新形势下铁路网络安全工作探索与发展展望

新形势下铁路网络安全工作探索与发展展望

方海

中国铁路郑州局集团有限公司新乡桥工段 河南 新乡 453000

摘要：近年来，为了有效应对日趋复杂严峻的网络安全形势，我国持续健全网络安全法律法规体系，协调推进技术攻关和技术保障体系建设，适时开展监督检查、专项治理行动，网络安全防护的整体能力得到全面提升。铁路系统面对铁路网络安全新形势与新挑战，深入贯彻落实网络强国重要思想，不断强化网络安全观念，全方位打造纵深防御技术保障体系，加快提升铁路网络主动防御能力。鉴于此，本文对新形势下铁路网络安全工作探索与发展展望进行分析，以供参考。

关键词：铁路网络安全；安全监管；防护能力；纵深防御；管理策略

引言

铁路行业近几年不断加强网络安全防控体系建设，已经具备了一定的网络安全防护水平。但网络安全防护工程建设绝非一朝一夕之事，不是一劳永逸，更不是一个工程建设能够完成的，而是持续性、系统性的庞大复杂的工程。要树立正确的网络安全观念，紧跟网络安全形势及发展趋势，增强网络安全风险意识和底线思维，认真排查、分析突出问题和安全隐患，总结和把握网络安全防护规律，从技术、标准、管理等方面多措并举，强化各项措施落地实施，全面提升铁路网络安全保障能力。

1铁路网络安全管理现状分析

1.1构建纵深防御体系

与一般的企业信息网络类似，铁路信息网络也可分为互联网区域、内网区域。在互联网、内网之间构建了3道防线，即互联网边界、内外网边界和安全域边界。在互联网边界通过部署网站群安全平台、移动应用安全接入平台实现互联网边界的安全防护。在内外网之间、安全域边界之间，依托安全平台提供数据安全共享和交换，采用以身份为核心的安全控制体系，实现铁路内外部服务网之间信息安全跨域流动，达到适度安全、实用适用的防护效果。计算环境方面，以终端防护系统、主机防护系统、数据库防护系统为主要手段，强化操作系统底层安全，保障基础环境运行安全。

1.2加强网络安全监管

攻击者往往以疏于管理的薄弱环节或者老旧资产作为攻击突破口，将它们变为开展迂回攻击的跳板。国铁企业信息化设备数量多、规模庞大，网络安全监管难度较高。对标国家网络安全等级保护要求，国铁企业推动落实网络安全责任制、规章制度建设、等级保护、基础设施防护等重点工作，指导并监督所属单位定期开展网络安全检查。根据安全防护的重点和影响安全态势的重要程度，从资产感知、漏洞感知、威胁感知、风险感知、攻击感知、运行感知、业务风险感知等方面，构建具有整体视角的网络安全态势感知平台。

2铁路网络安全内外部风险因素分析

（1）当前，国铁企业统建系统总体上按照中国国家铁路集团有限公司（简称：国铁集团）、铁路局集团有限公司（简称：铁路局）、站段三级架构构建[3]，按照信息系统不同类型进行横向隔离，网络安全防护对象复杂分散，防护手段以防火墙、防病毒、入侵检测等传统安全防护设备为主，各类网络安全设备和系统防护策略执行力度不统一，网络安全防护工作逐渐呈现出“碎片化”现象，网络安全整体发展缺乏实战化的全局洞察和预警能力。

（2）铁路互联网售票系统和互联网货运系统积累了大量公民个人信息和客户货主信息，针对铁路业务系统内部个人隐私数据的安全防护与风险预警能力有待加强，尤其在云计算与大数据广泛应用后，应用系统和数据高度集中，大规模数据泄露风险增加。

3铁路网络安全管理策略分析

3.1建立健全通报预警机制

落实网络安全等级保护制度，建立健全通报预警机制。全面落实网络安全等级保护制度，深入开展基础摸排和分析评估，摸清铁路信息系统资产，对铁路网络、信息设备、应用系统、基础设施等重点目标全部纳入等级保护管理，积极开展定级、备案、测评整改工作。充分发挥网络与信息安全信息通报机制作用，健全铁路内部通报预警机制，依托网络安全态势感知平台，实现动态监测，防患于未然。建立以安全事件为牵引的监控指挥体系，落实保障措施，全天候、常态化监测处置网络安全事件，有效提升应对网络安全事件的响应能力。

3.2纵深防御安全能力建设

是指国铁企业内部为落实网络安全工作，部署在网络、主机、应用等基础架构层面上的静态、被动、外挂式的安全防护设备和系统，依靠安全防护设备内置的安全策略监控、抵御内外部安全威胁，是国铁企业网络安全防护体系中的重要环节。具体包括纵深防护体系设计、网络边界防护、终端安全、局域网安全等。

3.3联防联治能力建设

是指对国铁企业内部网络威胁的识别、理解和预见性的安全能力。基于国铁企业基础安全、纵深防御安全和主动防御能力建设与保障工作，通过扩大威胁视野，使铁路网络安全工作由各自为战转向联合行动，具体包括情报收集、情报生产、情报使用、情报共享等[8]。

3.4漏洞全生命周期闭环管理

漏洞全生命周期闭环管理是对漏洞进行检测、分类、修复和消解的一种周期性活动。平台从漏洞发现、漏洞确认、漏洞整改、漏洞消除4个步骤实现对漏洞的全生命周期闭环管理，推动日常安全漏洞全生命周期的可视和加固工作的可管可控[8-9]。在漏洞全生命周期闭环管理的基础上增加更加人性化的管理环节，漏洞确认阶段提供人员确认的环境，漏洞整改阶段增加整改有效期管理和有效期延时管理。

3.5主动化的弱点管理与预警

平台能够对漏洞扫描、基线引擎的结果进行自动同步，收集扫描结果，统一进行漏洞关联分析预警，从而实现弱点管理的主动化和自动化。当有新的安全漏洞出现时，可对漏洞扫描插件进行在线升级，通过主动反向扫描，找到网络中存在此安全隐患的设备，快速定位存在安全漏洞隐患的资产，并及时采取有效处置措施。

3.6加强专业人才培养

加强专业人才培养，打造实战化队伍。通过组织铁路内部网络攻防演习、举办网络安全大赛，建立人才发现、选拔、使用机制，提升关键安全岗位人员实战化能力。深入开展网络安全知识技能宣传普及，提高全路人员网络安全意识和防护技能。

3.7安全是发展的前提，发展是安全的保障

唯有筑牢网络安全根基，才能有效推进铁路关键技术自主创新与智能化发展。我们要深入践行交通强国、铁路先行的历史使命，以服务铁路信息化智能化创新发展为主攻方向，以构筑与世界铁路强国地位相适应的网络安全能力为发展目标，因势而谋，应势而动，顺势而为，积极推动铁路网络安全建设，打好打赢铁路网络安全保卫战，为实现铁路高质量发展提供强大的技术支撑和保障。

结束语

党的十八大以来，以习近平同志为核心的党中央准确把握时代潮流，立足互联网发展与治理实践，把网络安全作为事关国家安全和发展、事关广大人民群众工作生活的重大战略来谋划推动。习近平总书记围绕网络安全工作发表的一系列重要论述，立意高远，内涵丰富，思想深邃,把我们党对网络安全工作的认识提升到了新的高度和境界，为我们做好网络安全工作提供了根本遵循和强大动力。

参考文献

[1]钟庆伟,张永祥,文超,彭其渊,王锰锰.高速铁路网络动车组运用优化分解算法[J].中国安全科学学报,2019,29(S2):10-17.

[2]耿莉.铁路计算机网络安全及防范措施[J].企业科技与发展,2019(12):110-111.

[3]高克俭.高速铁路TD-LTE网络规划的研究[D].南京邮电大学,2018.

[4]沈悦.铁路异物入侵深度识别网络快速训练算法[J].电子设计工程,2019,27(22):48-54.

[5]钱名军,李引珍,江涌,巩亮,王亚浩.铁路货运系统超网络协同度研究[J].铁道科学与工程学报,2019,16(11):2889-2896.

[6]吕安琪,李翠然,谢健骊,段宝峰.铁路监测WSN网络的非均匀优化分簇算法[J].铁道学报,2019,41(11):72-78.