導語：鐵路站段網絡安全防護方案一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文參考等保2.0的相關標準，結合鐵路基層站段實際，在深入分析站段信息系統(tǒng)架構和安全問題的基礎上，圍繞安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心四個方面提出了鐵路站段網絡安全防護方案設計。

關鍵詞：網絡安全；等保2.0；鐵路站段；邊界防護；訪問控制

鐵路綜合信息網由國鐵集團、鐵路局集團公司和站段局域網構成?；鶎诱径蔚木W絡安全處于鐵路“一個中心、三重防御”的縱深防御體系的最前端，其安全作用的發(fā)揮對整個鐵路信息系統(tǒng)網絡安全有著重要影響。當前國鐵集團和集團公司的網絡安全防護體系已覆蓋到基層站段，但由于站段信息系統(tǒng)及其應用環(huán)境的復雜程度、基層專業(yè)技術力量不足的現狀，基層站段的網絡安全仍然是整個鐵路信息網絡的一個薄弱環(huán)節(jié)。同時伴隨著我國鐵路的智能化發(fā)展，各類智能裝備、智能運維逐步賦能站段發(fā)展，物聯網設備、5G設備等的接入也給鐵路信息網絡帶來了新的安全威脅。網絡安全等級保護2.0制度，延續(xù)等保1.0標準的“安全管理中心、安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡”，并擴大了對大數據、物聯網、云計算等新型網絡的保護，為新時期網絡安全工作開展和網絡安全防護方案研究提供了指導。

1站段信息系統(tǒng)架構

以某客運站為例，除專網系統(tǒng)外，信息系統(tǒng)大致分為辦公類系統(tǒng)、以車次信息為數據源的旅客服務類系統(tǒng)、保障車站設施運行的運維管理類系統(tǒng)。在傳統(tǒng)的信息系統(tǒng)基礎上，越來越多的物聯網系統(tǒng)也接入站段局域網內，包括環(huán)境監(jiān)測、設備監(jiān)控、站臺防入侵、能源管理、指紋考勤、門禁系統(tǒng)等。系統(tǒng)總體框架如表1所示。

2站段網絡安全問題

站段信息系統(tǒng)種類繁雜，終端數量多且位置分散、暴露面廣。無法有效管控的資產、碎片化的安全策略、不規(guī)范的安全管理易造成整個鐵路信息網絡的隱患。站段網絡安全問題包括以下幾個方面。

2.1網絡傳輸

區(qū)域劃分：隨著鐵路信息化的發(fā)展，站段信息系統(tǒng)的規(guī)模在不斷增加，聚集的系統(tǒng)架構變得難于管理，網絡安全域劃分不清缺少安全隔離，在安全事件發(fā)生時導致影響范圍擴大。物理環(huán)境：站段現場網絡設備布置分散，有的設備直接暴露于公共環(huán)境，易造成空閑的網絡端口被接入非法終端。系統(tǒng)漏洞：交換機、路由器等網絡設備及其管理平臺本身存在的安全漏洞易被攻擊。

2.2服務器

系統(tǒng)漏洞：服務器操作系統(tǒng)存在漏洞，特別是普速站開發(fā)較早的信息系統(tǒng)，由于部署于內部局域網而疏于安裝補丁升級。訪問控制：系統(tǒng)管理員賬號密碼或數據庫管理員賬號密碼為弱口令易被攻破；服務器安裝了不必要的服務或開啟了不必要的端口，從而增加了安全隱患。應用服務：Web應用服務器安全配置錯誤導致攻擊者惡意代碼被執(zhí)行；服務器應用軟件使用未經安全驗證的開源代碼或存在sql注入漏洞。

2.3計算機終端

系統(tǒng)漏洞：目前站段計算機終端系統(tǒng)仍以Windows系統(tǒng)為主，其中Windows7、Windows10占絕大多數，主機系統(tǒng)存在漏洞后門風險。訪問控制：站段的倒班或輪流值班制度情況下，信息系統(tǒng)易出現越權訪問或共用同一賬號的現象。使用行為：由于使用人員在內部局域網計算機終端使用無線網卡或手機連接計算機以及計算機錯誤連接互聯網網絡設備等行為造成一機兩網。使用存在后門漏洞的瀏覽器、音視頻處理等辦公軟件。

2.4感知層設備

物理環(huán)境：感知層設備部署區(qū)域無人監(jiān)管，易發(fā)生終端被拆除替換的事件，成為入侵網絡的入口。設備漏洞：系統(tǒng)組件存在漏洞易被入侵；終端設備硬件調試接口無須身份認證，成為惡意攻擊入口；存在弱口令導致被他人登錄；開放不必要的遠程服務被入侵。終端資產：站段物聯網設備越來越多，各廠家標準和協議不統(tǒng)一，海量終端接入造成身份認證與資產管理難題。

2.5安全管理

資產管理：目前站段大多通過人工進行信息資產統(tǒng)計，難以全面掌握數量龐大的設備終端。技術隊伍：基層技術人員缺乏網絡安全專業(yè)培訓，無法有效應用各種安全設備，更缺乏對威脅的主動判斷能力。安全制度：使用人員安全意識淡薄，管理制度缺失導致數據泄漏、篡改、刪除問題。

3網絡安全方案

3.1安全通信網絡

（1）冗余設計：站段去往鐵路綜合信息網廣域網出口、站段局域網內部網交換設備及鏈路均采用可靠的冗余備份機制，最大化保障數據訪問的可用性和業(yè)務的連續(xù)性。（2）安全域劃分：站段局域網按照同數據源、同業(yè)務類別、同安全等級的原則劃分VLAN，有效分散不同VLAN中的運行維護風險和網絡攻擊風險。以客運站為例，劃分VLAN分別為：廣域網接入區(qū)、核心交換區(qū)、服務器區(qū)、辦公系統(tǒng)區(qū)、旅客服務系統(tǒng)區(qū)、智能運維系統(tǒng)區(qū)、安全管理區(qū)，并利用ACL設置VLAN間訪問規(guī)則。安全區(qū)域劃分如圖1所示。

3.2安全區(qū)域邊界

對網絡區(qū)域邊界進行重點防護，邊界部署防火墻實現訪問控制、入侵防范、惡意代碼防范。核心交換機旁路部署審計服務器，實現邊界和重要網絡節(jié)點的審計功能。在核心交換機旁路通過鏡像部署流量感知設備。核心交換機旁路部署網絡準入平臺，實現終端接入控制。（1）訪問控制：在廣域網接入邊界部署下一代防火墻，禁止外部網訪問內部網，對所轄中間站及其他必要單位開啟白名單。在服務器邊界部署防火墻，只允許訪問服務器區(qū)域的特定服務器的特定端口。嚴格內部網安全準入，建立站段局域網網絡準入認證平臺，基于網絡設備端口和終端設備MAC地址對終端設備的網絡訪問權限進行控制，實現邊界隔離和非法接入，從源頭上切斷外來安全威脅的流入通道。（2）入侵防范：在廣域網邊界開啟下一代防火墻IPS模塊并定期更新特征庫，檢測數據包，防范包括Flood、惡意掃描、欺騙防護、異常包攻擊等；對進出網絡的流量開啟雙向攻擊檢測，及時發(fā)現內部網計算機威脅，做出處置并向集團公司相關部門報告。（3）惡意代碼防范：開啟下一代防火墻病毒防護模塊，定期更新策略，在網絡層進行病毒查殺，預防和阻斷網絡病毒、蠕蟲、木馬等惡意代碼攻擊。在網關處封閉135、138、139、445、3389等端口，阻止僵尸網絡的連接和病毒的更新、擴散。（4）安全審計：部署安全審計設備，記錄分析人員訪問以及對數據的增、刪、改、查等行為，對異常通信進行報警。開啟廣域網邊界下一代防火墻應用審計，對特定文件內容進行過濾，避免信息泄漏。檢測終端流量，并對特定類型文件進行流量深度監(jiān)測，防止數據文件被盜。

3.3安全計算環(huán)境

（1）身份鑒別：各應用系統(tǒng)均設置身份鑒別策略，用戶登錄時對身份鑒別信息加密傳輸，拒絕未授權用戶登錄系統(tǒng)；對重要系統(tǒng)采用靜態(tài)口令+動態(tài)口令的雙因子認證；對登錄失敗次數進行限制；主機開啟復雜口令保護、入站規(guī)則、限制非法登錄次數等安全策略。（2）訪問控制：各應用系統(tǒng)設置用戶權限及訪問行為控制策略。設置用戶變更策略，及時清理長期未登錄賬號；制定管理制度，對人員離職、調動崗位及時調整賬號；刪除多余賬號、默認賬號，避免共用權限。（3）入侵和惡意代碼防范：安裝統(tǒng)一的終端防護軟件，通過終端防護平臺防范一機兩網、非法外聯、非法接入，并實現病毒防護、補丁管理、介質管控。定期對站段局域網內設備進行漏洞掃描，并根據鐵路網絡安全漏洞平臺發(fā)布的信息及時修復可能存在漏洞。（4）資產管理：利用統(tǒng)一安全平臺實現終端資產識別和分析。通過IP掃描、SNMP掃描、流量發(fā)現等手段對網內的IP存活情況進行跟蹤監(jiān)控，分組管理。（5）安全審計：利用日志審計服務器監(jiān)控分析安全生產網內信息系統(tǒng)服務器系統(tǒng)資源、用戶操作、應用程序等，及時發(fā)現系統(tǒng)異常行為。（6）感知層設備安全對感知層設備和節(jié)點裝置，進行軟件身份認證或軟件加密。禁用閑置的外部設備接口、外接存儲設備的自啟動功能。通過本地接口進行軟件更新調試時，需進行人員身份認證、權限控制。

3.4安全管理中心

建設安全管理中心，實現主動防御和態(tài)勢感知。設立系統(tǒng)管理賬戶、審計管理賬戶。系統(tǒng)管理賬戶負責系統(tǒng)運行資源配置、控制和管理；審計管理賬戶負責審計記錄分析和處理。在安全管理區(qū)集中部署審計設備、網絡準入平臺、流量監(jiān)控設備，及時發(fā)現異常行為和網絡安全事件。利用終端防護平臺實現資產統(tǒng)一管理。對網絡設備、服務器、安全設備等進行信息采集，實施掌握鏈路、設備、應用系統(tǒng)情況，掌握系統(tǒng)整體態(tài)勢，做到早發(fā)現早防御。

4結論

本文依據等保2.0標準，提出鐵路基層站段“一個中心、三重防御”的網絡安全防護方案。明確基層站段網絡邊界，合理劃分區(qū)域，制定出恰當的邊界防護策略，以兼顧數據共享和網絡安全需要。在國鐵集團和集團公司的網絡安全體系總體框架下，利用鐵路統(tǒng)一的終端防護平臺以及安全漏洞平臺等，結合站段的網絡準入平臺和安全審計設備，設計出站段信息資產識別管理、漏洞補丁修復、入侵和病毒防范、威脅監(jiān)測報告等機制，實現站段網絡安全主動防御，并與上級部門緊密聯系，形成協同防護的網絡安全局面。

參考文獻：

[1]張伯駒.新形勢下鐵路網絡安全工作探索與發(fā)展展望[J].鐵路計算機應用，2020，29（8）：1-5.

[2]劉剛，楊軼杰.基于等級保護2.0的鐵路網絡安全技術防護體系研究[J].鐵路計算機應用，2020，29（8）：19-27.

[3]李向陽，王冰，馬曉雅.鐵路網絡安全防護策略研究[J].鐵路計算機應用，2021，30（11）：11-14.

[4]范博，龔鋼軍，孫淑嫻.基于等保2.0的配電物聯網動態(tài)安全體系研究[J].信息網絡安全，2020，20（11）：10-14.

[5]趙姍.網絡安全主動防御體系淺析[J].網絡安全技術與應用，2022（4）：4-5.

作者：胡文君 單位：中國鐵路北京局集團有限公司北京站