期刊文章分类查询,尽在期刊图书馆
准能集团大准铁路朔州公司 山西朔州 036002
摘要:为了保障我国铁路通信系统的网络安全,提出了一种基于可信计算和软件定义网络相结合的铁路通信网安全体系架构.首先,从我国铁路通信系统网络整体架构出发,采用故障树分析方法,以“恶意人员造成铁路业务中断”为故障树的顶事件,对系统所面临的网络安全风险进行分析;其次,进行了仿真测试,根据测试结果拟合了一个恶意人员针对铁路通信系统的威胁场景.通过仿真测试结果和分析表明,本文所提出的架构可以更好地应对大规模、针对性强的网络攻击行为,从而保障和提高我国高速铁路通信网络安全.
关键词:铁路通信系统;故障树分析;网络安全;可信计算;软件定义网络
引 文:随着时代发展,通信信息资源与关键基础设施已成为国家发展的“战略资产”与“核心要素”,网络与信息安全是保障国家安全和可持续发展的重中之中.随着“一带一路”和“高铁走出去”的实施,为进一步促进我国高速铁路和城市轨道交通高速发展,铁路通信网络作为重要支撑,网络信息安全问题也得到了越来越多的关注.从铁路通信网络自身发展来看,网络信息技术与社会工作生活深度融合,对铁路通信网络将产生重大影响,原来以封闭专网建设运营的铁路通信网络,将具有更高的开放性和更广泛的互联性;与此同时,网络规模不断扩大,网络配置管理越来越复杂,也给铁路通信网络的可控性、安全性和可靠性带来了负面影响.从国际网络信息安全环境来看,国家或组织所支持的高水平黑客行为,对国家关键基础设施网络安全构成严重威胁,例如伊朗核电站“震网病毒”事件、乌克兰电网和轨道交通系统遭到黑客攻击事件,以及俄罗斯黑客组织影响美国大选事件等,说明网络空间已成为新的战场.据国外媒体报道,仅2015年英国铁路网络就已经遭受4次严重的网络攻击,2017年WannaCry勒索病毒也袭击了我国铁路通信网络系统.对铁路网络信息和控制系统的安全研究在国内外引起高度重视,主要涉及铁路通信协议安全、铁路信号控制设备风险和漏洞研究等,研究所发现的安全问题对铁路安全运营构成严重威胁;因此,我国铁路通信网络安全防护研究亟待加强,深入研究我国铁路网络信息安全具有重大意义.铁路通信系统是铁路的重要基础设施,是保障铁路运输安全、提高效率的重要工具.铁路通信系统网络是承载铁路各类业务应用系统信息交换的主要通道,与其他通信网络相比,铁路通信网络承载列车控制等安全信息,网络安全防护措施需要考虑列控信息对网络实时性和可用性的较高要求.一直以来,铁路通信网络作为专网运营,网络安全防护技术主要基于防火墙等对已知攻击行为提取特征的被动防御手段,无法及时、有效地应对类似“震网”、“火焰”等大规模、针对性强的未知恶意程序攻击;另外,铁路通信系统网络作为专网运行,网络安全研究起步较晚,还未形成完善的网络信息安全保障体系,对网络安全的管控能力还比较薄弱.针对上述问题,本文在对我国铁路通信网络安全分析和测试的基础上,提出基于可信和SDN相结合的铁路通信系统网络安全防护体系,构建和提高我国铁路通信系统网络信息安全.
1铁路通信系统网络安全分析
1.1铁路通信系统网络安全风险分析
铁路通信网络为铁路各个部门和专业提供业务承载服务,对铁路通信网络安全防护的价值也体现在对业务承载服务的保障中,因此,从网络信息安全角度,铁路通信网络面临的最主要风险是在恶意网络攻击的情况下,造成铁路业务的大面积中断.本文采用故障树分析方法,对铁路通信网络安全面临的主要风险及原因进行定性分析.在恶意人员攻击的情况下,造成铁路业务中断,是我们最不愿意发生的事件,因此,选择“恶意人员造成铁路业务中断”为故障树的顶事件,从铁路通信网络系统整体架构分析可知,导致顶事件的直接原因有两类:第1类是恶意人员造成铁路通信网络中断,从而导致业务中断;第2类是恶意人员造成铁路业务应用节点中断,根据铁路运输组织特点,铁路业务一般为总公司、路局和站段3级架构,关键核心业务节点一般位于总公司和路局层面,总公司或路局层面的关键业务节点中断,可能会造成较大范围影响.
1.2铁路通信系统网络安全风险防范措施分析
1.2.1数据错误的防范
铁路通信相关数据被删除、伪造、重放和篡改导致数据错误,将严重影响业务可用性,目前铁路通信系统针对数据错误的防范措施还比较缺乏,虽然关键数据的冗余备份在一定程度上可以缓解由数据错误引起的风险,但对本地存储数据的删除、篡改等缺少相应的控制措施.
1.2.2系统缺陷的防范
铁路通信系统的通信链路(有线、无线)、网络、操作系统、应用软件和运维支持系统存在可被利用的脆弱性,铁路通信网络针对系统缺陷的防范措施采用防火墙、入侵检测、防病毒软件和网闸等技术;另外,通过信息安全等级保护测评和渗透测试等手段对铁路通信网络系统进行合规性检查,在一定程度上可以减少已知的缺陷和漏洞.
1.2.3人为失误的防范
人为失误使得网络安全防护面临很大挑战,恶意人员利用人为失误可能轻松越过网络安全防护措施,铁路通信网络从安全管理角度加增强网络安全教育和人员培训.另外,通信网管系统采用了堡垒机技术,减少工作人员在维护管理过程中的错误等.
1.2.4冗余缺失的防范
铁路通信传输网、业务网和关键业务应用节点等采用链路冗余、网元冗余、双机热备和异地冗余等手段进行防护.可以保障铁路通信网络具有较高的可靠性.
1.3铁路通信网仿真测试分析
在实验室搭建铁路通信网络仿真测试环境,测试结果具有片面性,可一定程度上可以反应铁路通信网络所面临的典型问题,包括弱口令、缺乏网络准入控制机制以及操作系统和病毒库等不能及时升级等问题,严重威胁铁路通信网络安全.下面对此次仿真测试过程和结果进行拟合,以对网络所面临的问题和风险进行分析和说明.
1.3.1仿真测试模拟场景
假设恶意人员获得一个可以接入某无人值守站网络的机会,通过技术手段发现网络设备等敏感信息.利用所获得的信息,恶意人员可以进一步分析,以便确定更重要的目标.信息收集过程就基础完成.
1.3.2当前风险状况
根据仿真测试的结果判断,此次测试的安全脆弱性主要表现在以下几个方面:(1)Windows主机普遍存在高危的缓冲区溢出漏洞;(2)弱密码普遍存在,且开放、使用非安全Telnet服务;(3)子网间缺乏严格有效的隔离措施,可以从授权检查的网段任意访问其它子网;(4)配置文件包含大量明文的敏感信息;(5)开放SNMP服务.配置文件中泄漏的团体名称,ROOT节点OID可能被利用,可用作获取设备信息,或者修改设备配置;(6)网络缺乏网络准入机制,如802.1X准入验证;(7)测试过程中并没有防护设备对扫描操作、登录、文件查看等操作发出告警,缺乏针对这些操作的管控机制.从仿真测试的情况判断,上述脆弱性的威胁主要源于内部人员.如果内部人员希望进行非授权操作,从上述拟合的风险场景判断,网络的安全风险较高.另外,根据漏洞扫描结果,部分系统依然存在老旧漏洞,由于通信网络作为专网运营,系统漏洞补丁和病毒库不能及时升级,一旦内部网络病毒爆发,后果严重.
2铁路通信系统网络安全风险总结
2.1面临的威胁升级
铁路通信网络所面临的威胁升级主要体现在两个方面:第一,铁路通信系统是我国重要的关键基础设施,可能面临国家级的黑客攻击.国家资助的黑客行为可利用资源十分丰富,具有高度的隐蔽性、持续性和技术性.第二,网络攻击门槛越来越低.黑客程序、勒索软件和木马病毒等的获取越来越容易,美国“方程式组织”或者NSA所泄露的恶意攻击程序可在网络上随意获取.内部人员攻击或者利用内部人员进行攻击更加难以防范.
2.2技术风险
随着时代发展,铁路系统网络化和信息化建设不断深入,铁路通信网络将具有越来越高的开放性,铁路通信网络系统采用防火墙、入侵检测和防病毒软件等传统的网络安全技术,防范措施很难有效地应对类似“震网”、“火焰”等大规模、针对性强的未知恶意程序攻击,不能从根本上解决网络安全问题,面临一定的技术风险.
2.3防护建议
面对层出不穷的安全威胁和攻击,以往的防范措施不断累加,依然不尽人意.归根到底,现有绝大部分防御手段在体系设计上面向通用环境,以易部署、易操作和广泛的兼容性为主要设计目标,没有实现针对特定信息系统的保护机制.可信技术是指计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可控可测,不被干扰.是一种运算和防护并存的主动免疫计算模式,用密码实施身份识别、状态度量、保密存储,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,是网络安全防护技术的重要发展方向.另外,采用面向铁路通信业务风险管理理念,安全防护最终追求的是适度的“成本-效益”比例,对铁路通信系统资产价值和风险进行评估,对铁路通信网络各个系统,以及各个系统的不同部分实行分级保护,利用可信技术体系架构进行高安全等级防护.
3基于可信的铁路通信系统网络安全体系架构
根据上述分析,本文采用可信计算技术,构建铁路通信系统网络安全体系架构,以应对高级持续威胁和所面临的技术风险.该体系架构由四部分组成,即可信计算环境、可信区域边界、可信通信网络和可信管控中心.
3.1可信计算环境
可信计算环境主要由可信平台控制模块和可信软件基等构成.可信平台控制模块作为建立和保障可信源点的核心硬件模块,为可信计算提供完整性度量、安全存储、可信报告和密码服务等功能,并且先于CPU启动,建立以其为信任根的信任链.以TPCM为完整性度量起点,控制权逐步转移,最后将信任链扩展到应用程序.可信软件基主要包括可信控制机制、可信度量机制、判定机制和可信基准库.在系统初始配置过程中,可信管控中心对系统中的主体(例如:用户和进程)及客体(例如:文件和数据)进行命名标记,对主客体实施身份管理、标记管理、授权管理和策略管理.身份管理确定系统中所有合法用户身份、工作密钥和证书等安全相关内容.标记管理根据业务系统的需求,结合客体资源的重要程度,确定系统中所有客体资源的安全级别;同时根据用户在业务系统中的权限和角色确定主体的安全级别.授权管理根据业务系统的需求,授予主体访问客体资源的权限,生成强制访问控制策略和系统可执行程序白名单.当执行程序主体发出访问客体资源请求后,系统可信控制机制将该请求截获,对策略符合性进行判断.当程序请求执行时,对其文件完整性进行度量,如被篡改,则进行文件恢复,防止病毒及木马程序运行;同理,当程序访问系统数据时,可信控制机制截获该请求,查询规则库中的安全策略以判断该请求是否允许被执行,并对其作完整性度量,与可信基准库中的基准值进行比对,禁止对服务器中受保护的重要数据进行任何非法修改操作,防止重要数据被非法篡改、删除和插入等情况的发生.
铁路通信系统计算环境包括各种服务器和终端设备,由于操作系统漏洞和病毒库不能及时升级等问题,铁路通信系统计算环境将面临严重的病毒威胁,可信计算环境可以有效的控制病毒和木马等恶意程序的安装和传播,可以解决铁路通信网络作为专用网络病毒库较难升级的问题.
3.2可信区域边界
可信区域边界采用可信网络连接模型,模型由3部分组成,分别为接入请求者、策略控制点和策略决策点.接入请求者为各类服务器或终端计算节点,策略控制点采用SDN(软件定义网络)交换机,策略决策点自身采用可信计算技术,具备接入者身份鉴别、平台完整性度量、应用完整性度量以及SDN交换机控制功能.接入请求者和策略决策点之间进行双向身份鉴别,防止中间人攻击;策略决策点根据可信区域边界网络接入策略,平台及应用完整性度量结果,通过SDN交换机对接入请求者进行控制.对不能通过可信认证的节点,可信区域边界将该节点流量导入到隔离网络(蜜罐系统/节点升级区域)或者进行阻断.并把异常情况发送至审计管理系统.
3.3可信通信网络
可信通信网络采用SDN技术,SDN控制器采用可信计算技术,作为可信通信网络的网络可信根,从可信管控中心下载控制策略,对通信网络进行逻辑集中统一管控.可信管控中心对跨节点通信业务主客体进行标记,根据业务源IP地址、目的IP地址、源端口号、目的端口号和协议类型等信息,实施严格网络访问控制.通过可信计算节点、可信区域边界和可信通信网络三重防护手段,从而保障网络环境的整体可信.
3.4可信管控中心
可信管控中心采用三权分立的管理模式,即对系统管理员、安全管理员和安全审计员的权限进行严格的分配和管理,授予其各自完成自己承担任务所需的最小权限,3个管理员之间既相互监督又相互制约,从而防止“超级用户”的形成.可信管控中心对可信计算环境、可信区域边界和可信通信网络实施统一管理.统一进行安全策略(规则)的设置和下发,统一进行用户身份管理,统一进行安全运行状态的报警监测和审计.除了技术层面,可信安全中心还具有管理层面职能,根据网络安全实际情况,不断总结完善,形成技术和管理并重的动态安全过程.
4结束语
铁路通信网络作为国家关键信息基础设施,正面临越来越多的网络安全威胁,本文对铁路通信系统网络所面临的网络安全风险进行了分析和仿真测试,并在此基础上,针对铁路通信网络特点和存在的问题,提出了基于可信技术的铁路通信系统网络安全体系架构,并且探索了可信计算技术在铁路通信系统中的应用,为铁路通信系统网络安全建设提供有益参考.
参考文献
[1]中华人民共和国铁道部.铁路数字移动通信系统(GSM-R)总体技术要求:TB/T3324—2013[S].北京:中国铁道出版社,2013.
[2]中国铁路总公司.高速铁路通信技术-承载网[M].北京:中国铁道出版社,2013:20-25.
[3]沈昌祥,张焕国,王怀民,等.可信计算的研究与发展[J].中国科学:信息科学,2010,40(2):139-166.
论文作者:胡小生
论文发表刊物:《建筑学研究前沿》2019年1期
论文发表时间:2019/5/9
标签:铁路论文; 可信论文; 通信网络论文; 网络论文; 网络安全论文; 通信系统论文; 系统论文; 《建筑学研究前沿》2019年1期论文;