接关系铁路运输生产的业务应用[5]。

根据业务功能的不同，每级局域网可以进一步划分成接入区应用服务域和运维管理区。

1.2 区域边界服务内容

根据铁路信息化总体规划的要求，铁路综合信息网的外联接入区可以提供互联网、移动互联网、广域网、专线和专网的接入服务。外联接入区接入服务只存在于外部服务网，用于实现部署在外部服务网的各类应用系统与互联网之间的信息交换。通过外联接入区与铁路综合信息网进行数据交互的源端主要包括社会用户、员工用户、合作伙伴，以及公有云服务平台。

社会用户通过互联网或移动互联网获取资讯类信息。员工用户通过互联网访问业务平台、邮件系统，以及进行远程办公。合作伙伴通过互联网实现数据共享及业务合作。

广域网接入服务用于实现国铁集团、铁路局集团公司和站段局域网的应用系统和终端之间的信息交换。通过广域网与铁路综合信息网进行数据交互的源端主要有员工用户，所承载的主要业务为铁路局集团公司级和站段级局域网数据的汇总。

专线接入服务部署于外部服务网和内部服务网，用于承载以专线方式连接的路内信息系统。通过专线与铁路综合信息网进行数据交互的源端主要包括与铁路有业务关联的合作伙伴、铁路企业申请的公有云服务平台及其自建的私有云服务平台，所承载的主要业务包括税务业务、财务业务、银行支付等。

专网接入服务用于连接12306等铁路信息专网，实现铁路各应用系统之间的数据交换。专网接入服务只部署于安全生产网。

2 区域边界防护重点及防护措施

网络区域边界安全防护的基本工作是在保证不同网络之间实现互联互通的同时，在网络区域边界采取必要的授权接入、访问控制、入侵防范等措施，实现对网络内部的保护。等级保护2.0对网络区域边界提出了安全控制要求，主要对象为应用系统边界、网络区域边界等，涉及6个安全控制项：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。在这6个安全控制项中，前5个安全控制项均存在高危风险[3]，因此，本文针对这5个安全控制项进行网络区域边界安全防护分析。

2.1 边界防护

边界防护的重点是保证网络区域边界设备端口和链路的可靠性，防止非授权网络链路的接入。边界防护通过有效的技术措施，对外部设备的网络接入行为及内部设备的网络外联行为进行管控，以阻止外部威胁的引入[6]。

对于铁路综合信息网而言，互联网边界的安全是边界防控的重点。由于互联网充满了安全威胁与不确定性，如果铁路综合信息网的出口侧缺少防御措施，那么其内部系统将直接暴露在互联网的安全隐患中，并成为网络攻击的目标。此外，铁路综合信息网对无线网络的使用采取管控措施，以防止因无线网络的滥用而引入安全威胁。

2.2 访问控制

访问控制通过采取技术措施，明确主体对客体的访问权限及服务使用权限，以阻止网络资源的未授权访问。访问控制的管控对象通常是业务访问的源地址、目的地址、源端口、目的端口，以及业务数据流所包含的内容及协议。一般情况下，网络区域边界及各网络区域之间采用弱隔离措施，如访问控制列表（ACL，Access Control List）控制，即可满足访问控制要求。

对于可控网络和不可控网络之间的边界，访问控制往往需要采用通信协议转换或通信协议隔离的方式进行业务数据的安全交换。对于这类网络区域边界，访问控制通常采用强隔离措施，如网闸、光闸、安全隔离设备等。

2.3 入侵防范

入侵防范通过对所在网段内的各种数据包进行监测和分析，检查网络是否受到入侵和攻击，并记录网络事件及告警信息。入侵防范的关注重点一般包括外部网络发起的攻击、内部网络发起的攻击、对新型攻击的防范、入侵和攻击的及时告警等4个方面。

针对外部网络发起的攻击，入侵防范可以通过在关键节点部署入侵防御系统（IPS，Intrusion Prevention System）、入侵检测系统（IDS，Intrusion Detection System）、动态沙箱和抗分布式拒绝服务（DDoS，Distributed Denial of Service）攻击等设备进行防护。而内部网络的入侵往往是因为终端侧缺乏有效安全管控，因此，内部网络的入侵防范可以通过部署终端安全防护系统和终端杀毒软件进行防护。

2.4 恶意代码和垃圾邮件防范

恶意代码主要包括计算机病毒、木马和蠕虫，其传播载体主要是网页、电子邮件等应用。因此，提供Web页面服务和电子邮件服务的应用系统需要重点加强对恶意代码的防护。垃圾邮件能够使邮件服务不可用，或者实施网络诈骗，散布非法信息，对业务的正常运行产生严重影响。

对于Web页面和邮件中无法通过病毒特征库来识别的进程和代码，恶意代码和垃圾邮件防范可以使用动态沙箱来模拟终端运行环境，判断是否为影响业务系统的恶意进程。

2.5 安全审计

安全审计的重点包括监测网络流量和设备运行情况、记录和识别异常流量，并进行报警等[7]。安全审计对网络日志进行分析，形成报表，并根据具体情况采取报警、阻断等操作。

除了上述安全控制项外，在实际业务应用场景中，身份认证、访问控制和数据传输过程所生成数据的完整性和保密性的保障也是网络区域边界安全防护考虑的方面[8]。

针对上述5个安全防护项以及数据完整性与保密性需求，表1列举了与之相满足的安全防护设备。

表1 边界安全防护重点项及其安全防护设备

3 区域边界防护

3.1 典型的网络区域边界

由铁路综合信息网区域划分可知，与铁路综合信息网进行外联的网络主要包括互联网、专网、广域网和专线这4种方式。由铁路综合信息网内部的外部服务网、内部服务网和安全生产网所组成的横向3层局域网结构可知，铁路综合信息网存在5种典型的网络区域边界，如图1所示。

图1 铁路综合信息网区域边界

（1）互联网边界指外部服务网与互联网之间的边界，所涉及的具体业务主要包括Web应用、文件传输、电子邮件等。

（2）专线接入边界是外部单位（如税务、财务、银行等部门）和铁路综合信息网之间的网络区域边界。

（3）纵向网络区域边界指铁路内部上下级单位之间的网络区域边界，例如，国铁集团外部服务网与铁路局集团公司外部服务网之间的边界。

（4）横向网络区域边界指外部服务网与内部服务网，以及内部服务网和安全生产网之间的边界。

（5）内部安全边界指外部服务网、内部服务网、安全生产网内部系统间的区域边界。

3.2 边界风险识别

根据是否与互联网互联，网络区域边界可以分为两大类，即互联网边界和内部网络区域边界。这两类网络区域边界的安全风险有较为明显的区别。

对于互联网边界而言，由于攻击者不可控，使攻击行为很难溯源，更无法对其进行阻断。一般来说，互联网边界的安全风险主要有网络入侵、木马病毒、漏洞攻击、邮件攻击、信息泄露等。因此，互联网边界安全的重点是防护、监控和阻断。

对于内部网络区域边界而言，由于内部网络的用户为业务人员、运维人员和管理人员，其用户行为可以通过用户认证授权、行为审计等方式管控和追踪。内部网络区域边界存在的主要安全风险是权限滥用、越权应用、未授权访问、信息泄露、木马病毒传播等。

3.3 边界防护措施

本文列举了安全防护的10个技术要求，并结合网络区域边界的业务特点和安全需求，对典型的网络区域边界的安全防护需求进行梳理，其结果如表2所示。网络区域边界的防护措施可归纳为5种，如表3所示。

表2 区域边界防护技术要求

表3 网络区域边界防护措施

（1）互联网边界的安全防护重点是抵御来自互联网的攻击，因而其防护措施主要是通过防火墙、IDS/IPS、流量清洗设备等进行防护。除此之外，针对Web服务的措施有Web应用防火墙；提高访问响应速度和稳定性的措施有链路负载均衡设备。

（2）专线接入边界的安全防护重点是防止外部机构和个人对铁路综合信息网络的破坏，其防护措施主要是通过防火墙、IDS/IPS和日志审计系统进行防护，必要时可以增加认证和加密设备。

（3）纵向网络区域边界的安全防护重点是上下级单位之间的越权访问，其防护措施是通过部署防火墙、认证设备、加密设备等。

（4）横向网络区域边界的安全防护重点是互联网对铁路综合信息网的攻击及敏感信息泄露，其防护措施是通过部署网络隔离设备、数据防泄露系统、日志审计系统等。

（5）内部安全边界需要防止不同安全域之间的不必要访问，其防护措施主要是利用防火墙和日志审计系统。

4 结束语

网络区域边界的安全防护既可以防止应用系统遭受外界的恶意攻击和破坏，也可以保证应用系统中的敏感信息不被泄露。因此，网络区域边界始终是网络安全防护的关注重点。虽然铁路综合信息网的边界划分已较规范和明晰，但是铁路综合信息网的庞大规模、海量数据和繁杂功能依然为网络安全管理工作带来一定压力，尤其是防护网络自身的脆弱性和漏洞、各类业务的差异化需求。本文基于铁路综合信息网络既有建设情况和业务承载情况，提出了各类边界防护重点建议及防护措施建议，为实际网络安全管理工作提供参考。