鐵路通信網安全技術標準體系框架研究

王振華

（1.北京全路通信信號研究設計院集團有限公司，北京 100070 2．北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070）

1 概述

隨著信息化技術的發(fā)展，計算機網絡更多應用到各個行業(yè)領域，在人們日常生產活動中承擔更重要作用。近年來，網絡安全事件頻繁發(fā)生，網絡安全問題也得到越來越多的關注。美國、日本等國家已把網絡與信息安全作為國家戰(zhàn)略，我國也先后發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》和國務院令147號等信息安全相關法律。2017年，國家正式頒布《網絡安全法》，更是將網絡安全提高到國家戰(zhàn)略層面的高度。

鐵路行業(yè)作為國家重要的基礎設施，承擔國家經濟發(fā)展和人民出行安全的重要責任。鐵路通信網絡在信息化和計算機技術方面的應用走在鐵路各專業(yè)的前列，因此鐵路通信網絡安全防御也面臨著更大的威脅和挑戰(zhàn)。為更好的應對威脅和挑戰(zhàn)、保障網絡的安全運行，應建立科學、合理的鐵路通信網絡安全標準化體系，并以此來指導網絡安全的標準化工作，為網絡安全標準的研究、制定提供依據(jù)。

2 國際安全標準現(xiàn)狀

目前，世界上與網絡安全標準化有關的主要組織包括:國際標準化組織（ISO）、國際電工委員會（IEC）、國際電信聯(lián)盟（ITU）和互聯(lián)網工程任務組（IETF）等。

2.1 ISO和IEC安全標準

ISO和IEC聯(lián)合成立了信息技術標準化委員會（JTC1）下屬的安全技術分委員會（SC27），負責開展信息安全標準的研制工作。

安全技術分委員會的組織架構如圖1所示。

圖1 安全技術分委員會（SC27）的組織架構圖Fig.1 Organization chart of Subcommittee （SC 27）， IT Security techniques

近年來，該分技術委員會在正在制定或已經制定的標準中，更多的關注信息安全專業(yè)人員能力、密碼算法、云安全、身份證明等方面的內容。

2.2 ITU安全標準

ITU是主管信息通信技術事物的聯(lián)合國機構，下設電信標準化部門（ITU-T）、無線電通信部門（ITU-R）和電信發(fā)展部門（ITU-D）。

ITU-T是ITU中專門負責制定電信標準的分支機構，其中ITU-T第17研究組是專門進行網絡與信息安全的標準研究組。第17研究組的組織架構如圖2所示。

ITU-T已經發(fā)布多項網絡與信息安全方面的標準。從標準架構上主要涉及到以下系列標準:E-系列標準（電信網絡及組織）、G-系列標準（光傳送系統(tǒng)）、H-系列標準（音視頻和多媒體系統(tǒng)）、J-系列標準（電視和線纜通信）、K-系列標準（電流/電壓安全限制、EMC、抵抗力）、M-系列標準（網絡管理）、T-系列標準（遠程信息業(yè)務終端），X-系列標準（數(shù)據(jù)網絡、開放系統(tǒng)通信和安全）和Y-系列標準（全球信息架構、互聯(lián)網和下一代網絡）等。

圖2 ITU-T第17研究組的組織架構圖Fig.2 Organization chart of ITU-T Study Group 17

2.3 IETF安全標準

IETF是松散、自律、志愿的民間學術組織，主要任務是負責互聯(lián)網相關技術標準的研發(fā)和制定，是國際互聯(lián)網業(yè)界具有一定權威的網絡相關技術研究團體。

其中，安全研究領域（sec-Security Area）主要負責研究IP網絡中的授權、認證、審計等與私密性保護有關的協(xié)議與標準。由于互聯(lián)網的安全性越來越受到人們的重視，因此這個領域也成為IETF中最為活躍的研究領域之一。

這個研究領域的工作組包括:BTNS（Better-Than-Nothing Security）、域密鑰標識郵件（DKIM）、EAP方法改進（EMU）等17個工作組。

3 國家及行業(yè)安全標準現(xiàn)狀

3.1 國家安全標準現(xiàn)狀

全國信息安全標準化技術委員會是我國專門從事信息安全標準化的工作組織，委員會下設7個工作組，主要負責信息安全技術、安全機制、安全管理、安全評估等領域的標準化工作，目前已形成較為完備的安全標準框架。

國家信息安全標準框架構成如圖3所示。

基礎類標準主要包括:安全詞匯、術語，開放系統(tǒng)互連中基本參考模型的安全體系結構等標準。

圖3 國家信息安全標準框架構成圖Fig.3 Composition diagram of national information security standards framework

技術與機制類標準主要包括:帶附錄的數(shù)字簽名、實體鑒別、抗抵賴、公鑰基礎設施、授權與鑒別、開放系統(tǒng)互連的系統(tǒng)管理，計算機場地和可信計算規(guī)范等標準。

信息安全管理類標準主要包括:安全保護等級劃分準則、安全管理指南、安全管理體系要求，風險評估規(guī)范和IT網絡安全等標準。

信息安全評測類標準主要包括:安全保護等級劃分準則、安全性評估準則、安全保障評估框架、安全性評估方法、各類設備的安全技術要求和測評方法，各類系統(tǒng)的安全技術要求和保障評估準則等標準。

通信安全類標準主要包括:IP認證頭（AH）等標準。

密碼技術類標準主要包括:各類密碼算法、散列函數(shù)，消息鑒別碼的規(guī)范等標準。

保密技術類標準主要包括:涉及保密部門、保密通信、涉密信息等保密標準。

全國信息安全標準化技術委員會制定的這些標準，基本形成我國信息安全的標準體系，為我國信息安全保障體系建設提供強有力的支撐。

3.2 通信行業(yè)安全標準現(xiàn)狀

中國通信標準化委員會（CCSA）網絡與信息安全技術工作委員會（TC8）負責人組織開展通信行業(yè)網絡與信息安全標準化工作，目前已經發(fā)布大量的標準，基本涵蓋網絡和信息安全領域的各個方面，形成完備的標準體系。

通信行業(yè)信息安全標準框架構成如圖4所示。

基礎標準主要包括:通信安全防護名詞術語、移動通信網安全術語集；各種網絡的安全框架和架構；等級保護的技術要求和檢測要求等標準。

技術標準主要包括:各種網絡的物理環(huán)境安全等級保護技術要求及檢測要求、各種網絡的安全技術要求和安全防護要求、各種業(yè)務應用的安全技術要求和安全防護要求、各種終端與設備的安全技術要求和測試方法。

圖4 通信行業(yè)信息安全標準框架構成圖Fig.4 Composition diagram of information security standards framework in communication industry

管理標準主要包括:網絡安全應急處理小組建設指南、應急與災備相關技術要求；各種網絡、通信機房和鋼塔桅等安全管理運行要求。

網絡信任標準主要包括:認證、授權、數(shù)字證書，計費等相關技術要求。

測評標準主要包括:各種系統(tǒng)、網絡、接口、硬件等的安全分析評估方法；各種系統(tǒng)、網絡、中心的安全防護檢測要求；各種系統(tǒng)、設備的安全測試方法。

加密和密碼技術類標準主要包括:視聽業(yè)務的保密系統(tǒng)，通信存儲介質（SSD）加密安全技術要求，擴展消息與表示協(xié)議（XMPP）端到端的簽名與對象加密，多應用eID載體商用密碼算法接口技術要求。

服務標準主要包括:網絡與信息安全服務資質評估準則、網絡與信息安全應急處理服務資質評估方法、移動通信差異化安全服務，網絡與信息安全風險評估服務能力評估方法和電信信息服務的安全準則。

3.3 國家電子政務外網安全標準現(xiàn)狀

國家電子政務外網安全標準主要由國家電子政務外網管理中心發(fā)布。

該中心在適用性、綜合性、先進性和開放性的原則下，建立了適用于政務外網建設、管理與應用需求的標準體系。

國家電子政務外網安全標準框架構成如圖5所示。

4 鐵路通信網安全技術標準體系框架

鐵路通信網的安全問題得到越來越多的關注，近年來，中國鐵路總公司相關部門也頒布了一些要求和規(guī)范，例如《鐵路數(shù)據(jù)通信網網管系統(tǒng)安全防護基本配置要求》運電通信函[2016]123號、《鐵路數(shù)據(jù)通信網管理系統(tǒng)功能需求暫行規(guī)范》鐵總運[2015]204號等，但這些要求和規(guī)范僅對鐵路通信網某一特定部分（如數(shù)據(jù)網網管）的安全進行規(guī)定，尚未建立系統(tǒng)完備的標準體系框架及標準規(guī)范鐵路通信網的網絡安全。

4.1 鐵路通信網安全需求

根據(jù)鐵路通信網目前的發(fā)展情況，鐵路通信網包括:

1）傳輸網、接入網、數(shù)據(jù)通信網等承載網；

2）GSM-R系統(tǒng)；

3）有線調度通信網、會議電視，鐵路綜合視頻監(jiān)控系統(tǒng)和專用應急通信等業(yè)務網；

4）同步網、綜合網絡管理等支撐網。

其中，承載網主要為鐵路運輸生產和經營管理等信息系統(tǒng)提供承載，為信息傳遞提供大容量的長途通路，并為鐵路系統(tǒng)各專業(yè)提供數(shù)據(jù)傳輸業(yè)務。GSM-R系統(tǒng)主要提供列車運行控制信息、行車指揮信息、行車安全信息、監(jiān)測檢測信息，運營管理信息傳送等數(shù)據(jù)通信業(yè)務；業(yè)務網主要提供鐵路調度電話業(yè)務、視頻會議、視頻監(jiān)控，應急通信等具體業(yè)務；支撐網主要負責鐵路頻率及時間同步以及通信系統(tǒng)的日常維護管理、故障處理、數(shù)據(jù)統(tǒng)計分析等工作。

圖5 國家電子政務外網信息安全標準框架構成圖Fig.5 Composition diagram of information security standards framework of national E-government network

根據(jù)鐵路通信網各網絡不同的功能需求，對網絡安全的要求也不同。要保障鐵路通信網的正常運行，承載網、業(yè)務網及支撐網均要求安全可靠，需對不同的網絡分別建立特有的安全標準。

4.2 技術標準體系框架建立原則

研究鐵路通信網絡安全技術標準體系的目的，是通過確立標準體系架構，明確鐵路通信網絡安全涵蓋的范圍，規(guī)劃、梳理鐵路通信網絡安全標準的工作內容，指導未來鐵路通信網絡安全標準化工作。

通信網絡安全標準體系架構的建立應遵循以下原則:

1）規(guī)范性:符合標準化工作的原則和規(guī)范；

2）全面性:覆蓋鐵路通信網絡安全標準的各個方面；

3）開放性:可根據(jù)技術、應用等的發(fā)展需要進行更新、完善；

4）先進性:適應未來通信網絡技術發(fā)展，滿足鐵路先進技術應用的需求。

4.3 技術標準體系框架

在借鑒國家、通信行業(yè)和電子政務外網安全標準體系框架的基礎上，考慮鐵路通信網安全的需求及標準的不同屬性，本文提出一個鐵路通信網絡安全標準體系框架的建議，從以下兩個維度展開，如圖6所示。

圖6 通信網絡安全標準體系架構Fig.6 Communication network security standards architecture

1）標準研究對象

標準研究對象維度遵循了通信網絡體系架構的一般層次劃分方式，可細分為業(yè)務應用安全標準，網絡/系統(tǒng)安全標準，設備及終端安全標準和物理安全標準。

業(yè)務應用安全指按《鐵路通信業(yè)務分類》（TB/T3130-2017）標準考慮的通信業(yè)務的安全。

網絡/系統(tǒng)安全包括移動網絡、數(shù)據(jù)網、傳輸網，移動通信、調度通信、鐵路綜合網管、鐵路綜合視頻監(jiān)控等網絡/系統(tǒng)的安全。

設備安全包括網絡設備及安全專用設備的安全，終端安全包括固定終端、移動終端的安全。

物理安全包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。

2）標準內容

標準內容結合通信網標準的分類，將通信網絡安全標準分為基礎標準、技術標準、測評標準，網絡信任標準和管理標準。

基礎標準是通信技術標準化體系中所需要用到的最基本標準和規(guī)范，包括安全術語、體系結構、框架，等級保護等。

技術標準指應用于通信系統(tǒng)的具體安全標準，包括物理安全、設備及終端、網絡/系統(tǒng)、業(yè)務應用，加密以及可信計算等。

測評標準是對通信網絡/系統(tǒng)、設備及安全產品等的安全水平進行評定的標準，包括等級保護、評估、物理環(huán)境、設備及終端，網絡/系統(tǒng)和業(yè)務應用測評等內容。

網絡信任標準是對身份進行認證，對權限進行授權限定等，包括標識與鑒別、授權與訪問控制，認證等。

管理標準指對通信技術安全性進行管理的標準規(guī)范，包括實體管理、安全檢查、應急與災備，運維安全管理等。

以標準內容為基礎，在每一類標準內容基礎上，考慮標準研究對象，形成一個標準體系框架建議，如圖7所示。

圖7 通信網絡安全標準體系框架建議Fig.7 Recommendation for communication network security standards framework

5 結束語

建立適合于鐵路通信網安全的技術標準體系框架，是維護鐵路通信網安全、保障網絡健康發(fā)展的基礎。本文從標準研究對象和標準維度兩個方面提出一個通信網絡安全技術標準體系框架的建議。隨著通信信息技術及應用的發(fā)展，鐵路通信網安全的技術標準體系框架也將不斷補充和完善。

[1]國家質量技術監(jiān)督局.GB 17859-1999計算機信息系統(tǒng) 安全保護等級劃分準則[S]北京:國家質量技術監(jiān)督局，1999.

[2]中華人民共和國工業(yè)和信息化部.YD/T 1746-2014 IP承載網安全防護要求[S].北京:中國人民郵電出版社，2014.

[3]國家鐵路局.TB/T 3130-2017 鐵路通信業(yè)務分類[S].北京:中國鐵道出版社，2017.

[4]國家電子政務外網管理中心辦公室.國家電子政務外網安全標準匯編（一）[M].北京:科學技術文獻出版社，2015

[5]李飛，吳春旺，王敏.信息安全理論與技術[M].西安:西安電子科技大學出版社，2016.

[6]William S.網絡安全基礎應用與標準[M].5版.北京:清華大學出版社，2014.

[7]Charles P P，Shari L P，Jonathan M.信息安全原理與技術[M].5版.北京:電子工業(yè)出版社,2016.

[8]喬楨.鐵路數(shù)據(jù)通信網網管系統(tǒng)安全防護的研究[J].鐵路通信信號工程技術，2017，14（4）:23-25.Qiao Zhen. Security Protection of Railway Data Communication Network Management System[J].Railway Signalling &Communication Engineering，2017，14（4）:23-25.

[9]Mohammed M.F.現(xiàn)代通信技術[M].北京:電子工業(yè)出版社，2014.