等保2.0 下铁路站段网络安全防护方案研究
2022-10-14胡文君
◆胡文君
(中国铁路北京局集团有限公司北京站 北京 100005)
铁路综合信息网由国铁集团、铁路局集团公司和站段局域网构成。基层站段的网络安全处于铁路“一个中心、三重防御”的纵深防御体系的最前端,其安全作用的发挥对整个铁路信息系统网络安全有着重要影响。
当前国铁集团和集团公司的网络安全防护体系已覆盖到基层站段,但由于站段信息系统及其应用环境的复杂程度、基层专业技术力量不足的现状,基层站段的网络安全仍然是整个铁路信息网络的一个薄弱环节。同时伴随着我国铁路的智能化发展,各类智能装备、智能运维逐步赋能站段发展,物联网设备、5G 设备等的接入也给铁路信息网络带来了新的安全威胁。
网络安全等级保护2.0制度,延续等保1.0标准的“安全管理中心、安全计算环境、安全区域边界、安全通信网络”,并扩大了对大数据、物联网、云计算等新型网络的保护,为新时期网络安全工作开展和网络安全防护方案研究提供了指导。
1 站段信息系统架构
以某客运站为例,除专网系统外,信息系统大致分为办公类系统、以车次信息为数据源的旅客服务类系统、保障车站设施运行的运维管理类系统。在传统的信息系统基础上,越来越多的物联网系统也接入站段局域网内,包括环境监测、设备监控、站台防入侵、能源管理、指纹考勤、门禁系统等。系统总体框架如表1 所示。
表1 站段信息系统架构
2 站段网络安全问题
站段信息系统种类繁杂,终端数量多且位置分散、暴露面广。无法有效管控的资产、碎片化的安全策略、不规范的安全管理易造成整个铁路信息网络的隐患。站段网络安全问题包括以下几个方面。
2.1 网络传输
区域划分:随着铁路信息化的发展,站段信息系统的规模在不断增加,聚集的系统架构变得难于管理,网络安全域划分不清缺少安全隔离,在安全事件发生时导致影响范围扩大。
物理环境:站段现场网络设备布置分散,有的设备直接暴露于公共环境,易造成空闲的网络端口被接入非法终端。
系统漏洞:交换机、路由器等网络设备及其管理平台本身存在的安全漏洞易被攻击。
2.2 服务器
系统漏洞:服务器操作系统存在漏洞,特别是普速站开发较早的信息系统,由于部署于内部局域网而疏于安装补丁升级。
访问控制:系统管理员账号密码或数据库管理员账号密码为弱口令易被攻破;服务器安装了不必要的服务或开启了不必要的端口,从而增加了安全隐患。
应用服务:Web 应用服务器安全配置错误导致攻击者恶意代码被执行;服务器应用软件使用未经安全验证的开源代码或存在sql 注入漏洞。
2.3 计算机终端
系统漏洞:目前站段计算机终端系统仍以Windows 系统为主,其中Windows7、Windows10 占绝大多数,主机系统存在漏洞后门风险。
访问控制:站段的倒班或轮流值班制度情况下,信息系统易出现越权访问或共用同一账号的现象。
使用行为:由于使用人员在内部局域网计算机终端使用无线网卡或手机连接计算机以及计算机错误连接互联网网络设备等行为造成一机两网。使用存在后门漏洞的浏览器、音视频处理等办公软件。
2.4 感知层设备
物理环境:感知层设备部署区域无人监管,易发生终端被拆除替换的事件,成为入侵网络的入口。
设备漏洞:系统组件存在漏洞易被入侵;终端设备硬件调试接口无须身份认证,成为恶意攻击入口;存在弱口令导致被他人登录;开放不必要的远程服务被入侵。
终端资产:站段物联网设备越来越多,各厂家标准和协议不统一,海量终端接入造成身份认证与资产管理难题。
2.5 安全管理
资产管理:目前站段大多通过人工进行信息资产统计,难以全面掌握数量庞大的设备终端。
技术队伍:基层技术人员缺乏网络安全专业培训,无法有效应用各种安全设备,更缺乏对威胁的主动判断能力。
安全制度:使用人员安全意识淡薄,管理制度缺失导致数据泄漏、篡改、删除问题。
3 网络安全方案
3.1 安全通信网络
(1)冗余设计:站段去往铁路综合信息网广域网出口、站段局域网内部网交换设备及链路均采用可靠的冗余备份机制,最大化保障数据访问的可用性和业务的连续性。
(2)安全域划分:站段局域网按照同数据源、同业务类别、同安全等级的原则划分VLAN,有效分散不同VLAN 中的运行维护风险和网络攻击风险。以客运站为例,划分VLAN 分别为:广域网接入区、核心交换区、服务器区、办公系统区、旅客服务系统区、智能运维系统区、安全管理区,并利用ACL 设置VLAN 间访问规则。安全区域划分如图1 所示。
图1 站段网络安全区域划分
3.2 安全区域边界
对网络区域边界进行重点防护,边界部署防火墙实现访问控制、入侵防范、恶意代码防范。核心交换机旁路部署审计服务器,实现边界和重要网络节点的审计功能。在核心交换机旁路通过镜像部署流量感知设备。核心交换机旁路部署网络准入平台,实现终端接入控制。
(1)访问控制:在广域网接入边界部署下一代防火墙,禁止外部网访问内部网,对所辖中间站及其他必要单位开启白名单。在服务器边界部署防火墙,只允许访问服务器区域的特定服务器的特定端口。
严格内部网安全准入,建立站段局域网网络准入认证平台,基于网络设备端口和终端设备MAC 地址对终端设备的网络访问权限进行控制,实现边界隔离和非法接入,从源头上切断外来安全威胁的流入通道。
(2)入侵防范:在广域网边界开启下一代防火墙IPS 模块并定期更新特征库,检测数据包,防范包括Flood、恶意扫描、欺骗防护、异常包攻击等;对进出网络的流量开启双向攻击检测,及时发现内部网计算机威胁,做出处置并向集团公司相关部门报告。
(3)恶意代码防范:开启下一代防火墙病毒防护模块,定期更新策略,在网络层进行病毒查杀,预防和阻断网络病毒、蠕虫、木马等恶意代码攻击。在网关处封闭135、138、139、445、3389 等端口,阻止僵尸网络的连接和病毒的更新、扩散。
(4)安全审计:部署安全审计设备,记录分析人员访问以及对数据的增、删、改、查等行为,对异常通信进行报警。开启广域网边界下一代防火墙应用审计,对特定文件内容进行过滤,避免信息泄漏。检测终端流量,并对特定类型文件进行流量深度监测,防止数据文件被盗。
3.3 安全计算环境
(1)身份鉴别:各应用系统均设置身份鉴别策略,用户登录时对身份鉴别信息加密传输,拒绝未授权用户登录系统;对重要系统采用静态口令+动态口令的双因子认证;对登录失败次数进行限制;主机开启复杂口令保护、入站规则、限制非法登录次数等安全策略。
(2)访问控制:各应用系统设置用户权限及访问行为控制策略。设置用户变更策略,及时清理长期未登录账号;制定管理制度,对人员离职、调动岗位及时调整账号;删除多余账号、默认账号,避免共用权限。
(3)入侵和恶意代码防范:安装统一的终端防护软件,通过终端防护平台防范一机两网、非法外联、非法接入,并实现病毒防护、补丁管理、介质管控。定期对站段局域网内设备进行漏洞扫描,并根据铁路网络安全漏洞平台发布的信息及时修复可能存在漏洞。
(4)资产管理:利用统一安全平台实现终端资产识别和分析。通过IP 扫描、SNMP 扫描、流量发现等手段对网内的IP 存活情况进行跟踪监控,分组管理。
(5)安全审计:利用日志审计服务器监控分析安全生产网内信息系统服务器系统资源、用户操作、应用程序等,及时发现系统异常行为。
(6)感知层设备安全
对感知层设备和节点装置,进行软件身份认证或软件加密。禁用闲置的外部设备接口、外接存储设备的自启动功能。通过本地接口进行软件更新调试时,需进行人员身份认证、权限控制。
3.4 安全管理中心
建设安全管理中心,实现主动防御和态势感知。设立系统管理账户、审计管理账户。系统管理账户负责系统运行资源配置、控制和管理;审计管理账户负责审计记录分析和处理。在安全管理区集中部署审计设备、网络准入平台、流量监控设备,及时发现异常行为和网络安全事件。利用终端防护平台实现资产统一管理。对网络设备、服务器、安全设备等进行信息采集,实施掌握链路、设备、应用系统情况,掌握系统整体态势,做到早发现早防御。
4 结论
本文依据等保2.0 标准,提出铁路基层站段“一个中心、三重防御”的网络安全防护方案。明确基层站段网络边界,合理划分区域,制定出恰当的边界防护策略,以兼顾数据共享和网络安全需要。在国铁集团和集团公司的网络安全体系总体框架下,利用铁路统一的终端防护平台以及安全漏洞平台等,结合站段的网络准入平台和安全审计设备,设计出站段信息资产识别管理、漏洞补丁修复、入侵和病毒防范、威胁监测报告等机制,实现站段网络安全主动防御,并与上级部门紧密联系,形成协同防护的网络安全局面。