司 群，马 童

（1. 北京经纬信息技术有限公司，北京 100081；2. 中国铁路北京局集团有限公司，北京 100860）

当前，关键信息基础设施的地位越来越重要，已成为国家重要的战略资源，同公民的生命财产安全、经济稳定乃至国家安全紧密相连。但随着信息技术的快速发展，国内各个行业信息系统面临的网络安全态势越来越严峻，安全威胁范围不断扩大，威胁内容也在不断演化，安全形势与挑战日益严峻[1-5]。传统的网络安全威胁如木马、病毒、僵尸网络、钓鱼网站等有增无减，新型网络攻击如DDOS攻击、APT攻击等愈演愈烈；高危漏洞屡禁不止，2010年的震网蠕虫病毒事件，2013年的棱镜门信息监听泄露事件，2017年由于永恒之蓝存在安全漏洞导致勒索病毒在全球范围内爆发；“云大物移智”、工业互联网等新技术的应用使各类系统面临着更为复杂多样的网络安全威胁[6-7]。

铁路关键信息基础设施作为国家信息系统重要组成部分，同样面临严峻的网络安全形势。目前，铁路部门已采取的措施有：

（1）对大部分关系运输生产、行车安全和公众秩序的铁路关键信息基础设施，采取专网运行保障安全的模式，进行系统边界物理隔离，确保网络安全、环境安全和数据安全[8]；

（2）依据《中华人民共和国网络安全法》法律法规要求和网络安全等级保护2.0要求，对铁路信息系统进行定级备案，《关于进一步规范网络安全等级保护工作的通知》中明确强调铁路关键信息基础设施网络安全保护等级不得低于三级，且正式上线前须完成网络安全等级保护测评；

（3）已构建网络安全相关标准制度规范，初步建立了网络安全管理体系。

然而，铁路关键信息基础设施是国外敌对势力和黑客组织网络攻击的重点目标，面临遭受大规模有组织攻击的风险，其应用系统体量大、用户众多，存储了大量公民个人信息，涉及社会公众利益。这些系统尚缺乏主动态势感知和及时预警的能力，一旦遭到有组织、高强度的攻击破坏，可能发生信息泄漏、系统运行中断等重大网络安全事件。为此，本文以国家相关政策标准为指导，建立铁路关键信息基础设施安全保护框架，提出网络安全保护思路和措施。

1 安全保护框架整体设计

本文基于国家相关政策的标准和要求，结合中国国家铁路集团有限公司（简称：国铁集团）网络安全需要，以国铁集团关键信息基础设施为重点保护对象，以风险管控为出发点，结合铁路行业自身特点建立具备纵深防护、主动防御能力[9]的铁路关键信息基础设施网络安全框架。巩固网络安全基础保护能力，夯实网络安全合规建设基础，强化网络安全重点保护能力，落实关键信息基础设施安全防护建设，逐步实现保护基础牢固、环节畅通、措施高效、响应有力。框架整体设计如图1所示。

图1 铁路重要信息系统网络安全保护框架

（1）针对国铁集团和铁路局集团公司的关键信息基础设施进行网络安全基础库构建，包括资产基础库、风险基础库和能力基础库；

（2）制定具体保护措施，从识别认定、强化保护、检测评估、监测预警、事件处置5个环节执行强化防护；

（3）提升铁路关键信息基础设施综合防御能力、检测评估能力、应急响应能力及情报预测能力。

2 安全保护框架详细设计

2.1 识别认定

配合铁路关键信息基础设施保护责任部门，开展识别认定工作，包括业务识别、资产识别、风险识别以及重大变更。认定识别的过程作为保护框架的初始步骤，为后续的具体保护措施奠定基础。

2.1.1 业务识别

国铁集团所属单位参考可替代性、影响程度、业务规模和特殊意义4个指标梳理各专业关键业务，分析业务遭受损失或破坏的后果，确定关键业务清单。

2.1.2 资产识别

资产识别是铁路关键信息基础设施保护的重要环节，在各类网络攻击中，攻击目标都以资产为中心，利用资产的脆弱性，诱发系统安全风险。资产识别就是梳理不同价值的资产，对不同重要程度的资产进行归类，并进行分级分类保护，在此基础上建立铁路关键信息基础设施资产库。

2.1.3 风险识别

风险识别是对铁路关键信息基础设施面临的和潜在的风险进行判断、分类，对风险特征和后果做出定性估计，形成风险清单。风险识别是风险量化与评估的基础，在保护过程中需要根据资产更新程度及时梳理相应的风险，主要内容包括网络安全风险、主机安全风险、应用安全风险以及数据安全风险，并构建铁路关键信息基础设施风险库。

2.1.4 重大变更

铁路关键信息基础设施发生扩建、改建等重大变化，以及由此引起业务变化时，或当外部环境发生较大变化，引起所面临的威胁发生变化时，需启动重大变更流程，更新铁路行业资产清单，必要时根据认定规则重新认定关键信息基础设施。特别情况应结合检测评估、监测预警中发现的安全隐患和处置结果展开综合评估，必要时重新开展风险识别，并根据实际安全需要更新安全策略。

2.2 强化保护

根据已识别的安全风险，实施技术、管理两方面的安全控制措施，保障铁路关键信息基础设施安全稳定运行。强化保护主要是在认定结果和识别其安全风险的基础上，制定有效安全防护措施，包括：合规安全、供应链安全和数据安全。

2.2.1 合规安全

铁路关键信息基础设施应满足最基础的网络安全等级保护合规要求，在通用安全和扩展安全两个方面合规，实行重点保护。其合规性安全框架如图2所示。

图2 铁路关键信息基础设施合规性安全框架

2.2.2 供应链安全

为确保铁路关键信息基础设施供应链安全，需开展供应链安全管理和供应链安全技术两方面的研究，如图3所示。

图3 供应链安全框架

2.2.3 数据安全

随着铁路数据应用的不断深入，许多应用需要与外部系统对接，在数据共享的同时，保证数据开发、测试、生产、应用等各个环节的安全，成为铁路部门的重要任务。本文在研究铁路数据分类、分级基础上，提出铁路数据安全整体框架，展示数据通用安全防护、数据全生命周期安全防护和铁路关键基础设施数据安全防护3个维度的不同防护要求，如图4所示。

图4 数据安全整体框架

2.3 检测评估

构建完善的检测评估机制，提升铁路关键信息基础设施系统风险评估能力，从单个应用与系统层面构建技术防护壁垒，实现制度流程建设、风险评估与监督检查的全覆盖。建立健全铁路关键信息基础设施安全检测评估制度规范，不限于检测评估流程、合规检查、技术检查、分析评估等内容。

依据国家风险管理、信息安全管理体系等相关标准，通过调查、访谈和技术检测等多种方式对风险要素进行数据采集，采用定量、定性相结合的方法对采集数据进行综合风险分析[10]。组织开展对铁路关键信息基础设施安全风险的抽查检测工作，提供网络安全管理制度规范、网络架构、资产清单台账、关键业务简介、日志等必要的资料和技术支持，针对抽查检测工作中发现的安全问题和风险及时整改，并建立考核评估制度。

2.4 监测预警

监测预警主要实现铁路关键信息基础设施的态势分析、情报研判与场景推演，在检测评估的基础上针对安全态势进行深度分析，并对威胁情报等资源开展具体研判，对可能出现的场景进行事先推演。监测预警的执行为针对攻击事件和威胁事件的处置做准备，实施网络安全监测预警和信息通报制度，明确监测内容和流程，采取有效技术措施，实施持续性监测，对网络安全风险进行感知、监测和预判推演。功能框架如图5所示。

图5 监测预警框架

2.5 事件处置

对铁路关键信息基础设施安全事件进行处置，对检测评估、监测预警环节发现的问题制定实施适当应对措施，恢复受损的功能或服务。

（1）响应处置：利用深度流量、深度资产探测技术，汇聚溯源攻击者信息，结合分析研判结果，清除恶意流量、攻击和病毒等，并根据原有灾备或冗余备份，快速恢复系统的正常访问，最大限度避免或减少因系统故障而造成的影响，实现业务和数据的快速恢复[11]，确保铁路关键信息基础设施安全稳定运行。

（2）审计取证：发生网络安全事件时，尽快收集证据，按要求进行取证分析，并确保所涉及的响应活动可被适当记录，便于事后分析。主要通过流量审计、证据固定、痕迹提取、系统采样和安全检查等手段，对目标进行多维度信息采集，实现对事件的及时审计及取证。

（3）攻防演练：通过开展日常训练演练，使网络安全事件响应及处置常态化，提高网络安全应急组织、指挥、处置与保障能力，确保网络安全保障体系持续稳定运行。

3 结束语

本文对铁路关键信息基础设施网络安全现状和网络安全等级保护设计要求开展了研究，提出了网络安全保护框架，此框架综合考虑主动防御、纵深防御理念，以风险管控为出发点，建立一套以识别、保护、检测、响应、恢复为核心的基础性、通用性铁路关键信息基础设施网络安全框架。但随着云计算、大数据、物联网、移动互联、工业控制等新技术的发展应用，需进一步扩充技术体系建设，提出不同场景下的安全保护框架，对未来铁路关键信息基础设施安全设计、建设及保护提供理论参考。