陳丹暉，周耀勝

我國鐵路經(jīng)過持續(xù)多年的快速發(fā)展，目前在路網(wǎng)規(guī)模、運(yùn)營質(zhì)量、技術(shù)裝備以及經(jīng)營管理水平上均達(dá)到世界領(lǐng)先水平。在交通強(qiáng)國、智慧交通的國家戰(zhàn)略背景下，在新時代高速鐵路智能化需求和ICT技術(shù)發(fā)展的驅(qū)動下，鐵路通信正在積極探索數(shù)字化轉(zhuǎn)型。作為新基建方面的重要基礎(chǔ)設(shè)施，通信系統(tǒng)云化已經(jīng)成為通信行業(yè)發(fā)展的必然趨勢。

1 云安全威脅

在云計(jì)算中，非法入侵、惡意代碼攻擊、異常跳板等安全問題始終存在。與此同時，針對云平臺架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新的安全問題也層出不窮，而且基于云服務(wù)便捷性高、擴(kuò)展性好的特點(diǎn)，利用云提供的服務(wù)或資源去攻擊其他目標(biāo)也成為一種新的安全問題［1］。經(jīng)分析，鐵路通信云發(fā)展面臨的安全挑戰(zhàn)有以下幾方面。

1.1 傳統(tǒng)威脅

鐵路通信云面臨著從傳統(tǒng)的病毒、木馬、系統(tǒng)漏洞攻擊，到新型的勒索軟件、挖礦程序，以及各種針對Web應(yīng)用的攻擊。攻擊手段不斷增加，造成的危害也越發(fā)嚴(yán)重。

1）服務(wù)器資產(chǎn)不清晰。服務(wù)器虛擬化后，業(yè)務(wù)系統(tǒng)硬件設(shè)備看不見、摸不著，傳統(tǒng)依靠人工臺賬的方式統(tǒng)計(jì)虛擬資產(chǎn)，效率低、準(zhǔn)確率差，對于服務(wù)器版本、應(yīng)用、進(jìn)程、端口等安全資產(chǎn)變化的掌控力弱，遭黑客攻擊的范圍大。

2）資產(chǎn)風(fēng)險(xiǎn)不可知。諸如操作系統(tǒng)、應(yīng)用等自身的漏洞，配置缺陷、危險(xiǎn)端口暴露，以及缺乏安全意識導(dǎo)致的弱口令等安全問題難以排查，安全風(fēng)險(xiǎn)無法實(shí)時感知。

3）對未知威脅缺乏防護(hù)能力。傳統(tǒng)的防護(hù)策略依賴特征和安全規(guī)則，對于0 day漏洞和新型惡意代碼沒有防護(hù)能力。

4）攻擊溯源不精確。當(dāng)安全事件發(fā)生后，無法準(zhǔn)確判斷黑客信息、入侵位置、攻擊路徑和攻擊手段等。

1.2 云計(jì)算環(huán)境威脅

由于是在云計(jì)算環(huán)境基礎(chǔ)架構(gòu)上引入新的技術(shù)元素，因此也帶來了云環(huán)境下特定的安全問題。同時，因?yàn)闃I(yè)務(wù)信息化的快速增長，以及云計(jì)算技術(shù)易用性和便捷性的特點(diǎn)，造成云上業(yè)務(wù)不斷擴(kuò)張。而不同業(yè)務(wù)系統(tǒng)安全等級的差異，又使云平臺內(nèi)部的隔離性要求變得至關(guān)重要。因此應(yīng)避免低安全等級業(yè)務(wù)系統(tǒng)成為攻擊高安全等級業(yè)務(wù)系統(tǒng)的“跳板”，防止威脅泛濫。

1.2.1 云虛擬化層威脅

云計(jì)算架構(gòu)的核心是云操作系統(tǒng)，新的虛擬化層導(dǎo)致基礎(chǔ)硬件架構(gòu)比傳統(tǒng)架構(gòu)更復(fù)雜，使得攻擊有機(jī)可乘。云虛擬化層威脅主要體現(xiàn)在以下幾個方面［2］。

1）云操作系統(tǒng)提權(quán)。黑客利用云操作系統(tǒng)漏洞，越權(quán)訪問、監(jiān)視宿主機(jī)，并橫向攻擊其他虛擬機(jī)，極大地威脅云上業(yè)務(wù)系統(tǒng)及數(shù)據(jù)安全。

2）虛擬交換機(jī)流量不可見。云計(jì)算導(dǎo)致傳統(tǒng)安全域劃分不可用，云平臺內(nèi)部流量不可見。部分虛擬機(jī)之間的通信流量是基于云操作系統(tǒng)虛擬交換機(jī)，傳統(tǒng)的安全手段無法獲取相關(guān)信息，造成大量盲區(qū)。

3）虛擬云主機(jī)安全策略跟隨。云環(huán)境下，虛擬云主機(jī)在資源池內(nèi)按需漂移，已設(shè)置的安全策略無法隨之遷移，會造成大面積安全策略失效。

1.2.2 云運(yùn)維模式威脅

云計(jì)算運(yùn)維模式與傳統(tǒng)環(huán)境的差異，也是云計(jì)算受到威脅的主要成因。如某政務(wù)云因?yàn)檫\(yùn)維疏忽，租戶安全意識缺乏，沒有修改虛擬機(jī)模板中的統(tǒng)一弱密碼，造成黑客輕易獲取云主機(jī)權(quán)限，使得大量虛擬機(jī)淪陷，社會影響惡劣。在當(dāng)今云化后的IT基礎(chǔ)設(shè)施構(gòu)建方式發(fā)生根本變革后，云運(yùn)維模式威脅主要來自以下幾個方面。

1）控制權(quán)變更。云平臺資產(chǎn)的創(chuàng)建和管理由租戶掌控，而云上漏洞、不當(dāng)配置等信息，甚至資產(chǎn)信息本身完全黑盒。

2）云克隆。為提升云基礎(chǔ)架構(gòu)的交付速度，云運(yùn)維管理員會大量使用虛擬機(jī)模板快速創(chuàng)建云資源，而基于該方式創(chuàng)建的云主機(jī)往往使用相同的密碼，存在相同的不當(dāng)配置項(xiàng)目。

3）批量漏洞。虛擬機(jī)大多從有限種類的幾種鏡像克隆而來，同一批次的虛擬主機(jī)在某個版本相同CVE ID的漏洞會大量產(chǎn)生，而批量補(bǔ)丁升級會對業(yè)務(wù)連續(xù)性造成影響。

4）云監(jiān)管運(yùn)營困難。由于控制權(quán)的變更，云平臺內(nèi)部資產(chǎn)、流量、數(shù)據(jù)對于租戶已經(jīng)完全處于黑盒狀態(tài)，云平臺內(nèi)部發(fā)生什么，存在什么風(fēng)險(xiǎn)，租戶缺乏解決問題的抓手。

5）安全審計(jì)問題。對云運(yùn)維管理員和用戶行為進(jìn)行審計(jì)是難題之一，基于云計(jì)算的違規(guī)行為難以追查取證。

1.3 云安全管理

和傳統(tǒng)平臺相比，云安全管理需要進(jìn)行的監(jiān)管范圍更大、力度更強(qiáng)，不但需要識別和記錄云平臺中重要資產(chǎn)的安全狀態(tài)，還需要對所涉及的計(jì)算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全機(jī)制實(shí)施統(tǒng)一管理、集中監(jiān)控、協(xié)同防護(hù)，從而發(fā)揮安全機(jī)制的整體作用［3］。

1）云管理員違規(guī)提權(quán)。云運(yùn)維管理員因賬戶被盜或其他原因，導(dǎo)致云平臺資源大量違規(guī)訪問及數(shù)據(jù)竊取，造成惡劣的影響。

2）缺乏統(tǒng)一的聯(lián)動和管理機(jī)制。隨著各類安全產(chǎn)品日志數(shù)量的不斷增加、部署位置的分散且異構(gòu)，導(dǎo)致現(xiàn)有安全能力割裂，僅憑機(jī)械的日志收集無法看清安全事件全貌。

3）補(bǔ)丁管理困難。云計(jì)算環(huán)境急需一套高效的虛擬機(jī)實(shí)體補(bǔ)丁管理系統(tǒng)，減輕批量漏洞的危害。同時，虛擬化、容器的鏡像、動態(tài)遷移等機(jī)制，也給補(bǔ)丁管理帶來挑戰(zhàn)。

針對云計(jì)算環(huán)境特性及安全需求分析，遵循等保2.0第三級安全要求，本文構(gòu)建了一套基于WPDR3模型的鐵路通信骨干網(wǎng)云安全技術(shù)保障體系架構(gòu)，通過全面提升云計(jì)算安全以及運(yùn)營水平，并具備自適應(yīng)、彈性伸縮、敏捷性等管理優(yōu)勢，適應(yīng)云計(jì)算動態(tài)變化的安全需求。

2 體系架構(gòu)

鐵路通信骨干網(wǎng)云安全技術(shù)保障體系架構(gòu)見圖1。主要由WPDR3安全模型、保護(hù)對象和縱深防御技術(shù)保障3個層面構(gòu)成。

圖1 鐵路通信骨干網(wǎng)云安全技術(shù)保障體系架構(gòu)

2.1 WPDR3安全模型

WPDR3模型源于鐵路通信網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵研究課題，由告警、防護(hù)、檢測、響應(yīng)、恢復(fù)及更新6個環(huán)節(jié)組成，在充分分析各類安全告警后，綜合運(yùn)用防護(hù)手段，通過檢測工具，了解和評估系統(tǒng)的安全狀態(tài)，在適當(dāng)?shù)捻憫?yīng)后，將系統(tǒng)風(fēng)險(xiǎn)調(diào)整為較低狀態(tài)，并結(jié)合系統(tǒng)恢復(fù)和對各種安全威脅源的自我學(xué)習(xí)（更新），構(gòu)成了一個完整的、動態(tài)的安全循環(huán)［4］。

2.2 保護(hù)對象

云平臺安全包括通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、物理主機(jī)安全和云自身管理平臺安全。而業(yè)務(wù)系統(tǒng)安全又包括虛擬網(wǎng)絡(luò)安全、虛擬主機(jī)安全、數(shù)據(jù)安全及應(yīng)用安全等。

2.3 縱深防御技術(shù)

云平臺及業(yè)務(wù)系統(tǒng)安全防護(hù)，依照等保2.0基本要求及云擴(kuò)展要求設(shè)計(jì)，防護(hù)技術(shù)覆蓋通信網(wǎng)絡(luò)、區(qū)域邊界、云安全資源池及安全管理中心，具體如下。

1）通信網(wǎng)絡(luò)：包含鐵路通信骨干網(wǎng)云平臺內(nèi)外部通信過程中數(shù)據(jù)的機(jī)密性和完整性、通信網(wǎng)絡(luò)的安全審計(jì)，以及通信網(wǎng)絡(luò)的可用性等相關(guān)內(nèi)容［5］。

2）區(qū)域邊界：指傳統(tǒng)安全設(shè)備防護(hù)的物理邊界。作為第一道防御，該邊界應(yīng)實(shí)現(xiàn)對云平臺及云上業(yè)務(wù)系統(tǒng)至外部網(wǎng)絡(luò)的安全區(qū)域隔離、入侵防范及網(wǎng)絡(luò)惡意代碼防范等功能。

3）云安全資源池：為云上業(yè)務(wù)系統(tǒng)提供虛擬區(qū)域邊界和計(jì)算環(huán)境的安全防護(hù)。采用軟件定義安全的架構(gòu)，按照云計(jì)算的理念，基于物理服務(wù)器、存儲和網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)安全設(shè)備的資源池化［6］。云安全資源池防護(hù)組件包括虛擬防火墻、虛擬入侵檢測、虛擬Web應(yīng)用防火墻、虛擬主機(jī)加固等多種虛擬安全網(wǎng)元，既可以通過系統(tǒng)業(yè)務(wù)邏輯，對各類安全組件進(jìn)行組織編排和策略部署，實(shí)現(xiàn)統(tǒng)一的安全管理；還可以根據(jù)業(yè)務(wù)規(guī)模按需使用、彈性分配、平滑擴(kuò)展，滿足不同系統(tǒng)的安全需求，實(shí)現(xiàn)各系統(tǒng)在身份鑒別、訪問控制、安全審計(jì)、入侵檢測、惡意代碼防范、數(shù)據(jù)及應(yīng)用安全等方面的防護(hù)能力構(gòu)建。

4）安全管理中心：集安全要素獲取、分析、處理、跟蹤、預(yù)測為一體，結(jié)合機(jī)器學(xué)習(xí)、外部情報(bào)聯(lián)動等技術(shù)，將各類資源的日志、事件、告警等進(jìn)行匯集，并通過統(tǒng)一的管理界面，完成對網(wǎng)絡(luò)安全的統(tǒng)一管理；優(yōu)化安全管理的體系和流程，清晰界定管理人員之間的工作職責(zé)，實(shí)現(xiàn)對計(jì)算環(huán)境安全狀況的全面掌控，從而提高對安全威脅的準(zhǔn)確判斷。

3 構(gòu)建方案

鐵路通信骨干網(wǎng)云平臺以彈性自適應(yīng)云安全體系為理念，參照網(wǎng)絡(luò)安全等級保護(hù)基本要求和云計(jì)算擴(kuò)展要求（第3級），在“一個中心、三重防護(hù)”安全設(shè)計(jì)思路的指引下，構(gòu)建以鐵路通信骨干網(wǎng)安全管理中心及云安全資源池為核心，對云平臺的通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境進(jìn)行安全防護(hù)，同時為云上業(yè)務(wù)系統(tǒng)提供安全能力。鐵路通信骨干網(wǎng)云安全防護(hù)部署見圖2?；诎踩芾砗蜆I(yè)務(wù)需求，設(shè)立安全管理中心、云安全資源池及邊界防護(hù)區(qū)。防護(hù)能力構(gòu)建方案如下。

圖2 鐵路通信骨干網(wǎng)云安全防護(hù)部署

3.1 安全管理中心

鐵路通信骨干網(wǎng)安全管理中心，通過集中部署安全管理平臺、漏洞掃描、堡壘機(jī)、數(shù)據(jù)庫審計(jì)、日志審計(jì)、終端防護(hù)及管控等安全設(shè)備，綜合設(shè)備資產(chǎn)、日志信息、安全基線、漏洞、告警、流量等信息的關(guān)聯(lián)分析和趨勢預(yù)警，實(shí)現(xiàn)對云平臺物理/虛擬網(wǎng)絡(luò)、物理/虛擬主機(jī)、數(shù)據(jù)、應(yīng)用等各類資產(chǎn)的集中監(jiān)控、數(shù)據(jù)日志的統(tǒng)一管理與審計(jì)，以及安全事件的統(tǒng)一呈現(xiàn)，并對納管終端按照策略進(jìn)行惡意代碼檢測、漏洞修復(fù)及網(wǎng)絡(luò)準(zhǔn)入，滿足鐵路通信骨干網(wǎng)云平臺的日常運(yùn)維及管理需求［7］。

3.2 云安全資源池

云安全資源池不僅實(shí)現(xiàn)對云平臺自身服務(wù)器、存儲、網(wǎng)絡(luò)的安全防護(hù)，還對虛擬主機(jī)安全配置加固、虛擬資源隔離和獨(dú)占、虛擬主機(jī)惡意代碼防范、虛擬入侵防范、虛擬補(bǔ)丁管理、鏡像和快照保護(hù)等方面進(jìn)行安全防護(hù)。各虛擬安全組件可根據(jù)實(shí)際需要開啟一個或多個實(shí)例，滿足不同的需求［8］。

安全組件包括虛擬防火墻、虛擬入侵檢測、虛擬Web應(yīng)用防火墻、虛擬服務(wù)器加固等。通過構(gòu)建虛擬防火墻，可滿足云平臺內(nèi)部虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的虛擬邊界防護(hù)，滿足虛擬邊界防護(hù)與控制、網(wǎng)絡(luò)側(cè)惡意代碼防范等方面的相關(guān)要求；虛擬入侵檢測系統(tǒng)可對云平臺內(nèi)部網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)測，檢測來自網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵；虛擬Web應(yīng)用防火墻對云平臺或承載業(yè)務(wù)的WebService應(yīng)用接口進(jìn)行安全防護(hù)，檢測并防止對云平臺應(yīng)用業(yè)務(wù)的SQL注入、XSS注入、Webshell上傳等基于http協(xié)議的應(yīng)用層網(wǎng)絡(luò)攻擊；虛擬主機(jī)加固可對云平臺宿主服務(wù)器及業(yè)務(wù)系統(tǒng)虛擬機(jī)的計(jì)算環(huán)境進(jìn)行安全保護(hù)，包括主機(jī)防火墻、主機(jī)IPS等［9］。

3.3 邊界防護(hù)區(qū)

1）設(shè)備冗余部署。接入路由器、邊界防火墻、核心交換機(jī)及相關(guān)鏈路采用冗余部署，并在通信過程采用SSH或 HTTPS等加密手段，提高業(yè)務(wù)通信過程中數(shù)據(jù)的保密性。

2）邊界防護(hù)。指云平臺局域網(wǎng)與廣域網(wǎng)間的物理邊界防護(hù)，綜合考慮業(yè)務(wù)吞吐率等性能需求，在云平臺局域網(wǎng)與廣域網(wǎng)間的物理邊界部署物理防火墻、入侵防御及未知威脅檢測設(shè)備，對云平臺進(jìn)行邊界防護(hù)，以滿足等級保護(hù)中安全區(qū)域邊界關(guān)于邊界防護(hù)與控制、入侵防范、網(wǎng)絡(luò)惡意代碼防范等方面的相關(guān)要求。

4 未來展望

隨著網(wǎng)絡(luò)安全形勢的劇變，網(wǎng)絡(luò)空間安全戰(zhàn)略地位逐步凸顯，而云計(jì)算基礎(chǔ)設(shè)施作為重要的數(shù)字資產(chǎn)及業(yè)務(wù)聚集地，面臨的安全形勢尤為嚴(yán)峻。

將云計(jì)算資源集中共享、彈性按需調(diào)配的特性應(yīng)用于安全領(lǐng)域，通過“軟件定義流量、軟件定義資源、軟件定義威脅”，為鐵路通信骨干網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)安全邊界的劃分和防護(hù)、安全控制措施選擇和部署、安全監(jiān)測和安全運(yùn)維等帶來新的技術(shù)機(jī)制，為鐵路通信構(gòu)建動態(tài)的、閉環(huán)的、軟件定義的云安全體系，讓云安全問題的解決變得簡單、敏捷、合規(guī)。