◆謝正媛 劉霞 李雅卓

行業(yè)與應(yīng)用安全

城軌云平臺網(wǎng)絡(luò)安全方案淺析

◆謝正媛 劉霞 李雅卓通訊作者

（江漢大學(xué)智能制造學(xué)院 湖北 430074）

本文針對現(xiàn)階段行業(yè)內(nèi)城市軌道交通云平臺網(wǎng)絡(luò)安全的現(xiàn)狀做了描述，介紹了軌道交通團體規(guī)范中對城軌云平臺網(wǎng)絡(luò)域之間安全隔離方案的技術(shù)要求，調(diào)研并列舉了現(xiàn)有典型城軌云項目網(wǎng)絡(luò)安全的措施，論述了網(wǎng)閘的技術(shù)缺陷，提出了基于標(biāo)記強制訪問控制技術(shù)的網(wǎng)間物理隔離技術(shù)方案，并對方案進行了比選，給出推薦結(jié)論，展望了城軌云平臺網(wǎng)絡(luò)安全的發(fā)展方向。

城軌云平臺；安全生產(chǎn)網(wǎng)；內(nèi)部管理網(wǎng)；外部服務(wù)網(wǎng)；邊界安全

1 項目背景

根據(jù)中國城市軌道交通協(xié)會2020年3月發(fā)布的《中國城市軌道交通智慧城軌發(fā)展綱要》，要求2025 年目標(biāo)：新建城軌交通城市全部采用城軌云；已經(jīng)建成城軌交通的城市在新建線路采用城軌云及在既有線設(shè)備更新升級時移入城軌云與大數(shù)據(jù)平臺。而城軌云平臺按各應(yīng)用系統(tǒng)的總體需求，為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)三個域分配計算、存儲、網(wǎng)絡(luò)、安全等資源池。因此城軌云平臺的網(wǎng)絡(luò)域之間的安全隔離技術(shù)顯得尤其重要。城軌云平臺網(wǎng)絡(luò)安全應(yīng)遵循“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標(biāo)、安全確保”的策略，以網(wǎng)絡(luò)安全等級保護為基礎(chǔ)，分級分類建立應(yīng)用系統(tǒng)的安全保護措施。

2 規(guī)范對城軌云平臺網(wǎng)絡(luò)域之間安全隔離技術(shù)要求

安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的技術(shù)要求

根據(jù)《智慧城市軌道交通信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范》第三部分網(wǎng)絡(luò)安全相關(guān)要求，城軌云平臺安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)邊界相關(guān)技術(shù)要求應(yīng)符合以下內(nèi)容：

（1）應(yīng)能檢測并阻止安全生產(chǎn)網(wǎng)與外部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)直接互聯(lián)。

（2）內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間應(yīng)采用邊界防護設(shè)備，啟用IPS功能，并應(yīng)采用最小授權(quán)原則配置訪問控制策略。

圖1 城軌云平臺基本安全架構(gòu)

根據(jù)規(guī)范要求，部署邊界防護設(shè)備及邊界準入禁止安全生產(chǎn)網(wǎng)與外部服務(wù)網(wǎng)、互聯(lián)網(wǎng)等直接互聯(lián)，通過內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間部署標(biāo)記強訪設(shè)備、防火墻、IPS并進行訪問控制策略設(shè)置，能夠檢測安全生產(chǎn)網(wǎng)出口流量的異常并進行阻斷。

城軌云平臺內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)邊界相關(guān)技術(shù)要求應(yīng)符合以下內(nèi)容：

應(yīng)能檢測并阻止內(nèi)部管理網(wǎng)與互聯(lián)網(wǎng)、外部服務(wù)網(wǎng)與安全生產(chǎn)網(wǎng)直接互聯(lián)。

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間應(yīng)采用物理隔離技術(shù)，數(shù)據(jù)應(yīng)通過擺渡方式進行傳輸，并應(yīng)采用最小授權(quán)原則配置訪問控制策略。

防止內(nèi)部管理網(wǎng)與互聯(lián)網(wǎng)、外部服務(wù)網(wǎng)與安全生產(chǎn)網(wǎng)等形式的業(yè)務(wù)系統(tǒng)跨域互聯(lián)，部署云內(nèi)異常流量監(jiān)測及防護設(shè)備及準入設(shè)備，能夠檢測到跨域流量并與邊界防護設(shè)備進行聯(lián)動，實現(xiàn)流量阻斷。

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間部署網(wǎng)閘等物理隔離裝置進行物理隔離，并設(shè)置防護規(guī)則可實現(xiàn)數(shù)據(jù)的安全傳輸。

3 既有城軌云平臺項目案例網(wǎng)間安全隔離方案

目前城軌云平臺的代表項目主要有呼和浩特城軌云平臺項目（2019年底已成功開通）和太原軌道交通2號線城軌云平臺項目（目前正在進行現(xiàn)場調(diào)試），以下重點介紹這兩個項目的城軌云平臺網(wǎng)間隔離方案。

3.1 呼和浩特城軌云平臺網(wǎng)間安全隔離方案

安全生產(chǎn)網(wǎng)與內(nèi)部服務(wù)網(wǎng)之間設(shè)置防火墻匹配安全生產(chǎn)網(wǎng)三級等保、內(nèi)部服務(wù)網(wǎng)二級等保的相關(guān)要求。在安全生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)核心交換機之間部署網(wǎng)間防火墻，安全生產(chǎn)網(wǎng)和內(nèi)部服務(wù)網(wǎng)在生產(chǎn)中心云平臺中通過防火墻進行數(shù)據(jù)交互。防火墻開啟安全策略，對安全生產(chǎn)網(wǎng)和內(nèi)部服務(wù)網(wǎng)間的數(shù)據(jù)訪問進行控制，同時開啟IPS功能。

圖2 安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)域間網(wǎng)絡(luò)安全架構(gòu)示意圖

內(nèi)部服務(wù)網(wǎng)與外部服務(wù)網(wǎng)之間設(shè)置網(wǎng)閘匹配內(nèi)部服務(wù)網(wǎng)二級等保的相關(guān)要求。

在內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)核心交換機之間部署網(wǎng)閘，內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)在生產(chǎn)中心云平臺中通過網(wǎng)閘進行數(shù)據(jù)交互。

圖3 內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)域間網(wǎng)絡(luò)安全架構(gòu)示意圖

3.2 太原軌道交通2號線城軌云平臺網(wǎng)間安全隔離方案

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間采用網(wǎng)絡(luò)隔離技術(shù)實現(xiàn)信息擺渡，可在內(nèi)外網(wǎng) TCP/IP 協(xié)議徹底阻斷的情況下，提供HTTP、SMTP、FTP、POP3、FileSync、ORACLE 等應(yīng)用級檢測通道，在屏蔽會話層以下網(wǎng)絡(luò)威脅的前提下，對內(nèi)外網(wǎng)交互數(shù)據(jù)進行嚴格的訪問控制和日志審計。內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間，采用防火墻設(shè)備，進行隔離。對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為[1]。對現(xiàn)網(wǎng)進行安全域劃分，每個安全域/或重要的安全域通過部署防火墻實現(xiàn)安全域隔離防護。

圖4 太原軌道交通2號線城軌云平臺網(wǎng)間安全隔離架構(gòu)圖

4 城軌云平臺網(wǎng)間隔離方案比選

根據(jù)規(guī)范要求以及呼和浩特城軌云及太原城軌云案例可以看到，安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的網(wǎng)間隔離措施可以采用具備IPS策略的防火墻進行隔離，此方案技術(shù)成熟，效果穩(wěn)定，可滿足城軌云平臺內(nèi)安全生產(chǎn)網(wǎng)和內(nèi)部管理網(wǎng)之間數(shù)據(jù)交互的要求。

4.1 網(wǎng)閘方案

內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)目前大部分采用的物理隔離技術(shù)手段是網(wǎng)閘，作為物理安全設(shè)備，安全網(wǎng)閘提供的高安全性是顯而易見的，但是由于其工作原理上的特性，不可避免地決定了安全網(wǎng)閘存在一些缺陷[1]：

（1）只支持靜態(tài)數(shù)據(jù)交換，不支持交互式訪問。

這是安全網(wǎng)閘最明顯得一個缺陷。由于是真正的網(wǎng)絡(luò)間物理隔離，它不支持諸如動態(tài)web頁面技術(shù)中的activex、java甚至是客戶端的cookie技術(shù)，目前安全網(wǎng)閘一般只支持靜態(tài)web頁、郵件文件等靜態(tài)數(shù)據(jù)的交換。

（2）適用范圍窄。

由于數(shù)據(jù)鏈路層被忽略，安全網(wǎng)閘無法實現(xiàn)一個完整的iso/osi七層連接過程，所以安全網(wǎng)閘對所有交換的數(shù)據(jù)必須根據(jù)其特性開發(fā)專用的交換模塊，靈活性差，適用范圍十分狹窄。

（3）系統(tǒng)配置復(fù)雜，安全性很大程度上取決于網(wǎng)絡(luò)管理員的技術(shù)水平。

在網(wǎng)閘傳送數(shù)據(jù)過程中要實現(xiàn)病毒、木馬過濾和安全性檢查等一系列功能，這都需要網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)應(yīng)用的具體情況加以判斷和設(shè)置。如果設(shè)置不當(dāng)，比如對內(nèi)部人員向外部提交的數(shù)據(jù)不進行過濾而導(dǎo)致信息外泄等，都可能造成安全網(wǎng)閘的安全功能大打折扣。

（4）結(jié)構(gòu)復(fù)雜，成本較高。

安全網(wǎng)閘的三個組件都必須為大容量存儲設(shè)備，特別在支持多種應(yīng)用的情況下，存儲轉(zhuǎn)發(fā)決定了必須采用較大的存儲器來存儲和緩存大量的交換數(shù)據(jù)。另外，安全網(wǎng)閘由于處在兩個網(wǎng)段的結(jié)合部，具有網(wǎng)關(guān)的地位，一旦宕機就會使兩邊數(shù)據(jù)無法交換，所以往往需要配置多臺網(wǎng)閘設(shè)備作為冗余，這就使購置和實施費用不可避免地上升了。

（5）技術(shù)不成熟，沒有形成體系化。

安全網(wǎng)閘技術(shù)是一項新興的網(wǎng)絡(luò)安全技術(shù)，尚無專門的國際性研究組織對其進行系統(tǒng)的研究和從事相關(guān)體系化標(biāo)準的制定工作。

（6）帶來網(wǎng)絡(luò)通信的“瓶頸”問題。

因為電子開關(guān)切換速率的固有特性和安全過濾內(nèi)容功能的復(fù)雜化，目前安全網(wǎng)閘的交換速率已接近該技術(shù)的理論速率極限。可以預(yù)見在不久的將來，隨著高速網(wǎng)絡(luò)技術(shù)的發(fā)展，安全網(wǎng)閘在交換速率上的問題將會成為阻礙網(wǎng)絡(luò)數(shù)據(jù)交換的重要因素。

但無論如何，網(wǎng)閘對其他網(wǎng)絡(luò)安全設(shè)備是一個很好的補充，也是其他網(wǎng)絡(luò)安全設(shè)備所無法替代的安全產(chǎn)品。

4.2 安全數(shù)據(jù)交換系統(tǒng)方案

為有效解決城軌云網(wǎng)絡(luò)不同安全等級網(wǎng)間數(shù)據(jù)多種安全傳輸需求，適應(yīng)城軌云所需的動態(tài)靈活的安全策略，安全數(shù)據(jù)交換系統(tǒng)作為邊界網(wǎng)關(guān)具備以下功能：

（1）具有安全標(biāo)記強訪功能，支持BLP和BIBA模型，多種隔離模式能有效滿足不同安全等級網(wǎng)間的多種安全傳輸需求；

（2）高度集成多種安全基礎(chǔ)技術(shù)，支持SDS（軟件定義安全模型）來保護云邊界安全，配合實現(xiàn)云基礎(chǔ)/內(nèi)生安全；

（3）應(yīng)用微隔離技術(shù)，將策略和應(yīng)用深度綁定，以實現(xiàn)深度的安全檢查和數(shù)據(jù)防護，以支撐協(xié)議層的縱深防御；

（4）支持數(shù)字鑒權(quán)和基礎(chǔ)密碼服務(wù)，對應(yīng)用的訪問和數(shù)據(jù)的流向進行多層多級授權(quán)；

（5）支持數(shù)據(jù)格式檢查以保護敏感數(shù)據(jù)無法被越權(quán)/越界傳輸，防止內(nèi)部敏感信息外泄；

（6）通過集成多種安全技術(shù)和標(biāo)記技術(shù)，可以有效防范各類已知、未知病毒及惡意代碼攻擊等；

（7）通過安全數(shù)據(jù)交換系統(tǒng)配合標(biāo)記強訪策略、認證和密碼服務(wù)，共同構(gòu)建系統(tǒng)內(nèi)生安全體系。

4.3 方案比選

表1 方案比對表

上述兩套方案，均能實現(xiàn)不同安全域之間的隔離與數(shù)據(jù)擺渡功能。其中，網(wǎng)閘屬于傳統(tǒng)的物理隔離設(shè)備，在數(shù)據(jù)傳輸?shù)膶崟r性方面具有天然的劣勢，至只適用于對實時性要求不高的場景。

數(shù)據(jù)安全交換系統(tǒng)是一種基于標(biāo)記強制訪問控制技術(shù)的全新設(shè)備，不但解決了網(wǎng)閘設(shè)備無法實時數(shù)據(jù)交換的問題，而且在安全性上有了質(zhì)的飛躍。其中，標(biāo)記強制訪問控制技術(shù)的應(yīng)用，是城軌行業(yè)網(wǎng)絡(luò)安全上的一大突破。采用標(biāo)記強訪技術(shù)，可構(gòu)建城軌云網(wǎng)的主動免疫的可信計算架構(gòu)，提供主動防御功能的全新技術(shù)理念。通過與數(shù)據(jù)交換總線、密碼和自動化運維技術(shù)、大數(shù)據(jù)、態(tài)勢感知技術(shù)的協(xié)同，可實現(xiàn)城軌云網(wǎng)絡(luò)多級別傳輸過程中數(shù)據(jù)的完整性、可用性、可信性、私密性和一致性的保證，提升網(wǎng)絡(luò)抗攻擊能力。

綜上，數(shù)據(jù)安全交換系統(tǒng)方案，能夠滿足城軌云建設(shè)的各類標(biāo)準規(guī)范及應(yīng)用的要求，達到可信、安全可控目的。但基于標(biāo)記技術(shù)目前要求基于linux操作系統(tǒng)，對部分業(yè)務(wù)系統(tǒng)軟件的操作系統(tǒng)選型會存在一定影響。

4.4 推薦結(jié)論

綜上所述，在實際城軌云實施項目工程中，推薦濟南軌道交通安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的網(wǎng)間隔離措施，可以采用具備IPS策略的防火墻進行隔離；內(nèi)部管理網(wǎng)及外部服務(wù)網(wǎng)之間流量不大的業(yè)務(wù)可采用雙向訪問網(wǎng)閘進行物理隔離，同時積極審慎的跟蹤相關(guān)業(yè)務(wù)系統(tǒng)在linux環(huán)境下部署的可能性，適時推進數(shù)據(jù)安全交換系統(tǒng)，實現(xiàn)數(shù)據(jù)量大業(yè)務(wù)系統(tǒng)的網(wǎng)間雙向數(shù)據(jù)共享。

5 展望

城軌云平臺代表著先進生產(chǎn)力和未來技術(shù)發(fā)展趨勢，在建設(shè)好城軌云平臺的同時應(yīng)根據(jù)城軌云平臺內(nèi)部署各業(yè)務(wù)信息系統(tǒng)的安全需求，構(gòu)建保證信息系統(tǒng)可用性、完整性和保密性的平臺和安全保證體系，確保城市軌道交通行業(yè)的業(yè)務(wù)安全。采用“網(wǎng)間分級隔離”的策略，根據(jù)業(yè)務(wù)特點、安全性和可靠性的需求，對應(yīng)安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)和外部服務(wù)網(wǎng)網(wǎng)絡(luò)設(shè)置安全機制和對應(yīng)的資源池，并對各類資源池進行保護。在保障網(wǎng)絡(luò)安全條件下，城軌云平臺勢必將為智慧城軌信息化發(fā)展奠定堅實的基礎(chǔ)。

[1]智慧城市軌道交通信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范.中國城市軌道交通協(xié)會專家和學(xué)術(shù)委員會，2019.

[2]元進輝，江開雄，王剛.城市軌道交通綜合監(jiān)控系統(tǒng)云的應(yīng)用探索[J].城市軌道交通研究，2019，22（11）：139-142.

[3]何霖，藥世峰.城市軌道交通云建設(shè)探討[J].都市快軌交通，2016，29（02）：37-40.

[4]李中浩，朱東飛，邢智明.以信息化助推城市軌道交通快速發(fā)展的思考[J]，城市軌道交通研究，2017（5）：1.

[5]王皓，楊承東.城市軌道交通融合云平臺探討[J].都市快軌交通，2018，31（05）：50-53.

湖北省高等學(xué)校優(yōu)秀中青年科技創(chuàng)新團隊計劃項目“智能交通和物流的優(yōu)化與決策”（T201828）