張曉波

（廣州地鐵設(shè)計研究院股份有限公司，廣東廣州 510030）

新時代軌道交通應(yīng)以人民為中心，貫徹創(chuàng)新、協(xié)調(diào)、綠色、開放、共享的新發(fā)展理念，構(gòu)筑多層級、一體化的綜合交通樞紐體系，大力發(fā)展智慧交通，推動新技術(shù)與交通行業(yè)深度融合，構(gòu)建現(xiàn)代化的綜合交通運輸體系，構(gòu)筑快速交通網(wǎng)。信息化技術(shù)是智慧城軌建設(shè)的核心和基礎(chǔ)，云計算作為信息化技術(shù)創(chuàng)新服務(wù)模式的集中體現(xiàn)，已經(jīng)成為支撐各行業(yè)發(fā)展的關(guān)鍵信息基礎(chǔ)設(shè)施。云計算的資源共享、按需自助服務(wù)、彈性伸縮、可計量、廣泛的網(wǎng)絡(luò)接入等特點，驅(qū)動業(yè)務(wù)能力快速復(fù)制、靈活擴展及迭代，革命性改變傳統(tǒng)IT服務(wù)提供方式。各地軌道交通企業(yè)都在大力建設(shè)軌道交通云平臺，并將各種軌道交通業(yè)務(wù)系統(tǒng)承載在云平臺上，是確保軌道交通云平臺信息安全是保證城市軌道交通能夠安全、可靠運行的基礎(chǔ)。

1 需求分析

1.1 管理需求

城市軌道交通云平臺的建設(shè)需要符合最新監(jiān)管合規(guī)的各項要求，如網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級保護基本要求、智慧城軌信息技術(shù)架構(gòu)和信息安全規(guī)范等法律法規(guī)的要求。云平臺需要滿足三級等保要求，并為云上業(yè)務(wù)系統(tǒng)提供IaaS層的三級等保能力。云平臺的安全體系建設(shè)參考等級保護三級基本要求，搭建符合業(yè)務(wù)運行基本安全需求的安全體系，爭取做到既考慮安全實效，又兼顧投資成本，減少安全疏漏，避免貪大求全。

適度安全：信息安全業(yè)界的基本原則之一就是沒有絕對的安全，多少預(yù)算都無法保證云數(shù)據(jù)中心的絕對安全。隨著云數(shù)據(jù)中心安全性的提高，需要的預(yù)算也越來越高，系統(tǒng)的性能和靈活程度就越低。安全體系建設(shè)的目標為適度安全，在合理的預(yù)算范圍內(nèi)，盡可能保證云數(shù)據(jù)中心免受外部用戶和內(nèi)部人員的非惡意安全威脅。

前瞻性和可擴展性：云數(shù)據(jù)中心云平臺建成后，將接受公安部的等級保護測評，安全體系的設(shè)計應(yīng)具有前瞻性和擴展性，保證后續(xù)可以逐步擴充，接受測評時不會由于設(shè)計不合理導(dǎo)致返工和浪費。

1.2 業(yè)務(wù)需求

當前城市軌道交通業(yè)務(wù)系統(tǒng)擁有自己的獨立的網(wǎng)絡(luò)，城市軌道交通云平臺及網(wǎng)絡(luò)部署后，需要考慮部分業(yè)務(wù)上云、部分業(yè)務(wù)自有網(wǎng)絡(luò)運行的混合運行模式以及混合運行模式下的安全防護?；旌线\行模式下，需要對各業(yè)務(wù)系統(tǒng)的縱向網(wǎng)絡(luò)防護以及云平臺自身及承載業(yè)務(wù)的防護分別設(shè)計。云平臺需要為部署在多個安全域的業(yè)務(wù)系統(tǒng)定制協(xié)同一致的安全策略，提供基礎(chǔ)平臺的安全服務(wù)，以保證業(yè)務(wù)的完整性?；谄脚_云化的需求，信息安全需要考慮前瞻性，安全需要適應(yīng)云平臺的需求；安全服務(wù)化，具備敏捷、彈性能力；基于云平臺承載的業(yè)務(wù)，持續(xù)提升云平臺的安全服務(wù)能力。

2 信息安全方案設(shè)計

2.1 信息安全防護概述

從城市軌道交通縱向網(wǎng)絡(luò)層級分析，城市軌道交通云平臺安全設(shè)計包括車站、車輛段、停車場的安全、區(qū)域控制中心的安全以及數(shù)據(jù)中心的安全設(shè)計。從業(yè)務(wù)系統(tǒng)承載層面分析，城市軌道交通云平臺安全設(shè)計包括云平臺自身的安全以及云平臺為業(yè)務(wù)系統(tǒng)提供的安全能力。

目前城市軌道交通云平臺通常為私有云部署模式，且當前定位主要是IaaS平臺，云平臺上業(yè)務(wù)系統(tǒng)的信息安全防護由業(yè)務(wù)系統(tǒng)自身及云平臺的安全機制共同保障，云平臺應(yīng)具備支持業(yè)務(wù)系統(tǒng)達到網(wǎng)絡(luò)安全等級保護第三級的能力。云平臺保證關(guān)鍵業(yè)務(wù)的持續(xù)可用性，為各個業(yè)務(wù)定制安全服務(wù)，達到其所需的安全能力。云平臺為云上業(yè)務(wù)系統(tǒng)提供的安全服務(wù)包括云主機安全防護、租戶隔離、租戶安全防護等。

2.2 主要設(shè)計原則

根據(jù)信息安全防護要求，城市軌道交通云平臺安全防護總體方案的設(shè)計應(yīng)遵從“規(guī)范定密、準確定級，依據(jù)標準、同步建設(shè)、突出重點、確保核心，明確責任、加強監(jiān)督”的原則。

安全保護范圍：云平臺以各處的匯聚交換機為界，僅保證云內(nèi)部的安全，云外的安全措施由各業(yè)務(wù)系統(tǒng)自行考慮。

分域分級防護：根據(jù)信息密級、管理權(quán)限等劃分不同的安全域并確定等級，按照相應(yīng)等級的保護要求進行防護。

技術(shù)和管理并重：采取技術(shù)和管理相結(jié)合的整體安全防護措施。

最小授權(quán)與分權(quán)管理：用戶的權(quán)限應(yīng)配置為確保其完成工作所必需的最小權(quán)限，并使不同用戶的權(quán)限相互獨立、相互制約，避免出現(xiàn)權(quán)限過大的用戶或賬號。

易操作性：安全措施應(yīng)易于操作，且不影響業(yè)務(wù)系統(tǒng)的正常運行。

適應(yīng)性及靈活性：安全措施應(yīng)靈活適應(yīng)業(yè)務(wù)系統(tǒng)性能及安全需求的變化，容易修改和升級。

多重保護：建立一個多重保護系統(tǒng)，各層保護相互補充，一層保護被攻破時，其他層保護仍可保護信息的安全。

2.3 業(yè)務(wù)系統(tǒng)承載設(shè)計

城市軌道交通云平臺的服務(wù)對象是業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)通過骨干網(wǎng)的各級接入節(jié)點及數(shù)據(jù)中心節(jié)點連接云平臺，使用云平臺的計算、網(wǎng)絡(luò)和存儲資源。根據(jù)《智慧城軌信息技術(shù)架構(gòu)及信息安全規(guī)范》規(guī)定，應(yīng)遵循“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標、安全確?！辈呗?，以網(wǎng)絡(luò)安全等級保護為基礎(chǔ)，分級分類建立應(yīng)用系統(tǒng)的安全保護措施。

承載在云平臺和自有網(wǎng)絡(luò)運行的部分，都需要各業(yè)務(wù)系統(tǒng)管理者自行部署安全防護策略，安全責任也歸屬于業(yè)務(wù)系統(tǒng)管理者。

對于承載在云平臺上的業(yè)務(wù)系統(tǒng)，安全由應(yīng)用系統(tǒng)自身安全機制和云平臺的安全機制協(xié)同保障，根據(jù)各業(yè)務(wù)系統(tǒng)的安全訴求，云平臺需要提供對應(yīng)的安全能力，在各層級、各區(qū)域分別給予防護。

承載在云平臺上的各業(yè)務(wù)系統(tǒng)，應(yīng)采用“網(wǎng)間分級隔離”策略。在云平臺網(wǎng)絡(luò)節(jié)點上采用路由+轉(zhuǎn)發(fā)平面隔離，在云數(shù)據(jù)中心為各業(yè)務(wù)系統(tǒng)提供專屬的虛擬網(wǎng)絡(luò)（VPC）。VPC之間可以實現(xiàn)安全隔離，保證不同業(yè)務(wù)系統(tǒng)之間的安全隔離以及云平臺與業(yè)務(wù)系統(tǒng)之間的安全隔離。如果業(yè)務(wù)系統(tǒng)之間通過云平臺互通，應(yīng)在云平臺數(shù)據(jù)中心及骨干網(wǎng)的對應(yīng)位置部署安全防護策略，對業(yè)務(wù)系統(tǒng)之間互訪的流量進行防護，保證流量正常轉(zhuǎn)發(fā)。

2.4 云平臺信息安全設(shè)計

城市軌道交通云平臺對于安全的需求，可以從物理、虛擬化控制以及安全服務(wù)三個層面整體進行安全體系的建設(shè)，以達到等級保護三級的設(shè)計要求。

體系框架如圖1所示。

圖1 城市軌道交通云平臺信息安全體系框架

在滿足等級保護三級安全防護要求的同時，需要結(jié)合云平臺的安全體系架構(gòu)落實。云平臺內(nèi)部建立云內(nèi)的網(wǎng)絡(luò)安全防護機制，在未經(jīng)過授權(quán)允許的情況下，云內(nèi)各系統(tǒng)間默認情況下不能相互訪問，將不同應(yīng)用系統(tǒng)加入不同安全區(qū)域，不同安全區(qū)域之間的云主機網(wǎng)絡(luò)默認隔離。需要互通時，通過部署安全策略，打開互訪通道。

根據(jù)三級等保要求及城軌信息安全規(guī)范的要求，云平臺需要對計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和集中安全管理等維度進行設(shè)計。

（1）計算環(huán)境安全。

對云平臺本身的服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用以及數(shù)據(jù)的安全性要求外，等保2.0對鏡像和快照安全、虛擬化安全等方面提出了要求。云平臺基于虛擬化技術(shù)部署了計算資源的池化、動態(tài)配置以及資源編排。

針對虛機創(chuàng)建、使用、遷移過程中可能存在的風險，需要對虛擬化平臺（Hypervisor層）安全、虛機隔離、虛機鏡像安全等進行設(shè)計。在Hypervisor層部署深度安全防御，將傳統(tǒng)網(wǎng)絡(luò)中的防病毒方案引入虛擬化內(nèi)核架構(gòu)，形成無代理的虛擬化殺毒方案。

（2）區(qū)域邊界安全。

不同的區(qū)域間實現(xiàn)互聯(lián)互通的同時，網(wǎng)絡(luò)邊界需要采取必要的安全接入、訪問控制、入侵防范、安全審計等措施，以實現(xiàn)平臺內(nèi)部計算環(huán)境安全。安全層面需要在車站、車輛段、停車場、區(qū)域控制中心及數(shù)據(jù)中心邊界部署安全策略。

（3）通信網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)通信安全一方面是安全云網(wǎng)絡(luò)架構(gòu)以及虛擬網(wǎng)絡(luò)架構(gòu)的安全性設(shè)計，使整體網(wǎng)絡(luò)資源分布、架構(gòu)合理；另一方面是網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性，確保網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全、完整、可用。根據(jù)云平臺的計算、存儲等資源需求以及站段場、控制中心到數(shù)據(jù)中心訪問流量的估算，預(yù)留充分的網(wǎng)絡(luò)設(shè)備性能及帶寬的擴展空間。網(wǎng)絡(luò)帶寬、設(shè)備性能、通信線路及設(shè)備冗余需要充分考慮。

（4）安全管理中心。

安全管理中心是安全防御體系的核心，包括系統(tǒng)管理、審計管理和安全管理。通過技術(shù)工具實現(xiàn)集中管理，便于云平臺資源調(diào)度、管理和監(jiān)控，實現(xiàn)統(tǒng)一運維、認證、授權(quán)。

3 結(jié)語

面對信息安全風險和加強防護意識的形勢，城市軌道交通工程應(yīng)依照等級保護規(guī)范打造針對城市軌道交通云平臺的信息安全防御體系。本文從城市軌道交通云平臺信息安全的需求分析入手，對云平臺的設(shè)計原則、云上業(yè)務(wù)系統(tǒng)承載方案、云平臺信息安全方案進行研究，制定了城市軌道交通云平臺安全體系框架，有利于在城市軌道交通行業(yè)內(nèi)建立統(tǒng)一標準，為城市軌道交通云平臺信息安全體系的設(shè)計和建設(shè)提供指引。