周 游，趙悠麒

（中國(guó)鐵路上海局集團(tuán)有限公司 信息技術(shù)所，上海 200071）

傳統(tǒng)基于邊界的IT安全模型中，主要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施，通過(guò)部署防火墻（FW，F(xiàn)irewall）、入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System） 、入侵預(yù)防系統(tǒng)（IPS，Intrusion Prevention System）、 Web應(yīng)用防火墻（WAF，Web Application Firewall）等網(wǎng)絡(luò)安全設(shè)備，防止來(lái)自外界的入侵。從企業(yè)數(shù)字化轉(zhuǎn)型和IT環(huán)境的演變過(guò)程來(lái)看，云計(jì)算、移動(dòng)互聯(lián)的快速發(fā)展，導(dǎo)致企業(yè)網(wǎng)絡(luò)的傳統(tǒng)內(nèi)外網(wǎng)邊界模糊，基于邊界的網(wǎng)絡(luò)安全防護(hù)模式越來(lái)越難以應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)如今正在面臨的各種復(fù)雜多變的攻擊手段。

零信任理念打破了物理邊界的局限性，人和設(shè)備不再以簡(jiǎn)單的物理邊界來(lái)定義，不嚴(yán)格區(qū)分內(nèi)網(wǎng)外網(wǎng)，無(wú)論人在哪、設(shè)備在哪、訪問(wèn)什么應(yīng)用，提倡以人、身份為中心，去構(gòu)建一個(gè)移動(dòng)的動(dòng)態(tài)防御邊界。其核心思想是“從不信任、始終驗(yàn)證”，拒絕傳統(tǒng)安全架構(gòu)上默認(rèn)的“信任”[1]，不信任任何網(wǎng)絡(luò)、人和設(shè)備，在訪問(wèn)連接之前須建立動(dòng)態(tài)的訪問(wèn)權(quán)限，并對(duì)訪問(wèn)權(quán)限實(shí)行精細(xì)管理，進(jìn)行細(xì)粒度的權(quán)限切分，即使一個(gè)用戶被攻陷，也不會(huì)因?yàn)樗脑L問(wèn)權(quán)限過(guò)大，致使整個(gè)內(nèi)網(wǎng)資源都暴露出去，這種安全技術(shù)架構(gòu)尤其適用于云計(jì)算和移動(dòng)互聯(lián)網(wǎng)時(shí)代企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)要求。

零信任不是一種技術(shù)，而是一種安全框架和理念，它意味著企業(yè)可以將其構(gòu)建到現(xiàn)有的體系結(jié)構(gòu)中，而無(wú)需拆除現(xiàn)有的基礎(chǔ)設(shè)施。基于零信任理念建設(shè)企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，可以改善既有的傳統(tǒng)邊界型IP網(wǎng)絡(luò)架構(gòu)，將IP網(wǎng)絡(luò)架構(gòu)與ID身份驗(yàn)證相結(jié)合，有效提高企業(yè)網(wǎng)絡(luò)安全防護(hù)能力。目前，企業(yè)實(shí)施零信任安全理念主要采用3種技術(shù)方案：軟件定義邊界（SDP，Software Defined Perimeter）、身份權(quán)限管理（IAM，Identity and Access Management）和微隔離（MSG，Micro Segmentation）。

“十三五”期間，鐵路信息化取得一系列新突破，數(shù)字紅利充分釋放，鐵路“互聯(lián)網(wǎng)+”及鐵路電子商務(wù)應(yīng)用實(shí)現(xiàn)快速發(fā)展，客戶服務(wù)能力大幅提升[2]。在鐵路企業(yè)信息系統(tǒng)日益開放、拓展互聯(lián)的過(guò)程中，供應(yīng)鏈攻擊也成為鐵路企業(yè)網(wǎng)絡(luò)安全當(dāng)前面臨的主要挑戰(zhàn)之一。

本文基于零信任理念，結(jié)合鐵路企業(yè)網(wǎng)絡(luò)攻防演練實(shí)踐，探討將SDP網(wǎng)絡(luò)安全模型應(yīng)用于防范供應(yīng)鏈攻擊的具體技術(shù)方案，以構(gòu)建更加安全的鐵路企業(yè)網(wǎng)絡(luò)安全防護(hù)體系。

1 鐵路企業(yè)網(wǎng)絡(luò)面臨供應(yīng)鏈攻擊的現(xiàn)狀及問(wèn)題

1.1 鐵路企業(yè)網(wǎng)絡(luò)正面臨著日益嚴(yán)峻的供應(yīng)鏈攻擊

供應(yīng)鏈攻擊，顧名思義就是指針對(duì)供應(yīng)鏈發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，也稱為第三方或價(jià)值鏈攻擊。攻擊者將供應(yīng)鏈作為攻擊對(duì)象，先攻擊供應(yīng)鏈中安全防護(hù)相對(duì)薄弱的企業(yè)，再利用供應(yīng)鏈之間的相互連接，如軟件供應(yīng)、開源應(yīng)用等，將風(fēng)險(xiǎn)擴(kuò)大至上下游企業(yè)，通過(guò)供應(yīng)鏈將網(wǎng)絡(luò)攻擊延伸至相關(guān)的合作伙伴和下游企業(yè)客戶，產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。供應(yīng)鏈攻擊往往牽涉到更多的企業(yè)，且更具破壞性，甚至?xí)o整個(gè)行業(yè)帶來(lái)巨大的影響[3]。

對(duì)于企業(yè)網(wǎng)絡(luò)，當(dāng)攻擊者使用外部合作伙伴（如供應(yīng)商、客戶）擁有或使用的連接應(yīng)用程序或服務(wù)破壞企業(yè)網(wǎng)絡(luò)時(shí)，就會(huì)發(fā)生供應(yīng)鏈攻擊。對(duì)于攻擊者來(lái)說(shuō)，供應(yīng)鏈攻擊的吸引力在于信任。攻擊者可以從連接的供應(yīng)鏈應(yīng)用程序橫向移動(dòng)到更大的企業(yè)網(wǎng)絡(luò)，以竊取、加密或破壞關(guān)鍵數(shù)據(jù)，給企業(yè)造成巨額維修成本和聲譽(yù)損失。近年來(lái)，供應(yīng)鏈攻擊事件呈現(xiàn)暴發(fā)增長(zhǎng)的態(tài)勢(shì)，歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的《供應(yīng)鏈攻擊的威脅分析》報(bào)告指出，和2020年相比，2021年供應(yīng)鏈攻擊已經(jīng)顯著提升，犯罪分子和國(guó)家資助的黑客一直在尋找易受攻擊的目標(biāo)，導(dǎo)致針對(duì)供應(yīng)鏈網(wǎng)絡(luò)的攻擊一直在持續(xù)增加。

鐵路在我國(guó)綜合交通體系中處于骨干地位，是國(guó)民經(jīng)濟(jì)發(fā)展的大動(dòng)脈，也是大眾化的交通工具，對(duì)經(jīng)濟(jì)社會(huì)發(fā)展產(chǎn)生重大作用和深遠(yuǎn)影響。目前，鐵路客戶服務(wù)中心已成為鐵路與客戶互動(dòng)交互的重要窗口，互聯(lián)網(wǎng)售票成為客票銷售主要渠道，鐵路95306網(wǎng)站的網(wǎng)上貨運(yùn)受理量超過(guò)99%；鐵路物資采購(gòu)與招商線上應(yīng)用快速延伸，鐵路電子支付平臺(tái)提供了網(wǎng)銀、第三方等多種支付手段，為旅客貨主提供便捷支付手段；車站旅客服務(wù)系統(tǒng)廣泛應(yīng)用，車站秩序得到有效改善。鐵路企業(yè)線上信息服務(wù)與線下業(yè)務(wù)管理緊密結(jié)合，實(shí)現(xiàn)了貨物全程信息追蹤、旅客列車正晚點(diǎn)查詢，在很大程度上方便了旅客貨主，客戶服務(wù)體驗(yàn)得到顯著改善[2]。然而，鐵路企業(yè)信息系統(tǒng)所面臨的供應(yīng)鏈攻擊風(fēng)險(xiǎn)日益嚴(yán)峻。

在鐵路企業(yè)網(wǎng)絡(luò)攻防演練實(shí)戰(zhàn)中，攻擊方往往把供應(yīng)鏈攻擊作為主要的攻擊策略，通過(guò)收集和摸清防守方使用的供應(yīng)鏈產(chǎn)品，在相關(guān)的供應(yīng)鏈產(chǎn)品或者供應(yīng)鏈企業(yè)上尋找漏洞，找到新的攻擊路徑或切入點(diǎn)。

目前，與供應(yīng)鏈相關(guān)的鐵路信息系統(tǒng)不僅缺乏精細(xì)化的安全防護(hù)，且大多采用基于開源的代碼框架開發(fā)，系統(tǒng)開發(fā)商所使用的開源組件、中間件、版本以及源代碼的安全性難以保障，而且這些系統(tǒng)由于使用年限較長(zhǎng)，普遍存在難以修復(fù)的體系結(jié)構(gòu)漏洞。

供應(yīng)鏈攻擊的手段包括：利用第三方應(yīng)用程序、利用開放源代碼庫(kù)中包含的漏洞等等。

1.2 傳統(tǒng)的攻擊防范措施難以應(yīng)對(duì)供應(yīng)鏈攻擊

在傳統(tǒng)網(wǎng)絡(luò)安全的架構(gòu)中，對(duì)于惡意攻擊防范需要在網(wǎng)絡(luò)內(nèi)部部署入侵防御系統(tǒng)，對(duì)外部、內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)。在核心辦公網(wǎng)絡(luò)區(qū)域，需要部署安全態(tài)勢(shì)感知平臺(tái)，對(duì)新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和分析；并有效聯(lián)動(dòng)入侵防御系統(tǒng)的防惡意代碼檢測(cè)模塊，將關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處的惡意代碼進(jìn)行檢測(cè)和清除。

入侵檢測(cè)設(shè)備會(huì)詳細(xì)記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等內(nèi)容，并對(duì)記錄信息進(jìn)行一定程度的自動(dòng)分析，為系統(tǒng)強(qiáng)化網(wǎng)絡(luò)安全防護(hù)、改進(jìn)運(yùn)維策略提供基礎(chǔ)依據(jù)[4]。當(dāng)設(shè)備違規(guī)連接非授權(quán)網(wǎng)絡(luò)時(shí)，終端安全防護(hù)系統(tǒng)能夠主動(dòng)報(bào)警并進(jìn)行阻斷，避免設(shè)備違規(guī)連接非授權(quán)網(wǎng)絡(luò)。

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)通過(guò)配套安全設(shè)備之間的聯(lián)動(dòng)，基于定期更新的安全設(shè)備規(guī)則庫(kù)來(lái)防范惡意代碼的攻擊。各類安全設(shè)備的告警中，誤報(bào)比例普遍較高，這無(wú)疑加大了系統(tǒng)辨別真實(shí)攻擊并及時(shí)響應(yīng)的難度。雖然可以通過(guò)統(tǒng)一日志管理平臺(tái)，對(duì)關(guān)鍵信息進(jìn)行快速查詢檢索，以提高攻擊檢測(cè)效率。但這種主要依賴多種安全設(shè)備規(guī)則庫(kù)來(lái)判定惡意攻擊的方式，一旦安全設(shè)備的規(guī)則庫(kù)出現(xiàn)問(wèn)題，將嚴(yán)重影響安全防護(hù)措施的有效性。

2 SDP網(wǎng)絡(luò)安全模型

2.1 SDP的概念

SDP也稱作零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA，Zero-Trust Network Access），是由云安全聯(lián)盟（CSA，Cloud Security Alliance）開發(fā)的一種安全框架，根據(jù)身份控制對(duì)資源的訪問(wèn)。該框架基于美國(guó)國(guó)防部的“need to know”模型，每一個(gè)終端在連接服務(wù)器前均須進(jìn)行驗(yàn)證，確保每臺(tái)設(shè)備都是允許接入的。企業(yè)或組織采用SDP架構(gòu)，可隱藏其核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施，使之不直接暴露在互聯(lián)網(wǎng)下，確保企業(yè)網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來(lái)安全威脅[5]。

SDP主要功能是：（1）對(duì)設(shè)備進(jìn)行身份認(rèn)證和驗(yàn)證；（2）對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)；（3）確保雙向加密通信；（4）動(dòng)態(tài)提供連接；（5）控制用戶與服務(wù)之間連接，同時(shí)隱藏這些連接。

2.2 SDP架構(gòu) 、工作流程及部署模型

SDP架構(gòu)中主要包括3個(gè)組件：SDP控制器（SDP Controler）、SDP連接發(fā)起主機(jī)（IH，Initial Host）、SDP連接接受主機(jī)（AH，Accept Host），如圖1所示。

圖1 SDP架構(gòu)及工作流程

其中，SDP主機(jī)可以發(fā)起連接也可以接受連接，IH和AH會(huì)直接連接到SDP控制器，通過(guò)控制器與安全控制信道的交互來(lái)管理。這一結(jié)構(gòu)可使控制層能夠與數(shù)據(jù)層相分離，以便實(shí)現(xiàn)高可擴(kuò)展的安全系統(tǒng)。此外，所有組件都可以是冗余的，提高可靠性和方便擴(kuò)容。

SDP的基本工作流程如下：

（1）在SDP 中添加并激活一個(gè)或多個(gè)SDP控制器，并連接到身份驗(yàn)證和授權(quán)服務(wù)，例如AM、PKI 服務(wù)、設(shè)備驗(yàn)證、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos、多因子身份驗(yàn)證、身份聯(lián)盟和其它類似的服務(wù)；

（2）在 SDP 中添加并激活一個(gè)或多個(gè) AH，它們以安全的方式連接控制器，并進(jìn)行驗(yàn)證；AH 不響應(yīng)來(lái)自任何其它主機(jī)的通信，也不會(huì)響應(yīng)任何未許可的請(qǐng)求；

（3）將每個(gè) IH 添加 SDP 中并激活，并與SDP控制器連接并進(jìn)行身份驗(yàn)證；

（4）IH 被驗(yàn)證之后， SDP 控制器會(huì)確定IH可被授權(quán)允許連接的AH列表；

（5）SDP 控制器指示AH接受來(lái)自IH的通信，并啟動(dòng)加密通信所需的任何可選策略；

（6）SDP 控制器為IH提供AH列表，以及加密通信所需的任何可選策略；

（7）IH向每個(gè)授權(quán)的AH發(fā)起單包授權(quán)（SPA，Single Packet Authorization，它可使未授權(quán)的用戶和設(shè)備無(wú)法感知或訪問(wèn)）；IH 和這些AH創(chuàng)建雙向加密連接（例如，雙向驗(yàn)證 TLS 或 mTLS）；

（8）IH 通過(guò)AH并使用雙向加密的數(shù)據(jù)信道與目標(biāo)系統(tǒng)通信。

CSA制定的SDP標(biāo)準(zhǔn)規(guī)范1.0中定義了6種可能用在組織中SDP部署模型：客戶端—網(wǎng)關(guān)、服務(wù)器—服務(wù)器、客戶端—網(wǎng)關(guān)—客戶端、客戶端—服務(wù)器、客戶端—服務(wù)器—客戶端、網(wǎng)關(guān)—網(wǎng)關(guān)。

3 基于SDP的鐵路企業(yè)網(wǎng)絡(luò)供應(yīng)鏈攻擊安全防范方案

3.1 鐵路企業(yè)網(wǎng)絡(luò)中SDP部署模型

鐵路企業(yè)網(wǎng)絡(luò)面臨供應(yīng)鏈攻擊，普遍存在“檢測(cè)監(jiān)控難、判斷處置難”的問(wèn)題。在規(guī)模龐大的鐵路企業(yè)網(wǎng)絡(luò)中，攻擊者隨時(shí)可能通過(guò)入侵供應(yīng)鏈網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)穿透進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動(dòng)獲得高價(jià)值信息資產(chǎn)的訪問(wèn)權(quán)限。

為此，通過(guò)在鐵路網(wǎng)絡(luò)安全管理中心區(qū)域內(nèi)設(shè)置SDP控制器，將關(guān)鍵應(yīng)用程序與數(shù)據(jù)中心中的其它應(yīng)用程序隔離開來(lái)，并對(duì)各個(gè)應(yīng)用網(wǎng)絡(luò)區(qū)域內(nèi)的授權(quán)用戶進(jìn)行隔離，嚴(yán)格按照SDP控制器的規(guī)則賦予訪問(wèn)權(quán)限，可對(duì)用戶訪問(wèn)行為的安全控制細(xì)化到單次。未經(jīng)授權(quán)的用戶將無(wú)法檢測(cè)到受保護(hù)的應(yīng)用程序，從而限制供應(yīng)鏈攻擊的橫向移動(dòng)范圍。對(duì)于獲得授權(quán)的用戶，一旦發(fā)現(xiàn)其異常的數(shù)據(jù)訪問(wèn)行為，也會(huì)被動(dòng)態(tài)地臨時(shí)取消權(quán)限，以降低可能由受信用戶造成的安全風(fēng)險(xiǎn)。

SDP控制器包括3個(gè)主要模塊：流量檢測(cè)模塊、規(guī)則控制模塊、流量時(shí)間特性分析模塊，通過(guò)這3個(gè)模塊的協(xié)同工作，來(lái)輔助統(tǒng)一日志管理平臺(tái)完成對(duì)鐵路信息系統(tǒng)與外部系統(tǒng)的細(xì)粒度動(dòng)態(tài)訪問(wèn)控制，以有效應(yīng)對(duì)供應(yīng)鏈攻擊，具體的SDP部署模型如圖2所示。

圖2 鐵路企業(yè)網(wǎng)絡(luò)中SDP部署模型示意

其中，流量檢測(cè)模塊完成對(duì)供應(yīng)鏈相關(guān)系統(tǒng)邊界流量的檢測(cè)和溯源；規(guī)則控制模塊結(jié)合IPS、WAF、FW等網(wǎng)絡(luò)安全設(shè)備的訪問(wèn)規(guī)則，利用溯源數(shù)據(jù)、安全系統(tǒng)的審計(jì)、日志數(shù)據(jù)，針對(duì)單一業(yè)務(wù)系統(tǒng)，制定動(dòng)態(tài)訪問(wèn)控制策略規(guī)則和微隔離策略；而流量時(shí)間特性分析模塊則從時(shí)間維度上，為流量檢測(cè)模塊和規(guī)則控制模塊的規(guī)則和策略調(diào)整提供流量時(shí)間特征的補(bǔ)充信息。

SDP控制器通過(guò)這3個(gè)模塊的協(xié)同工作來(lái)實(shí)現(xiàn)安全訪問(wèn)控制，并將訪問(wèn)行為和安全審計(jì)數(shù)據(jù)匯總至統(tǒng)一日志管理平臺(tái)，用于為運(yùn)維和安全人員提供可視化管理界面。

3.2 流量檢測(cè)模塊

僅依靠單一設(shè)備，難以完成供應(yīng)鏈上鏈路邊界的流量分析以及從WEB、郵件、文件3個(gè)維度檢測(cè)高級(jí)持續(xù)性威脅（APT，Advanced Persistent Threat ）。而僅靠堆疊多種安全檢測(cè)設(shè)備，會(huì)增加安全設(shè)備投資和運(yùn)維成本，而且也會(huì)大大增加企業(yè)網(wǎng)絡(luò)安全人員對(duì)業(yè)務(wù)流量進(jìn)行監(jiān)控的負(fù)擔(dān)。

為此，將全流量檢測(cè)技術(shù)與安全設(shè)備、網(wǎng)絡(luò)協(xié)議的有機(jī)結(jié)合，設(shè)計(jì)了SDP控制器的流量檢測(cè)模塊，對(duì)供應(yīng)鏈邊界上的流量進(jìn)行溯源分析，其主要功能如圖3所示。

圖3 流量檢測(cè)模塊的主要功能

3.2.1 對(duì)供應(yīng)鏈重要邊界實(shí)施全流量監(jiān)控

全面調(diào)查和梳理鐵路企業(yè)網(wǎng)絡(luò)中可能遭受供應(yīng)鏈攻擊的暴露面清單，確認(rèn)供應(yīng)鏈的重要邊界，對(duì)重要邊界流量實(shí)施重點(diǎn)監(jiān)控。重要邊界包括互聯(lián)網(wǎng)訪問(wèn)邊界、直屬單位與平行單位邊界、內(nèi)網(wǎng)業(yè)務(wù)邊界、靶機(jī)邊界。在所有重要邊界上部署流量探針，以實(shí)施全方位監(jiān)控；記錄通過(guò)各個(gè)邊界的流量，對(duì)長(zhǎng)時(shí)間內(nèi)各類核心業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)分析，同時(shí)結(jié)合相關(guān)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量趨勢(shì)報(bào)告，從而掌握各個(gè)網(wǎng)絡(luò)邊界流量的總體趨勢(shì)和變化特征。

3.2.2 對(duì)加密的協(xié)議流量進(jìn)行解析和檢測(cè)

對(duì)于無(wú)法直接識(shí)別和檢測(cè)到的加密協(xié)議流量，例如HTTPS流量，可以通過(guò)加載對(duì)應(yīng)的SSL證書，對(duì)流量解密后再進(jìn)行識(shí)別檢測(cè)；考慮到對(duì)HTTPS流量的統(tǒng)一管理和檢測(cè)，可將解析HTTPS流量的CA證書遷移到負(fù)載均衡上，接入負(fù)載均衡之后，可將HTTPS流量解密為明文，以供各類安全設(shè)備進(jìn)行流量識(shí)別和檢測(cè)。

3.2.3 對(duì)供應(yīng)鏈相關(guān)方的IP資產(chǎn)加注標(biāo)簽

通過(guò)威脅分析一體機(jī)設(shè)備，對(duì)供應(yīng)鏈相關(guān)方的IP資產(chǎn)加注標(biāo)簽；對(duì)IP資源按業(yè)務(wù)、用戶、用途進(jìn)行分類和加注標(biāo)簽，并將可能為攻擊者的IP標(biāo)記為情報(bào)攻擊IP；當(dāng)發(fā)現(xiàn)情報(bào)攻擊IP對(duì)供應(yīng)鏈相關(guān)方系統(tǒng)的訪問(wèn)或者攻擊事件時(shí)，能夠快速判斷和響應(yīng)該攻擊事件，全面掌握攻擊態(tài)勢(shì)、攻擊者主要攻擊的系統(tǒng)服務(wù)、以及業(yè)務(wù)間的調(diào)用關(guān)系，并及時(shí)做出封堵處理和流量追溯。

3.2.4 利用零信任框架管控供應(yīng)鏈邊界流量

基于零信任框架設(shè)計(jì)的安全設(shè)備，采用“SPA+默認(rèn)丟包”策略，按照“先認(rèn)證后連接”原則，加強(qiáng)遠(yuǎn)程接入用戶的動(dòng)態(tài)安全管控，以收斂鐵路企業(yè)網(wǎng)絡(luò)的暴露面，減少不必要的穿越供應(yīng)鏈邊界的流量[6]。

通過(guò)上述的流量溯源統(tǒng)計(jì)手段，SDP控制器的流量檢測(cè)模塊大致可以確定與供應(yīng)鏈相關(guān)方在交互邊界上的有效流量，完成多個(gè)層面流量檢測(cè)與分析任務(wù)，如表1所示，以全面檢測(cè)和監(jiān)控供應(yīng)鏈網(wǎng)絡(luò)攻擊。

表1 流量檢測(cè)模塊完成的流量檢測(cè)與分析任務(wù)

3.3 規(guī)則控制模塊

鐵路信息系統(tǒng)規(guī)模龐大，業(yè)務(wù)復(fù)雜，僅依靠單一鏈路的安全設(shè)備，難以完全防范供應(yīng)鏈攻擊。且攻擊者往往通過(guò)偽裝成鐵路供應(yīng)鏈相關(guān)業(yè)務(wù)系統(tǒng)的正常授權(quán)用戶進(jìn)行入侵，利用網(wǎng)絡(luò)安全人員未知的安全漏洞進(jìn)行數(shù)據(jù)獲取和提權(quán)，但攻擊者僅在進(jìn)行非法操作時(shí)才會(huì)漏出馬腳。倘若網(wǎng)絡(luò)安全管理員采用過(guò)于嚴(yán)苛的網(wǎng)絡(luò)防護(hù)策略，一些老舊、代碼開發(fā)不規(guī)范的業(yè)務(wù)系統(tǒng)的正常操作就容易被安全設(shè)備誤認(rèn)為是攻擊行為而被攔截。

為此，設(shè)計(jì)了SDP控制器規(guī)則控制模塊，通過(guò)與鐵路網(wǎng)絡(luò)各類安全系統(tǒng)及設(shè)備進(jìn)行信息交互，可有效降低對(duì)單一設(shè)備安全規(guī)則庫(kù)的依賴，形成了結(jié)合審計(jì)、日志、安全防護(hù)、業(yè)務(wù)代碼特征的規(guī)則控制模型，如圖4所示。

圖4 規(guī)則控制模塊與網(wǎng)絡(luò)安全系統(tǒng)及設(shè)備間的交互

規(guī)則控制模塊將SDP控制器管理區(qū)域內(nèi)所有業(yè)務(wù)活動(dòng)、業(yè)務(wù)系統(tǒng)劃分不同區(qū)域?？刂破骺砂床煌瑯I(yè)務(wù)區(qū)域，將各業(yè)務(wù)系統(tǒng)的具體業(yè)務(wù)操作納入安全審計(jì)系統(tǒng)，對(duì)用戶操作行為進(jìn)行記錄和審計(jì)，并將記錄全量備份至審計(jì)數(shù)據(jù)存儲(chǔ)服務(wù)器。規(guī)則控制模塊從安全審計(jì)系統(tǒng)中獲取較長(zhǎng)時(shí)段內(nèi)各業(yè)務(wù)系統(tǒng)的操作審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，再與入侵防范相關(guān)的安全設(shè)備規(guī)則庫(kù)相結(jié)合，可生成具有審計(jì)功能的惡意代碼防御規(guī)則，而不僅僅依賴于入侵防御設(shè)備和防火墻設(shè)備的規(guī)則庫(kù)。

規(guī)則控制模塊的規(guī)則庫(kù)是通過(guò)整合各個(gè)業(yè)務(wù)系統(tǒng)的操作審計(jì)記錄生成的，相對(duì)于IPS、WAF等安全設(shè)備的規(guī)則庫(kù)，考慮了業(yè)務(wù)系統(tǒng)的代碼特征，而且還能隨著相關(guān)業(yè)務(wù)系統(tǒng)的持續(xù)升級(jí)，動(dòng)態(tài)地更新代碼規(guī)則庫(kù)，能夠基于持續(xù)的信任評(píng)估規(guī)則，對(duì)業(yè)務(wù)系統(tǒng)流量的信任基礎(chǔ)進(jìn)行動(dòng)態(tài)重構(gòu)[8]。

除安全審計(jì)系統(tǒng)外，規(guī)則控制模塊還建立了與態(tài)勢(shì)感知設(shè)備、業(yè)務(wù)服務(wù)監(jiān)控等系統(tǒng)間的信息交互。通過(guò)這些信息交互，使得SDP控制器的規(guī)則庫(kù)可以根據(jù)業(yè)務(wù)系統(tǒng)軟件版本特征、業(yè)務(wù)系統(tǒng)用戶行為特征等來(lái)構(gòu)建動(dòng)態(tài)的、細(xì)粒度的“業(yè)務(wù)訪問(wèn)隧道”，實(shí)現(xiàn)了對(duì)供應(yīng)鏈環(huán)節(jié)中的中間件、操作系統(tǒng)、開源框架、供應(yīng)鏈用戶的動(dòng)態(tài)管理。除此之外，規(guī)則控制模塊還能將把不符合正常業(yè)務(wù)訪問(wèn)的操作實(shí)時(shí)地反饋給統(tǒng)一日志管理平臺(tái)，有助于提升網(wǎng)絡(luò)安全人員應(yīng)對(duì)網(wǎng)絡(luò)安全事件的處置速度和準(zhǔn)確率。

概而言之，規(guī)則控制模塊基于動(dòng)態(tài)構(gòu)建的規(guī)則庫(kù)，顯著降低了攻擊者成功入侵的概率，且與安全審計(jì)系統(tǒng)的數(shù)據(jù)相結(jié)合，在保障安全防護(hù)的同時(shí)，也有助于業(yè)務(wù)系統(tǒng)開展代碼規(guī)范和業(yè)務(wù)操作規(guī)范的建設(shè)。

3.4 流量時(shí)間特性分析模塊

一些供應(yīng)鏈上的業(yè)務(wù)應(yīng)用系統(tǒng)，由于代碼不規(guī)范、所用開源框架的年代過(guò)于久遠(yuǎn)，可能會(huì)產(chǎn)生許多具有攻擊特性的正常業(yè)務(wù)流量。為了避免SDP控制器和安全設(shè)備影響老舊業(yè)務(wù)的正常運(yùn)行，將這些攻擊流量特性加入相應(yīng)區(qū)域的SDP動(dòng)態(tài)訪問(wèn)規(guī)則庫(kù)，但這種操作往往又會(huì)成為攻擊方利用的對(duì)象。

SDP控制器將全流量檢測(cè)技術(shù)與多種安全設(shè)備、安全系統(tǒng)相結(jié)合，具有強(qiáng)大的流量檢測(cè)、規(guī)則管控等功能，但也帶來(lái)了新問(wèn)題：對(duì)檢測(cè)出來(lái)的業(yè)務(wù)流量進(jìn)行分析，將控制器識(shí)別的業(yè)務(wù)系統(tǒng)的正常操作行為加入規(guī)則控制模塊，造成過(guò)度依賴于控制器控制模塊的算法。

為了降低對(duì)規(guī)則控制模塊算法的依賴，設(shè)計(jì)了流量時(shí)間特性分析模塊，以降低對(duì)端對(duì)端IP流量規(guī)則的依賴。流量時(shí)間特性分析模塊統(tǒng)計(jì)不同業(yè)務(wù)區(qū)域?qū)崟r(shí)流量的特征，按節(jié)假日、重要時(shí)刻、業(yè)務(wù)高峰、業(yè)務(wù)冰谷、日常業(yè)務(wù)流量等不同時(shí)段，生成各類業(yè)務(wù)流量時(shí)刻圖（圖5所示）。業(yè)務(wù)流量時(shí)刻圖上繪有業(yè)務(wù)流量上限、正常業(yè)務(wù)流量、業(yè)務(wù)流量下限3條趨勢(shì)線，一旦超過(guò)正常業(yè)務(wù)流量的上下業(yè)務(wù)流量，即判斷該流量行為異常。

圖5 日常業(yè)務(wù)流量時(shí)刻圖

SDP控制器的流量檢測(cè)模塊會(huì)時(shí)刻統(tǒng)計(jì)各個(gè)業(yè)務(wù)區(qū)域內(nèi)的實(shí)時(shí)流量特征，并將其反饋給流量時(shí)間特性分析模塊進(jìn)行比對(duì)。雖然來(lái)自某一供應(yīng)鏈業(yè)務(wù)模塊的流量還是傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下基于源IP到目的IP的訪問(wèn)流量，但訪問(wèn)控制已不只依賴于目的地址、源地址、端口，還加入時(shí)間流因素。在某一時(shí)段內(nèi)，哪怕流量是可信的IP訪問(wèn)行為，且訪問(wèn)操作和正常業(yè)務(wù)操作一樣，只要其流量高于設(shè)定的安全閾值，也會(huì)判定該流量行為不可控。一旦檢測(cè)到流量行為不可控，將對(duì)第一時(shí)間反饋給規(guī)則控制模塊進(jìn)行規(guī)則調(diào)整，同時(shí)將檢測(cè)結(jié)果傳遞給統(tǒng)一日志管理平臺(tái)，以便網(wǎng)絡(luò)安全及運(yùn)維人員進(jìn)行及時(shí)處理。

4 結(jié)束語(yǔ)

通過(guò)零信任理念和SDP網(wǎng)絡(luò)安全模型的應(yīng)用，將安全審計(jì)、全流量溯源和基于安全設(shè)備防護(hù)策略的訪問(wèn)控制等傳統(tǒng)網(wǎng)絡(luò)防護(hù)手段進(jìn)行整合，設(shè)計(jì)SDP模型部署方案；SDP控制器設(shè)置在鐵路網(wǎng)絡(luò)安全管理中心區(qū)域，主要由協(xié)同工作的流量檢測(cè)模塊、規(guī)則控制模塊、流量時(shí)間特性分析模塊3個(gè)模塊構(gòu)成。該SDP控制器默認(rèn)不信任供應(yīng)鏈網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，通過(guò)建立與多個(gè)安全設(shè)備和安全系統(tǒng)的信息交互和規(guī)則聯(lián)動(dòng)，引入更多的數(shù)據(jù)角度和安全策略評(píng)定標(biāo)準(zhǔn)，來(lái)動(dòng)態(tài)地調(diào)整細(xì)粒度的訪問(wèn)控制，有效降低對(duì)受信任系統(tǒng)訪問(wèn)權(quán)限的依賴。

采用本文提出的SDP部署模型建立起動(dòng)態(tài)的、細(xì)粒度的訪問(wèn)控制機(jī)制，能夠有效解決鐵路企業(yè)網(wǎng)絡(luò)遭受供應(yīng)鏈攻擊時(shí)面臨的“檢測(cè)監(jiān)控難、判斷處置難”問(wèn)題，可屏蔽非法用戶對(duì)鐵路企業(yè)網(wǎng)絡(luò)資源的訪問(wèn)，防止外部攻擊方利用供應(yīng)鏈相關(guān)方系統(tǒng)的暴露面，進(jìn)行“野蠻陌生人”暴力攻擊（如DDoS流量攻擊）、精準(zhǔn)打擊（如APT威脅）、漏洞利用（如心臟出血漏洞）等，降低鐵路信息系統(tǒng)遭受供應(yīng)鏈網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)。