掃碼訂閱《中國信息安全》雜誌
郵發代號 2-786
征訂熱線:010-82341063
文 |中國鐵路信息科技集團有限公司總經理張伯駒
鐵路屬於我國重要的交通運輸基礎設施,在國民經濟中承擔着重要支撐和保障作用。鐵路關鍵信息基礎設施對保障鐵路運輸安全甚至國家安全都具有重要意義。國鐵集團認真貫徹習近平總書記對鐵路工作的重要指示批示精神,全面落實中央關於網絡安全和信息化工作的重大決策部署,堅守安全底線,樹牢安全屏障,堅持「黨組領導、分工負責;依法保護、強化基礎;問題導向、聚焦合規;實戰引領、錘鍊精兵」工作原則,統籌推進鐵路關鍵信息基礎設施安全保護各項任務,築牢鐵路關鍵信息基礎設施安全保障體系。
《關鍵信息基礎設施安全保護條例》頒布以來,國鐵集團聚焦鐵路關鍵信息基礎設施安全保護工作,開展網絡安全等級保護,取得大量基礎合規防護技術研究和應用實踐成果,建立了鐵路關鍵信息基礎設施縱深防禦體系。但鐵路關鍵信息基礎設施安全保護面臨的網絡安全態勢不容樂觀。一方面,IT供應鏈攻擊、APT攻擊和數據泄露事件層出不窮,鐵路關鍵信息基礎設施的安全威脅不斷演化,安全挑戰日益嚴峻複雜。另一方面,隨着雲計算、人工智能、物聯網、北斗衛星、5G等新技術應用不斷深入,鐵路信息化呈現出數字化、網絡化、智能化態勢,網絡安全防護對象擴展、邊界外延、攻擊面擴大,主動防禦難度加大。因此,必需全方位落實鐵路關鍵信息基礎設施網絡攻防、數據安全、風險評估、供應鏈安全、國密應用安全、國產化的強化保護要求,強化信息共享和指揮協同,突出風險管控,全面建立鐵路關鍵信息基礎設施安全保障體系。
傳統的鐵路網絡安全防禦體系難以應對新型武器攻擊、平台化武器庫攻擊和快速有效滲透等多元化強力攻擊方式。
鐵路既有安全措施對新出現的多樣化安全威脅防範不足,特別是針對移動互聯網、大數據、雲計算等新技術應用,缺乏針對性的安全防護措施。鐵路關鍵信息基礎設施主要基於專網運行,運行狀態監控手段缺乏,網絡感知能力薄弱。除信息系統網絡流量和日誌監測覆蓋全路外,監控範圍未覆蓋工業控制系統,未形成全路性網絡安全態勢感知能力、全景可視化能力和安全事件處理能力。
鐵路缺乏對新型APT攻擊、供應鏈攻擊有效的技術防護措施。需要開展擬態防禦技術、零信任技術、可信計算技術等研究,持續建立鐵路「內生化」全新安全體系是一個重大變革方向,增強自身對未知攻擊、未知漏洞、未知木馬的免疫能力。
鐵路關鍵信息基礎設施的國產化率,特別是專用傳感器、工控設備等關鍵設施的自主可控水平低。需要在典型系統信創產品適配、測試、驗證、國密算法改造方面開展應用研究。
鐵路關鍵信息基礎設施威脅攻擊溯源及全生命周期風險管控分析不完善,安全關聯分析能力存在短板。需要建立鐵路威脅情報庫、風險庫,研究資產識別、威脅識別、脆弱性識等威脅情報分析技術,建立完善風險評估算法模型。
攻擊路徑排查中發現殭屍資產、無責權資產,說明鐵路關鍵信息基礎設施存在資產底數不明、台賬不清問題。必需加強數字資產流動監控、資產分類分級及資產圖譜畫像、供應鏈安全管控,為開展資產梳理排查提供基礎支撐。
鐵路關鍵信息基礎設施保障體系採用「基礎—強化—協同」三層保障體系架構,深入貫徹「三化六防」理念,保護鐵路關鍵信息基礎設施安全。
圖1鐵路關鍵信息基礎設施保障體系架構設計圖
基礎保護層側重「剛需+合規」保護。落實網絡安全等級保護合規要求,健全「一個中心,三重防護」技術體系。「一個中心」為安全管理中心。「三重防護」為安全通信、安全邊界和安全計算環境技術安全防護措施。建立鐵路網絡安全基礎庫是依託主數據中心、網絡安全監控指揮中心和綜合信息網一體化保障工程,建設鐵路網絡安全資產庫、風險庫和能力庫。
強化保護層是在基礎保護層之上,強化對鐵路關鍵信息基礎設施的重點保護。建設仿真環境、攻防對抗環境,推進國產密碼應用、信創、國產化替代等工程,加強數據安全評估、風險評估、供應鏈圖譜分析,採取訪問控制、加密備份、行為審計等技術手段,嚴格保護推動實戰化、常態化、體系化發展。
協同保護層是建立信息共享和指揮協同機制。圍繞鐵路關鍵信息基礎設施保護對象,構建網絡安全運營平台,實現基礎安全管理、應用安全平台、邊界防禦平台及網絡環境平台。實現上下級聯動防禦。
2018年底,鐵路主數據中心建成並投產運行,總建築面積5萬多平米,可容納3000多個IT機櫃,達到國標A級數據中心標準,可提供符合等保三級標準的資源池服務能力,為鐵路關鍵信息基礎設施提供了安全可靠的基礎環境。
着力建設科學先進、綠色節能、功能完備的雲數據中心。全面開展系統統型、整合、上移,把多個版本、功能相似、殭屍系統進行融合重構,實現路局、站段業務應用系統上移工作。除控制類和檢測監測類系統外,逐步向國鐵集團雲數據中心匯聚。按照雲邊協同能力建設要求,加快建成模塊化、標準化邊緣節點。研究基於國產服務器、國產處理器、國產操作系統、國鐵雲相關軟件的超融合服務器。
圖2國鐵雲平台建設框架
採用態勢感知、威脅情報分析、邊界防護、風險評估、終端安全接入等技術,構建「五網三級」終端安全防護體系和縱深防禦體系。以建設五個安全支撐平台為核心,建立鐵路網絡安全保護技術保障體系,對保護對象提供基礎防護和擴展防護功能。建設大數據支撐平台,提供統一的數據服務,包括數據的傳輸採集、存儲、分析和展現,為上層數據應用平台提供基礎支撐。建設業務風控系統,對業務風險進行綜合分析。建設集中安全管理平台,對防護和保護對象進行集中管理、集中運維。建設態勢感知平台,動態掌控防護狀態。建設電子認證服務平台,實現統一身份認證、集中安全管理、態勢感知、移動終端接入、終端安全、邊界安全、違規外聯和計算環境安全。
依託網絡安全監控指揮信息平台、客戶服務平台,構建平戰結合、預防為主的鐵路網絡安全監控指揮中心,促進信息系統網絡安全能力、服務支持能力和安全運營三大能力全面提升,支撐鐵路業務快速發展。提供信息機房、鐵路關鍵信息基礎設施、重要系統運行狀態,以及信息資產、網絡安全風險等方面的統一監控、工單閉環管理功能,實現網絡安全態勢集中監控、客戶服務需求集中受理、運行維護資源統一調度、事件響應處置統一指揮。
圖3鐵路網絡安全監控指揮中心框架圖
鐵路網絡安全靶場作為支撐鐵路網絡安全攻防體系建設的重要基礎設施,可應用於網絡安全仿真測試、攻防訓練、技術驗證等場景。採用虛實結合仿真技術、複雜異構網絡快速復現及重構技術、靶場資源自動配置與快速釋放技術、APT攻擊識別技術等,支撐靶場相關功能。鐵路網絡安全靶場日常可用於驗證安全測試、滲透測試、安全加固措施、補丁更新、安全策略變更等業務,以減少對鐵路運輸生產業務的影響。鐵路網絡安全靶場可作為特殊應用場景的試驗環境,比如攻防對抗演習、技能提升、漏洞挖掘、實操培訓,甚至工業控制系統的安全風險分析等。
建立鐵路信創適配實驗室和適配中心,搭建信創適配仿真基礎環境。構建以鐵路自主創新產品體系為主體的生態環境,布局覆蓋鐵路國產化技術全體系應用適配。提供產品適配測試、應用適配遷移、系統仿真驗證、運維服務保障、技術培訓等功能,攻克國產化技術在鐵路行業推廣應用中的技術難題,研究解決國產化產品適配過程中的問題,為大規模推廣國產化應用以及自主創新產品的探索性應用提供實驗田。
依託重點工程項目,持續補強適用於網絡實戰攻防的安全相關設備設施,包括監測預警、聚合分析、聯動阻斷、應急處置、溯源反制等。加快推進網絡安全運營平台建設,進一步健全應對網絡實戰攻防的網絡安全技術保障體系。通過實踐優化策略,最大限度發揮既有平台效能。積極研究新一代網絡空間安全防禦技術。
圍繞智能建造、智能裝備、智能運營三個領域開展智能鐵路的技術創新工作。在鐵路基礎設施監測、應急通信等專業擴大北斗導航系統的應用範圍。開展鐵路5G網絡等新型基礎設施技術攻關,推動5G+北斗融合應用。深化物聯網、移動互聯網等信息技術應用與人工智能技術的融合應用,促進鐵路移動裝備高速化智能化、運輸經營管理智能化無人化、運輸服務便利化人性化。
圍繞加快推進信息技術應用創新整體戰略布局,結合國家信創產業發展和鐵路業務實際情況,開展鐵路領域信息系統安全可靠替代關鍵技術研究,專題做好頂層設計。開展數據庫、雲平台等基礎軟件自主研發替代試點示範應用,搭建信息技術應用創新產品驗證測試環境,推進鐵路信息技術應用創新工作落地實施。大力推進控制系統及關鍵設備自主化和國產化替代。持續深化動車組和列控系統國產芯片替代攻關,形成基於國產器件的控制器設計能力。
強化安全檢測監測數據融合分析和智能化處理,充分運用大數據、人工智能等技術,切實提升鐵路事故、故障、網絡安全事件風險監測預警、分析研判和應急處置水平。以網絡安全等級保護、風險評估、數據安全評估、密碼評估、源代碼安全檢測為抓手,完善關鍵信息基礎設施安全檢測評估體系。深入推進關鍵信息基礎設施風險評估工作,對每一項資產,識別可能被威脅利用的弱點,系統分析其存在的脆弱性。
《中國信息安全》雜誌 傾情推出
「企業成長計劃」
點擊下圖 了解詳情
留言列表