當(dāng)?shù)貢r間11月25日，歐盟網(wǎng)絡(luò)和信息安全局-ENISA發(fā)布了一份題為《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的報告，詳細(xì)介紹了鐵路組織網(wǎng)絡(luò)風(fēng)險管理的最佳實踐。ENISA說，歐洲鐵路企業(yè)（RUs）和基礎(chǔ)設(shè)施管理人員（IMs）需要以系統(tǒng)的方式應(yīng)對網(wǎng)絡(luò)風(fēng)險，這是其風(fēng)險管理過程的一部分。自2016年網(wǎng)絡(luò)和信息安全（NIS）指令生效以來，這一需求變得更加迫切。該報告的目的是為歐洲RUs和IMs提供關(guān)于如何評估和減輕網(wǎng)絡(luò)風(fēng)險的適用方法和實例。

　　ENISA和歐盟鐵路局于2021年3月組織了一場關(guān)于鐵路網(wǎng)絡(luò)安全的虛擬會議。會議持續(xù)了兩天多時間，聚集了來自鐵路組織、政策、行業(yè)、研究、標(biāo)準(zhǔn)化和認(rèn)證的600多名專家。參與者投票的最熱門話題之一是鐵路網(wǎng)絡(luò)風(fēng)險管理，這也是ENISA進行最新研究的動機。提出的最佳實踐正是基于鐵路利益相關(guān)者的調(diào)研反饋。它們包括基于行業(yè)標(biāo)準(zhǔn)和良好實踐的工具，如資產(chǎn)和服務(wù)列表、網(wǎng)絡(luò)威脅場景和適用的網(wǎng)絡(luò)安全措施。這些資源可作為鐵路公司網(wǎng)絡(luò)風(fēng)險管理的基礎(chǔ)。因此，它們旨在成為一個參考點，促進整個歐盟鐵路利益相關(guān)者之間的合作，同時提高對相關(guān)威脅的認(rèn)識。

　　報告指出，鐵路信息技術(shù)（IT）和運營技術(shù)（OT）系統(tǒng)的現(xiàn)有風(fēng)險管理方法各不相同。對于鐵路IT系統(tǒng)的風(fēng)險管理，引用最多的方法是國家一級的NIS指令、ISO 2700x系列標(biāo)準(zhǔn)和NIST網(wǎng)絡(luò)安全框架的要求。

　　圖1：風(fēng)險管理的六個步驟

　　對于OT系統(tǒng)，引用的框架是ISA/IEC 62443, CLC/TS 50701，以及Shift2Rail項目X2Rail-3的建議，或CYRail項目的建議。

　　這些標(biāo)準(zhǔn)或方法通常以互補的方式使用，以充分解決IT和OT系統(tǒng)的問題。IT系統(tǒng)通常采用更廣泛、更通用的方法（如ISO 2700x或NIS指令）進行評估，而OT系統(tǒng)需要為列車系統(tǒng)設(shè)計的特定方法和框架。

　　ENISA表示，目前還沒有統(tǒng)一的鐵路網(wǎng)絡(luò)風(fēng)險管理方法。參與這項研究的利益攸關(guān)方表示，他們結(jié)合上述國際和歐洲方法來解決風(fēng)險管理問題，然后用國家框架和方法對其進行補充。

　　對于RUs和IMs來說，管理網(wǎng)絡(luò)風(fēng)險，確定需要保護的內(nèi)容至關(guān)重要。該報告強調(diào)了五個關(guān)鍵領(lǐng)域：涉眾提供的服務(wù)、支持這些服務(wù)的設(shè)備（技術(shù)系統(tǒng)）、用于提供這些服務(wù)的物理設(shè)備、維護或使用這些服務(wù)的人員以及所使用的數(shù)據(jù)。

　　該報告還審查了可用的威脅分類，并提供了一個可用作基礎(chǔ)的威脅列表。報告將鐵路系統(tǒng)面臨的威脅分為五個大類，即災(zāi)難（自然環(huán)境），信息或IT資產(chǎn)的意外損壞/丟失物理攻擊（故意/故意），失敗/故障，中斷，惡意活動/濫用。每個威脅屬于一個類別，適用于一個或多個鐵路資產(chǎn)。這種分類已在圖2中以圖形形式表示，附錄B中對這些威脅進行了更詳細(xì)的描述。

　　圖2 鐵路系統(tǒng)面臨的威脅分類

　　報告還分析了網(wǎng)絡(luò)風(fēng)險場景的實例，有助于鐵路利益相關(guān)者進行風(fēng)險分析。它們展示了如何將資產(chǎn)和威脅分類一起使用，并基于部門的已知事件和研討會期間收到的反饋。每個場景都與相關(guān)的安全措施列表相關(guān)聯(lián)。該報告包括來自NIS指令的網(wǎng)絡(luò)安全措施、當(dāng)前標(biāo)準(zhǔn)（ISO/IEC 27002, IEC 62443）和良好實踐（NIST的網(wǎng)絡(luò)安全框架）。報告列出了七個典型的威脅場景：

　　場景1:破壞信號系統(tǒng)或列車自動控制系統(tǒng)，導(dǎo)致列車發(fā)生事故

　　場景二：破壞交通監(jiān)控系統(tǒng)，導(dǎo)致列車交通中斷

　　場景3:勒索軟件攻擊，導(dǎo)致運營中斷

　　場景4:從票務(wù)管理系統(tǒng)竊取客戶的個人數(shù)據(jù)

　　場景5:由于不安全、暴露的數(shù)據(jù)庫導(dǎo)致敏感數(shù)據(jù)泄漏

　　場景六：DDoS （Distributed Denial of Service）攻擊，阻止旅客購票

　　場景7:災(zāi)難性事件破壞數(shù)據(jù)中心設(shè)施，導(dǎo)致IT服務(wù)中斷

　　在第五章風(fēng)險應(yīng)對措施中，給出了相應(yīng)的風(fēng)險處置模型框架。一旦根據(jù)風(fēng)險評估標(biāo)準(zhǔn)確定了風(fēng)險并對導(dǎo)致這些風(fēng)險的事件場景進行了優(yōu)先級排序，就應(yīng)該通過風(fēng)險處理計劃對其進行處理。關(guān)于風(fēng)險處理，人們通常提出四種選擇：風(fēng)險調(diào)整、風(fēng)險保留、風(fēng)險規(guī)避和風(fēng)險分擔(dān)。

　　風(fēng)險修改：通過引入、移除或改變控制來修改風(fēng)險的級別，以便重新評估剩余風(fēng)險為可接受的

　　風(fēng)險自留：在風(fēng)險水平符合風(fēng)險接受準(zhǔn)則的情況下，不采取進一步行動而接受風(fēng)險

　　風(fēng)險規(guī)避：就是避免增加特定風(fēng)險的活動或情況

　　風(fēng)險分擔(dān)：就是與能夠最有效地管理某一特定風(fēng)險的另一方共同承擔(dān)風(fēng)險

　　報告的結(jié)論部分認(rèn)為，必須強調(diào)在應(yīng)用這些方法時所面臨的挑戰(zhàn)。最重要的是，鐵路組織缺乏一致的網(wǎng)絡(luò)風(fēng)險管理方法，以統(tǒng)一的方式涵蓋IT和OT。

　　IT與OT風(fēng)險管理方法。在鐵路部門區(qū)分IT和OT越來越困難，網(wǎng)絡(luò)風(fēng)險管理的離散方法和分類使得這個問題更具挑戰(zhàn)性。在許多情況下，要確定哪種方法更適合，設(shè)備是否可以被認(rèn)為是IT或OT，或者應(yīng)該采用哪種安全措施和標(biāo)準(zhǔn)，可能是一個復(fù)雜的過程。在網(wǎng)絡(luò)風(fēng)險管理方面擁有一個更加結(jié)構(gòu)化和統(tǒng)一的方法，將有助于該行業(yè)的協(xié)調(diào)，從而促進鐵路生態(tài)系統(tǒng)不同實體之間的風(fēng)險討論。它還可以與該部門的供應(yīng)行業(yè)進行更多的合作。

　　更好地協(xié)同和協(xié)調(diào)最佳實踐。未來的工作可以包括進一步協(xié)調(diào)具體行業(yè)分類，并就最佳實踐的應(yīng)用提供更多指導(dǎo)。在任何可能的情況下，進一步的標(biāo)準(zhǔn)化都可以進行，因為這也是鐵路供應(yīng)行業(yè)的要求，該行業(yè)主張在歐盟層面建立更多的認(rèn)證機制。重要的行業(yè)挑戰(zhàn)仍然存在，包括供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險管理。這可以通過在相同的網(wǎng)絡(luò)風(fēng)險管理要求下涵蓋整個鐵路生態(tài)系統(tǒng)的監(jiān)管方法加以補救。目前，鐵路供應(yīng)鏈的關(guān)鍵要素，無論是IT還是OT，都不屬于同一個歐洲監(jiān)管框架。

　　更新鐵路系統(tǒng)和網(wǎng)絡(luò)風(fēng)險評估。該行業(yè)特有的另一個重大問題是遺留系統(tǒng)過多，這給管理網(wǎng)絡(luò)風(fēng)險增加了額外的難度。目前，還不可能提供相關(guān)建議來解決鐵路部門遺留系統(tǒng)的網(wǎng)絡(luò)安全問題。有必要讓鐵路工業(yè)參與這樣的工作。此外，即使是新開發(fā)的系統(tǒng)，也需要確保風(fēng)險評估的結(jié)果保持最新，持續(xù)監(jiān)控風(fēng)險，并且安全級別保持足夠合理。積極面對鐵路系統(tǒng)面臨的最新威脅可能是朝著這個方向邁出的一步。