王振华

（1.北京全路通信信号研究设计院集团有限公司，北京 100070 2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070）

1 概述

随着信息化技术的发展，计算机网络更多应用到各个行业领域，在人们日常生产活动中承担更重要作用。近年来，网络安全事件频繁发生，网络安全问题也得到越来越多的关注。美国、日本等国家已把网络与信息安全作为国家战略，我国也先后发布《中华人民共和国计算机信息系统安全保护条例》和国务院令147号等信息安全相关法律。2017年，国家正式颁布《网络安全法》，更是将网络安全提高到国家战略层面的高度。

铁路行业作为国家重要的基础设施，承担国家经济发展和人民出行安全的重要责任。铁路通信网络在信息化和计算机技术方面的应用走在铁路各专业的前列，因此铁路通信网络安全防御也面临着更大的威胁和挑战。为更好的应对威胁和挑战、保障网络的安全运行，应建立科学、合理的铁路通信网络安全标准化体系，并以此来指导网络安全的标准化工作，为网络安全标准的研究、制定提供依据。

2 国际安全标准现状

目前，世界上与网络安全标准化有关的主要组织包括:国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）和互联网工程任务组（IETF）等。

2.1 ISO和IEC安全标准

ISO和IEC联合成立了信息技术标准化委员会（JTC1）下属的安全技术分委员会（SC27），负责开展信息安全标准的研制工作。

安全技术分委员会的组织架构如图1所示。

图1 安全技术分委员会（SC27）的组织架构图Fig.1 Organization chart of Subcommittee （SC 27）， IT Security techniques

近年来，该分技术委员会在正在制定或已经制定的标准中，更多的关注信息安全专业人员能力、密码算法、云安全、身份证明等方面的内容。

2.2 ITU安全标准

ITU是主管信息通信技术事物的联合国机构，下设电信标准化部门（ITU-T）、无线电通信部门（ITU-R）和电信发展部门（ITU-D）。

ITU-T是ITU中专门负责制定电信标准的分支机构，其中ITU-T第17研究组是专门进行网络与信息安全的标准研究组。第17研究组的组织架构如图2所示。

ITU-T已经发布多项网络与信息安全方面的标准。从标准架构上主要涉及到以下系列标准:E-系列标准（电信网络及组织）、G-系列标准（光传送系统）、H-系列标准（音视频和多媒体系统）、J-系列标准（电视和线缆通信）、K-系列标准（电流/电压安全限制、EMC、抵抗力）、M-系列标准（网络管理）、T-系列标准（远程信息业务终端），X-系列标准（数据网络、开放系统通信和安全）和Y-系列标准（全球信息架构、互联网和下一代网络）等。

图2 ITU-T第17研究组的组织架构图Fig.2 Organization chart of ITU-T Study Group 17

2.3 IETF安全标准

IETF是松散、自律、志愿的民间学术组织，主要任务是负责互联网相关技术标准的研发和制定，是国际互联网业界具有一定权威的网络相关技术研究团体。

其中，安全研究领域（sec-Security Area）主要负责研究IP网络中的授权、认证、审计等与私密性保护有关的协议与标准。由于互联网的安全性越来越受到人们的重视，因此这个领域也成为IETF中最为活跃的研究领域之一。

这个研究领域的工作组包括:BTNS（Better-Than-Nothing Security）、域密钥标识邮件（DKIM）、EAP方法改进（EMU）等17个工作组。

3 国家及行业安全标准现状

3.1 国家安全标准现状

全国信息安全标准化技术委员会是我国专门从事信息安全标准化的工作组织，委员会下设7个工作组，主要负责信息安全技术、安全机制、安全管理、安全评估等领域的标准化工作，目前已形成较为完备的安全标准框架。

国家信息安全标准框架构成如图3所示。

基础类标准主要包括:安全词汇、术语，开放系统互连中基本参考模型的安全体系结构等标准。

图3 国家信息安全标准框架构成图Fig.3 Composition diagram of national information security standards framework

技术与机制类标准主要包括:带附录的数字签名、实体鉴别、抗抵赖、公钥基础设施、授权与鉴别、开放系统互连的系统管理，计算机场地和可信计算规范等标准。

信息安全管理类标准主要包括:安全保护等级划分准则、安全管理指南、安全管理体系要求，风险评估规范和IT网络安全等标准。

信息安全评测类标准主要包括:安全保护等级划分准则、安全性评估准则、安全保障评估框架、安全性评估方法、各类设备的安全技术要求和测评方法，各类系统的安全技术要求和保障评估准则等标准。

通信安全类标准主要包括:IP认证头（AH）等标准。

密码技术类标准主要包括:各类密码算法、散列函数，消息鉴别码的规范等标准。

保密技术类标准主要包括:涉及保密部门、保密通信、涉密信息等保密标准。

全国信息安全标准化技术委员会制定的这些标准，基本形成我国信息安全的标准体系，为我国信息安全保障体系建设提供强有力的支撑。

3.2 通信行业安全标准现状

中国通信标准化委员会（CCSA）网络与信息安全技术工作委员会（TC8）负责人组织开展通信行业网络与信息安全标准化工作，目前已经发布大量的标准，基本涵盖网络和信息安全领域的各个方面，形成完备的标准体系。

通信行业信息安全标准框架构成如图4所示。

基础标准主要包括:通信安全防护名词术语、移动通信网安全术语集；各种网络的安全框架和架构；等级保护的技术要求和检测要求等标准。

技术标准主要包括:各种网络的物理环境安全等级保护技术要求及检测要求、各种网络的安全技术要求和安全防护要求、各种业务应用的安全技术要求和安全防护要求、各种终端与设备的安全技术要求和测试方法。

图4 通信行业信息安全标准框架构成图Fig.4 Composition diagram of information security standards framework in communication industry

管理标准主要包括:网络安全应急处理小组建设指南、应急与灾备相关技术要求；各种网络、通信机房和钢塔桅等安全管理运行要求。

网络信任标准主要包括:认证、授权、数字证书，计费等相关技术要求。

测评标准主要包括:各种系统、网络、接口、硬件等的安全分析评估方法；各种系统、网络、中心的安全防护检测要求；各种系统、设备的安全测试方法。

加密和密码技术类标准主要包括:视听业务的保密系统，通信存储介质（SSD）加密安全技术要求，扩展消息与表示协议（XMPP）端到端的签名与对象加密，多应用eID载体商用密码算法接口技术要求。

服务标准主要包括:网络与信息安全服务资质评估准则、网络与信息安全应急处理服务资质评估方法、移动通信差异化安全服务，网络与信息安全风险评估服务能力评估方法和电信信息服务的安全准则。

3.3 国家电子政务外网安全标准现状

国家电子政务外网安全标准主要由国家电子政务外网管理中心发布。

该中心在适用性、综合性、先进性和开放性的原则下，建立了适用于政务外网建设、管理与应用需求的标准体系。

国家电子政务外网安全标准框架构成如图5所示。

4 铁路通信网安全技术标准体系框架

铁路通信网的安全问题得到越来越多的关注，近年来，中国铁路总公司相关部门也颁布了一些要求和规范，例如《铁路数据通信网网管系统安全防护基本配置要求》运电通信函[2016]123号、《铁路数据通信网管理系统功能需求暂行规范》铁总运[2015]204号等，但这些要求和规范仅对铁路通信网某一特定部分（如数据网网管）的安全进行规定，尚未建立系统完备的标准体系框架及标准规范铁路通信网的网络安全。

4.1 铁路通信网安全需求

根据铁路通信网目前的发展情况，铁路通信网包括:

1）传输网、接入网、数据通信网等承载网；

2）GSM-R系统；

3）有线调度通信网、会议电视，铁路综合视频监控系统和专用应急通信等业务网；

4）同步网、综合网络管理等支撑网。

其中，承载网主要为铁路运输生产和经营管理等信息系统提供承载，为信息传递提供大容量的长途通路，并为铁路系统各专业提供数据传输业务。GSM-R系统主要提供列车运行控制信息、行车指挥信息、行车安全信息、监测检测信息，运营管理信息传送等数据通信业务；业务网主要提供铁路调度电话业务、视频会议、视频监控，应急通信等具体业务；支撑网主要负责铁路频率及时间同步以及通信系统的日常维护管理、故障处理、数据统计分析等工作。

图5 国家电子政务外网信息安全标准框架构成图Fig.5 Composition diagram of information security standards framework of national E-government network

根据铁路通信网各网络不同的功能需求，对网络安全的要求也不同。要保障铁路通信网的正常运行，承载网、业务网及支撑网均要求安全可靠，需对不同的网络分别建立特有的安全标准。

4.2 技术标准体系框架建立原则

研究铁路通信网络安全技术标准体系的目的，是通过确立标准体系架构，明确铁路通信网络安全涵盖的范围，规划、梳理铁路通信网络安全标准的工作内容，指导未来铁路通信网络安全标准化工作。

通信网络安全标准体系架构的建立应遵循以下原则:

1）规范性:符合标准化工作的原则和规范；

2）全面性:覆盖铁路通信网络安全标准的各个方面；

3）开放性:可根据技术、应用等的发展需要进行更新、完善；

4）先进性:适应未来通信网络技术发展，满足铁路先进技术应用的需求。

4.3 技术标准体系框架

在借鉴国家、通信行业和电子政务外网安全标准体系框架的基础上，考虑铁路通信网安全的需求及标准的不同属性，本文提出一个铁路通信网络安全标准体系框架的建议，从以下两个维度展开，如图6所示。

图6 通信网络安全标准体系架构Fig.6 Communication network security standards architecture

1）标准研究对象

标准研究对象维度遵循了通信网络体系架构的一般层次划分方式，可细分为业务应用安全标准，网络/系统安全标准，设备及终端安全标准和物理安全标准。

业务应用安全指按《铁路通信业务分类》（TB/T3130-2017）标准考虑的通信业务的安全。

网络/系统安全包括移动网络、数据网、传输网，移动通信、调度通信、铁路综合网管、铁路综合视频监控等网络/系统的安全。

设备安全包括网络设备及安全专用设备的安全，终端安全包括固定终端、移动终端的安全。

物理安全包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

2）标准内容

标准内容结合通信网标准的分类，将通信网络安全标准分为基础标准、技术标准、测评标准，网络信任标准和管理标准。

基础标准是通信技术标准化体系中所需要用到的最基本标准和规范，包括安全术语、体系结构、框架，等级保护等。

技术标准指应用于通信系统的具体安全标准，包括物理安全、设备及终端、网络/系统、业务应用，加密以及可信计算等。

测评标准是对通信网络/系统、设备及安全产品等的安全水平进行评定的标准，包括等级保护、评估、物理环境、设备及终端，网络/系统和业务应用测评等内容。

网络信任标准是对身份进行认证，对权限进行授权限定等，包括标识与鉴别、授权与访问控制，认证等。

管理标准指对通信技术安全性进行管理的标准规范，包括实体管理、安全检查、应急与灾备，运维安全管理等。

以标准内容为基础，在每一类标准内容基础上，考虑标准研究对象，形成一个标准体系框架建议，如图7所示。

图7 通信网络安全标准体系框架建议Fig.7 Recommendation for communication network security standards framework

5 结束语

建立适合于铁路通信网安全的技术标准体系框架，是维护铁路通信网安全、保障网络健康发展的基础。本文从标准研究对象和标准维度两个方面提出一个通信网络安全技术标准体系框架的建议。随着通信信息技术及应用的发展，铁路通信网安全的技术标准体系框架也将不断补充和完善。

[1]国家质量技术监督局.GB 17859-1999计算机信息系统 安全保护等级划分准则[S]北京:国家质量技术监督局，1999.

[2]中华人民共和国工业和信息化部.YD/T 1746-2014 IP承载网安全防护要求[S].北京:中国人民邮电出版社，2014.

[3]国家铁路局.TB/T 3130-2017 铁路通信业务分类[S].北京:中国铁道出版社，2017.

[4]国家电子政务外网管理中心办公室.国家电子政务外网安全标准汇编（一）[M].北京:科学技术文献出版社，2015

[5]李飞，吴春旺，王敏.信息安全理论与技术[M].西安:西安电子科技大学出版社，2016.

[6]William S.网络安全基础应用与标准[M].5版.北京:清华大学出版社，2014.

[7]Charles P P，Shari L P，Jonathan M.信息安全原理与技术[M].5版.北京:电子工业出版社,2016.

[8]乔桢.铁路数据通信网网管系统安全防护的研究[J].铁路通信信号工程技术，2017，14（4）:23-25.Qiao Zhen. Security Protection of Railway Data Communication Network Management System[J].Railway Signalling &Communication Engineering，2017，14（4）:23-25.

[9]Mohammed M.F.现代通信技术[M].北京:电子工业出版社，2014.