楊軼杰，許 翔，謝 濤，馬俊杰

（1.中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；2.中國鐵路烏魯木齊局集團有限公司 工電檢測所，烏魯木齊 830011）

鐵路供電信息系統(tǒng)包括鐵路供電遠(yuǎn)動子系統(tǒng)、鐵路供電輔助監(jiān)控子系統(tǒng)、鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)和鐵路供電一級子平臺等，是電氣化鐵路運輸?shù)闹匾Ｕ?。因此，保障鐵路供電信息系統(tǒng)的網(wǎng)絡(luò)安全是鐵路重要的安全保障環(huán)節(jié)。當(dāng)前，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，針對重要信息系統(tǒng)的攻擊時有發(fā)生。鐵路供電信息系統(tǒng)作為專網(wǎng)運行的系統(tǒng)，若受到攻擊者入侵，在專網(wǎng)內(nèi)橫向移動，會引發(fā)供電故障，甚至造成行車事故。在已有的研究中，研究人員針對鐵路供電信息系統(tǒng)的安全運行提出過精準(zhǔn)判斷和及時恢復(fù)的解決方案，但在攻擊方式與攻擊技術(shù)日益升級的環(huán)境下，精準(zhǔn)判斷愈加難以實現(xiàn)[1]；也有研究人員提出對鐵路供電信息系統(tǒng)終端實施特殊安全防護，嚴(yán)格準(zhǔn)入限制條件，在一定程度上降低了攻擊面，但也對這類系統(tǒng)今后可能需要進(jìn)行的擴展帶來了限制[2]。

在網(wǎng)絡(luò)安全資源日益豐富的背景下，安全資源池可對專網(wǎng)運行的系統(tǒng)提供更加全面的安全防護[3-6]。本文綜合考慮已有網(wǎng)絡(luò)安全防護的不足和安全資源池的優(yōu)點，提出鐵路供電信息系統(tǒng)安全資源池，強化鐵路供電信息系統(tǒng)的安全防護。

1 鐵路供電信息系統(tǒng)現(xiàn)狀

1.1 鐵路供電遠(yuǎn)動子系統(tǒng)現(xiàn)狀

鐵路供電信息系統(tǒng)以鐵路供電遠(yuǎn)動子系統(tǒng)為主，輔之以鐵路供電輔助監(jiān)控子系統(tǒng)，共同實現(xiàn)鐵路供電的控制與調(diào)配。鐵路供電遠(yuǎn)動子系統(tǒng)的主要作用是監(jiān)視與數(shù)據(jù)采集。通常情況下，鐵路供電遠(yuǎn)動子系統(tǒng)由調(diào)度主站、通信通道、被控站等組成[7]，采用中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團公司、站段的三級結(jié)構(gòu)部署[8]。

國鐵集團級鐵路供電遠(yuǎn)動子系統(tǒng)的防護，在網(wǎng)絡(luò)架構(gòu)上采用網(wǎng)絡(luò)鏈路與設(shè)備冗余部署的方式，以保障鏈路與設(shè)備的正常運行；在實際部署中，通過國鐵集團主數(shù)據(jù)中心云平臺提供的，客戶系統(tǒng)安全審計服務(wù)對數(shù)據(jù)庫訪問行為進(jìn)行審計，防止非法入侵，并進(jìn)行惡意代碼檢測。

1.2 鐵路供電輔助監(jiān)控子系統(tǒng)現(xiàn)狀

鐵路供電輔助監(jiān)控子系統(tǒng)是保障鐵路供電遠(yuǎn)動子系統(tǒng)運行的重要系統(tǒng)，其主要業(yè)務(wù)是對鐵路牽引供電遠(yuǎn)動系統(tǒng)中的電氣設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視、測量和控制，包括對其相關(guān)信息的采集、處理、傳輸、顯示等功能。

鐵路供電輔助監(jiān)控子系統(tǒng)的網(wǎng)絡(luò)設(shè)備包括防火墻、網(wǎng)閘、交換機、路由器等，其中，防火墻通過訪問控制策略實現(xiàn)不同功能區(qū)間的訪問控制與區(qū)域隔離。鐵路供電輔助監(jiān)控子系統(tǒng)的網(wǎng)絡(luò)區(qū)域分為采集交換區(qū)、接口交換區(qū)、數(shù)據(jù)域和應(yīng)用域。通過關(guān)閉高危端口、數(shù)據(jù)庫限定主機訪問、部署數(shù)據(jù)庫審計服務(wù)器和堡壘機等方式，實現(xiàn)網(wǎng)絡(luò)安全隔離與防護。

1.3 鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)現(xiàn)狀

鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)針對供電段管轄線路的接觸網(wǎng)C1～C6 裝置的檢測數(shù)據(jù)，提供檢測數(shù)據(jù)管理、缺陷數(shù)據(jù)管理、任務(wù)分配、數(shù)據(jù)統(tǒng)計、數(shù)據(jù)同步等功能，實現(xiàn)跨平臺數(shù)據(jù)訪問、數(shù)據(jù)整合共享和綜合分析。該子系統(tǒng)部署模式為B/S架構(gòu)，開發(fā)語言為Java。在安全技術(shù)方面，子系統(tǒng)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行遠(yuǎn)程管理時，采用SSH和HTTPS 加密協(xié)議。

1.4 鐵路供電一級子平臺現(xiàn)狀

鐵路供電一級子平臺的主要業(yè)務(wù)為供電信息集中展示和聯(lián)合分析，預(yù)防和處理各供電段接觸網(wǎng)和變/配電等專業(yè)發(fā)生的各種應(yīng)急事件。在網(wǎng)絡(luò)架構(gòu)上，鐵路供電一級子平臺采用站段級部署為主、工電檢測所部署為輔的方式，分級分域?qū)崿F(xiàn)安全防護。在安全防御上，各安全域間的訪問通過防火墻進(jìn)行邏輯隔離，通過訪問控制策略限制業(yè)務(wù)間的按需訪問。該子平臺與其他鐵路專網(wǎng)間通過安全隔離設(shè)備進(jìn)行邊界防護和必要的數(shù)據(jù)交互。

2 安全資源池簡介

安全資源池是安全服務(wù)資源的集合[9]，是一個基于軟件集成的安全工具集[10]，即一個資源集成平臺，可集成目標(biāo)系統(tǒng)的各種安全防護資源，并開放應(yīng)用接口，提供與云資源類似、按需獲取及彈性使用的安全功能，可從軟件和硬件形態(tài)上提供安全能力解決方案[11]。

安全資源池由安全資源池分配管理平臺和安全資源池資源存儲平臺組成，通過集中建設(shè)、統(tǒng)一資源調(diào)配、彈性擴容、按需分配及動態(tài)部署功能，實現(xiàn)安全能力利用效率最大化；另外，通過安全資源池分配管理平臺的資源分配調(diào)度，實現(xiàn)安全能力的動態(tài)編排[12-13]。

3 鐵路供電信息系統(tǒng)安全資源池

3.1 鐵路供電信息系統(tǒng)安全資源池架構(gòu)

鐵路供電信息系統(tǒng)安全資源池架構(gòu)包括基礎(chǔ)環(huán)境層、安全防護功能層和安全防護展示層，如圖1所示。

3.1.1 基礎(chǔ)環(huán)境層

主要包括安全資源池運行所需的硬件環(huán)境、軟件環(huán)境及虛擬化的網(wǎng)絡(luò)環(huán)境，需要根據(jù)用戶需求和安全能力進(jìn)行規(guī)劃部署。硬件環(huán)境主要指服務(wù)器、交換機、防火墻等硬件設(shè)備；軟件環(huán)境指在硬件環(huán)境的基礎(chǔ)上，為安全資源池運行提供的操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)環(huán)境；虛擬化網(wǎng)絡(luò)環(huán)境指在已有硬件設(shè)備的基礎(chǔ)上，為滿足安全資源池連接所需的虛擬網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。

3.1.2 安全防護功能層

根據(jù)用戶安全防護需求，部署相應(yīng)的安全防護產(chǎn)品，實現(xiàn)上網(wǎng)行為管理、日志審計及APT（Advanced Persistent Threat）防御等功能。上網(wǎng)行為管理和日志審計主要依靠流量安全檢測設(shè)備來實現(xiàn)；APT 防御主要通過流量安全檢測設(shè)備和靜態(tài)掃描設(shè)備等的聯(lián)合檢測來實現(xiàn)。

3.1.3 安全防護展示層

包括安全能力管理、基礎(chǔ)環(huán)境管理及流量編排3 部分。其中，安全能力管理包括策略管理和日志管理，策略管理主要針對安全資源池自身的安全進(jìn)行策略配置，日志管理是對安全資源池自身運行狀況的日志進(jìn)行記錄；基礎(chǔ)環(huán)境管理包括資源池管理和鏡像管理，對安全資源池的安全防護功能進(jìn)行動態(tài)管理；流量編排包括大網(wǎng)調(diào)度和池內(nèi)調(diào)度，是對安全資源池內(nèi)資源的綜合調(diào)度，包括單個安全池內(nèi)的資源分配及多個安全資源池聯(lián)動時的資源調(diào)度。

3.2 鐵路供電信息系統(tǒng)安全資源池功能

安全資源池用于鐵路供電信息系統(tǒng)后，在保障鐵路供電信息系統(tǒng)安全運行的同時，還能做到各個系統(tǒng)間的邏輯隔離。結(jié)合對鐵路供電信息系統(tǒng)安全資源池架構(gòu)的研究，鐵路供電信息系統(tǒng)安全資源池功能主要包括以下幾點。

3.2.1 用戶上網(wǎng)行為管理

用戶上網(wǎng)行為管理主要針對鐵路供電信息系統(tǒng)的各子系統(tǒng)的用戶登錄、數(shù)據(jù)訪問等，并根據(jù)用戶屬性進(jìn)行數(shù)據(jù)訪問限制和文件傳輸限制等。

3.2.2 日志審計

針對鐵路供電信息系統(tǒng)各子系統(tǒng)進(jìn)行日志監(jiān)控、日志分析及日志事件告警。對各子系統(tǒng)的運行狀況進(jìn)行實時監(jiān)控，包括監(jiān)控CPU 及內(nèi)存等關(guān)鍵區(qū)域的占用情況。針對日志監(jiān)控得到的數(shù)據(jù)，進(jìn)行日志分類、分組查詢。根據(jù)鐵路供電信息系統(tǒng)各子系統(tǒng)運行中遇到的常見安全問題，定制日志查詢規(guī)則，利用日志關(guān)聯(lián)性、字段邏輯關(guān)系等屬性針對性地發(fā)現(xiàn)可疑日志，并及時進(jìn)行告警。

3.2.3 攻擊行為防御

針對鐵路供電信息系統(tǒng)各子系統(tǒng)的攻擊進(jìn)行實時監(jiān)測，對可疑行為重點監(jiān)控，針對APT 攻擊實現(xiàn)快速響應(yīng)和有效溯源。攻擊行為防御還具備推理能力，能夠從用戶行為中發(fā)現(xiàn)非正常的訪問行為，例如：出現(xiàn)頻繁登錄、存在撞庫可能等，并排查潛在的攻擊威脅。

4 關(guān)鍵技術(shù)

鐵路供電信息系統(tǒng)安全資源池關(guān)鍵技術(shù)包括安全資源一體化管理技術(shù)和安全資源流量調(diào)度技術(shù)。

4.1 安全資源一體化管理技術(shù)

安全資源一體化管理技術(shù)主要包括安全資源動態(tài)存儲技術(shù)和安全資源分配技術(shù)等。其中，安全資源動態(tài)存儲技術(shù)指在安全資源池建設(shè)與運營過程中對安全資源的存儲位置、存儲時間、所存儲資源的軟件包進(jìn)行升級與控制，可實現(xiàn)安全資源在存儲方面的高效、統(tǒng)一；安全資源分配技術(shù)指在安全資源池運營過程中針對不同用戶的安全服務(wù)需求及當(dāng)前安全資源能夠提供的安全服務(wù)情況進(jìn)行安全資源的分配，實現(xiàn)在滿足服務(wù)需求的同時，節(jié)約安全資源的目的。

鐵路供電信息系統(tǒng)安全防護需求的安全資源一體化管理技術(shù)在安全資源池建設(shè)完成后，主要側(cè)重于對安全資源的動態(tài)存儲資源分配，包括日志審計、數(shù)據(jù)庫審計、終端準(zhǔn)入、漏洞掃描、終端防病毒軟件資源在安全資源池內(nèi)的存儲及對鐵路供電信息系統(tǒng)中不同子系統(tǒng)的分配等。

4.2 安全資源流量調(diào)度技術(shù)

安全資源的主要作用是提供安全服務(wù)，在提供安全服務(wù)的過程中，需要根據(jù)安全資源的儲備情況及用戶對安全資源的需求程度進(jìn)行服務(wù)與需求的匹配。在目標(biāo)防護系統(tǒng)提出安全防護需求后，可通過安全資源池分配管理平臺，給出安全資源分配策略，根據(jù)安全需求，通過調(diào)用API 事件，自動觸發(fā)資源分配流程。

鐵路供電信息系統(tǒng)安全資源池的安全資源流量調(diào)度技術(shù)指安全資源池中安全資源能夠滿足鐵路供電信息系統(tǒng)安全防護需求的條件下，達(dá)到安全資源充分利用的技術(shù)，包括綜合分析鐵路供電信息系統(tǒng)的安全防護需求和已有的安全資源池中安全資源的服務(wù)能力，達(dá)到完全匹配的效果。

5 結(jié)束語

本文結(jié)合鐵路供電信息系統(tǒng)現(xiàn)狀及安全資源池的應(yīng)用現(xiàn)狀，研究鐵路供電信息系統(tǒng)安全資源池，給出了鐵路供電信息系統(tǒng)安全資源池的架構(gòu)、功能及關(guān)鍵技術(shù)，實現(xiàn)安全資源的動態(tài)分配，為鐵路供電系統(tǒng)安全資源的調(diào)度決策提供參考。在接下來的研究中，需要針對鐵路供電信息系統(tǒng)的實際部署架構(gòu)及需要補強的安全防護功能，調(diào)整安全資源池的功能，以適用于具體的安全防護需求。