王一芃，田海波，季宏志

（中國鐵路信息科技集團有限公司 網(wǎng)信安全處，北京 100038）

鐵路綜合信息網(wǎng)的前身為鐵路綜合計算機網(wǎng)，目前已發(fā)展為覆蓋中國國家鐵路集團有限公司（簡稱：國鐵集團）、18個鐵路局集團公司、上千個基層站段的綜合承載網(wǎng)絡，涉及辦公、財務、勞衛(wèi)、貨運、客運、機輛、工電等鐵路業(yè)務部門，涵蓋鐵路運輸組織、貨運營銷、經(jīng)營管理等多個領域[1]。相較于鐵路綜合計算機網(wǎng)這種相對局限和封閉的信息管理應用系統(tǒng)，鐵路綜合信息網(wǎng)不僅承載了大量的應用系統(tǒng)，還匯接了鐵路12306互聯(lián)網(wǎng)售票系統(tǒng)（簡稱：12306）、鐵路綜合視頻監(jiān)控系統(tǒng)和鐵路調度指揮系統(tǒng)（TDCS，Train Dispatching Command System）/調度集中控制（CTC，Centralized Traffic Control ）系統(tǒng)等的多個專用網(wǎng)絡，為互聯(lián)網(wǎng)應用場景提供更加開放的服務。多樣化和差異化的業(yè)務及安全需求成為了鐵路綜合信息網(wǎng)亟須解決的問題。

為應對各類應用系統(tǒng)和業(yè)務專網(wǎng)的需求，鐵路綜合信息網(wǎng)的區(qū)域劃分變得越來越復雜，區(qū)域邊界的安全防護策略也越來越多樣化，使得鐵路綜合信息網(wǎng)的安全管理難度越來越高[2]。目前，鐵路綜合信息網(wǎng)承載的許多應用系統(tǒng)除了提供簡單的網(wǎng)站信息發(fā)布外，還提供移動互聯(lián)和雙向交互的功能，這帶來跨網(wǎng)絡的多類型數(shù)據(jù)交互。這些交互數(shù)據(jù)的安全需要得到全面保護。

網(wǎng)絡區(qū)域邊界是網(wǎng)絡區(qū)域內部業(yè)務系統(tǒng)安全防護和防止敏感信息泄露的必經(jīng)渠道。按照網(wǎng)絡安全等級保護2.0系列標準（簡稱：等級保護2.0）“一個中心，三重防御”的縱深防御思想，網(wǎng)絡區(qū)域邊界防護構成了安全防御的第2道防線[3]。網(wǎng)絡區(qū)域邊界面臨的安全風險主要來自3個方面：網(wǎng)絡區(qū)域邊界的不確定性、網(wǎng)絡本身的脆弱性和漏洞、網(wǎng)絡威脅。網(wǎng)絡威脅包括黑客攻擊、病毒入侵、信息竊取等。

對于鐵路綜合信息網(wǎng)而言，其應用系統(tǒng)均有明確的應用場景和用戶群體。近些年來，隨著鐵路網(wǎng)絡安全管理的逐步深入，鐵路綜合信息網(wǎng)的網(wǎng)絡區(qū)域邊界已經(jīng)較為明確。因此，本文主要研究鐵路綜合信息網(wǎng)自身脆弱性和以網(wǎng)絡為目標的攻擊威脅。

基于對鐵路綜合信息網(wǎng)既有應用系統(tǒng)和業(yè)務專網(wǎng)的前期調研，本文以等級保護2.0對網(wǎng)絡區(qū)域邊界的防護要求為指導，從網(wǎng)絡區(qū)域邊界安全和應用系統(tǒng)業(yè)務需求的角度出發(fā)，對鐵路綜合信息網(wǎng)的網(wǎng)絡區(qū)域邊界進行分析，對各類典型網(wǎng)絡區(qū)域邊界的風險進行明確。

根據(jù)現(xiàn)有網(wǎng)絡區(qū)域邊界安全防護技術，本文為各類網(wǎng)絡區(qū)域邊界提出安全防護重點及防護措施，以供網(wǎng)絡安全管理工作人員參考。

1 鐵路綜合信息網(wǎng)區(qū)域劃分現(xiàn)狀

1.1 網(wǎng)絡區(qū)域類型

鐵路綜合信息網(wǎng)由國鐵集團、鐵路局集團公司和站段三級局域網(wǎng)構成，通過鐵路通信網(wǎng)實現(xiàn)互聯(lián)互通。國鐵集團級和鐵路局集團公司級局域網(wǎng)根據(jù)是否與互聯(lián)網(wǎng)物理連接可進一步劃分為外部服務網(wǎng)、內部服務網(wǎng)和安全生產(chǎn)網(wǎng)[4]。

外部服務網(wǎng)是與互聯(lián)網(wǎng)和其他行業(yè)網(wǎng)絡相連接的網(wǎng)絡，主要部署面向社會提供公共服務的業(yè)務應用。外部服務網(wǎng)的出口統(tǒng)一部署在國鐵集團級和鐵路局集團公司級局域網(wǎng)。站段級局域網(wǎng)只包含內部服務網(wǎng)和安全生產(chǎn)網(wǎng)。

內部服務網(wǎng)和安全生產(chǎn)網(wǎng)均不與互聯(lián)網(wǎng)和其他行業(yè)網(wǎng)絡直接相連，為鐵路行業(yè)內部網(wǎng)絡環(huán)境。內部服務網(wǎng)部署面向鐵路內部的一般性業(yè)務應用，安全生產(chǎn)網(wǎng)部署直接關系鐵路運輸生產(chǎn)的業(yè)務應用[5]。

根據(jù)業(yè)務功能的不同，每級局域網(wǎng)可以進一步劃分成接入?yún)^(qū)應用服務域和運維管理區(qū)。

1.2 區(qū)域邊界服務內容

根據(jù)鐵路信息化總體規(guī)劃的要求，鐵路綜合信息網(wǎng)的外聯(lián)接入?yún)^(qū)可以提供互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、廣域網(wǎng)、專線和專網(wǎng)的接入服務。外聯(lián)接入?yún)^(qū)接入服務只存在于外部服務網(wǎng)，用于實現(xiàn)部署在外部服務網(wǎng)的各類應用系統(tǒng)與互聯(lián)網(wǎng)之間的信息交換。通過外聯(lián)接入?yún)^(qū)與鐵路綜合信息網(wǎng)進行數(shù)據(jù)交互的源端主要包括社會用戶、員工用戶、合作伙伴，以及公有云服務平臺。

社會用戶通過互聯(lián)網(wǎng)或移動互聯(lián)網(wǎng)獲取資訊類信息。員工用戶通過互聯(lián)網(wǎng)訪問業(yè)務平臺、郵件系統(tǒng)，以及進行遠程辦公。合作伙伴通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)共享及業(yè)務合作。

廣域網(wǎng)接入服務用于實現(xiàn)國鐵集團、鐵路局集團公司和站段局域網(wǎng)的應用系統(tǒng)和終端之間的信息交換。通過廣域網(wǎng)與鐵路綜合信息網(wǎng)進行數(shù)據(jù)交互的源端主要有員工用戶，所承載的主要業(yè)務為鐵路局集團公司級和站段級局域網(wǎng)數(shù)據(jù)的匯總。

專線接入服務部署于外部服務網(wǎng)和內部服務網(wǎng)，用于承載以專線方式連接的路內信息系統(tǒng)。通過專線與鐵路綜合信息網(wǎng)進行數(shù)據(jù)交互的源端主要包括與鐵路有業(yè)務關聯(lián)的合作伙伴、鐵路企業(yè)申請的公有云服務平臺及其自建的私有云服務平臺，所承載的主要業(yè)務包括稅務業(yè)務、財務業(yè)務、銀行支付等。

專網(wǎng)接入服務用于連接12306等鐵路信息專網(wǎng)，實現(xiàn)鐵路各應用系統(tǒng)之間的數(shù)據(jù)交換。專網(wǎng)接入服務只部署于安全生產(chǎn)網(wǎng)。

2 區(qū)域邊界防護重點及防護措施

網(wǎng)絡區(qū)域邊界安全防護的基本工作是在保證不同網(wǎng)絡之間實現(xiàn)互聯(lián)互通的同時，在網(wǎng)絡區(qū)域邊界采取必要的授權接入、訪問控制、入侵防范等措施，實現(xiàn)對網(wǎng)絡內部的保護。等級保護2.0對網(wǎng)絡區(qū)域邊界提出了安全控制要求，主要對象為應用系統(tǒng)邊界、網(wǎng)絡區(qū)域邊界等，涉及6個安全控制項：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證。在這6個安全控制項中，前5個安全控制項均存在高危風險[3]，因此，本文針對這5個安全控制項進行網(wǎng)絡區(qū)域邊界安全防護分析。

2.1 邊界防護

邊界防護的重點是保證網(wǎng)絡區(qū)域邊界設備端口和鏈路的可靠性，防止非授權網(wǎng)絡鏈路的接入。邊界防護通過有效的技術措施，對外部設備的網(wǎng)絡接入行為及內部設備的網(wǎng)絡外聯(lián)行為進行管控，以阻止外部威脅的引入[6]。

對于鐵路綜合信息網(wǎng)而言，互聯(lián)網(wǎng)邊界的安全是邊界防控的重點。由于互聯(lián)網(wǎng)充滿了安全威脅與不確定性，如果鐵路綜合信息網(wǎng)的出口側缺少防御措施，那么其內部系統(tǒng)將直接暴露在互聯(lián)網(wǎng)的安全隱患中，并成為網(wǎng)絡攻擊的目標。此外，鐵路綜合信息網(wǎng)對無線網(wǎng)絡的使用采取管控措施，以防止因無線網(wǎng)絡的濫用而引入安全威脅。

2.2 訪問控制

訪問控制通過采取技術措施，明確主體對客體的訪問權限及服務使用權限，以阻止網(wǎng)絡資源的未授權訪問。訪問控制的管控對象通常是業(yè)務訪問的源地址、目的地址、源端口、目的端口，以及業(yè)務數(shù)據(jù)流所包含的內容及協(xié)議。一般情況下，網(wǎng)絡區(qū)域邊界及各網(wǎng)絡區(qū)域之間采用弱隔離措施，如訪問控制列表（ACL，Access Control List）控制，即可滿足訪問控制要求。

對于可控網(wǎng)絡和不可控網(wǎng)絡之間的邊界，訪問控制往往需要采用通信協(xié)議轉換或通信協(xié)議隔離的方式進行業(yè)務數(shù)據(jù)的安全交換。對于這類網(wǎng)絡區(qū)域邊界，訪問控制通常采用強隔離措施，如網(wǎng)閘、光閘、安全隔離設備等。

2.3 入侵防范

入侵防范通過對所在網(wǎng)段內的各種數(shù)據(jù)包進行監(jiān)測和分析，檢查網(wǎng)絡是否受到入侵和攻擊，并記錄網(wǎng)絡事件及告警信息。入侵防范的關注重點一般包括外部網(wǎng)絡發(fā)起的攻擊、內部網(wǎng)絡發(fā)起的攻擊、對新型攻擊的防范、入侵和攻擊的及時告警等4個方面。

針對外部網(wǎng)絡發(fā)起的攻擊，入侵防范可以通過在關鍵節(jié)點部署入侵防御系統(tǒng)（IPS，Intrusion Prevention System）、入侵檢測系統(tǒng)（IDS，Intrusion Detection System）、動態(tài)沙箱和抗分布式拒絕服務（DDoS，Distributed Denial of Service）攻擊等設備進行防護。而內部網(wǎng)絡的入侵往往是因為終端側缺乏有效安全管控，因此，內部網(wǎng)絡的入侵防范可以通過部署終端安全防護系統(tǒng)和終端殺毒軟件進行防護。

2.4 惡意代碼和垃圾郵件防范

惡意代碼主要包括計算機病毒、木馬和蠕蟲，其傳播載體主要是網(wǎng)頁、電子郵件等應用。因此，提供Web頁面服務和電子郵件服務的應用系統(tǒng)需要重點加強對惡意代碼的防護。垃圾郵件能夠使郵件服務不可用，或者實施網(wǎng)絡詐騙，散布非法信息，對業(yè)務的正常運行產(chǎn)生嚴重影響。

對于Web頁面和郵件中無法通過病毒特征庫來識別的進程和代碼，惡意代碼和垃圾郵件防范可以使用動態(tài)沙箱來模擬終端運行環(huán)境，判斷是否為影響業(yè)務系統(tǒng)的惡意進程。

2.5 安全審計

安全審計的重點包括監(jiān)測網(wǎng)絡流量和設備運行情況、記錄和識別異常流量，并進行報警等[7]。安全審計對網(wǎng)絡日志進行分析，形成報表，并根據(jù)具體情況采取報警、阻斷等操作。

除了上述安全控制項外，在實際業(yè)務應用場景中，身份認證、訪問控制和數(shù)據(jù)傳輸過程所生成數(shù)據(jù)的完整性和保密性的保障也是網(wǎng)絡區(qū)域邊界安全防護考慮的方面[8]。

針對上述5個安全防護項以及數(shù)據(jù)完整性與保密性需求，表1列舉了與之相滿足的安全防護設備。

表1 邊界安全防護重點項及其安全防護設備

3 區(qū)域邊界防護

3.1 典型的網(wǎng)絡區(qū)域邊界

由鐵路綜合信息網(wǎng)區(qū)域劃分可知，與鐵路綜合信息網(wǎng)進行外聯(lián)的網(wǎng)絡主要包括互聯(lián)網(wǎng)、專網(wǎng)、廣域網(wǎng)和專線這4種方式。由鐵路綜合信息網(wǎng)內部的外部服務網(wǎng)、內部服務網(wǎng)和安全生產(chǎn)網(wǎng)所組成的橫向3層局域網(wǎng)結構可知，鐵路綜合信息網(wǎng)存在5種典型的網(wǎng)絡區(qū)域邊界，如圖1所示。

圖1 鐵路綜合信息網(wǎng)區(qū)域邊界

（1）互聯(lián)網(wǎng)邊界指外部服務網(wǎng)與互聯(lián)網(wǎng)之間的邊界，所涉及的具體業(yè)務主要包括Web應用、文件傳輸、電子郵件等。

（2）專線接入邊界是外部單位（如稅務、財務、銀行等部門）和鐵路綜合信息網(wǎng)之間的網(wǎng)絡區(qū)域邊界。

（3）縱向網(wǎng)絡區(qū)域邊界指鐵路內部上下級單位之間的網(wǎng)絡區(qū)域邊界，例如，國鐵集團外部服務網(wǎng)與鐵路局集團公司外部服務網(wǎng)之間的邊界。

（4）橫向網(wǎng)絡區(qū)域邊界指外部服務網(wǎng)與內部服務網(wǎng)，以及內部服務網(wǎng)和安全生產(chǎn)網(wǎng)之間的邊界。

（5）內部安全邊界指外部服務網(wǎng)、內部服務網(wǎng)、安全生產(chǎn)網(wǎng)內部系統(tǒng)間的區(qū)域邊界。

3.2 邊界風險識別

根據(jù)是否與互聯(lián)網(wǎng)互聯(lián)，網(wǎng)絡區(qū)域邊界可以分為兩大類，即互聯(lián)網(wǎng)邊界和內部網(wǎng)絡區(qū)域邊界。這兩類網(wǎng)絡區(qū)域邊界的安全風險有較為明顯的區(qū)別。

對于互聯(lián)網(wǎng)邊界而言，由于攻擊者不可控，使攻擊行為很難溯源，更無法對其進行阻斷。一般來說，互聯(lián)網(wǎng)邊界的安全風險主要有網(wǎng)絡入侵、木馬病毒、漏洞攻擊、郵件攻擊、信息泄露等。因此，互聯(lián)網(wǎng)邊界安全的重點是防護、監(jiān)控和阻斷。

對于內部網(wǎng)絡區(qū)域邊界而言，由于內部網(wǎng)絡的用戶為業(yè)務人員、運維人員和管理人員，其用戶行為可以通過用戶認證授權、行為審計等方式管控和追蹤。內部網(wǎng)絡區(qū)域邊界存在的主要安全風險是權限濫用、越權應用、未授權訪問、信息泄露、木馬病毒傳播等。

3.3 邊界防護措施

本文列舉了安全防護的10個技術要求，并結合網(wǎng)絡區(qū)域邊界的業(yè)務特點和安全需求，對典型的網(wǎng)絡區(qū)域邊界的安全防護需求進行梳理，其結果如表2所示。網(wǎng)絡區(qū)域邊界的防護措施可歸納為5種，如表3所示。

表2 區(qū)域邊界防護技術要求

表3 網(wǎng)絡區(qū)域邊界防護措施

（1）互聯(lián)網(wǎng)邊界的安全防護重點是抵御來自互聯(lián)網(wǎng)的攻擊，因而其防護措施主要是通過防火墻、IDS/IPS、流量清洗設備等進行防護。除此之外，針對Web服務的措施有Web應用防火墻；提高訪問響應速度和穩(wěn)定性的措施有鏈路負載均衡設備。

（2）專線接入邊界的安全防護重點是防止外部機構和個人對鐵路綜合信息網(wǎng)絡的破壞，其防護措施主要是通過防火墻、IDS/IPS和日志審計系統(tǒng)進行防護，必要時可以增加認證和加密設備。

（3）縱向網(wǎng)絡區(qū)域邊界的安全防護重點是上下級單位之間的越權訪問，其防護措施是通過部署防火墻、認證設備、加密設備等。

（4）橫向網(wǎng)絡區(qū)域邊界的安全防護重點是互聯(lián)網(wǎng)對鐵路綜合信息網(wǎng)的攻擊及敏感信息泄露，其防護措施是通過部署網(wǎng)絡隔離設備、數(shù)據(jù)防泄露系統(tǒng)、日志審計系統(tǒng)等。

（5）內部安全邊界需要防止不同安全域之間的不必要訪問，其防護措施主要是利用防火墻和日志審計系統(tǒng)。

4 結束語

網(wǎng)絡區(qū)域邊界的安全防護既可以防止應用系統(tǒng)遭受外界的惡意攻擊和破壞，也可以保證應用系統(tǒng)中的敏感信息不被泄露。因此，網(wǎng)絡區(qū)域邊界始終是網(wǎng)絡安全防護的關注重點。雖然鐵路綜合信息網(wǎng)的邊界劃分已較規(guī)范和明晰，但是鐵路綜合信息網(wǎng)的龐大規(guī)模、海量數(shù)據(jù)和繁雜功能依然為網(wǎng)絡安全管理工作帶來一定壓力，尤其是防護網(wǎng)絡自身的脆弱性和漏洞、各類業(yè)務的差異化需求。本文基于鐵路綜合信息網(wǎng)絡既有建設情況和業(yè)務承載情況，提出了各類邊界防護重點建議及防護措施建議，為實際網(wǎng)絡安全管理工作提供參考。