宣樹(shù)達(dá)

（天津軌道交通運(yùn)營(yíng)集團(tuán)，天津 300392）

隨著國(guó)內(nèi)城市軌道交通的建設(shè)發(fā)展，運(yùn)營(yíng)里程和運(yùn)營(yíng)線路快速增長(zhǎng)，城市軌道交通建設(shè)呈密集化、線網(wǎng)化，運(yùn)營(yíng)管理、調(diào)度指揮向集中化發(fā)展，云計(jì)算等適應(yīng)未來(lái)地鐵運(yùn)營(yíng)發(fā)展的信息技術(shù)也逐漸得到應(yīng)用。依托軌道交通協(xié)會(huì)發(fā)布的智慧城軌信息技術(shù)架構(gòu)，武漢地鐵和呼和浩特地鐵進(jìn)行了城軌云的示范工程和試點(diǎn)工作的推進(jìn)，天津地鐵也在進(jìn)行云平臺(tái)的規(guī)劃建設(shè)并將相應(yīng)信息系統(tǒng)按需逐步的遷移到云平臺(tái)。軌道交通信息通過(guò)云平臺(tái)來(lái)統(tǒng)一承載與集中管理的趨勢(shì)逐步顯現(xiàn)。

在信息化快速發(fā)展的今天，網(wǎng)絡(luò)安全的重要性日益凸顯。當(dāng)前網(wǎng)絡(luò)攻擊活動(dòng)日益猖獗，目標(biāo)也從普通網(wǎng)絡(luò)用戶向關(guān)系到社會(huì)甚至國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施延伸。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)是基于防火墻、IPS/IDS、堡壘機(jī)等設(shè)備進(jìn)行分散被動(dòng)的安全防御，無(wú)法應(yīng)對(duì)新技術(shù)架構(gòu)下有組織、有目標(biāo)的更高級(jí)網(wǎng)絡(luò)攻擊手段。軌道交通信息化正處于向云化架構(gòu)演進(jìn)的發(fā)展過(guò)程中，同樣面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，應(yīng)當(dāng)建立一種新的網(wǎng)絡(luò)安全架構(gòu)，綜合運(yùn)用態(tài)勢(shì)感知、零信任等新的網(wǎng)絡(luò)安全技術(shù)，實(shí)現(xiàn)對(duì)安全威脅的提前感知、主動(dòng)防御，構(gòu)建全局性縱深防御體系。

1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)

城軌云技術(shù)架構(gòu)一般為線網(wǎng)中心云平臺(tái)+車站兩級(jí)架構(gòu)，通過(guò)數(shù)據(jù)中心網(wǎng)絡(luò)、骨干傳輸網(wǎng)絡(luò)等進(jìn)行數(shù)據(jù)互通的方式進(jìn)行部署［1］。在云計(jì)算模式下，資源具備一定的冗余能力和可擴(kuò)展性，可以更好地進(jìn)行彈性調(diào)度與伸縮擴(kuò)展，使云資源具備更好地可用性和開(kāi)放性，但也暴露了更多風(fēng)險(xiǎn)面；云計(jì)算的架構(gòu)以及IaaS、PaaS和SaaS的服務(wù)模式、引入的管理組件和性能模塊容易成為網(wǎng)絡(luò)攻擊新的目標(biāo)。

在IaaS服務(wù)模式下，可以創(chuàng)建鏡像，通過(guò)鏡像開(kāi)通云主機(jī)的方式可以獲得一致的軟件環(huán)境，簡(jiǎn)化了配置過(guò)程，但如果鏡像被惡意篡改或植入病毒等，在利用此鏡像批量創(chuàng)建云主機(jī)時(shí)，安全風(fēng)險(xiǎn)將被成倍擴(kuò)大；同時(shí)IaaS服務(wù)下因虛擬化平臺(tái)和管理組件被攻擊引起的主機(jī)越權(quán)與虛機(jī)逃逸、虛擬機(jī)遷移過(guò)程中的資源數(shù)據(jù)完整性問(wèn)題，PaaS服務(wù)模式下的鏡像篡改、容器逃逸和SaaS下數(shù)據(jù)與鑒別信息泄露等風(fēng)險(xiǎn)也同樣威脅著云平臺(tái)系統(tǒng)安全，需要重點(diǎn)關(guān)注［2］。

隨著新技術(shù)的快速發(fā)展，網(wǎng)絡(luò)入侵和攻擊方式也呈多樣化、復(fù)雜化的趨勢(shì)。APT（Advanced Persistent Threats，高級(jí)持續(xù)性威脅）攻擊逐步引起信息安全專業(yè)的高度重視。APT攻擊具有入侵目的明確、隱蔽性強(qiáng)、持續(xù)時(shí)間長(zhǎng)、威脅程度高的特點(diǎn)［3］。見(jiàn)圖1。

圖1 APT攻擊概念與特點(diǎn)

傳統(tǒng)的安全檢測(cè)與防護(hù)手段一般是從技術(shù)角度對(duì)安全威脅進(jìn)行識(shí)別；但對(duì)APT攻擊早期的信息收集分析行為，缺少反信息收集的安全應(yīng)對(duì)策略，難以對(duì)惡意行為提前預(yù)警；另外，APT攻擊善于利用“0day”漏洞、未知惡意程序及特征庫(kù)更新與安全監(jiān)測(cè)匹配的滯后性，加大安全防護(hù)的難度。傳統(tǒng)安全防護(hù)缺乏通過(guò)用戶身份、行為習(xí)慣及之間的關(guān)聯(lián)關(guān)系形成綜合安全策略的防御能力，這也是APT攻擊容易得手的原因之一?？傊珹PT攻擊的實(shí)施者采用更具策略性與計(jì)劃性的組合，使用多種網(wǎng)絡(luò)攻擊手段，增加了成功竊取核心數(shù)據(jù)或破壞重要信息基礎(chǔ)設(shè)施的概率，為網(wǎng)絡(luò)安全保障帶來(lái)相當(dāng)大的壓力。

2 防護(hù)體系構(gòu)想

面對(duì)新技術(shù)發(fā)展下日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，傳統(tǒng)方式下被動(dòng)、靜態(tài)與分散的安全架構(gòu)及安全技術(shù)已經(jīng)難以滿足網(wǎng)絡(luò)安全發(fā)展的需要，難以有效應(yīng)對(duì)APT攻擊這類新的綜合性網(wǎng)絡(luò)入侵，需要構(gòu)建更加符合未來(lái)發(fā)展需要的網(wǎng)絡(luò)安全架構(gòu)體系。

結(jié)合態(tài)勢(shì)感知技術(shù)與零信任模型，建設(shè)管控全局化、風(fēng)險(xiǎn)可視化、防護(hù)主動(dòng)化的“一個(gè)中心、三重防護(hù)”安全體系，可以更有效地應(yīng)對(duì)當(dāng)前形勢(shì)下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。見(jiàn)圖2。

圖2 基于一個(gè)中心三重防護(hù)的安全建設(shè)構(gòu)想

建設(shè)安全管理中心，分別對(duì)計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)體系進(jìn)行管理，實(shí)施多層隔離和保護(hù)，可以防止某薄弱環(huán)節(jié)出現(xiàn)問(wèn)題影響整體安全，這也是等保2.0中明確提出的安全防護(hù)框架［4］。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可以更好地解決傳統(tǒng)安全防護(hù)分散單一、被動(dòng)防御、關(guān)聯(lián)性較弱的問(wèn)題。態(tài)勢(shì)感知是在網(wǎng)絡(luò)環(huán)境中對(duì)引起安全態(tài)勢(shì)變化的要素進(jìn)行獲取、理解、展示以及對(duì)發(fā)展趨勢(shì)進(jìn)行評(píng)估預(yù)測(cè)，從而幫助決策和行動(dòng)的技術(shù)，是一種動(dòng)態(tài)地、整體地洞悉安全風(fēng)險(xiǎn)的能力［5］，包括態(tài)勢(shì)獲取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)3個(gè)主要階段。在態(tài)勢(shì)獲取階段會(huì)通過(guò)采集設(shè)備、主機(jī)、應(yīng)用日志告警、異常流量數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、賬號(hào)信息、漏洞與脆弱性和威脅情報(bào)來(lái)進(jìn)行狀態(tài)識(shí)別與威脅感知；態(tài)勢(shì)理解階段對(duì)獲取的數(shù)據(jù)與信息進(jìn)行特征提取、載荷內(nèi)容還原、協(xié)議分析、會(huì)話關(guān)聯(lián)分析、綜合評(píng)估與攻擊溯源取證并對(duì)攻擊行為進(jìn)行建模與畫(huà)像；在態(tài)勢(shì)預(yù)測(cè)階段，利用人工智能和深度學(xué)習(xí)，對(duì)分析數(shù)據(jù)進(jìn)行整理分類、趨勢(shì)歸納、場(chǎng)景構(gòu)建、推演和安全態(tài)勢(shì)的預(yù)測(cè)，挖掘預(yù)測(cè)數(shù)據(jù)的處置與響應(yīng)策略。態(tài)勢(shì)感知能夠盡可能的在安全損害發(fā)生之前或早期發(fā)現(xiàn)威脅，以便及時(shí)進(jìn)行響應(yīng)處置，降低損失，保障網(wǎng)絡(luò)安全［6］。

零信任模型的理念是默認(rèn)情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的人員、設(shè)備、系統(tǒng)。任何訪問(wèn)均需要基于認(rèn)證和授權(quán)來(lái)建立，即通過(guò)持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)和全面審計(jì)在訪問(wèn)主體、運(yùn)行環(huán)境、訪問(wèn)客體間建立可信的訪問(wèn)鏈條，以確保動(dòng)態(tài)安全。見(jiàn)圖3。

圖3 零信任安全技術(shù)體系

零信任模型引導(dǎo)安全認(rèn)證體系從“網(wǎng)絡(luò)中心化”向“身份中心化”過(guò)渡。城軌云技術(shù)架構(gòu)網(wǎng)絡(luò)邏輯邊界延伸到云租戶，其按需服務(wù)、資源彈性調(diào)度等特點(diǎn)導(dǎo)致應(yīng)用與服務(wù)暴露面增多，加大了安全風(fēng)險(xiǎn)；而零信任模型的訪問(wèn)控制體系對(duì)云租戶身份、終端環(huán)境以及訪問(wèn)行為的持續(xù)認(rèn)證、動(dòng)態(tài)評(píng)估、最小化授權(quán)可以更好地應(yīng)對(duì)城軌云架構(gòu)下的安全訪問(wèn)風(fēng)險(xiǎn)［7］。

在“一個(gè)中心三重防護(hù)”架構(gòu)中，安全管理中心作為整個(gè)體系的安全中樞與三重防護(hù)域進(jìn)行信息互通與協(xié)同聯(lián)動(dòng)，負(fù)責(zé)態(tài)勢(shì)感知、零信任等一系列安全防護(hù)策略的全局性管控；三重防護(hù)域通過(guò)設(shè)備、協(xié)議與策略部署進(jìn)行安全信息的全面感知、訪問(wèn)的信任評(píng)估并根據(jù)安全管理中心的協(xié)同聯(lián)動(dòng)實(shí)施動(dòng)態(tài)防護(hù)；同時(shí)，安全管理中心的可視化界面能夠?qū)①Y產(chǎn)對(duì)象態(tài)勢(shì)、脆弱性態(tài)勢(shì)、網(wǎng)絡(luò)攻擊態(tài)勢(shì)、安全事件及告警態(tài)勢(shì)等通過(guò)圖形化的方式進(jìn)行持續(xù)性、多維度跟蹤展示，為輔助決策、動(dòng)態(tài)調(diào)整全局安全策略、準(zhǔn)確響應(yīng)處置提供依據(jù)。

建設(shè)態(tài)勢(shì)感知和零信任結(jié)合的“一個(gè)中心三重防護(hù)”安全架構(gòu)，可以實(shí)現(xiàn)安全風(fēng)險(xiǎn)可視化、防御策略全局化、安全防護(hù)主動(dòng)化，更好地滿足城軌云架構(gòu)下的網(wǎng)絡(luò)安全發(fā)展需求，更加有效地保障信息系統(tǒng)的安全運(yùn)行。

3 結(jié)語(yǔ)

城軌云是智慧城軌的平臺(tái)基礎(chǔ)，是未來(lái)發(fā)展的趨勢(shì)；在充分利用云技術(shù)優(yōu)勢(shì)的同時(shí)，也要做好應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)的準(zhǔn)備。智慧城軌相應(yīng)規(guī)范和等保2.0的發(fā)布為城軌云和網(wǎng)絡(luò)安全建設(shè)提供了標(biāo)準(zhǔn)依據(jù)；在此基礎(chǔ)上，與時(shí)俱進(jìn)、積極探索新技術(shù)的特點(diǎn)和應(yīng)用場(chǎng)景，關(guān)注新技術(shù)的應(yīng)用實(shí)踐與優(yōu)化完善，關(guān)注技術(shù)架構(gòu)與組織管理的同步適配，建立一個(gè)符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全發(fā)展需求的體系是應(yīng)該堅(jiān)持思考的方向。