ENISA报告 | 铁路网络安全与风险管理最佳实践

2021年11月25日，欧洲网络与信息安全局(ENISA)发布了《铁路网络安全——网络风险管理的良好实践》报告，旨在为适用于铁路部门的网络风险管理方法提供参考。具体来说，该报告为铁路企业和基础设施管理人员提供了选择、组合或调整网络风险管理方法以满足其组织需求的办法。报告以2020年ENISA《铁路网络安全》报告为基础，这一报告评估了铁路部门网络安全措施的实施水平。本报告提供了可采取行动的指导方针，列出了铁路网络常见风险，并概述了各个组织易于采用的良好实践。

摘译 |韩昱/赛博研究院实习研究员

来源 |ENISA

网络风险管理

信息安全风险管理流程旨在协调活动以控制组织的风险。它包括背景建立、风险评估、风险处理、风险接受、风险沟通以及风险监测和审查。

风险管理步骤

1.背景建立：第一步是建立外部和内部背景。它包括设置信息安全风险管理所需的基本标准（方法、风险评估标准、影响标准和风险接受标准），定义范围和边界（确保在风险评估中考虑到所有相关资产），并建立适当的组织来管理信息安全风险。

2.风险评估：第二步是启动风险评估，即量化或定性描述风险，并使管理人员能够根据其感知的严重性或其他既定标准对风险进行优先性排序。风险评估包括三项不同的任务：

• 风险分析： 了解风险的性质并确定风险水平。风险分析方法可以是定性的、定量的，也可以是两者的结合，取决于具体情况。
• 风险评估： 将风险水平与风险评估标准和风险接受标准进行比较。目的是生成一份风险优先级列表。

3.风险处理：第三步是风险处理，包括定义风险控制清单，然后定义风险处理计划。

4.风险接受：第四步是接受风险的决定和决定的责任。建立一份接受的风险清单，列出不符合组织正常风险接受标准风险的理由。

5.风险沟通：第五步是风险沟通。决策者和其他利益相关者之间应交换和共享有关风险的信息。

网络相关威胁

在铁路部门，OT系统受损可能会影响乘客安全、导致列车事故或中断交通。OT系统通常比IT系统更容易受到攻击，部分原因是OT人员缺乏网络安全意识，而OT系统使用周期长，其在设计之初大多没有考虑网络安全，因此也存在遗留安全问题。此外，与IT系统相比，其控制和分散程度较低。虽然过去OT系统通常与互联网和其他IT网络隔离，但现在其与传统IT系统的互联程度越来越高，这使得它们更容易受到网络威胁。

首先，RUs和IMs需要确定 其资产和服务面临哪些网络威胁。一个常见的问题是，是否应将灾害、物理攻击或停机等威胁包括在内，或视为“网络”生态系统所特有的威胁。大多数利益相关者都选择将其包括在内，因为它们会影响信息安全。如果未包括这些风险，则应在公司的其他风险管理或业务连续性管理流程中考虑这些风险，并且必须在制定威胁分类法时达成一致。

其次，铁路部门面临的另一个挑战是评估威胁情景的可能性。人们需要考虑攻击所需的能力水平、目标资产的曝光可能性和攻击者的意图，所有这些都是RUs和IMS可能难以准确评估的信息。

最后，铁路部门还面临着与供应链相关的安全挑战。与供应商相关的安全风险（例如，远程访问铁路网络/系统）往往很少被涵盖，因为供应商环境的异质性和广泛性，也因为利益相关者对其供应商的网络安全水平及其可能带来的网络风险没有太多控制权。可以通过对所有供应商进行清点、根据关键性对其进行分类（例如，他们是否能够访问关键系统、系统之间是否存在强大的互联、他们是否操纵敏感数据等）以及评估最关键供应商的网络安全成熟度作为起点来进行加强。

威胁分类法

铁路网络/系统面临的威胁分类

铁路网络风险场景

网络风险场景示例可以帮助铁路利益相关者进行风险分析。它们展示了基于该部门的已知事件和收到的反馈，如何将资产和威胁分类法结合使用。每个场景都与一系列安全措施相关联，这些措施将降低该场景发生的风险。

网络风险场景示例包括：

场景1：危及信号系统或列车自动控制系统，导致列车事故

场景2：破坏交通监控系统，导致列车停车

场景3：勒索软件攻击，导致活动中断

场景4：从预约管理系统窃取客户的个人数据

场景5：因不安全的、暴露的数据库而导致敏感数据泄漏

场景6：分布式拒绝服务（DDoS）攻击，阻止旅行者购买机票

场景7：灾难性事件破坏数据中心设施，导致IT服务中断

网络安全措施

根据风险评估标准确定风险及其优先级后，应通过风险处理计划对其进行处理。 通常有以下四种风险处理方式：风险修正、风险保留、风险规避和风险分担。

1.风险修正：通过引入、移除或改变控制措施来修正风险水平，以便剩余风险可以重新被评估为可接受等级。

2.风险保留：如果风险水平符合风险接受标准，则在不采取进一步行动的情况下接受风险。

3.风险规避：避免增加特定风险的活动或情况。

4.风险分担：与能够最有效地管理特定风险的另一方共同分担风险。

正如ISO 27005标准所述，必须根据风险评估结果、实施这些选项的预期成本以及预期收益来进行选择。在流程结束时，不应留下超过风险接受标准的风险。为了将确定的风险降低到可接受的水平，应确定并优先考虑适当的安全措施。可以使用最佳实践在内部定义安全措施，并根据信息系统制定补救计划。通常的做法是使用安全框架中发布的已定义的安全措施，而这些安全框架通常包含一系列控制或安全需求。

结论

欧洲RUs和IMs结合使用最佳实践、方法和标准为其组织实施网络风险管理。本报告可以帮助铁路企业和基础设施管理人员努力应用这些实践，例如可用的资产和威胁分类、综合威胁场景和网络风险缓解措施。

报告还强调了在应用这些方法时所面临的挑战。 最重要的是，铁路组织缺乏统一的网络风险管理方法，无法统一涵盖IT和OT。

IT与OT风险管理方法

铁路行业的IT和OT之间的区分越来越困难，网络风险管理的离散方法和分类使得这个问题更具挑战性。在许多情况下，确定哪种方法更适合，设备是否可以被视为IT或OT，或者应该采用哪种安全措施和哪种标准，可能是一个复杂的过程。 在网络风险管理方面采取更加结构化和统一的方法将有助于行业协调，从而促进铁路生态系统不同实体之间的风险讨论，还可以促进与供应行业的更多合作。

更好地协调、调整良好做法

未来的工作可能包括进一步调整特定部门的分类法，并就良好实践的应用提供更多指导。在可能的情况下，可以追求进一步的标准化，这也是铁路供应行业提出的一项要求，该行业主张在欧盟层面实施更多的认证计划。重大的行业挑战依然存在，包括供应链的网络风险管理。 在相同的网络风险管理要求下，可以通过涵盖整个铁路生态系统的监管方法来解决这一问题。目前，铁路供应链的关键要素（IT和OT）都不属于同一欧洲监管框架。

保持铁路系统和网络风险评估处于最新状态

该行业的另一个重要问题是遗留系统过多，这在管理网络风险时增加了额外的难度。目前，无法提供相关建议来解决铁路部门遗留系统的网络安全问题。有必要让铁路行业参与这项工作。此外，即使是新开发的系统，也需要确保风险评估的结果保持最新，使风险能够得到持续监测，保障安全水平。

「国内+国际」隐私保护人员权威认证培训

赛博研究院是国内个人信息保护专业人员权威认证品牌 （CISP-PIP）的官方指定授权培训机构，BSI中国是国际隐私专业协会（ IAPP）独家授权的中国区官方培训合作伙伴，双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作，共同推进数据隐私专业人才培养，提升各类企业数据安全合规能力。

CYBER RESEARCH INSTITUTE