铁路是国民经济大动脉、国家重要基础设施、大众化交通工具和民生工程,在经济社会发展中的作用至关重要。随着铁路信息化建设和应用的不断深入,铁路运输对网络和信息系统的依赖程度越来越高,网络安全保障作用日渐突出。
为加强铁路网络安全管理、强化铁路网络安全保障,项目立足铁路行业特性与安全需求,突破传统防护局限,在技术架构、管理模式、平台建设等方面实现四大核心创新,重塑铁路网络安全防护体系。
一、主要科技创新
1.形成一体化安全保障体系架构。
项目针对铁路综合信息网、铁路客票专网、列车调度指挥专网中承载的关键公众服务平台、列车调度指挥、客票发售、安全运输生产等业务系统,构建涵盖网络攻击识别、网络安全风险预防、网络安全漏洞发现、网络安全事件响应的一体化网络安全保障体系。通过纵向到底、横向到边、纵向监管、横向联动构建国铁集团、铁路局、站段三位一体安全防护措施,实现有效抵御高级持续性威胁的网络安全防护能力。
图1 项目总体技术框架
2.首次实现铁路云计算和移动接入的网络安全管理。
项目以“一个中心、三重防护”理念为核心,创新提出铁路云安全能力矩阵模型,首次建立面向云计算环境的应用安全保障机制,对多云一致安全、全栈保护能力开展了实践验证并取得技术突破,覆盖国铁集团、铁路局、基层站段全范围,条块融合、联防联动,贯穿安全管理、技术防护、运维保障全过程。首次构建统一接入、统一管理、安全高效、覆盖全路的移动应用安全接入平台,实现移动终端安全管理,解决了专用移动终端的一体化安全管理难题。通过一体化工程态势感知及安全管控系统的建立,对安全事件的响应效率显著提升,对安全策略的及时变更及部署效率有效提升,全面保障全路重要信息系统安全稳定运行。
3.建设覆盖全网融合各专业的统一支撑平台。
为了适应铁路行业网络信息化规模的持续增长,项目建设电子认证服务平台、集中安全管理平台、安全态势感知平台、网站群安全部署平台、移动应用安全接入平台。在国家网络安全法、信息系统安全等级保护相关标准规范等网络安全政策及法律法规指导下,结合铁路信息安全整体规划和总体安全策略,依据网络安全等级保护中安全管理中心、通信网络安全、区域边界安全、计算环境安全的安全设计,按照安全防护技术要求,从数据安全、应用安全、网络安全、边界防护、主机安全、终端安全、态势感知等多个方面和维度对铁路关键核心业务应用、大数据、云平台、移动互联网、智能设备等安全对象进行防护。
图2 项目成果形成的支撑平台、系统及网络
4.建立多维度的铁路网络安全治理体系。
从政治、经济、社会和技术4个维度分析设计铁路视角的网络安全治理体系,提出政治引领制度落地、产业促进服务支撑、以人为本重点防护和创新技术融合发展等4个层面的改进路径。项目对网络安全管理保障体系进行建设完善,扩展安全管理、技术保护、安全审查、责任认定、应急处置和隐私保护等安全措施,健全铁路网络安全管理保障体系,实现了全路网络安全管理从分散独立向集中一体化管理的转变。
二、项目评价
项目覆盖国铁集团、铁路局集团公司、专业运输公司等,贯穿网络安全管理、技术防护、运维保障全过程,实现铁路综合信息网、旅服网、客票专网等“五网”与国铁集团、铁路局、站段“三级”的全面覆盖。针对铁路各类应用系统、关键信息基础设施节点、终端设备实施精准防护,实现“网络无死角、应用全覆盖”,全面落实等级保护“一个中心,三重防护”理念。
项目紧跟网络安全技术发展趋势,在云计算安全、移动接入安全、态势感知等领域实现多项技术突破,首次构建起适配铁路行业的一体化安全防护体系。
项目实现了铁路网络安全从被动防护向“安全第一、预防为主、主动防御、综合防范”的转变,为铁路高质量发展筑牢网络安全根基。建设成果不仅保障了铁路核心业务安全,更对关键信息基础设施防护起到示范引领作用。
三、成果及效益
项目基于多源数据融合技术、多维安全态势感知技术、大数据分析等技术,提升了关键应用、核心区域、云计算、移动应用的多因素、细粒度、动态化的身份鉴别和访问控制能力,增强了网络安全态势感知和风险隐患监测发现能力,为铁路关键信息基础设施、重要应用系统、数据资源提供全面有效的深度保护。
项目强化了应对复杂严峻网络安全形势的防护能力,提高了重要数据的机密性、完整性防护,通过集中安管平台和态势感知平台联动,有力推动“一点发现,全面响应”,建立了新一代铁路网络安全体系。
通过项目实施,有效提升了铁路关键信息基础设施和重要信息系统网络安全纵深防御、协同防御、精准防护的能力,确保了客货运输、客票发售等业务的安全稳定,有效提升铁路服务形象、推动降本增效在铁路信息化领域落实落地;通过移动智能终端互联网安全接入平台,解决了移动应用的安全风险,企业职工能够便捷地利用网络随时随地安全接入办公应用、生产作业等活动,丰富了应用系统的工作场景。
牵头完成单位:中国铁路信息科技集团有限公司
稿源:中国铁道学会
