朱 濤，董 鵬，朱 賀，齊 勝

（1.中國鐵路信息科技集團(tuán)有限公司 研發(fā)和建設(shè)處，北京 100844；2.中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司 網(wǎng)絡(luò)安全研究室，北京 100044）

以云計(jì)算為代表的新型計(jì)算環(huán)境大部分是基于高速網(wǎng)絡(luò)訪問并可共享訪問，按需分配的計(jì)算模式[1]。自提出以來，云計(jì)算已進(jìn)入穩(wěn)定發(fā)展的階段。但是，云計(jì)算的大規(guī)模應(yīng)用使安全事故頻發(fā)，出現(xiàn)了諸如橫向擴(kuò)展、訪問混亂、賬戶劫持等問題[2]。鐵路業(yè)務(wù)系統(tǒng)經(jīng)過長期的分散發(fā)展，一直以業(yè)務(wù)或者應(yīng)用為中心進(jìn)行安全防護(hù)和建設(shè)，產(chǎn)生了許多“碎片化”“區(qū)域化”網(wǎng)絡(luò)，因而網(wǎng)絡(luò)安全的防護(hù)設(shè)計(jì)在整體上不夠全面，易出現(xiàn)“單兵作戰(zhàn)”的情況，降低鐵路業(yè)務(wù)系統(tǒng)的整體防護(hù)能力[3]。尤其在應(yīng)對新型網(wǎng)絡(luò)威脅下，鐵路網(wǎng)絡(luò)安全由于主動防御能力欠佳，聯(lián)防聯(lián)控防護(hù)能力較弱，導(dǎo)致在云計(jì)算環(huán)境下的安全事件頻發(fā)。

按照《網(wǎng)絡(luò)安全等級保護(hù)2.0》系列標(biāo)準(zhǔn)的要求，在三級及以上的信息系統(tǒng)要求在安全區(qū)域網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算等各個(gè)層面實(shí)施強(qiáng)制訪問控制，通過對重要主體和客體設(shè)置安全標(biāo)記的方式，控制主體對有安全標(biāo)記信息資源的訪問[4]。訪問控制技術(shù)可以通過授權(quán)信息，對資源訪問操作進(jìn)行控制，實(shí)現(xiàn)對信息資源的保護(hù)[5]，從而有效阻止非法接入和非法入侵，保證信息資源的合法使用。

本文設(shè)計(jì)基于標(biāo)記技術(shù)的強(qiáng)制訪問控制模型（簡稱：訪問模型），以兩個(gè)安全要求為設(shè)計(jì)原則：

（1）只有經(jīng)過認(rèn)證并授權(quán)的主體可以發(fā)出訪問或者執(zhí)行請求；

（2）只有正確的訪問或者執(zhí)行請求才可以到達(dá)客體資源，實(shí)現(xiàn)了鐵路業(yè)務(wù)系統(tǒng)在云計(jì)算環(huán)境下的縱深防御、多級安全和細(xì)粒度訪問控制和防護(hù)。

1 鐵路網(wǎng)絡(luò)安全架構(gòu)

鐵路網(wǎng)絡(luò)現(xiàn)已覆蓋中國國家鐵路集團(tuán)有限公司（簡稱：國鐵集團(tuán)）、18 個(gè)鐵路局集團(tuán)公司和5 000多個(gè)基層站段，在縱向上分為國鐵集團(tuán)級、鐵路局集團(tuán)公司級（簡稱：鐵路局級）和站段級三級網(wǎng)絡(luò)[6]，在橫向上在國鐵集團(tuán)和鐵路局集團(tuán)公司形成外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)和安全生產(chǎn)網(wǎng)三網(wǎng)分離的架構(gòu)，如圖1 所示。外部服務(wù)網(wǎng)承載面向社會大眾，提供服務(wù)的系統(tǒng)。內(nèi)部服務(wù)網(wǎng)承載面向鐵路內(nèi)部人員，提供一般性服務(wù)的系統(tǒng)。安全生產(chǎn)網(wǎng)承載關(guān)系到鐵路運(yùn)輸生產(chǎn)的系統(tǒng)。另外，根據(jù)安全生產(chǎn)需要，鐵路網(wǎng)絡(luò)建設(shè)了專用業(yè)務(wù)生產(chǎn)網(wǎng)絡(luò)，如列車運(yùn)行控制專網(wǎng)、列車調(diào)度指揮專網(wǎng)、客票系統(tǒng)專網(wǎng)、資金專網(wǎng)、公安專網(wǎng)等。

圖1 鐵路網(wǎng)絡(luò)架構(gòu)

2 模型設(shè)計(jì)

2.1 鐵路網(wǎng)絡(luò)空間安全體系架構(gòu)設(shè)計(jì)

按照國家相關(guān)管理部門的要求，進(jìn)一步優(yōu)化鐵路網(wǎng)絡(luò)安全的體系架構(gòu)，本文在既有的鐵路網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上，設(shè)計(jì)了鐵路網(wǎng)絡(luò)空間安全體系架構(gòu)，如圖2 所示。鐵路網(wǎng)絡(luò)空間安全體系對應(yīng)于現(xiàn)有的鐵路網(wǎng)絡(luò)架構(gòu)，將鐵路信息分為服務(wù)網(wǎng)絡(luò)空間、管理網(wǎng)絡(luò)空間和生產(chǎn)網(wǎng)絡(luò)空間。

圖2 鐵路網(wǎng)絡(luò)空間安全體系架構(gòu)

（1）服務(wù)網(wǎng)絡(luò)空間在物理上由互聯(lián)網(wǎng)和外部服務(wù)網(wǎng)構(gòu)成，主要部署對外服務(wù)和外網(wǎng)應(yīng)用，以及外網(wǎng)終端。

（2）管理網(wǎng)絡(luò)空間基于內(nèi)部服務(wù)網(wǎng)，主要部署應(yīng)用服務(wù)資源和內(nèi)網(wǎng)終端。

（3）生產(chǎn)網(wǎng)絡(luò)空間基于鐵路業(yè)務(wù)的各個(gè)生產(chǎn)網(wǎng)，合并構(gòu)成新的用于生產(chǎn)服務(wù)的網(wǎng)絡(luò)空間，由生產(chǎn)設(shè)備構(gòu)成。

鐵路網(wǎng)絡(luò)空間安全體系架構(gòu)在密碼技術(shù)和可信計(jì)算的基礎(chǔ)上，以“一個(gè)中心三重防護(hù)”作為總體思路，進(jìn)行安全體系架構(gòu)設(shè)計(jì)。

“一個(gè)中心”即安全管理中心[7]。作為統(tǒng)一管理調(diào)度平臺，安全管理中心對策略對象統(tǒng)一進(jìn)行建立、維護(hù)、下發(fā)、跟蹤、收集，實(shí)現(xiàn)完整的智能策略調(diào)度閉環(huán)管理。安全管理中心由可信策略管理模塊、訪問關(guān)系管理模塊、客體策略管理模塊和主體策略管理模塊組成。

“三重防護(hù)”即計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。該體系通過標(biāo)記強(qiáng)制訪問控制技術(shù)和可信安全計(jì)算，在物理環(huán)境安全的基礎(chǔ)上不僅可以滿足三重防護(hù)的要求，還可以實(shí)現(xiàn)應(yīng)用開發(fā)安全。標(biāo)記強(qiáng)制訪問控制技術(shù)通過每一次訪問操作進(jìn)行管控，可確保訪問操作安全可控?？尚虐踩?jì)算技術(shù)通過網(wǎng)絡(luò)準(zhǔn)入控制和程序白名單機(jī)制，確保訪問過程安全可信。

網(wǎng)絡(luò)空間的子空間之間通過安全隔離交換設(shè)備進(jìn)行數(shù)據(jù)的安全交換，并將收集的威脅信息、邊界網(wǎng)絡(luò)和終端的日志數(shù)據(jù)上傳到態(tài)勢感知系統(tǒng)進(jìn)行智能化關(guān)聯(lián)分析，將全網(wǎng)的安全態(tài)勢可視化展現(xiàn)。

2.2 訪問模型

網(wǎng)絡(luò)空間4 要素為載體、主體、操作和資源，其中，載體是部署在網(wǎng)絡(luò)空間的物理設(shè)備；主體泛指各種應(yīng)用、程序等；操作指主體對資源的訪問過程；資源又稱為客體，一般為文件、數(shù)據(jù)庫等。在不同網(wǎng)絡(luò)空間，僅有限資源可以跨越網(wǎng)絡(luò)空間。在各網(wǎng)絡(luò)空間安全域之間采用有限的安全數(shù)據(jù)交換，實(shí)現(xiàn)空間之間的信息有限共享，鐵路計(jì)算平臺安全方案是以資源為核心的防護(hù)模型，空間安全域之間僅交互有限資源，空間安全域內(nèi)需要確保有限訪問。鐵路網(wǎng)絡(luò)空間的安全域劃分如圖3 所示。每個(gè)網(wǎng)絡(luò)子空間內(nèi)部劃分為不同的安全域：服務(wù)網(wǎng)絡(luò)空間和管理網(wǎng)絡(luò)空間劃分為服務(wù)器域和終端域；生產(chǎn)網(wǎng)絡(luò)空間劃分為管理域、設(shè)備域，實(shí)現(xiàn)不同安全域之間的相互隔離和分層防護(hù)。

圖3 鐵路網(wǎng)絡(luò)空間內(nèi)安全域劃分

基于標(biāo)記技術(shù)的可信訪問模型的建立可以確保訪問過程中每個(gè)主客體的操作都是可信的。鐵路網(wǎng)絡(luò)空間內(nèi)的訪問需求主要有3 種訪問模型：（1）主體對相同空間、相同域內(nèi)的客體進(jìn)行訪問；（2）主體對相同空間、不同域內(nèi)的客體進(jìn)行訪問；（3）主體對不同空間、不同域內(nèi)的客體進(jìn)行訪問。

第1 種訪問模型如圖4 所示。主體和客體不僅在相同的空間，而且也在相同的域內(nèi)。首先，操作系統(tǒng)或安全模塊根據(jù)進(jìn)程的簽名信息和安全配置策略文件信息，生成主體標(biāo)記信息。主體發(fā)出攜帶該標(biāo)記信息的訪問請求，該請求可以通過代理實(shí)現(xiàn)對客體的安全訪問。代理提供數(shù)據(jù)傳輸接口，通過對標(biāo)記信息識別判斷是否可以傳遞主體的訪問請求給對應(yīng)客體單元?？腕w對象受資源保護(hù)單元保護(hù)，資源保護(hù)單元收到來自主體的訪問請求后，根據(jù)請求中所攜帶的標(biāo)記信息進(jìn)行判斷，給予本次訪問對應(yīng)的客體操作權(quán)限。

圖4 第1 種訪問控制模型

第2 種訪問模型如圖5 所示。主體和客體雖然都在同一空間，但是需要跨越不同的安全域（域1、域2）進(jìn)行傳輸。操作系統(tǒng)或安全模塊根據(jù)安全配置策略文件信息，結(jié)合進(jìn)程的簽名信息生成主體標(biāo)記信息。主體發(fā)出的訪問請求中攜帶該標(biāo)記信息，該請求可以通過代理實(shí)現(xiàn)對客體的安全訪問。代理提供數(shù)據(jù)傳輸接口，通過對標(biāo)記信息識別判斷是否可以傳遞該請求給客體所在的域。到達(dá)客體域后，代理通過對標(biāo)記識別判斷是否可以傳遞該請求給對應(yīng)客體單元?？腕w對象受資源保護(hù)單元保護(hù)，資源保護(hù)單元收到來自主體的訪問請求后，根據(jù)請求中所攜帶的標(biāo)記信息進(jìn)行判斷，給予本次訪問對應(yīng)的客體操作權(quán)限。

圖5 第2 種訪問控制模型

第3 種訪問模型如圖6 所示。主體不僅要跨越不同域，還要跨越不同空間。此時(shí)主體的訪問請求不僅需要域內(nèi)代理和訪問代理，同時(shí)需要數(shù)據(jù)交換平臺進(jìn)行數(shù)據(jù)擺渡。操作系統(tǒng)或安全模塊根據(jù)安全配置策略文件信息，結(jié)合進(jìn)程的簽名信息生成主體標(biāo)記信息。主體發(fā)出的訪問請求中攜帶該標(biāo)記信息，該請求可以通過代理實(shí)現(xiàn)對客體的安全訪問。代理提供數(shù)據(jù)傳輸接口，通過對標(biāo)記信息識別判斷是否可以傳遞該請求給客體所在的網(wǎng)絡(luò)空間，在網(wǎng)絡(luò)空間邊界處數(shù)據(jù)交換平臺通過對標(biāo)記進(jìn)行識別判斷，實(shí)現(xiàn)數(shù)據(jù)的準(zhǔn)入控制。在客體空間內(nèi)，代理通過對標(biāo)記信息識別判斷是否可以傳遞該請求給對應(yīng)客體單元?？腕w對象受資源保護(hù)單元保護(hù)，資源保護(hù)單元收到來自主體的訪問請求后，根據(jù)請求中所攜帶的標(biāo)記信息進(jìn)行判斷，給予本次訪問對應(yīng)的客體操作權(quán)限。

圖6 第3 種訪問控制模型

3 模型應(yīng)用

3.1 系統(tǒng)構(gòu)成

基于訪問模型的系統(tǒng)由部署在服務(wù)器或終端計(jì)算節(jié)點(diǎn)內(nèi)的可信操作系統(tǒng)或安全模塊、部署在云虛擬機(jī)內(nèi)的安全數(shù)據(jù)交換總線和部署在不同網(wǎng)絡(luò)空間邊界的網(wǎng)絡(luò)安全數(shù)據(jù)交換系統(tǒng)構(gòu)成。該系統(tǒng)可以對每一次主客體的訪問操作進(jìn)行管理，將主體標(biāo)記—操作標(biāo)記—客體標(biāo)記為每次訪問會話的標(biāo)識依據(jù)，以對空間內(nèi)的每次訪問進(jìn)行準(zhǔn)確管控。

（1）數(shù)據(jù)交換系統(tǒng)

數(shù)據(jù)交換系統(tǒng)與網(wǎng)絡(luò)隔離技術(shù)、標(biāo)記強(qiáng)制訪問技術(shù)、準(zhǔn)入控制技術(shù)和數(shù)據(jù)加密技術(shù)相結(jié)合，在不同的區(qū)域邊界部署性能不同的數(shù)據(jù)交換系統(tǒng)，以保證數(shù)據(jù)的機(jī)密性和完整性，防止病毒、惡意程序、非法授權(quán)訪問跨越不同安全域[8]。數(shù)據(jù)交換系統(tǒng)還具有添加和去除標(biāo)記信息的功能，是標(biāo)記強(qiáng)制訪問的核心系統(tǒng)。

（2）數(shù)據(jù)交換總線

數(shù)據(jù)交換總線運(yùn)行在支持標(biāo)記技術(shù)的操作系統(tǒng)上，提供數(shù)據(jù)傳輸接口，通過對標(biāo)記信息識別判斷，控制數(shù)據(jù)流向，實(shí)現(xiàn)同一子空間的不同應(yīng)用之間，以及不同子空間之間的數(shù)據(jù)安全交換。數(shù)據(jù)交換總線還設(shè)置了數(shù)據(jù)緩存區(qū)，通過直接讀取緩存區(qū)中的數(shù)據(jù)提高運(yùn)行效率。

（3）可信操作系統(tǒng)

可信操作系統(tǒng)可以實(shí)現(xiàn)操作系統(tǒng)之上的可信，而在操作系統(tǒng)之前啟動的程序就無法進(jìn)行訪問[9]，只有經(jīng)過安全模塊驗(yàn)證的、帶有正確標(biāo)記信息的進(jìn)程主體才可以在操作系統(tǒng)中運(yùn)行，發(fā)出操作請求；沒有標(biāo)記信息或者標(biāo)記信息錯(cuò)誤的請求則會被拋棄?？尚挪僮飨到y(tǒng)還會建立主客體和對應(yīng)操作的訪問控制矩陣，按照控制矩陣確認(rèn)對每個(gè)訪問操作進(jìn)行控制，實(shí)現(xiàn)強(qiáng)約束條件下的受控訪問。

3.2 數(shù)據(jù)傳輸

數(shù)據(jù)傳輸分為以下兩種情況。

（1）應(yīng)用若訪問同一個(gè)網(wǎng)絡(luò)子空間的數(shù)據(jù)資源，其數(shù)據(jù)傳輸如圖7 所示。

圖7 同一個(gè)網(wǎng)絡(luò)子空間的數(shù)據(jù)傳輸示意

①應(yīng)用（主體）調(diào)用安全模塊給訪問請求添加標(biāo)記信息，完成標(biāo)記的初始化。

②安全模塊將帶有標(biāo)記信息的報(bào)文發(fā)送到數(shù)據(jù)交換總線，由數(shù)據(jù)交換總線依據(jù)報(bào)文信息的目標(biāo)地址，將訪問請求傳輸?shù)奖辉L問端的安全模塊。

③安全模塊依據(jù)訪問控制矩陣判斷操作請求的合理化，請求按照訪問操作矩陣的規(guī)定對資源進(jìn)行有限訪問。

（2）應(yīng)用的訪問請求若要跨越不同的網(wǎng)絡(luò)子空間，其數(shù)據(jù)傳輸如圖8 所示。

圖8 跨越網(wǎng)絡(luò)子空間數(shù)據(jù)傳輸示意

①應(yīng)用（主體）調(diào)用安全模塊，給訪問請求添加標(biāo)記信息，完成標(biāo)記的初始化。

②安全模塊將帶有標(biāo)記的報(bào)文發(fā)送到數(shù)據(jù)交換總線，數(shù)據(jù)交換總線依據(jù)報(bào)文信息的目標(biāo)地址，將數(shù)據(jù)報(bào)文發(fā)送至數(shù)據(jù)交換平臺。

③數(shù)據(jù)交換平臺對標(biāo)記信息進(jìn)行檢查，核實(shí)能否向下傳輸。核實(shí)之后，當(dāng)前數(shù)據(jù)交換平臺將報(bào)文發(fā)送至下一個(gè)網(wǎng)絡(luò)子空間的數(shù)據(jù)安全平臺。

④目標(biāo)端的數(shù)據(jù)交換平臺會重新添加標(biāo)記信息，對數(shù)據(jù)報(bào)文進(jìn)行重新組裝，然后發(fā)送至數(shù)據(jù)交換總線。

⑤數(shù)據(jù)交換總線將報(bào)文發(fā)送至安全模塊，安全模塊對標(biāo)記信息識別判斷后進(jìn)行資源訪問。

4 關(guān)鍵技術(shù)

標(biāo)記技術(shù)是鐵路計(jì)算平臺安全方案實(shí)現(xiàn)強(qiáng)制訪問控制的關(guān)鍵技術(shù)，由安全模塊生成標(biāo)記信息。標(biāo)記信息是操作系統(tǒng)、網(wǎng)絡(luò)控制設(shè)備對主客體進(jìn)行標(biāo)記和強(qiáng)制訪問控制的依據(jù)，包括安全等級、數(shù)據(jù)基本屬性、安全機(jī)制等信息。主體是主動發(fā)起動作的實(shí)體，一般指進(jìn)程；客體是主體發(fā)起動作的對象，一般指文檔、圖像等數(shù)據(jù)。在鐵路網(wǎng)絡(luò)空間內(nèi)利用標(biāo)記技術(shù)對客體進(jìn)行保護(hù)，對空間內(nèi)的操作進(jìn)行管控，僅有空間內(nèi)允許的資源可以通過隔離設(shè)備穿越空間；同時(shí)，建立主體、資源和對應(yīng)操作的訪問控制矩陣，利用控制矩陣對每次操作進(jìn)行訪問控制，對應(yīng)的主體只進(jìn)行固定的操作，完成在強(qiáng)約束條件下的受控訪問。在輸入/輸出層部署管控模塊，實(shí)現(xiàn)客體對主體訪問操作的識別和認(rèn)定，同時(shí)對資源進(jìn)行加密保護(hù)，只有操作正確才可以透明地施加在資源上，非授權(quán)的訪問則被禁止。

5 結(jié)束語

本文從鐵路網(wǎng)絡(luò)架構(gòu)實(shí)際情況出發(fā)，結(jié)合網(wǎng)絡(luò)安全的要求及發(fā)展，設(shè)計(jì)了鐵路網(wǎng)絡(luò)空間安全體系架構(gòu)，為鐵路各信息系統(tǒng)與生產(chǎn)系統(tǒng)的空間劃分、安全優(yōu)化、訪問防控等方面提供了基礎(chǔ)研究保障。本文所提出的基于標(biāo)記技術(shù)的強(qiáng)制訪問控制模型可以對網(wǎng)絡(luò)空間內(nèi)每個(gè)訪問進(jìn)行控制，實(shí)現(xiàn)鐵路網(wǎng)絡(luò)空間內(nèi)的端到端安全訪問，實(shí)現(xiàn)了鐵路網(wǎng)絡(luò)內(nèi)空間、區(qū)、域、端的基于一體化安全策略的安全訪問控制模型。