文/劉曉溪，深圳市地鐵集團有限公司

2020年3月，中國城市軌道交通協(xié)會發(fā)布了《中國城市軌道交通智慧城軌發(fā)展綱要》，對我國智慧城軌提出了2035年的發(fā)展目標，未來我國城市軌道交通將進入到智慧城軌時代。隨著5G、城軌云、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)逐步覆蓋城市軌道交通行業(yè)設(shè)備運維和乘客服務(wù)業(yè)務(wù)，數(shù)字化、智能化、智慧化已成為城市軌道交通發(fā)展的大趨勢，與此相伴國際網(wǎng)絡(luò)安全形勢日趨復(fù)雜嚴峻，新技術(shù)與傳統(tǒng)系統(tǒng)融合過程亦會產(chǎn)生新的風險。因此，構(gòu)建一套適用于城市軌道交通行業(yè)業(yè)務(wù)特點且能有效保障系統(tǒng)完整性、可靠性、可用性的網(wǎng)絡(luò)安全體系迫在眉睫。深圳地鐵集團在信息安全的頂層設(shè)計、建設(shè)實施、常態(tài)化運行等方面進行了探索，并取得了一定成效。

一、強化頂層設(shè)計，構(gòu)建“安全一張網(wǎng)”

深圳地鐵集團在城軌云安全方面已進行了多年的實踐，為進一步提升安全防護能力，在全面摸清基本情況的基礎(chǔ)上，2020年初結(jié)合現(xiàn)狀進行差距分析，從橫向到邊，縱向到底，構(gòu)建了“安全一張網(wǎng)”的信息安全頂層設(shè)計藍圖。

（一）橫向：根據(jù)應(yīng)用、管理及安全防護等級的不同，信息安全整體框架劃分為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部網(wǎng)。

安全生產(chǎn)網(wǎng)主要用于安全生產(chǎn)及管控、運輸指揮、應(yīng)急指揮調(diào)度業(yè)務(wù)相關(guān)系統(tǒng)的數(shù)據(jù)通信及數(shù)據(jù)共享。與行車安全密切相關(guān)信號系統(tǒng)安全網(wǎng)可設(shè)置獨立專網(wǎng)。

內(nèi)部管理網(wǎng)主要用于企業(yè)管理、運營管理、建設(shè)管理、資源管理等企業(yè)信息化相關(guān)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)通信及數(shù)據(jù)共享。

外部網(wǎng)主要用于門戶網(wǎng)站等面向外部或公眾業(yè)務(wù)的數(shù)據(jù)通信及數(shù)據(jù)共享。

圖1：橫向信息安全整體框架

（二）縱向：構(gòu)建了IaaS、PaaS、SaaS三層云安全防護體系。

IaaS層提供計算虛擬化、存儲虛擬化和網(wǎng)絡(luò)虛擬化，通過必要的服務(wù)使得資源能夠以服務(wù)接口和資源抽象的方式提供給城軌云用戶使用。深圳地鐵云的IaaS層安全包括了網(wǎng)絡(luò)安全、平臺虛擬化安全、主機安全、存儲安全以及終端安全等幾個方面。

PaaS層提供容器、數(shù)據(jù)庫、大數(shù)據(jù)平臺等資源，PaaS層安全主要涉及開放API安全、數(shù)據(jù)庫安全、大數(shù)據(jù)平臺安全、開發(fā)環(huán)境安全等。

SaaS層通過行業(yè)化研發(fā)形成應(yīng)用云服務(wù)，SaaS層安全包括應(yīng)用數(shù)據(jù)遷移安全、應(yīng)用系統(tǒng)自身安全和內(nèi)容安全。

圖2：縱向信息安全整體框架

二、圍繞業(yè)務(wù)實施建設(shè)縱深防御，為智慧地鐵保駕護航

2020年初，根據(jù)信息安全頂層設(shè)計規(guī)劃，深圳地鐵歷時3個月打造了集團級云數(shù)據(jù)中心，云安全設(shè)備部署方案如下：

圖3：深圳地鐵集團云數(shù)據(jù)中心安全方案

（一）安全管理中心：部署網(wǎng)絡(luò)安全態(tài)勢感知、資產(chǎn)管理、運維、審計系統(tǒng)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、云平臺等的日志、告警、輿情數(shù)據(jù)，實現(xiàn)泛化和關(guān)聯(lián)分析，為網(wǎng)絡(luò)安全應(yīng)急指揮提供隱患的可視化展現(xiàn)和決策支持。

（二）安全通信網(wǎng)絡(luò)：部署鏈路負載均衡、網(wǎng)絡(luò)準入、防火墻、VPN等設(shè)備，對網(wǎng)絡(luò)中的異常通信、流量、行為進行事中告警阻斷、事后審計。

（三）安全區(qū)域邊界：在安全生產(chǎn)網(wǎng)與內(nèi)部服務(wù)網(wǎng)之間部署網(wǎng)閘，南北向部署邊界網(wǎng)關(guān)、WAF、沙箱、APT、上網(wǎng)行為、防病毒、堡壘機等設(shè)備，在東西向部署虛擬防火墻和安全組，實現(xiàn)有效邊界防護。

（四）安全計算環(huán)境：部署主機加固、主機殺毒、漏掃設(shè)備、IAM、防垃圾郵件、數(shù)據(jù)脫敏等設(shè)備，保證計算環(huán)境的安全可靠。

（五）安全防護服務(wù)：為云數(shù)據(jù)中心提供應(yīng)急響應(yīng)、攻防演練、等保測評等服務(wù)，部署網(wǎng)站云監(jiān)測和網(wǎng)站云防護，7X24小時對被監(jiān)控網(wǎng)站進行連續(xù)、全面、系統(tǒng)、動態(tài)的檢查，以保障被監(jiān)測網(wǎng)站的可用性、完整性、可靠性。

三、建立常態(tài)化信息安全運行機制，確保有效運行

深圳地鐵集團圍繞建立常態(tài)化信息安全運行機制，開展了三個方面的工作：

（一）建立制度

深圳地鐵集團下屬單位眾多，信息安全管理難度較大，為保證告警信息及時上傳下達，建立了《深圳市地鐵集團有限公司信息安全管理辦法》，并于2021年補充發(fā)布了《深圳市地鐵集團有限公司網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，固化了信息安全領(lǐng)導小組和執(zhí)行小組。

（二）常態(tài)化運行機制

摸清家底：全面梳理集團本部及17家分子單位的互聯(lián)網(wǎng)出口、數(shù)據(jù)中心、業(yè)務(wù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端、顯示屏，建立了資產(chǎn)臺賬。

日常巡檢：加強日常巡檢監(jiān)測，由專人負責信息系統(tǒng)與網(wǎng)絡(luò)安全巡檢，對巡檢項進行詳細記錄，對系統(tǒng)狀態(tài)、網(wǎng)絡(luò)狀態(tài)等進行全方位監(jiān)測。

全面檢查：定期開展全集團網(wǎng)絡(luò)安全檢查和整改工作，2021年共計發(fā)現(xiàn)并清除漏洞隱患2007處。對需要互聯(lián)網(wǎng)訪問的業(yè)務(wù)系統(tǒng)進行前后端分離部署，管理后臺不對互聯(lián)網(wǎng)開放；對一些互聯(lián)網(wǎng)使用需求不高的系統(tǒng)關(guān)閉互聯(lián)網(wǎng)服務(wù)。

補足短板：對缺乏網(wǎng)絡(luò)防護的薄弱位置及時補充防火墻設(shè)備，為有需要的外部網(wǎng)站部署網(wǎng)站云防護。

優(yōu)化策略：根據(jù)信息安全風險評估情況，針對現(xiàn)有網(wǎng)絡(luò)安全情況提升整體安全級別，優(yōu)化安全設(shè)備規(guī)則及策略。

提高能力：在深圳地鐵云學院上線《網(wǎng)絡(luò)安全意識培訓》系列課程，要求全集團學習并增強網(wǎng)絡(luò)安全意識，同時，部署上線了攻防演練系統(tǒng)，面向集團及下屬單位信息安全負責人提供攻防培訓系統(tǒng)。

圖4：深圳地鐵攻防演練系統(tǒng)

（三）攻防演練

根據(jù)網(wǎng)絡(luò)安全攻防演練工作方案，編制攻防演練腳本，開展了從攻擊——監(jiān)控——討論定級——應(yīng)急處置——應(yīng)急結(jié)束——總結(jié)評估的閉環(huán)攻防演練工作。

四、取得的成效

深圳地鐵信息安全保障體系已在日常運行中發(fā)揮了重要的防御作用，在2021年7月特護期間，我司各下屬單位信息安全責任人嚴格落實值班值守，24小時值班巡檢，調(diào)整WAF、防火墻、堡壘機等安全策略，利用安全態(tài)勢感知系統(tǒng)及網(wǎng)站云監(jiān)測自動化實時監(jiān)控網(wǎng)絡(luò)入侵情況，封堵高風險IP共計2000余條，有效的保證了深圳地鐵官網(wǎng)等核心業(yè)務(wù)系統(tǒng)不中斷運行。

圖5：深圳地鐵安全態(tài)勢感知

下一步，將借助深圳地鐵NOCC二期云數(shù)據(jù)中心的建設(shè)，進一步打造安全運營中心，建立符合自身需求的一套可行性高、實操性強、注重實效的數(shù)字化系統(tǒng)生命周期安全管理體系，通過將信息安全的要求、標準和實踐融入到系統(tǒng)生命周期的各個階段，主動防御外部威脅、有效的管理漏洞，實現(xiàn)經(jīng)濟、合理、快速管理安全風險的目標。