王 超，赵英明，陈 勋，冯凯亮

（1.北京邮电大学 网络空间安全学院，北京 100876；2.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；3.北京经纬信息技术有限公司，北京 100081）

铁路是国家关键信息基础设施的重要组成部分，随着近几年高速铁路技术的不断进步，其在国民经济及综合交通中占据越来越重要的地位[1]。随着互联网、物联网、5G 技术的飞速发展，铁路关键核心业务对信息化应用的依赖程度逐步提升，铁路关键信息基础设施面临的安全风险日趋凸显和严峻[2]。特别是近年来针对关键信息基础设施的黑客攻击事件频发，关键信息基础设施安全保护面临巨大挑战[3]。

铁路关键信息基础设施不仅承担旅客、原料等的运输任务，且涉及大量的国家基础数据和公民个人隐私信息。一旦铁路关键信息基础设施遭到破坏，将会对国家安全、经济稳定和公民生命财产安全造成严重危害[4-5]。

关键信息基础设施安全控制措施包括分析识别、安全防护、检测评估、监测预警和事件处置，其中，安全防护是实施关键信息基础设施控制措施的核心。安全防护主要是在认定结果和识别安全风险的基础上，制订并实施管理、技术两方面的安全控制措施，保障铁路关键信息基础设施安全稳定运行。本文以国家相关政策标准为依据，设计铁路关键信息基础设施安全防护框架，并提出保护思路和控制措施。

1 安全防护框架总体设计

基于网络安全等级保护2.0 及国家相关政策标准，本文以铁路关键信息基础设施为保护对象，提出一个具备“主动防御，精准防护，整体防护”能力的安全防护框架。该防护框架主要由安全管理机构和人员、安全建设管理、安全网络管理、安全运维管理及安全管理机制组成，如图1 所示。

图1 铁路关键信息基础设施安全防护框架

1.1 安全管理机构和人员

安全管理机构和人员的目标是建立铁路关键信息基础设施安全管理机构并实施科学、完善的人员管理。为保障安全管理工作的有效实施，需建立一个完善安全的管理机构。在单位内部机构的基础上，构建3 层阶梯式安全管理机构，即最高管理层—执行管理层—系统日常运营层，以此作为安全管理措施正常执行的保障。3 层阶梯式安全管理机构如图2所示。

图2 3 层阶梯式管理机构

此外，人是安全管理的关键因素。关键信息基础设施的整个生命周期都需要人的参与。安全管理人员建立措施包括人员配备、人员管理、安全意识教育和培训等，定期对安全管理人员进行综合管理评价，以确保关键信息基础设施的安全稳定运行。

1.2 安全建设管理

安全建设管理的目标是建立关键信息基础设施在规划、开发、实施、测试、验收、交付等阶段的控制措施，并将其落实到管理制度上，整理成文档，确保各阶段的工作质量，以使工作流程符合安全管理要求，做到流程上的规范和全面。

1.2.1 规划建设管理

在新建、改建或扩建关键信息基础设施的过程中，应严格落实“三同步制度”，即同步规划、同步建设和同步运行。建设或改建之初，分析安全需求并基于该需求进行安全设计，细化安全机制。建设或改建时实施监理等管控措施，建设完成后要进行安全检测评估，重点检测网络安全问题，符合要求后进行验收。设备完成验收并部署上线后，保证安全设施的同步运行，要做到安全监控、安全维护和安全应急三管齐下。

1.2.2 基础环境建设管理

基础环境建设的内容包括机房建设、系统集成、网络改造建设等工程项目实施过程中的安全管理。机房基础环境的安全建设需满足《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）标准的第四级要求[6]。工程实施的安全管理包括工程管理人员、工程过程控制、管理制度等方面。

1.2.3 信息系统建设管理

信息系统建设管理包括系统开发、系统测试、系统验收和系统上线管理。在系统开发管理中，首先制订软件开发管理制度、明确软件设计和开发的相关文档，并在软件交付前委托第三方测试机构进行恶意代码的检测与验收测试。在系统测试管理中，指定详细的测试规范，根据业务控制风险的要求进行严格代码审核，在测试系统功能正常运行的基础上，对其容错能力、负载强度、系统性能、各模块间接口正确性等进行测试，并对安全漏洞进行检测。在系统验收管理中，制订明确的信息系统验收标准，定义新系统的接收要求和标准并进行文档化。系统上线管理包括系统上线材料的汇总、依据上线方案完成系统割接、对系统上线状况进行监测，以及对已出现问题的分析、处理和记录。

1.2.4 供应链及采购管理

供应链管理包括明确供应链保护措施，建立合格供应商列表，使用可信或可控的分发、交付和仓储手段，以保护供应链相关信息；使用防篡改包装，明确供应商的筛选和退出机制，并对供应商服务进行安全评估。在采购网络产品和服务时，尤其对列入《网络关键设备和网络安全专用产品目录》的设备和产品，要确保其满足法律法规的规定和相关国家标准的要求。

1.3 安全网络管理

安全网络管理的目标是制订有效安全防护策略，确保铁路关键信息基础设施日常管理及运营安全。

安全网络管理需对不同的网络安全域采取不同的安全互联策略和边界防护措施，包括安全互联、信息流管控及软硬件设备管控。

（1）安全互联是指对不同网络之间的互联制订严格的访问策略，并通过统一身份与授权管理系统对用户身份进行集中管理，确保不同系统或区域互联过程中用户身份、安全标记、访问控制策略等信息的一致性。此外，安全互联还包括通信前的身份认证，以加强局域网间远程通信的安全防护。

（2）信息流管控要依据客户隐私权和安全利益需求，制订合适的信息流控制策略，控制系统内及互连系统间的信息流动，定义信息传输中的禁用关键词、特征及信息类型，检查跨域传输中是否存在禁止类信息，并遵循信息流控制策略，不传输此类信息。

（3）对于软硬件设备，加强对未授权设备的动态检测和管控能力，确保只有经授权的软硬件设备才能直接连接关键信息基础设施的信息系统。在软硬件设备接入信息系统前要进行安全评估与标识授权，并实施注册管控与实时监测，确保能够及时发现和阻止未授权设备接入并报警。

1.4 安全运维管理

安全运行与维护（简称：运维）管理的目标是设计日常和重要时期的保障机制，强化整体安全防御能力，保障铁路关键信息基础设施稳定运行。

1.4.1 物理环境管理

物理环境管理主要指针对机房环境的管理。

（1）在机房配置相应的防雷击、防火、防水、防潮和防静电的安全措施，确保机房区域物理环境的安全可靠。

（2）建立机房安全管理制度、机房访问人员管理制度及机房人员出入区域控制制度，对机房中部署的服务器、安全设备、网络设备等硬件设备的访问进行严格控制。

1.4.2 风险管理

风险管理主要包括入侵防范、漏洞管理和信息安全风险事件管理。

（1）入侵防范采取多锚点监测和实时监测，对来自企业内外部的入侵方进行精准定位，实时监控并拦截入侵活动和攻击性网络流量。

（2）漏洞管理主要是定期开展安全测评，对系统和应用程序中存在的漏洞进行识别、评估和修复，确保漏洞管理过程对业务连续性的影响在可接受范围内。

（3）信息安全风险事件管理，包括信息安全事件定级分类、系统风险评估，以及基于安全管理策略和需求的风险处置。

1.4.3 数据管理

随着铁路数据应用的不断深入，许多应用需要与外部系统对接，在数据共享时必须保证数据开发、测试、生产、应用等各个环节的安全。根据数据敏感程度及数据对业务的影响，对数据进行分类定级，为不同等级数据制订相应的保护策略。采取加密存储传输、安全审计、数据备份等安全措施，严格控制重要数据的公开、分析、交换、共享、导出等关键环节。为了防止数据原发行为抵赖和数据接收行为抵赖，采用密码技术提供数据原发证据和数据接收证据[7]。

1.4.4 信息系统管理

信息系统管理包括维护管理、容灾备份管理及业务连续性管理。

（1）维护管理包括维护人员的严格审核与授权，维护工具的审核与监视，维护信息的记录与维持，并在对铁路关键信息基础设施设备、信息系统及网络的维护之后，对可能受影响的安全措施进行检测，以确保正常运行。

（2）容灾备份是保障铁路关键信息基础设施在发生意外或破坏时，恢复业务正常运行的重要措施[8]。选择合适的灾难备份机制，对不同功能类型设施制订不同的灾难备份目标和系统技术方案，例如，对重要系统实现异地备份；对数据更新快、完整性要求高的重要数据库实现实时数据传输。制订灾难恢复计划，确保关键信息基础设施能及时从网络安全事件中恢复运行。

（3）业务连续性管理中，需要明确业务连续性计划；对于重要数据，根据系统可用性要求，设置重要系统和数据处理设施冗余；对业务连续性管理系统的性能和网络安全连续性进行实时监控检查。

1.4.5 外包管理

外包是指企业动态地配置自身和其他企业的功能和服务，并利用企业外部的资源为企业内部的生产和经营服务。虽然企业通过外包可以降低成本资源、获得更好的技术，但是，缺乏对外包资源的完全控制和质量控制，存在安全隐患。因此，在使用外包服务的过程中，应根据符合国家有关规定进行外包运维服务商的选择；签订协议时，需明确所有相关的安全要求。除此之外，要与外包人员签署包括不同安全责任的合同书或保密协议，并限制其逻辑和物理资源的访问权限，其所有访问由专人全程陪同与监督。

1.5 安全管理机制

安全管理机制主要包含日常安全保障工作机制、重要时期保障机制。

（1）日常安全保障机制：定期对运行的信息系统进行风险分析、风险评估和风险控制。

（2）重要时期保障机制：在国家重要活动、会议及国家节假日的重要时期，为铁路关键信息基础设施提供重保组织架构设计、安全检查、积极防护、实时监测、响应处理、威胁预警等安全服务，发现并修复重要系统中安全风险和安全防御体系的薄弱环节，保障重要时期的关键信息系统和数据资产安全，确保铁路关键信息基础设施的正常运行。

2 关键技术

2.1 网络通信管控

（1）网络架构：合理规划安全区域，规划网络IP 地址分配，设计网络线路和网络重要设备冗余，在网络边界部署安全设备。

（2）通信传输：通信数据的完整性通常是使用数字签名或散列函数对密文进行保护，通信数据保密性是指报文或会话进行加密处理，防止造成信息泄露，常用技术有IPsec VPN 和SSL VPN。

（3）边界防护：通过阻断非授权设备连入内网，阻断内部用户私自连接到外网，确保无线网络通过受控的边界防护接入内部网络。针对外部威胁造成的安全风险，如木马后门、病毒攻击、拒绝服务攻击、口令猜测、非法访问等，通常采用基于主机和网络的入侵检测系统[9]进行风险阻断。

（4）访问控制：通用的访问策略一般基于身份、规则或者两者的结合。综合访问控制策略包括入网访问控制、网络权限访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等。

2.2 数据安全保护

数据安全建设和防护的目标是在系统自身安全防护标准基础上，基于数据分类、分级管理、敏感数据访问控制、外泄的安全监控及数据在传输和存储过程中的加密管理，实现数据生命周期的安全管理，保证数据和信息不被非授权访问、篡改或破坏等，从而确保数据的保密性、完整性、可用性[10]。具体涉及的技术有身份鉴别、安全访问控制、数据安全审计、资源控制安全、数据完整性措施、数据保密性措施、数据容灾备份、数据库系统安全措施等。

2.3 供应链安全控制

（1）供应链保护措施能够降低攻击者利用供应链造成的危害，优先购买现货产品，并缩短采购决定和交付的时间间隔，使用可信或可控的分发、交付和仓储手段保护供应链相关信息，如通过向供应商屏蔽关键信息、采取匿名采购或委托采购的方式，以降低因信息汇聚或关联分析而获得供应链关键信息的可能性。

（2）在运输或仓储时使用防篡改包装，如采取防伪标签、安全封条，对封条使用和货柜安全操作建立指导性规程。

（3）按照评估结果对供应商产品进行质量、可靠性、安全进行测试，并将合格的测试结果作为采购的条件。

2.4 重要时期保障

运用技术能力可以做到识别和发现铁路系统在开展重大活动时可能面临的网络安全威胁和风险，重要时期保障能力是确保网络安全措施有效的关键体现。结合历届的重要事件情况，分析威胁网络安全的因素，可能的攻击方式、攻击入口、攻击特点等，通过关键技术发现面对强隐蔽性、多样性和高频发的攻击手段，在重大活动前，全面检测铁路关键信息系统，识别和发现已知的威胁和风险，并对可预知的风险和威胁设立监测和防护机制，建立事前防护体系。关键技术运用能力主要体现在以下两个方面。

（1）采用多维度漏洞和威胁检测技术开展风险评估。安全风险评估主要是依据风险评估相关标准，通过人工配置检查、访谈、漏洞扫描、失陷检测、全流量威胁分析、木马查杀、webshell 检查和渗透测试等技术方法，对铁路关键基础设施的信息系统、网络设备、安全设备、基础软件、平台和应用等进行安全检查和风险评估，找出并发现信息系统存在的安全漏洞、安全配置层面存在的安全问题，以及可能造成的安全风险。根据发现的安全问题和可能存在的安全风险进行安全加固，提高信息系统各层面抵抗风险的能力。

（2）采用探测和流量分析等技术进行持续安全监测。为了及时掌握铁路关键信息系统运行情况，可通过互联网资产探测、网站安全监测、全流量监测、态势感知等进行持续监测，从而降低因安全问题、外部威胁而造成的负面影响；可对铁路关键信息系统进行多方位的安全监测工作，以便能够及时发现并处理系统存在的安全问题，防止事态的蔓延。

3 结束语

本文在网络安全等级保护2.0 要求的基础上，以铁路关键信息基础设施为重点保护对象，建立一套基础坚实、防护强化的铁路关键信息基础设施安全防护框架。从机构和人员、建设、网络、运维等各个阶段，强化信息系统生命周期安全管理，有助于为铁路信息系统构建全面的网络安全防御体系。未来，将针对云计算、大数据、物联网等新技术在关键信息基础设施领域的发展应用，进一步扩充安全防护框架技术体系，实现更加高效、灵活、通用的铁路关键信息基础设施安全防护框架。