城軌交通網絡安全系列（三） | 城軌云安全思考與實踐

一 背景

中國城市軌道交通協會于2020年3月發布《中國城市軌道交通智慧城市軌道發展綱要》（以下簡稱《綱要》）。《綱要》作為城市軌道交通行業制訂智慧城市軌道相關技術政策、技術規范、 發展規劃和實施計劃的指導性文件，其出臺發布將有序推進智慧城市軌道建設，使之迎來一個嶄新的歷史發展機遇。

依據《綱要》，中國城市軌道交通協會隨后發布了《智慧城軌信息技術架構和信息安全規范》系列標準T/CAMET 11001.X-2019和《城市軌道交通云計算平臺網絡安全技術規范》T/CAMET 11005-2020。標準規范了城市軌道交通云的架構和安全防護范圍和措施，為保障城市軌道網絡安全提供指導和參考。

標準對城市軌道交通云劃分為三張網和一個區域，安全生產網、內部管理網、外部服務網和獨立的管理網，并提出“系統自保、平臺統保、邊界防護、等保達標、安全確保”二十字方針。要求安全生產網應按照等保三級建設，內部管理網應按照等保二級建設，外部服務網按各應用所需的級別建設，并確保達到相應等級的實際安全保護效果。

二 城市軌道交通云安全建設思考

城市軌道交通云在建設時，網絡安全防護應在落實標準的要求上持續改進。

1、某些城市建設城市軌道交通云，在外部服務網設置了DMZ區。該區域是為城市軌道企業員工提供對外遠程服務平臺，方便員工辦公。與為社會群眾提供服務的業務平臺（如iAFC、企業門戶網站等）共用互聯網出口。這種設計存在攻擊任何一點，整個外部、內部的互聯網服務都將中斷。同時，在實踐中了解到，業主的智能樓宇有獨立的互聯網出口，方便員工上網。因此，建議將DMZ區移至智能樓宇內，將工作數據流與服務數據流分離，分別進行防護。

2、標準中對三張網的安全防護能力沒有區分。應根據每個網的業務重要性、數據特點以及業主關注點進行有區別的防護能力設計和策略。如外部服務網應以防范互聯網攻擊為主，保障對外服務，并增強云主機內合規、審計、防篡改等安全能力。內部管理網應以數據安全為核心，加強安全能力建設。在數據的采集、交換、共享和開放等環節，及時發現和解決問題。利用大數據分析能力，進行敏感數據行為分析，實時監控和呈現數據安全態勢，掌握敏感數據分布、流轉和風險的狀態和發展趨勢。安全生產網應兼顧工業控制安全和傳統信息系統安全，構建傳統信息安全、云計算安全、工業控制安全的軟硬一體綜合安全能力。

3、城市軌道網絡是覆蓋整個城市的大型城域網，在城市軌道企業現有人力的情況下，難以保證全域網絡安全事件的及時定位。城市軌道交通云的建設為實現全域網絡安全管控提供了基礎支撐。應利用可視化技術，擴展現實技術、數字孿生技術、大數據技術等建立城市軌道網絡空間，從整體安全態勢展現和預警，實現跨部門跨領域的安全決策支撐、整體安全防護、安全事件管理和應急聯動指揮。

三 案例分享

某市地鐵集團信息系統基于軌道交通云平臺架構進行建設，通過虛擬化技術、分布式存儲技術、云資源管理技術、信息安全技術等，搭建內部管理網內的適應地鐵自動化辦公業務基礎云平臺，實現計算、存儲、網絡、安全資源按需分配、統一管理和集中監測，提高資源利用率，便于業務快速部署和擴展。

綠盟云安全集中管理系統通過統一的運維門戶對安全資源池的資源進行管理、分配、服務編排；可以掌握安全資源池的運行狀態，使用率；配合虛擬化技術形成安全能力彈性擴展；可對資源池內物理安全設備、虛擬化安全設備提供豐富的拓撲、設備配置、故障告警、性能、安全、報表等網絡管理功能，從而實現了對云內所有分布的安全資源進行統一的管理，統一的運行監控。安全資源池包含了虛擬化類型安全能力有：vNF、vIPS、vWAF、vIDS、vSAS、vRSAS、vWVSS、vSAS-H、vLAS、vDAS；軟件類型安全能力有：EDR、防病毒、主機防篡改。

該項目涉及綠盟態勢感知、安全資源池、防火墻、上網行為管理、負載均衡設備、終端安全、漏洞掃描等安全產品。