導(dǎo)語(yǔ)：鐵路站段網(wǎng)絡(luò)安全防護(hù)方案一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文參考等保2.0的相關(guān)標(biāo)準(zhǔn)，結(jié)合鐵路基層站段實(shí)際，在深入分析站段信息系統(tǒng)架構(gòu)和安全問(wèn)題的基礎(chǔ)上，圍繞安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心四個(gè)方面提出了鐵路站段網(wǎng)絡(luò)安全防護(hù)方案設(shè)計(jì)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；等保2.0；鐵路站段；邊界防護(hù)；訪問(wèn)控制

鐵路綜合信息網(wǎng)由國(guó)鐵集團(tuán)、鐵路局集團(tuán)公司和站段局域網(wǎng)構(gòu)成?；鶎诱径蔚木W(wǎng)絡(luò)安全處于鐵路“一個(gè)中心、三重防御”的縱深防御體系的最前端，其安全作用的發(fā)揮對(duì)整個(gè)鐵路信息系統(tǒng)網(wǎng)絡(luò)安全有著重要影響。當(dāng)前國(guó)鐵集團(tuán)和集團(tuán)公司的網(wǎng)絡(luò)安全防護(hù)體系已覆蓋到基層站段，但由于站段信息系統(tǒng)及其應(yīng)用環(huán)境的復(fù)雜程度、基層專業(yè)技術(shù)力量不足的現(xiàn)狀，基層站段的網(wǎng)絡(luò)安全仍然是整個(gè)鐵路信息網(wǎng)絡(luò)的一個(gè)薄弱環(huán)節(jié)。同時(shí)伴隨著我國(guó)鐵路的智能化發(fā)展，各類智能裝備、智能運(yùn)維逐步賦能站段發(fā)展，物聯(lián)網(wǎng)設(shè)備、5G設(shè)備等的接入也給鐵路信息網(wǎng)絡(luò)帶來(lái)了新的安全威脅。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度，延續(xù)等保1.0標(biāo)準(zhǔn)的“安全管理中心、安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)”，并擴(kuò)大了對(duì)大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等新型網(wǎng)絡(luò)的保護(hù)，為新時(shí)期網(wǎng)絡(luò)安全工作開(kāi)展和網(wǎng)絡(luò)安全防護(hù)方案研究提供了指導(dǎo)。

1站段信息系統(tǒng)架構(gòu)

以某客運(yùn)站為例，除專網(wǎng)系統(tǒng)外，信息系統(tǒng)大致分為辦公類系統(tǒng)、以車次信息為數(shù)據(jù)源的旅客服務(wù)類系統(tǒng)、保障車站設(shè)施運(yùn)行的運(yùn)維管理類系統(tǒng)。在傳統(tǒng)的信息系統(tǒng)基礎(chǔ)上，越來(lái)越多的物聯(lián)網(wǎng)系統(tǒng)也接入站段局域網(wǎng)內(nèi)，包括環(huán)境監(jiān)測(cè)、設(shè)備監(jiān)控、站臺(tái)防入侵、能源管理、指紋考勤、門(mén)禁系統(tǒng)等。系統(tǒng)總體框架如表1所示。

2站段網(wǎng)絡(luò)安全問(wèn)題

站段信息系統(tǒng)種類繁雜，終端數(shù)量多且位置分散、暴露面廣。無(wú)法有效管控的資產(chǎn)、碎片化的安全策略、不規(guī)范的安全管理易造成整個(gè)鐵路信息網(wǎng)絡(luò)的隱患。站段網(wǎng)絡(luò)安全問(wèn)題包括以下幾個(gè)方面。

2.1網(wǎng)絡(luò)傳輸

區(qū)域劃分：隨著鐵路信息化的發(fā)展，站段信息系統(tǒng)的規(guī)模在不斷增加，聚集的系統(tǒng)架構(gòu)變得難于管理，網(wǎng)絡(luò)安全域劃分不清缺少安全隔離，在安全事件發(fā)生時(shí)導(dǎo)致影響范圍擴(kuò)大。物理環(huán)境：站段現(xiàn)場(chǎng)網(wǎng)絡(luò)設(shè)備布置分散，有的設(shè)備直接暴露于公共環(huán)境，易造成空閑的網(wǎng)絡(luò)端口被接入非法終端。系統(tǒng)漏洞：交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備及其管理平臺(tái)本身存在的安全漏洞易被攻擊。

2.2服務(wù)器

系統(tǒng)漏洞：服務(wù)器操作系統(tǒng)存在漏洞，特別是普速站開(kāi)發(fā)較早的信息系統(tǒng)，由于部署于內(nèi)部局域網(wǎng)而疏于安裝補(bǔ)丁升級(jí)。訪問(wèn)控制：系統(tǒng)管理員賬號(hào)密碼或數(shù)據(jù)庫(kù)管理員賬號(hào)密碼為弱口令易被攻破；服務(wù)器安裝了不必要的服務(wù)或開(kāi)啟了不必要的端口，從而增加了安全隱患。應(yīng)用服務(wù)：Web應(yīng)用服務(wù)器安全配置錯(cuò)誤導(dǎo)致攻擊者惡意代碼被執(zhí)行；服務(wù)器應(yīng)用軟件使用未經(jīng)安全驗(yàn)證的開(kāi)源代碼或存在sql注入漏洞。

2.3計(jì)算機(jī)終端

系統(tǒng)漏洞：目前站段計(jì)算機(jī)終端系統(tǒng)仍以Windows系統(tǒng)為主，其中Windows7、Windows10占絕大多數(shù)，主機(jī)系統(tǒng)存在漏洞后門(mén)風(fēng)險(xiǎn)。訪問(wèn)控制：站段的倒班或輪流值班制度情況下，信息系統(tǒng)易出現(xiàn)越權(quán)訪問(wèn)或共用同一賬號(hào)的現(xiàn)象。使用行為：由于使用人員在內(nèi)部局域網(wǎng)計(jì)算機(jī)終端使用無(wú)線網(wǎng)卡或手機(jī)連接計(jì)算機(jī)以及計(jì)算機(jī)錯(cuò)誤連接互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備等行為造成一機(jī)兩網(wǎng)。使用存在后門(mén)漏洞的瀏覽器、音視頻處理等辦公軟件。

2.4感知層設(shè)備

物理環(huán)境：感知層設(shè)備部署區(qū)域無(wú)人監(jiān)管，易發(fā)生終端被拆除替換的事件，成為入侵網(wǎng)絡(luò)的入口。設(shè)備漏洞：系統(tǒng)組件存在漏洞易被入侵；終端設(shè)備硬件調(diào)試接口無(wú)須身份認(rèn)證，成為惡意攻擊入口；存在弱口令導(dǎo)致被他人登錄；開(kāi)放不必要的遠(yuǎn)程服務(wù)被入侵。終端資產(chǎn)：站段物聯(lián)網(wǎng)設(shè)備越來(lái)越多，各廠家標(biāo)準(zhǔn)和協(xié)議不統(tǒng)一，海量終端接入造成身份認(rèn)證與資產(chǎn)管理難題。

2.5安全管理

資產(chǎn)管理：目前站段大多通過(guò)人工進(jìn)行信息資產(chǎn)統(tǒng)計(jì)，難以全面掌握數(shù)量龐大的設(shè)備終端。技術(shù)隊(duì)伍：基層技術(shù)人員缺乏網(wǎng)絡(luò)安全專業(yè)培訓(xùn)，無(wú)法有效應(yīng)用各種安全設(shè)備，更缺乏對(duì)威脅的主動(dòng)判斷能力。安全制度：使用人員安全意識(shí)淡薄，管理制度缺失導(dǎo)致數(shù)據(jù)泄漏、篡改、刪除問(wèn)題。

3網(wǎng)絡(luò)安全方案

3.1安全通信網(wǎng)絡(luò)

（1）冗余設(shè)計(jì)：站段去往鐵路綜合信息網(wǎng)廣域網(wǎng)出口、站段局域網(wǎng)內(nèi)部網(wǎng)交換設(shè)備及鏈路均采用可靠的冗余備份機(jī)制，最大化保障數(shù)據(jù)訪問(wèn)的可用性和業(yè)務(wù)的連續(xù)性。（2）安全域劃分：站段局域網(wǎng)按照同數(shù)據(jù)源、同業(yè)務(wù)類別、同安全等級(jí)的原則劃分VLAN，有效分散不同VLAN中的運(yùn)行維護(hù)風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。以客運(yùn)站為例，劃分VLAN分別為：廣域網(wǎng)接入?yún)^(qū)、核心交換區(qū)、服務(wù)器區(qū)、辦公系統(tǒng)區(qū)、旅客服務(wù)系統(tǒng)區(qū)、智能運(yùn)維系統(tǒng)區(qū)、安全管理區(qū)，并利用ACL設(shè)置VLAN間訪問(wèn)規(guī)則。安全區(qū)域劃分如圖1所示。

3.2安全區(qū)域邊界

對(duì)網(wǎng)絡(luò)區(qū)域邊界進(jìn)行重點(diǎn)防護(hù)，邊界部署防火墻實(shí)現(xiàn)訪問(wèn)控制、入侵防范、惡意代碼防范。核心交換機(jī)旁路部署審計(jì)服務(wù)器，實(shí)現(xiàn)邊界和重要網(wǎng)絡(luò)節(jié)點(diǎn)的審計(jì)功能。在核心交換機(jī)旁路通過(guò)鏡像部署流量感知設(shè)備。核心交換機(jī)旁路部署網(wǎng)絡(luò)準(zhǔn)入平臺(tái)，實(shí)現(xiàn)終端接入控制。（1）訪問(wèn)控制：在廣域網(wǎng)接入邊界部署下一代防火墻，禁止外部網(wǎng)訪問(wèn)內(nèi)部網(wǎng)，對(duì)所轄中間站及其他必要單位開(kāi)啟白名單。在服務(wù)器邊界部署防火墻，只允許訪問(wèn)服務(wù)器區(qū)域的特定服務(wù)器的特定端口。嚴(yán)格內(nèi)部網(wǎng)安全準(zhǔn)入，建立站段局域網(wǎng)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證平臺(tái)，基于網(wǎng)絡(luò)設(shè)備端口和終端設(shè)備MAC地址對(duì)終端設(shè)備的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行控制，實(shí)現(xiàn)邊界隔離和非法接入，從源頭上切斷外來(lái)安全威脅的流入通道。（2）入侵防范：在廣域網(wǎng)邊界開(kāi)啟下一代防火墻IPS模塊并定期更新特征庫(kù)，檢測(cè)數(shù)據(jù)包，防范包括Flood、惡意掃描、欺騙防護(hù)、異常包攻擊等；對(duì)進(jìn)出網(wǎng)絡(luò)的流量開(kāi)啟雙向攻擊檢測(cè)，及時(shí)發(fā)現(xiàn)內(nèi)部網(wǎng)計(jì)算機(jī)威脅，做出處置并向集團(tuán)公司相關(guān)部門(mén)報(bào)告。（3）惡意代碼防范：開(kāi)啟下一代防火墻病毒防護(hù)模塊，定期更新策略，在網(wǎng)絡(luò)層進(jìn)行病毒查殺，預(yù)防和阻斷網(wǎng)絡(luò)病毒、蠕蟲(chóng)、木馬等惡意代碼攻擊。在網(wǎng)關(guān)處封閉135、138、139、445、3389等端口，阻止僵尸網(wǎng)絡(luò)的連接和病毒的更新、擴(kuò)散。（4）安全審計(jì)：部署安全審計(jì)設(shè)備，記錄分析人員訪問(wèn)以及對(duì)數(shù)據(jù)的增、刪、改、查等行為，對(duì)異常通信進(jìn)行報(bào)警。開(kāi)啟廣域網(wǎng)邊界下一代防火墻應(yīng)用審計(jì)，對(duì)特定文件內(nèi)容進(jìn)行過(guò)濾，避免信息泄漏。檢測(cè)終端流量，并對(duì)特定類型文件進(jìn)行流量深度監(jiān)測(cè)，防止數(shù)據(jù)文件被盜。

3.3安全計(jì)算環(huán)境

（1）身份鑒別：各應(yīng)用系統(tǒng)均設(shè)置身份鑒別策略，用戶登錄時(shí)對(duì)身份鑒別信息加密傳輸，拒絕未授權(quán)用戶登錄系統(tǒng)；對(duì)重要系統(tǒng)采用靜態(tài)口令+動(dòng)態(tài)口令的雙因子認(rèn)證；對(duì)登錄失敗次數(shù)進(jìn)行限制；主機(jī)開(kāi)啟復(fù)雜口令保護(hù)、入站規(guī)則、限制非法登錄次數(shù)等安全策略。（2）訪問(wèn)控制：各應(yīng)用系統(tǒng)設(shè)置用戶權(quán)限及訪問(wèn)行為控制策略。設(shè)置用戶變更策略，及時(shí)清理長(zhǎng)期未登錄賬號(hào)；制定管理制度，對(duì)人員離職、調(diào)動(dòng)崗位及時(shí)調(diào)整賬號(hào)；刪除多余賬號(hào)、默認(rèn)賬號(hào)，避免共用權(quán)限。（3）入侵和惡意代碼防范：安裝統(tǒng)一的終端防護(hù)軟件，通過(guò)終端防護(hù)平臺(tái)防范一機(jī)兩網(wǎng)、非法外聯(lián)、非法接入，并實(shí)現(xiàn)病毒防護(hù)、補(bǔ)丁管理、介質(zhì)管控。定期對(duì)站段局域網(wǎng)內(nèi)設(shè)備進(jìn)行漏洞掃描，并根據(jù)鐵路網(wǎng)絡(luò)安全漏洞平臺(tái)發(fā)布的信息及時(shí)修復(fù)可能存在漏洞。（4）資產(chǎn)管理：利用統(tǒng)一安全平臺(tái)實(shí)現(xiàn)終端資產(chǎn)識(shí)別和分析。通過(guò)IP掃描、SNMP掃描、流量發(fā)現(xiàn)等手段對(duì)網(wǎng)內(nèi)的IP存活情況進(jìn)行跟蹤監(jiān)控，分組管理。（5）安全審計(jì)：利用日志審計(jì)服務(wù)器監(jiān)控分析安全生產(chǎn)網(wǎng)內(nèi)信息系統(tǒng)服務(wù)器系統(tǒng)資源、用戶操作、應(yīng)用程序等，及時(shí)發(fā)現(xiàn)系統(tǒng)異常行為。（6）感知層設(shè)備安全對(duì)感知層設(shè)備和節(jié)點(diǎn)裝置，進(jìn)行軟件身份認(rèn)證或軟件加密。禁用閑置的外部設(shè)備接口、外接存儲(chǔ)設(shè)備的自啟動(dòng)功能。通過(guò)本地接口進(jìn)行軟件更新調(diào)試時(shí)，需進(jìn)行人員身份認(rèn)證、權(quán)限控制。

3.4安全管理中心

建設(shè)安全管理中心，實(shí)現(xiàn)主動(dòng)防御和態(tài)勢(shì)感知。設(shè)立系統(tǒng)管理賬戶、審計(jì)管理賬戶。系統(tǒng)管理賬戶負(fù)責(zé)系統(tǒng)運(yùn)行資源配置、控制和管理；審計(jì)管理賬戶負(fù)責(zé)審計(jì)記錄分析和處理。在安全管理區(qū)集中部署審計(jì)設(shè)備、網(wǎng)絡(luò)準(zhǔn)入平臺(tái)、流量監(jiān)控設(shè)備，及時(shí)發(fā)現(xiàn)異常行為和網(wǎng)絡(luò)安全事件。利用終端防護(hù)平臺(tái)實(shí)現(xiàn)資產(chǎn)統(tǒng)一管理。對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備等進(jìn)行信息采集，實(shí)施掌握鏈路、設(shè)備、應(yīng)用系統(tǒng)情況，掌握系統(tǒng)整體態(tài)勢(shì)，做到早發(fā)現(xiàn)早防御。

4結(jié)論

本文依據(jù)等保2.0標(biāo)準(zhǔn)，提出鐵路基層站段“一個(gè)中心、三重防御”的網(wǎng)絡(luò)安全防護(hù)方案。明確基層站段網(wǎng)絡(luò)邊界，合理劃分區(qū)域，制定出恰當(dāng)?shù)倪吔绶雷o(hù)策略，以兼顧數(shù)據(jù)共享和網(wǎng)絡(luò)安全需要。在國(guó)鐵集團(tuán)和集團(tuán)公司的網(wǎng)絡(luò)安全體系總體框架下，利用鐵路統(tǒng)一的終端防護(hù)平臺(tái)以及安全漏洞平臺(tái)等，結(jié)合站段的網(wǎng)絡(luò)準(zhǔn)入平臺(tái)和安全審計(jì)設(shè)備，設(shè)計(jì)出站段信息資產(chǎn)識(shí)別管理、漏洞補(bǔ)丁修復(fù)、入侵和病毒防范、威脅監(jiān)測(cè)報(bào)告等機(jī)制，實(shí)現(xiàn)站段網(wǎng)絡(luò)安全主動(dòng)防御，并與上級(jí)部門(mén)緊密聯(lián)系，形成協(xié)同防護(hù)的網(wǎng)絡(luò)安全局面。

參考文獻(xiàn)：

[1]張伯駒.新形勢(shì)下鐵路網(wǎng)絡(luò)安全工作探索與發(fā)展展望[J].鐵路計(jì)算機(jī)應(yīng)用，2020，29（8）：1-5.

[2]劉剛，楊軼杰.基于等級(jí)保護(hù)2.0的鐵路網(wǎng)絡(luò)安全技術(shù)防護(hù)體系研究[J].鐵路計(jì)算機(jī)應(yīng)用，2020，29（8）：19-27.

[3]李向陽(yáng)，王冰，馬曉雅.鐵路網(wǎng)絡(luò)安全防護(hù)策略研究[J].鐵路計(jì)算機(jī)應(yīng)用，2021，30（11）：11-14.

[4]范博，龔鋼軍，孫淑嫻.基于等保2.0的配電物聯(lián)網(wǎng)動(dòng)態(tài)安全體系研究[J].信息網(wǎng)絡(luò)安全，2020，20（11）：10-14.

[5]趙姍.網(wǎng)絡(luò)安全主動(dòng)防御體系淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（4）：4-5.

作者：胡文君 單位：中國(guó)鐵路北京局集團(tuán)有限公司北京站