王一芃, 劉 洋, 許云龍, 郝健宇

(中國鐵路信息科技集團有限公司, 北京 100083)

0 引言

隨著鐵路信息化的飛速發(fā)展,信息系統(tǒng)在鐵路運輸?shù)母鱾€方面得到廣泛應(yīng)用,從運輸組織到貨運營銷,以及經(jīng)營管理等方面,業(yè)務(wù)流程對信息系統(tǒng)的依賴程度持續(xù)上升. 這種趨勢意味著信息系統(tǒng)的安全風(fēng)險在對業(yè)務(wù)平穩(wěn)運行方面可能會產(chǎn)生更大的影響. 信息系統(tǒng)的關(guān)鍵性在于他們已成為鐵路運輸業(yè)務(wù)的支柱,任何系統(tǒng)中斷、數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊都有可能對鐵路運輸?shù)恼＿\行造成重大影響. 因此確保信息系統(tǒng)的安全和穩(wěn)定性對于保障鐵路運輸?shù)倪B續(xù)性和高效性至關(guān)重要.

1 鐵路信息系統(tǒng)安全風(fēng)險與挑戰(zhàn)

1.1 安全現(xiàn)狀

鐵路信息網(wǎng)絡(luò)主要包括鐵路綜合信息網(wǎng)和鐵路專用信息網(wǎng)(例如客票專網(wǎng)、列車調(diào)度指揮專網(wǎng)、旅服專網(wǎng)等),整體覆蓋國鐵集團、鐵路局、站段3級,各級之間通過鐵路數(shù)據(jù)通信網(wǎng)實現(xiàn)互聯(lián)互通[1]. 鐵路綜合信息網(wǎng)是承載通用性、基礎(chǔ)性信息化應(yīng)用系統(tǒng)的重要網(wǎng)絡(luò),涵蓋戰(zhàn)略決策、經(jīng)營開發(fā)、運輸生產(chǎn)等眾多業(yè)務(wù)領(lǐng)域. 鐵路專用信息網(wǎng)承載了對功能性能、部署環(huán)境以及安全防護有特殊要求的信息化應(yīng)用系統(tǒng)[2].

鐵路信息網(wǎng)實行分區(qū)部署、分級防護的安全策略,在網(wǎng)絡(luò)內(nèi)部根據(jù)功能特點進(jìn)行區(qū)域劃分,不同區(qū)域各司其職,為上層信息系統(tǒng)提供部署資源和接入條件[3]. 根據(jù)鐵路相關(guān)技術(shù)標(biāo)準(zhǔn),各區(qū)域配置差異化安全防護措施,并在區(qū)域邊界進(jìn)行物理隔離或邏輯隔離,構(gòu)成縱深防御的網(wǎng)絡(luò)結(jié)構(gòu)[4]. 此外,鐵路信息網(wǎng)還部署了主機防護、終端防護等計算環(huán)境安全防護設(shè)備,以及入侵檢測、流量探針、日志審計等安全態(tài)勢檢測分析設(shè)備,進(jìn)一步提升了鐵路信息網(wǎng)絡(luò)安全防護綜合能力[5].

1.2 風(fēng)險與挑戰(zhàn)

日常網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)攻防實戰(zhàn)演練過程中,除弱口令、漏洞修復(fù)不及時、私搭亂建互聯(lián)網(wǎng)網(wǎng)站等問題外,供應(yīng)鏈安全、代碼開發(fā)不規(guī)范等問題也較突出. 此外,信息化和數(shù)字化技術(shù)在鐵路業(yè)務(wù)場景的應(yīng)用引入了新的安全風(fēng)險,既有安全防御手段逐漸顯露出局限性. 大量鐵路業(yè)務(wù)應(yīng)用系統(tǒng)已遷移至云端,系統(tǒng)的計算、存儲和網(wǎng)絡(luò)資源的物理位置不斷變化,打破了傳統(tǒng)的安全邊界,使基礎(chǔ)設(shè)施和網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜和異構(gòu),導(dǎo)致容易實施、難以預(yù)防、難以追蹤的攻擊. 各個鐵路業(yè)務(wù)領(lǐng)域正在構(gòu)建或已建設(shè)大數(shù)據(jù)平臺,廣泛收集、存儲、分析和管理各種同構(gòu)和異構(gòu)數(shù)據(jù),使得大量異構(gòu)數(shù)據(jù)的融合、存儲和管理成為難題,也對數(shù)據(jù)的分類和分級防護提出了挑戰(zhàn)[6].

鐵路信息網(wǎng)絡(luò)當(dāng)前的安全防御架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界,存在對內(nèi)部用戶和行為的過度信任,內(nèi)部威脅檢測和防護能力不足,對終端和應(yīng)用層面的威脅分析不夠全面的局限性. 已構(gòu)建的縱深防御架構(gòu)雖然通過多層次的防御機制抵御各種網(wǎng)絡(luò)攻擊,但由于主要依賴已知威脅的檢測防護邏輯,缺乏主動防御機制,難以抵御APT攻擊和0 day攻擊. 并且縱深防御架構(gòu)主要針對傳統(tǒng)信息系統(tǒng)設(shè)計,對虛擬化和云化所導(dǎo)致的網(wǎng)絡(luò)邊界模糊等問題關(guān)注太少. 防火墻策略、入侵檢測規(guī)則越來越負(fù)載,惡意代碼庫越來越龐大,逐漸增加的安全投入,使得維護和管理變得愈加復(fù)雜及執(zhí)行困難.

1.3 網(wǎng)絡(luò)安全等級保護要求

《等級保護2.0》引入了主動防御理念,取代了傳統(tǒng)的被動防御. 其主要變化之一是引入可信計算,為信息系統(tǒng)打造1個可信、主動的安全防護體系,旨在改變原有的被動防護態(tài)勢,推動等級保護制度得以科學(xué)執(zhí)行. 根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》(GB/T 25070—2019)的規(guī)定,不同級別網(wǎng)絡(luò)系統(tǒng)對可信驗證要求不同.

1.3.1 等級保護1級系統(tǒng)

核心是確保信任鏈從可信啟動階段開始傳遞. 等保1級系統(tǒng)要求對設(shè)備實體進(jìn)行可信驗證,包括 BIOS、引導(dǎo)程序和操作系統(tǒng)內(nèi)核等. 設(shè)備需確保具備獨有可靠的身份,借助可信連接機制,確保系統(tǒng)的安全性[7].

1.3.2 等級保護2級系統(tǒng)

在等級保護1級系統(tǒng)的基礎(chǔ)上,將信任鏈的傳遞延伸至靜態(tài)度量階段. 實現(xiàn)對執(zhí)行程序等實體的可信驗證,在設(shè)備加入網(wǎng)絡(luò)時對其身份及執(zhí)行程序進(jìn)行認(rèn)證. 這將系統(tǒng)的安全級別提升到更高層次,可應(yīng)對更高級別的威脅[7].

1.3.3 等級保護3級系統(tǒng)

將信任鏈的傳遞升級到動態(tài)度量階段,增強了系統(tǒng)的安全性. 等保3級系統(tǒng)要求對安全配置等實體實施可信驗證,并生成審計記錄. 可信連接機制在設(shè)備加入網(wǎng)絡(luò)時用于對身份、執(zhí)行程序及關(guān)鍵執(zhí)行環(huán)節(jié)的執(zhí)行資源進(jìn)行認(rèn)證,確保系統(tǒng)安全[7].

1.3.4 等級保護4級系統(tǒng)

在動態(tài)度量階段的基礎(chǔ)上,進(jìn)一步擴展可信驗證的范圍,覆蓋應(yīng)用程序的所有執(zhí)行環(huán)節(jié). 等保四級系統(tǒng)支持動態(tài)關(guān)聯(lián)感知,發(fā)現(xiàn)可信性受損時可采取對應(yīng)措施恢復(fù)系統(tǒng). 為系統(tǒng)提供最高級別的安全保障,應(yīng)對高級威脅[7].

2 可信計算體系介紹

2.1 基本思想

網(wǎng)絡(luò)安全系統(tǒng)在過去主要依賴傳統(tǒng)的組件,例如防火墻、入侵檢測系統(tǒng)和病毒防范軟件等. 這些傳統(tǒng)方法通常采用被動式的封鎖和查殺策略,存在難以有效對抗邏輯漏洞攻擊的問題. 此外,他們僅能被動地應(yīng)對已知病毒和攻擊,對于新型未知威脅的適應(yīng)能力有限.

主動免疫可信計算提出了全新理念,其核心目標(biāo)在于在計算體系結(jié)構(gòu)層面實現(xiàn)主動免疫[8]. 以內(nèi)置可信芯片或外接可信硬件模塊作為可信根,綜合考慮物理安全、技術(shù)安全、管理安全等多方面因素,共同確?？尚鸥目尚判?從而構(gòu)建了堅實的信任基礎(chǔ). 信任鏈從可信根出發(fā),涵蓋了硬件平臺、操作系統(tǒng)、應(yīng)用程序等多個層面,通過逐層認(rèn)證和信任傳遞,確保整個計算機系統(tǒng)的可信性.

2.2 主要特征

2.2.1 雙體系結(jié)構(gòu)

主動免疫可信計算采用雙體系結(jié)構(gòu),包括計算部件和防護部件. 計算部件代表常規(guī)計算系統(tǒng),防護部件是主動免疫可信計算的實施者. 通過防護部件,系統(tǒng)對計算部件實現(xiàn)全生命周期的可信監(jiān)控,保證可信性. 連接到計算部件的防護部件以可信平臺控制模塊(TPCM)為基礎(chǔ). 可信平臺控制模塊采用總線級控制方式對設(shè)備計算部件和設(shè)備外設(shè)進(jìn)行度量控制. 可信平臺控制模塊整合密碼及控制機制,在計算部件中央處理器(CPU)啟動前,優(yōu)先進(jìn)行度量和控制. 此外,系統(tǒng)還配備了可信軟件,主動監(jiān)控并調(diào)度管理可信硬件資源[9].

圖1 雙體系結(jié)構(gòu)圖

2.2.2 四要素可信動態(tài)訪問控制

傳統(tǒng)訪問控制機制作為保障系統(tǒng)安全的關(guān)鍵方法,基于主體、客體、操作3個要素,旨在控制主體對客體的操作行為,以維護系統(tǒng)訪問的安全性. 傳統(tǒng)訪問控制策略實施過程中存在不可避免的安全漏洞,如惡意用戶偽裝成合法實體訪問資源、合法實體被篡改導(dǎo)致越權(quán)訪問、以及破壞授權(quán)客體完整性等問題. 因此,對于訪問控制中的“主體、客體、操作、環(huán)境”4個要素,有必要進(jìn)行動態(tài)可信度量、識別和控制的優(yōu)化改進(jìn).

2.2.3 三重防護框架

旨在確保安全管理中心、安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的整體合規(guī)和信息安全. 該方案的核心理念是：以計算環(huán)境的安全為基礎(chǔ),同時又以區(qū)域邊界安全和通信網(wǎng)絡(luò)安全為支撐,以安全管理中心為核心,從而構(gòu)建1個全面的信息安全保障體系.

2.3 可信計算信任鏈構(gòu)建關(guān)鍵技術(shù)

可信計算3.0技術(shù)體系的關(guān)鍵技術(shù)包括安全啟動、動態(tài)度量、可信存儲和可信連接技術(shù),這些技術(shù)可保證信息系統(tǒng)整體安全. 其中,安全啟動是構(gòu)建可信計算平臺的基礎(chǔ),安全啟動保證初始環(huán)境的可信性. 動態(tài)度量通過主動攔截和驗證應(yīng)用程序的系統(tǒng)調(diào)用行為,保證系統(tǒng)在運行時的動態(tài)可信性. 基于 TPCM 密碼的可信存儲,對重要信息如文件數(shù)據(jù)進(jìn)行加解密和完整性保護. 可信連接負(fù)責(zé)驗證互聯(lián)節(jié)點的可信性,阻止非法終端接入[10].

2.3.1 靜態(tài)度量(安全啟動)

靜態(tài)度量過程主導(dǎo)計算平臺主板上電時序和信息讀取,對從閃存中讀取的啟動代碼數(shù)據(jù)(如BIOS、BMC)進(jìn)行可信性和完整性的度量驗證. 如果啟動代碼完整性未被破壞,系統(tǒng)允許計算平臺啟動,并對操作系統(tǒng)引導(dǎo)程序進(jìn)行完整性度量. 通過逐步驗證操作系統(tǒng)內(nèi)核的完整性,系統(tǒng)允許加載操作系統(tǒng)內(nèi)核,確保系統(tǒng)進(jìn)入可信工作環(huán)境. 靜態(tài)度量驗證機制用于衡量程序的完整性,在程序啟動前執(zhí)行,只有度量結(jié)果與預(yù)期值一致時允許啟動,否則拒絕執(zhí)行. 這些關(guān)系為從BIOS到上層應(yīng)用建立了系統(tǒng)初始環(huán)境可信性的信任鏈.

2.3.2 動態(tài)度量

以安全啟動技術(shù)為基礎(chǔ),收集預(yù)期值并在系統(tǒng)運行過程中驗證其狀態(tài). 通過高速總線對度量對象進(jìn)行動態(tài)監(jiān)測,捕獲進(jìn)程的系統(tǒng)調(diào)用行為,并根據(jù)度量機制和可信基準(zhǔn)庫對進(jìn)程狀態(tài)和系統(tǒng)環(huán)境的可信性進(jìn)行評估. 度量結(jié)果顯示主體和系統(tǒng)環(huán)境可信時,由其他安全機制負(fù)責(zé)處理;否則,根據(jù)策略進(jìn)行上報,甚至斷開物理接口,并發(fā)送告警審計信息,以實現(xiàn)可信運行環(huán)境的實時保護[11].

3 鐵路信息系統(tǒng)信任鏈構(gòu)建設(shè)計

在鐵路運輸組織、貨運營銷和經(jīng)營管理等業(yè)務(wù)領(lǐng)域的信息系統(tǒng)中,構(gòu)建信任鏈?zhǔn)谴_保其安全運行的重要環(huán)節(jié). 在鐵路綜合信息網(wǎng)的局域網(wǎng)劃分過程中,需要全面考慮不同因素,比如所支持的信息系統(tǒng)的業(yè)務(wù)類型、各部門權(quán)責(zé)劃分以及現(xiàn)有的網(wǎng)絡(luò)狀況[12].

1)業(yè)務(wù)類型是信任鏈構(gòu)建的關(guān)鍵考量因素之一. 核心生產(chǎn)、生產(chǎn)管理、公共信息和行政管理等業(yè)務(wù)內(nèi)容都可能有著不同的安全需求,因此對其安全性的考慮也需因情況而異;2)關(guān)聯(lián)部門之間的權(quán)責(zé)劃分是構(gòu)建信任鏈時需要明確的重要因素. 不同部門可能在信息系統(tǒng)中擔(dān)任不同的角色和職責(zé),其操作權(quán)限和信息訪問需求會有所不同. 這種差異需要在信任鏈的搭建中得到充分的考慮和體現(xiàn),確保各個部門的安全性和信息系統(tǒng)的整體安全;3)既有網(wǎng)絡(luò)情況也是信任鏈構(gòu)建的重要參考因素. 已有網(wǎng)絡(luò)設(shè)施和結(jié)構(gòu)對信任鏈的構(gòu)建和設(shè)計也有重要影響,因為這會涉及到網(wǎng)絡(luò)設(shè)備的整合、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計,以及可能出現(xiàn)的安全隱患.

總之,在鐵路綜合信息網(wǎng)內(nèi)局域網(wǎng)的劃分中,這3個方面的綜合考慮是構(gòu)建信任鏈的重要因素,他們相互交織,共同確保信息系統(tǒng)在各業(yè)務(wù)領(lǐng)域中的安全性和高效性. 鐵路信息系統(tǒng)部署應(yīng)用方式和等級保護定級情況可較準(zhǔn)確反映各個系統(tǒng)業(yè)務(wù)的重要性以及安全防護要求. 鑒于此,結(jié)合等保技術(shù)標(biāo)準(zhǔn)對可信驗證的要求,對采用統(tǒng)一建設(shè)、自建設(shè)等不同部署應(yīng)用方式的信息系統(tǒng)服務(wù)器構(gòu)建了不同范圍的信任鏈,具體策略如表1所示.

表1 鐵路信息系統(tǒng)信任鏈構(gòu)建策略

1)建立可信根對于需要構(gòu)建信任鏈的信息系統(tǒng),可利用服務(wù)器內(nèi)置的可信芯片或外接可信模塊作為可信根.

2)構(gòu)建信任鏈在鐵路信息系統(tǒng)的安全架構(gòu)中,不同的系統(tǒng)保護等級要求不同的信任鏈構(gòu)建,以確保系統(tǒng)在運行過程中的可信性和安全性. 以下將進(jìn)一步探討每個保護等級下的信任鏈構(gòu)建和相應(yīng)的安全措施.

①對于保護等級為1級或站段級單位自建的系統(tǒng),信任鏈的焦點是從服務(wù)器硬件設(shè)備加電到操作系統(tǒng)啟動的過程. 這一信任鏈的第1步是對服務(wù)器硬件上的BIOS、BMC等硬件啟動代碼程序的可信性和完整性進(jìn)行度量驗證. 這確保了硬件啟動代碼沒有被篡改或受到惡意干擾. 如果啟動代碼的完整性未受破壞,系統(tǒng)將允許應(yīng)用服務(wù)器啟動. 在應(yīng)用服務(wù)器啟動后,系統(tǒng)會繼續(xù)對操作系統(tǒng)引導(dǎo)程序進(jìn)行完整性度量. 只有當(dāng)操作系統(tǒng)引導(dǎo)程序的完整性未被破壞時,系統(tǒng)才會繼續(xù)操作系統(tǒng)的啟動和加載應(yīng)用服務(wù)器操作系統(tǒng)內(nèi)核. 這個過程確保了從硬件層到操作系統(tǒng)層的連續(xù)可信性.

②對于保護等級為2級或各鐵路局集團統(tǒng)一建設(shè)的系統(tǒng),信任鏈擴展到了服務(wù)器硬件設(shè)備加電到應(yīng)用程序啟動的過程. 基于等保1級系統(tǒng)的可信驗證工作,對已部署的應(yīng)用系統(tǒng)相關(guān)程序進(jìn)行完整性校驗. 這意味著系統(tǒng)將對比即將啟動的應(yīng)用系統(tǒng)相關(guān)程序與預(yù)存的應(yīng)用系統(tǒng)程序. 當(dāng)度量結(jié)果與預(yù)存值相同時,該程序才被啟動,否則將阻止其執(zhí)行. 此外,可信驗證的結(jié)果會被記錄在本地審計記錄中,以便日后進(jìn)行安全審計和檢查.

③對于保護等級為3級或國鐵集團統(tǒng)一建設(shè)的系統(tǒng),信任鏈進(jìn)一步擴展至應(yīng)用系統(tǒng)相關(guān)程序執(zhí)行的關(guān)鍵環(huán)節(jié). 這包括用戶登錄、數(shù)據(jù)庫訪問、版本更新、調(diào)用外部應(yīng)用程序接口,以及存在多個依賴關(guān)系的進(jìn)程等關(guān)鍵環(huán)節(jié). 系統(tǒng)會對這些關(guān)鍵環(huán)節(jié)進(jìn)行度量,以確保它們的執(zhí)行是可信的. 這也包括對系統(tǒng)中涉及的各個環(huán)節(jié)的可信驗證結(jié)果形成審計記錄,然后上傳至鐵路網(wǎng)絡(luò)安全運營工作支撐平臺. 這有助于監(jiān)測系統(tǒng)的運行狀態(tài)并及時發(fā)現(xiàn)異常行為.

④對于保護等級為4級的系統(tǒng)以及關(guān)鍵信息基礎(chǔ)設(shè)施,信任鏈擴展至應(yīng)用系統(tǒng)相關(guān)程序執(zhí)行的全部環(huán)節(jié). 每個環(huán)節(jié)都會接受可信驗證,并相關(guān)驗證結(jié)果會被記錄并上傳至鐵路網(wǎng)絡(luò)安全運營工作支撐平臺. 這種多層次的信任鏈建立了從硬件到操作系統(tǒng)和應(yīng)用程序的信任路徑,以確保系統(tǒng)運行的可信性和安全性. 此外,將驗證結(jié)果上傳到運營支撐平臺有助于中心化的監(jiān)控和分析,以及實時響應(yīng)潛在威脅. 這種多層信任鏈的設(shè)計使鐵路信息系統(tǒng)能適應(yīng)不同保護等級的要求,提供全面的安全保障.

4 結(jié)束語

盡管鐵路信息系統(tǒng)的信息安全防護技術(shù)持續(xù)升級,構(gòu)建的多層防御體系(如邊界、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用和主機等)能有效抵御外部入侵,但內(nèi)部攻擊和信息泄露等問題仍構(gòu)成威脅. 這是因為傳統(tǒng)安全技術(shù)在防范外部威脅的同時,當(dāng)前內(nèi)部威脅的實際狀況不容忽視. 為解決內(nèi)部安全問題,有必要構(gòu)建1種信息信任傳遞模式,實現(xiàn)人對程序、人與機器之間信息安全傳遞的源頭控制.

通過利用“可信計算”技術(shù),可構(gòu)建1個以硬件可信根為基礎(chǔ)的信任度量過程,涵蓋信息系統(tǒng)從硬件啟動到應(yīng)用系統(tǒng)程序運行的整個流程控制機制. 這一過程依據(jù)信息系統(tǒng)的業(yè)務(wù)重要性、安全防護要求,選擇相匹配的信任鏈構(gòu)建范圍,有助于防止未經(jīng)授權(quán)的訪問和信息泄漏,從而提高了信息系統(tǒng)的整體安全性和保護機制. 因此,可信計算技術(shù)在鐵路網(wǎng)絡(luò)安全領(lǐng)域具有廣泛的應(yīng)用前景,尤其對于需要高度安全性的信息系統(tǒng).