城軌云如何實現全方位安全防護？

截至目前，中國城市軌道交通建成里程已超過9000公里，占比全球四分之一以上，是當之無愧的城市軌道交通大國。智慧城軌步入發展黃金期，城軌云平臺如何豎起“銅墻鐵壁”，確保平臺自身及業務系統安全無虞？

8月11日，由深信服與RT軌道交通聯合發起的“城軌云安全探索與實踐”線上交流會在“約見軌道界”直播間如期舉行。

交流會群英薈萃，特邀中國城市軌道交通協會信息化專業委員會信息安全專項工作組專家婁永梅擔任主持嘉賓，南京地鐵集團有限公司信息中心主任研究員級高工、博士楊旭，深圳市地鐵集團有限公司信息管理中心高級經理劉曉溪，太原軌道交通集團有限公司機電設備部通信/云平臺主管工程師劉海川，中鐵第四勘察設計院集團有限公司通號院高級工程師王皓等嘉賓參與了分享交流。

圖片來源：RT軌道交通

諸位嘉賓針對城軌云網絡安全規劃和建設現狀，發展中的痛點，以及業務系統等保建設、生產系統安全統籌、終端安全防護、全流量安全監測、數據安全體系建設等各個方向進行了深入的探討和交流。

深信服交通事業部軌交業務部總監胡佳樂受邀出席本次活動，并以《智慧城軌云平臺網絡安全建設實踐》為題發表了主旨演講。

智慧城軌上云加速，萌生四大安全訴求

2016年，我國首次提出“云計算+城軌”的理念，城軌云作為智慧城軌發展的重要平臺，有效支撐了智慧城軌走向高質量發展。

近年來，隨著我國步入智慧城軌建設的關鍵期，網絡架構從封閉孤立走向開放融合，安全邊界消失，敏感資源集中，網絡安全保障系統的構建已成為我國發展智慧城軌的重要一環。

胡佳樂指出，城軌上云后的安全核心訴求主要體現在四個方面：

一是需要滿足合規要求，包括云平臺及相關業務系統需滿足國家相關法律法規、國家標準、行業標準；

二是要實現業務安全的全面保護，包括云平臺自身的安全性和各個業務系統的安全性；

三是云安統一管理，在一個界面上實現云和安全的統一管理；

四是實現高效便捷運維，能夠適應云環境資源彈性伸縮，實現云安全能力的“按需所取”。

網絡安全整體方案， 為全國多個城市實現城軌云全方位安全防護

針對城軌云四大安全訴求，胡佳樂向觀眾詳細介紹了深信服云平臺網絡安全建設思路以及實踐方案。

深信服圍繞“系統自保、平臺統保、邊界防護、等保達標、安全確保”二十字方針的總體策略，為用戶量身定制了城軌云平臺安全整體方案，并且已經在南京、天津、西安等8個城市軌道交通云平臺中實現了落地。

在平臺自保方面，為了滿足等級保護中關于計算環境的要求，深信服解決方案在平臺等保的相關建設規劃能夠充分確保云平臺自身的合規性。

其中，安全生產網按照三級等保進行設計和建設，內部管理網按照二級等保進行建設，外部服務網則按照系統自身的要求按照二級或者三級進行建設，“三網”所需要的等保組件均由運維管理平臺來實現統一管理。

而在系統自保方面，在安全建設上則要滿足不同的業務系統個性化的安全需求。借助深信服安全資源池，AFC、PIS、ISCS等各個網內的業務系統都可以通過portal向資源池申請個性化、定制化的安全能力，按需選擇安全防護組件，獲取所需的云安全服務，確保云化環境下各大業務系統的安全性。

打造線網級網絡安全運營中心，助力實現“安全確保”

為了真正實現“安全確保”，城軌云平臺除了加強安全建設之外，還需要站在業務的視角，關聯業務、資產、責任人員，提供持續迭代優化的網絡安全運營能力，才能真正擺脫掣肘，達成安全建設效果目標。

胡佳樂表示：“深信服為城軌行業量身定制的城軌云網絡安全運營平臺以1234整體架構，其中包括1個線網級安全運營中心，2套技術防護體系，NOCC級（超級、二級運營中心）-線路級-車站級分級安全建設體系3級架構，從而幫助用戶構建具備全面開放包容、貼合業務流程、安全能力專業、云化平滑延伸4大優勢的新型安全運營中心。

新型安全運營中心通過網段+終端綜合檢測分析平臺，能夠從中心到車站中的安全生產網、內部管理網、外部服務網、運維管理網等每一項邊界，以及從承載城軌業務的物理機、虛擬機、容器等多種終端，進行威脅數據的采集分析，可削減90%無效告警數量，并通過通過自動化多源數據取證分析，完成安全事件自動響應處置閉環，大大降低城軌安全運營人員工作量。”

在交流會的最后，中國城市軌道交通協會信息化專業委員會信息安全專項工作組專家婁永梅總結道：“隨著城軌云的建設逐步深化，我國城軌行業的安全態勢將會徹底改變。行業要從頂層設計出發，做好網絡安全規劃，建立安全管理隊伍，構建安全運營中心。這樣才有利于我國智慧城軌長遠可持續發展，希望軌交行業從業者深入貫徹執行‘系統自保、平臺統保、邊界防護、等保達標、安全確保’的策略，構建完善的城軌云網絡安全保障體系，為智慧城軌安全及行業高質量發展保駕護航。”