當(dāng)?shù)貢r(shí)間11月25日，歐盟網(wǎng)絡(luò)和信息安全局-ENISA發(fā)布了一份題為《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的報(bào)告，詳細(xì)介紹了鐵路組織網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的最佳實(shí)踐。ENISA說(shuō)，歐洲鐵路企業(yè)（RUs）和基礎(chǔ)設(shè)施管理人員（IMs）需要以系統(tǒng)的方式應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)，這是其風(fēng)險(xiǎn)管理過(guò)程的一部分。自2016年網(wǎng)絡(luò)和信息安全（NIS）指令生效以來(lái)，這一需求變得更加迫切。該報(bào)告的目的是為歐洲RUs和IMs提供關(guān)于如何評(píng)估和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)的適用方法和實(shí)例。

　　ENISA和歐盟鐵路局于2021年3月組織了一場(chǎng)關(guān)于鐵路網(wǎng)絡(luò)安全的虛擬會(huì)議。會(huì)議持續(xù)了兩天多時(shí)間，聚集了來(lái)自鐵路組織、政策、行業(yè)、研究、標(biāo)準(zhǔn)化和認(rèn)證的600多名專家。參與者投票的最熱門話題之一是鐵路網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，這也是ENISA進(jìn)行最新研究的動(dòng)機(jī)。提出的最佳實(shí)踐正是基于鐵路利益相關(guān)者的調(diào)研反饋。它們包括基于行業(yè)標(biāo)準(zhǔn)和良好實(shí)踐的工具，如資產(chǎn)和服務(wù)列表、網(wǎng)絡(luò)威脅場(chǎng)景和適用的網(wǎng)絡(luò)安全措施。這些資源可作為鐵路公司網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的基礎(chǔ)。因此，它們旨在成為一個(gè)參考點(diǎn)，促進(jìn)整個(gè)歐盟鐵路利益相關(guān)者之間的合作，同時(shí)提高對(duì)相關(guān)威脅的認(rèn)識(shí)。

　　報(bào)告指出，鐵路信息技術(shù)（IT）和運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)的現(xiàn)有風(fēng)險(xiǎn)管理方法各不相同。對(duì)于鐵路IT系統(tǒng)的風(fēng)險(xiǎn)管理，引用最多的方法是國(guó)家一級(jí)的NIS指令、ISO 2700x系列標(biāo)準(zhǔn)和NIST網(wǎng)絡(luò)安全框架的要求。

　　圖1：風(fēng)險(xiǎn)管理的六個(gè)步驟

　　對(duì)于OT系統(tǒng)，引用的框架是ISA/IEC 62443, CLC/TS 50701，以及Shift2Rail項(xiàng)目X2Rail-3的建議，或CYRail項(xiàng)目的建議。

　　這些標(biāo)準(zhǔn)或方法通常以互補(bǔ)的方式使用，以充分解決IT和OT系統(tǒng)的問題。IT系統(tǒng)通常采用更廣泛、更通用的方法（如ISO 2700x或NIS指令）進(jìn)行評(píng)估，而OT系統(tǒng)需要為列車系統(tǒng)設(shè)計(jì)的特定方法和框架。

　　ENISA表示，目前還沒有統(tǒng)一的鐵路網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法。參與這項(xiàng)研究的利益攸關(guān)方表示，他們結(jié)合上述國(guó)際和歐洲方法來(lái)解決風(fēng)險(xiǎn)管理問題，然后用國(guó)家框架和方法對(duì)其進(jìn)行補(bǔ)充。

　　對(duì)于RUs和IMs來(lái)說(shuō)，管理網(wǎng)絡(luò)風(fēng)險(xiǎn)，確定需要保護(hù)的內(nèi)容至關(guān)重要。該報(bào)告強(qiáng)調(diào)了五個(gè)關(guān)鍵領(lǐng)域：涉眾提供的服務(wù)、支持這些服務(wù)的設(shè)備（技術(shù)系統(tǒng)）、用于提供這些服務(wù)的物理設(shè)備、維護(hù)或使用這些服務(wù)的人員以及所使用的數(shù)據(jù)。

　　該報(bào)告還審查了可用的威脅分類，并提供了一個(gè)可用作基礎(chǔ)的威脅列表。報(bào)告將鐵路系統(tǒng)面臨的威脅分為五個(gè)大類，即災(zāi)難（自然環(huán)境），信息或IT資產(chǎn)的意外損壞/丟失物理攻擊（故意/故意），失敗/故障，中斷，惡意活動(dòng)/濫用。每個(gè)威脅屬于一個(gè)類別，適用于一個(gè)或多個(gè)鐵路資產(chǎn)。這種分類已在圖2中以圖形形式表示，附錄B中對(duì)這些威脅進(jìn)行了更詳細(xì)的描述。

　　圖2 鐵路系統(tǒng)面臨的威脅分類

　　報(bào)告還分析了網(wǎng)絡(luò)風(fēng)險(xiǎn)場(chǎng)景的實(shí)例，有助于鐵路利益相關(guān)者進(jìn)行風(fēng)險(xiǎn)分析。它們展示了如何將資產(chǎn)和威脅分類一起使用，并基于部門的已知事件和研討會(huì)期間收到的反饋。每個(gè)場(chǎng)景都與相關(guān)的安全措施列表相關(guān)聯(lián)。該報(bào)告包括來(lái)自NIS指令的網(wǎng)絡(luò)安全措施、當(dāng)前標(biāo)準(zhǔn)（ISO/IEC 27002, IEC 62443）和良好實(shí)踐（NIST的網(wǎng)絡(luò)安全框架）。報(bào)告列出了七個(gè)典型的威脅場(chǎng)景：

　　場(chǎng)景1:破壞信號(hào)系統(tǒng)或列車自動(dòng)控制系統(tǒng)，導(dǎo)致列車發(fā)生事故

　　場(chǎng)景二：破壞交通監(jiān)控系統(tǒng)，導(dǎo)致列車交通中斷

　　場(chǎng)景3:勒索軟件攻擊，導(dǎo)致運(yùn)營(yíng)中斷

　　場(chǎng)景4:從票務(wù)管理系統(tǒng)竊取客戶的個(gè)人數(shù)據(jù)

　　場(chǎng)景5:由于不安全、暴露的數(shù)據(jù)庫(kù)導(dǎo)致敏感數(shù)據(jù)泄漏

　　場(chǎng)景六：DDoS （Distributed Denial of Service）攻擊，阻止旅客購(gòu)票

　　場(chǎng)景7:災(zāi)難性事件破壞數(shù)據(jù)中心設(shè)施，導(dǎo)致IT服務(wù)中斷

　　在第五章風(fēng)險(xiǎn)應(yīng)對(duì)措施中，給出了相應(yīng)的風(fēng)險(xiǎn)處置模型框架。一旦根據(jù)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)確定了風(fēng)險(xiǎn)并對(duì)導(dǎo)致這些風(fēng)險(xiǎn)的事件場(chǎng)景進(jìn)行了優(yōu)先級(jí)排序，就應(yīng)該通過(guò)風(fēng)險(xiǎn)處理計(jì)劃對(duì)其進(jìn)行處理。關(guān)于風(fēng)險(xiǎn)處理，人們通常提出四種選擇：風(fēng)險(xiǎn)調(diào)整、風(fēng)險(xiǎn)保留、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)分擔(dān)。

　　風(fēng)險(xiǎn)修改：通過(guò)引入、移除或改變控制來(lái)修改風(fēng)險(xiǎn)的級(jí)別，以便重新評(píng)估剩余風(fēng)險(xiǎn)為可接受的

　　風(fēng)險(xiǎn)自留：在風(fēng)險(xiǎn)水平符合風(fēng)險(xiǎn)接受準(zhǔn)則的情況下，不采取進(jìn)一步行動(dòng)而接受風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)規(guī)避：就是避免增加特定風(fēng)險(xiǎn)的活動(dòng)或情況

　　風(fēng)險(xiǎn)分擔(dān)：就是與能夠最有效地管理某一特定風(fēng)險(xiǎn)的另一方共同承擔(dān)風(fēng)險(xiǎn)

　　報(bào)告的結(jié)論部分認(rèn)為，必須強(qiáng)調(diào)在應(yīng)用這些方法時(shí)所面臨的挑戰(zhàn)。最重要的是，鐵路組織缺乏一致的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法，以統(tǒng)一的方式涵蓋IT和OT。

　　IT與OT風(fēng)險(xiǎn)管理方法。在鐵路部門區(qū)分IT和OT越來(lái)越困難，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的離散方法和分類使得這個(gè)問題更具挑戰(zhàn)性。在許多情況下，要確定哪種方法更適合，設(shè)備是否可以被認(rèn)為是IT或OT，或者應(yīng)該采用哪種安全措施和標(biāo)準(zhǔn)，可能是一個(gè)復(fù)雜的過(guò)程。在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方面擁有一個(gè)更加結(jié)構(gòu)化和統(tǒng)一的方法，將有助于該行業(yè)的協(xié)調(diào)，從而促進(jìn)鐵路生態(tài)系統(tǒng)不同實(shí)體之間的風(fēng)險(xiǎn)討論。它還可以與該部門的供應(yīng)行業(yè)進(jìn)行更多的合作。

　　更好地協(xié)同和協(xié)調(diào)最佳實(shí)踐。未來(lái)的工作可以包括進(jìn)一步協(xié)調(diào)具體行業(yè)分類，并就最佳實(shí)踐的應(yīng)用提供更多指導(dǎo)。在任何可能的情況下，進(jìn)一步的標(biāo)準(zhǔn)化都可以進(jìn)行，因?yàn)檫@也是鐵路供應(yīng)行業(yè)的要求，該行業(yè)主張?jiān)跉W盟層面建立更多的認(rèn)證機(jī)制。重要的行業(yè)挑戰(zhàn)仍然存在，包括供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理。這可以通過(guò)在相同的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理要求下涵蓋整個(gè)鐵路生態(tài)系統(tǒng)的監(jiān)管方法加以補(bǔ)救。目前，鐵路供應(yīng)鏈的關(guān)鍵要素，無(wú)論是IT還是OT，都不屬于同一個(gè)歐洲監(jiān)管框架。

　　更新鐵路系統(tǒng)和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。該行業(yè)特有的另一個(gè)重大問題是遺留系統(tǒng)過(guò)多，這給管理網(wǎng)絡(luò)風(fēng)險(xiǎn)增加了額外的難度。目前，還不可能提供相關(guān)建議來(lái)解決鐵路部門遺留系統(tǒng)的網(wǎng)絡(luò)安全問題。有必要讓鐵路工業(yè)參與這樣的工作。此外，即使是新開發(fā)的系統(tǒng)，也需要確保風(fēng)險(xiǎn)評(píng)估的結(jié)果保持最新，持續(xù)監(jiān)控風(fēng)險(xiǎn)，并且安全級(jí)別保持足夠合理。積極面對(duì)鐵路系統(tǒng)面臨的最新威脅可能是朝著這個(gè)方向邁出的一步。