楊軼杰，許 翔，謝 濤，馬俊杰

（1.中國鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國鐵路烏魯木齊局集團(tuán)有限公司 工電檢測所，烏魯木齊 830011）

鐵路供電信息系統(tǒng)包括鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)、鐵路供電輔助監(jiān)控子系統(tǒng)、鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)和鐵路供電一級(jí)子平臺(tái)等，是電氣化鐵路運(yùn)輸?shù)闹匾Ｕ稀Ｒ虼?，保障鐵路供電信息系統(tǒng)的網(wǎng)絡(luò)安全是鐵路重要的安全保障環(huán)節(jié)。當(dāng)前，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，針對(duì)重要信息系統(tǒng)的攻擊時(shí)有發(fā)生。鐵路供電信息系統(tǒng)作為專網(wǎng)運(yùn)行的系統(tǒng)，若受到攻擊者入侵，在專網(wǎng)內(nèi)橫向移動(dòng)，會(huì)引發(fā)供電故障，甚至造成行車事故。在已有的研究中，研究人員針對(duì)鐵路供電信息系統(tǒng)的安全運(yùn)行提出過精準(zhǔn)判斷和及時(shí)恢復(fù)的解決方案，但在攻擊方式與攻擊技術(shù)日益升級(jí)的環(huán)境下，精準(zhǔn)判斷愈加難以實(shí)現(xiàn)[1]；也有研究人員提出對(duì)鐵路供電信息系統(tǒng)終端實(shí)施特殊安全防護(hù)，嚴(yán)格準(zhǔn)入限制條件，在一定程度上降低了攻擊面，但也對(duì)這類系統(tǒng)今后可能需要進(jìn)行的擴(kuò)展帶來了限制[2]。

在網(wǎng)絡(luò)安全資源日益豐富的背景下，安全資源池可對(duì)專網(wǎng)運(yùn)行的系統(tǒng)提供更加全面的安全防護(hù)[3-6]。本文綜合考慮已有網(wǎng)絡(luò)安全防護(hù)的不足和安全資源池的優(yōu)點(diǎn)，提出鐵路供電信息系統(tǒng)安全資源池，強(qiáng)化鐵路供電信息系統(tǒng)的安全防護(hù)。

1 鐵路供電信息系統(tǒng)現(xiàn)狀

1.1 鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)現(xiàn)狀

鐵路供電信息系統(tǒng)以鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)為主，輔之以鐵路供電輔助監(jiān)控子系統(tǒng)，共同實(shí)現(xiàn)鐵路供電的控制與調(diào)配。鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)的主要作用是監(jiān)視與數(shù)據(jù)采集。通常情況下，鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)由調(diào)度主站、通信通道、被控站等組成[7]，采用中國國家鐵路集團(tuán)有限公司（簡稱：國鐵集團(tuán)）、鐵路局集團(tuán)公司、站段的三級(jí)結(jié)構(gòu)部署[8]。

國鐵集團(tuán)級(jí)鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)的防護(hù)，在網(wǎng)絡(luò)架構(gòu)上采用網(wǎng)絡(luò)鏈路與設(shè)備冗余部署的方式，以保障鏈路與設(shè)備的正常運(yùn)行；在實(shí)際部署中，通過國鐵集團(tuán)主數(shù)據(jù)中心云平臺(tái)提供的，客戶系統(tǒng)安全審計(jì)服務(wù)對(duì)數(shù)據(jù)庫訪問行為進(jìn)行審計(jì)，防止非法入侵，并進(jìn)行惡意代碼檢測。

1.2 鐵路供電輔助監(jiān)控子系統(tǒng)現(xiàn)狀

鐵路供電輔助監(jiān)控子系統(tǒng)是保障鐵路供電遠(yuǎn)動(dòng)子系統(tǒng)運(yùn)行的重要系統(tǒng)，其主要業(yè)務(wù)是對(duì)鐵路牽引供電遠(yuǎn)動(dòng)系統(tǒng)中的電氣設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視、測量和控制，包括對(duì)其相關(guān)信息的采集、處理、傳輸、顯示等功能。

鐵路供電輔助監(jiān)控子系統(tǒng)的網(wǎng)絡(luò)設(shè)備包括防火墻、網(wǎng)閘、交換機(jī)、路由器等，其中，防火墻通過訪問控制策略實(shí)現(xiàn)不同功能區(qū)間的訪問控制與區(qū)域隔離。鐵路供電輔助監(jiān)控子系統(tǒng)的網(wǎng)絡(luò)區(qū)域分為采集交換區(qū)、接口交換區(qū)、數(shù)據(jù)域和應(yīng)用域。通過關(guān)閉高危端口、數(shù)據(jù)庫限定主機(jī)訪問、部署數(shù)據(jù)庫審計(jì)服務(wù)器和堡壘機(jī)等方式，實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離與防護(hù)。

1.3 鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)現(xiàn)狀

鐵路供電安全檢測監(jiān)測信息綜合應(yīng)用子系統(tǒng)針對(duì)供電段管轄線路的接觸網(wǎng)C1～C6 裝置的檢測數(shù)據(jù)，提供檢測數(shù)據(jù)管理、缺陷數(shù)據(jù)管理、任務(wù)分配、數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)同步等功能，實(shí)現(xiàn)跨平臺(tái)數(shù)據(jù)訪問、數(shù)據(jù)整合共享和綜合分析。該子系統(tǒng)部署模式為B/S架構(gòu)，開發(fā)語言為Java。在安全技術(shù)方面，子系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采用SSH和HTTPS 加密協(xié)議。

1.4 鐵路供電一級(jí)子平臺(tái)現(xiàn)狀

鐵路供電一級(jí)子平臺(tái)的主要業(yè)務(wù)為供電信息集中展示和聯(lián)合分析，預(yù)防和處理各供電段接觸網(wǎng)和變/配電等專業(yè)發(fā)生的各種應(yīng)急事件。在網(wǎng)絡(luò)架構(gòu)上，鐵路供電一級(jí)子平臺(tái)采用站段級(jí)部署為主、工電檢測所部署為輔的方式，分級(jí)分域?qū)崿F(xiàn)安全防護(hù)。在安全防御上，各安全域間的訪問通過防火墻進(jìn)行邏輯隔離，通過訪問控制策略限制業(yè)務(wù)間的按需訪問。該子平臺(tái)與其他鐵路專網(wǎng)間通過安全隔離設(shè)備進(jìn)行邊界防護(hù)和必要的數(shù)據(jù)交互。

2 安全資源池簡介

安全資源池是安全服務(wù)資源的集合[9]，是一個(gè)基于軟件集成的安全工具集[10]，即一個(gè)資源集成平臺(tái)，可集成目標(biāo)系統(tǒng)的各種安全防護(hù)資源，并開放應(yīng)用接口，提供與云資源類似、按需獲取及彈性使用的安全功能，可從軟件和硬件形態(tài)上提供安全能力解決方案[11]。

安全資源池由安全資源池分配管理平臺(tái)和安全資源池資源存儲(chǔ)平臺(tái)組成，通過集中建設(shè)、統(tǒng)一資源調(diào)配、彈性擴(kuò)容、按需分配及動(dòng)態(tài)部署功能，實(shí)現(xiàn)安全能力利用效率最大化；另外，通過安全資源池分配管理平臺(tái)的資源分配調(diào)度，實(shí)現(xiàn)安全能力的動(dòng)態(tài)編排[12-13]。

3 鐵路供電信息系統(tǒng)安全資源池

3.1 鐵路供電信息系統(tǒng)安全資源池架構(gòu)

鐵路供電信息系統(tǒng)安全資源池架構(gòu)包括基礎(chǔ)環(huán)境層、安全防護(hù)功能層和安全防護(hù)展示層，如圖1所示。

3.1.1 基礎(chǔ)環(huán)境層

主要包括安全資源池運(yùn)行所需的硬件環(huán)境、軟件環(huán)境及虛擬化的網(wǎng)絡(luò)環(huán)境，需要根據(jù)用戶需求和安全能力進(jìn)行規(guī)劃部署。硬件環(huán)境主要指服務(wù)器、交換機(jī)、防火墻等硬件設(shè)備；軟件環(huán)境指在硬件環(huán)境的基礎(chǔ)上，為安全資源池運(yùn)行提供的操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)環(huán)境；虛擬化網(wǎng)絡(luò)環(huán)境指在已有硬件設(shè)備的基礎(chǔ)上，為滿足安全資源池連接所需的虛擬網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。

3.1.2 安全防護(hù)功能層

根據(jù)用戶安全防護(hù)需求，部署相應(yīng)的安全防護(hù)產(chǎn)品，實(shí)現(xiàn)上網(wǎng)行為管理、日志審計(jì)及APT（Advanced Persistent Threat）防御等功能。上網(wǎng)行為管理和日志審計(jì)主要依靠流量安全檢測設(shè)備來實(shí)現(xiàn)；APT 防御主要通過流量安全檢測設(shè)備和靜態(tài)掃描設(shè)備等的聯(lián)合檢測來實(shí)現(xiàn)。

3.1.3 安全防護(hù)展示層

包括安全能力管理、基礎(chǔ)環(huán)境管理及流量編排3 部分。其中，安全能力管理包括策略管理和日志管理，策略管理主要針對(duì)安全資源池自身的安全進(jìn)行策略配置，日志管理是對(duì)安全資源池自身運(yùn)行狀況的日志進(jìn)行記錄；基礎(chǔ)環(huán)境管理包括資源池管理和鏡像管理，對(duì)安全資源池的安全防護(hù)功能進(jìn)行動(dòng)態(tài)管理；流量編排包括大網(wǎng)調(diào)度和池內(nèi)調(diào)度，是對(duì)安全資源池內(nèi)資源的綜合調(diào)度，包括單個(gè)安全池內(nèi)的資源分配及多個(gè)安全資源池聯(lián)動(dòng)時(shí)的資源調(diào)度。

3.2 鐵路供電信息系統(tǒng)安全資源池功能

安全資源池用于鐵路供電信息系統(tǒng)后，在保障鐵路供電信息系統(tǒng)安全運(yùn)行的同時(shí)，還能做到各個(gè)系統(tǒng)間的邏輯隔離。結(jié)合對(duì)鐵路供電信息系統(tǒng)安全資源池架構(gòu)的研究，鐵路供電信息系統(tǒng)安全資源池功能主要包括以下幾點(diǎn)。

3.2.1 用戶上網(wǎng)行為管理

用戶上網(wǎng)行為管理主要針對(duì)鐵路供電信息系統(tǒng)的各子系統(tǒng)的用戶登錄、數(shù)據(jù)訪問等，并根據(jù)用戶屬性進(jìn)行數(shù)據(jù)訪問限制和文件傳輸限制等。

3.2.2 日志審計(jì)

針對(duì)鐵路供電信息系統(tǒng)各子系統(tǒng)進(jìn)行日志監(jiān)控、日志分析及日志事件告警。對(duì)各子系統(tǒng)的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控，包括監(jiān)控CPU 及內(nèi)存等關(guān)鍵區(qū)域的占用情況。針對(duì)日志監(jiān)控得到的數(shù)據(jù)，進(jìn)行日志分類、分組查詢。根據(jù)鐵路供電信息系統(tǒng)各子系統(tǒng)運(yùn)行中遇到的常見安全問題，定制日志查詢規(guī)則，利用日志關(guān)聯(lián)性、字段邏輯關(guān)系等屬性針對(duì)性地發(fā)現(xiàn)可疑日志，并及時(shí)進(jìn)行告警。

3.2.3 攻擊行為防御

針對(duì)鐵路供電信息系統(tǒng)各子系統(tǒng)的攻擊進(jìn)行實(shí)時(shí)監(jiān)測，對(duì)可疑行為重點(diǎn)監(jiān)控，針對(duì)APT 攻擊實(shí)現(xiàn)快速響應(yīng)和有效溯源。攻擊行為防御還具備推理能力，能夠從用戶行為中發(fā)現(xiàn)非正常的訪問行為，例如：出現(xiàn)頻繁登錄、存在撞庫可能等，并排查潛在的攻擊威脅。

4 關(guān)鍵技術(shù)

鐵路供電信息系統(tǒng)安全資源池關(guān)鍵技術(shù)包括安全資源一體化管理技術(shù)和安全資源流量調(diào)度技術(shù)。

4.1 安全資源一體化管理技術(shù)

安全資源一體化管理技術(shù)主要包括安全資源動(dòng)態(tài)存儲(chǔ)技術(shù)和安全資源分配技術(shù)等。其中，安全資源動(dòng)態(tài)存儲(chǔ)技術(shù)指在安全資源池建設(shè)與運(yùn)營過程中對(duì)安全資源的存儲(chǔ)位置、存儲(chǔ)時(shí)間、所存儲(chǔ)資源的軟件包進(jìn)行升級(jí)與控制，可實(shí)現(xiàn)安全資源在存儲(chǔ)方面的高效、統(tǒng)一；安全資源分配技術(shù)指在安全資源池運(yùn)營過程中針對(duì)不同用戶的安全服務(wù)需求及當(dāng)前安全資源能夠提供的安全服務(wù)情況進(jìn)行安全資源的分配，實(shí)現(xiàn)在滿足服務(wù)需求的同時(shí)，節(jié)約安全資源的目的。

鐵路供電信息系統(tǒng)安全防護(hù)需求的安全資源一體化管理技術(shù)在安全資源池建設(shè)完成后，主要側(cè)重于對(duì)安全資源的動(dòng)態(tài)存儲(chǔ)資源分配，包括日志審計(jì)、數(shù)據(jù)庫審計(jì)、終端準(zhǔn)入、漏洞掃描、終端防病毒軟件資源在安全資源池內(nèi)的存儲(chǔ)及對(duì)鐵路供電信息系統(tǒng)中不同子系統(tǒng)的分配等。

4.2 安全資源流量調(diào)度技術(shù)

安全資源的主要作用是提供安全服務(wù)，在提供安全服務(wù)的過程中，需要根據(jù)安全資源的儲(chǔ)備情況及用戶對(duì)安全資源的需求程度進(jìn)行服務(wù)與需求的匹配。在目標(biāo)防護(hù)系統(tǒng)提出安全防護(hù)需求后，可通過安全資源池分配管理平臺(tái)，給出安全資源分配策略，根據(jù)安全需求，通過調(diào)用API 事件，自動(dòng)觸發(fā)資源分配流程。

鐵路供電信息系統(tǒng)安全資源池的安全資源流量調(diào)度技術(shù)指安全資源池中安全資源能夠滿足鐵路供電信息系統(tǒng)安全防護(hù)需求的條件下，達(dá)到安全資源充分利用的技術(shù)，包括綜合分析鐵路供電信息系統(tǒng)的安全防護(hù)需求和已有的安全資源池中安全資源的服務(wù)能力，達(dá)到完全匹配的效果。

5 結(jié)束語

本文結(jié)合鐵路供電信息系統(tǒng)現(xiàn)狀及安全資源池的應(yīng)用現(xiàn)狀，研究鐵路供電信息系統(tǒng)安全資源池，給出了鐵路供電信息系統(tǒng)安全資源池的架構(gòu)、功能及關(guān)鍵技術(shù)，實(shí)現(xiàn)安全資源的動(dòng)態(tài)分配，為鐵路供電系統(tǒng)安全資源的調(diào)度決策提供參考。在接下來的研究中，需要針對(duì)鐵路供電信息系統(tǒng)的實(shí)際部署架構(gòu)及需要補(bǔ)強(qiáng)的安全防護(hù)功能，調(diào)整安全資源池的功能，以適用于具體的安全防護(hù)需求。