王偉，牛昌平，張超，趙媛媛，羅銘，王璐

（1.交控科技股份有限公司，北京 100070；2.北京市地鐵運營有限公司，北京 100044）

0 引言

隨著城市軌道交通云平臺（簡稱城軌云）在我國各城市的普及，越來越多的城市將城軌云作為智慧城軌的統(tǒng)一基礎(chǔ)平臺。城軌云作為一種新型的系統(tǒng)架構(gòu)，為城軌業(yè)務(wù)提供統(tǒng)一部署承載、資源動態(tài)分配等服務(wù)的同時，打破了城軌業(yè)務(wù)各自為政、獨立組網(wǎng)的局面，其智能化的提升又使各系統(tǒng)之間交互更為頻繁，而傳統(tǒng)架構(gòu)以網(wǎng)絡(luò)邊界為防護(hù)核心的網(wǎng)絡(luò)安全方案已不完全適用城軌云架構(gòu)。目前我國已交付的城軌云項目，同樣以網(wǎng)間邊界安全作為研究重點，對租戶內(nèi)虛擬機(jī)間安全、云內(nèi)安全個性化支持有所欠缺，且云內(nèi)云外安全方案割裂，整體方案存在網(wǎng)絡(luò)安全風(fēng)險［1］。

針對城軌云的安全需求，研究安全能力服務(wù)化，并提出面向城軌云的安全資源池方案。以網(wǎng)絡(luò)安全服務(wù)化為基礎(chǔ)，合理設(shè)計跨租戶、租戶內(nèi)安全防護(hù)方案，搭配傳統(tǒng)邊界防護(hù)方案，形成“橫向到邊、縱向到底”的多重安全防護(hù)體系，并借助“超大城市軌道交通高效運輸與安全服務(wù)集成平臺研發(fā)項目工程化示范實施”項目，對研究成果進(jìn)行實踐驗證，總結(jié)其應(yīng)用效果。

1 城軌云網(wǎng)絡(luò)安全挑戰(zhàn)

城軌云在統(tǒng)一承載城軌全業(yè)務(wù)、打破“煙囪式”建設(shè)模式的同時，數(shù)據(jù)與應(yīng)用大集中也帶來了新的網(wǎng)絡(luò)安全問題與挑戰(zhàn)［2］。首先，專業(yè)間物理邊界消失，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案不能完全滿足安全防護(hù)需求；其次，傳統(tǒng)網(wǎng)絡(luò)安全方案缺少對虛擬機(jī)間流量進(jìn)行防護(hù)的能力；最后，城軌業(yè)務(wù)向智能化、智慧化加速演進(jìn)，業(yè)務(wù)需求多樣，傳統(tǒng)防護(hù)措施不能快速響應(yīng)。

1.1 專業(yè)間物理邊界消失

傳統(tǒng)城軌架構(gòu)中各系統(tǒng)獨立建設(shè)、獨立組網(wǎng)形成相對封閉的IT 環(huán)境，各專業(yè)邊界清晰、交互內(nèi)容固定且范圍有限。以信號系統(tǒng)為例，通過配置防火墻、入侵檢測、日志審計、數(shù)據(jù)庫審計、殺毒軟件等設(shè)備用于本專業(yè)安全防護(hù)，專業(yè)間通信采用“一專業(yè)一網(wǎng)口”的點對點連接方式，僅進(jìn)行必要的跨專業(yè)通信（見圖1）［3］。業(yè)務(wù)系統(tǒng)遷移上云后，各系統(tǒng)共享底層硬件資源、專業(yè)間物理邊界消失，一方面增加了受攻擊入侵的可能性，另一方面軟硬件復(fù)雜性增加帶來了更多的漏洞和安全隱患。

圖1 傳統(tǒng)架構(gòu)下物理邊界防護(hù)

1.2 虛擬機(jī)間網(wǎng)絡(luò)防護(hù)

城軌云場景下平臺內(nèi)虛擬機(jī)間流量逐漸成為主導(dǎo)，大量的數(shù)據(jù)交換發(fā)生在平臺內(nèi)部，而城軌云存在多中心、多網(wǎng)域、多資源池的特點，業(yè)務(wù)方無法感知平臺內(nèi)部實現(xiàn)與底層網(wǎng)絡(luò)架構(gòu)［4］。面對大型業(yè)務(wù)系統(tǒng)，存在子模塊與子模塊之間、模塊內(nèi)采用不同的安全等級防護(hù)控制策略，傳統(tǒng)主機(jī)間安全防護(hù)方案很難在云平臺場景下復(fù)用。業(yè)務(wù)系統(tǒng)需要能夠針對云內(nèi)系統(tǒng)全面可控的安全防護(hù)解決方案。

1.3 業(yè)務(wù)需求多樣化

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)策略在上線運營前基本固定、運維期間較少發(fā)生修改。隨著智慧城軌的理念興起，城軌業(yè)務(wù)呈現(xiàn)多樣化、靈活化等特點，業(yè)務(wù)上線周期顯著縮短、業(yè)務(wù)需求變化更為頻繁。業(yè)務(wù)應(yīng)用的變化調(diào)整往往影響網(wǎng)絡(luò)安全策略調(diào)整，在云平臺場景下，業(yè)務(wù)租戶期望有更大的安全管理自主性，以及較小的變更影響范圍，租戶內(nèi)自助式安全管理的訴求增強(qiáng)。

1.4 既有城軌云的局限

中國城市軌道交通協(xié)會（簡稱中城協(xié)）于2020 年3 月12 日發(fā)布了《中國城市軌道交通智慧城軌發(fā)展綱要》［5］，陸續(xù)涌現(xiàn)出呼和浩特城軌云、太原城軌云等成功案例，將綜合監(jiān)控系統(tǒng)（ISCS）、視頻監(jiān)控系統(tǒng)（CCTV）、門禁系統(tǒng)（ACS）、信號系統(tǒng)（ATS）、乘客資訊系統(tǒng)（PIS）、自動售檢票系統(tǒng)（AFC）、廣播系統(tǒng)（PA）、通信集中網(wǎng)管及各子系統(tǒng)網(wǎng)管、企業(yè)信息化系統(tǒng)等遷移上云，其主要方式是以遷移中心級服務(wù)器、工作站入云為主，未對業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)備進(jìn)行整合，部分業(yè)務(wù)也由于上云不充分保留了物理設(shè)備。既有城軌云由于多種限制因素，在網(wǎng)絡(luò)安全防護(hù)方面以業(yè)務(wù)網(wǎng)間邊界、互聯(lián)網(wǎng)與內(nèi)網(wǎng)邊界防護(hù)為主，業(yè)務(wù)安全沿用自購專用設(shè)備進(jìn)行網(wǎng)絡(luò)安全防護(hù)，造成云內(nèi)云外網(wǎng)絡(luò)安全方案割裂、租戶內(nèi)網(wǎng)絡(luò)安全服務(wù)能力不足等問題。

2 云安全資源池設(shè)計方案

“云安全”是云計算時代產(chǎn)生的安全概念，是一個體系化、多維度的安全防護(hù)架構(gòu)，在傳統(tǒng)安全防護(hù)基礎(chǔ)上增加了云計算特性的安全防護(hù)［6］。GB/T 22239—2019《信息安全技術(shù)：網(wǎng)絡(luò)安全等級保護(hù)基本要求》中明確要求：應(yīng)根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略［7］。中城協(xié)規(guī)范也提到：“云平臺應(yīng)具備針對云內(nèi)各業(yè)務(wù)系統(tǒng)需求提供安全資源池的能力”“安全資源池由獨立設(shè)置的安全組件組成，安全組件可采用X86 物理服務(wù)器、虛擬機(jī)或一體機(jī)形態(tài)部署”［8］。

云安全資源池解決方案是利用虛擬化技術(shù)和軟件定義安全，將傳統(tǒng)架構(gòu)下專用的安全硬件設(shè)備以軟件方式部署在虛擬化資源池，實現(xiàn)部署拓?fù)渑c安全能力解耦，配合軟件定義網(wǎng)絡(luò)（SDN）完成自動化的編排和管理。通過將安全管理平臺與云資源管理平臺打通，云租戶可通過門戶按需在云安全資源池部署安全組件，平臺自動完成組件編排及流量管理，實現(xiàn)云租戶的個性化防護(hù)需求。以新華三安全資源池方案為例，主要包括虛擬化平臺、云安全組件、安全資源池管理平臺3個部分（見圖2）。

圖2 新華三安全資源池方案

（1）虛擬化平臺構(gòu)建在X86 服務(wù)器之上的計算虛擬化環(huán)境中，通過軟件定義安全將傳統(tǒng)硬件安全能力解耦部署至彈性云服務(wù)器內(nèi)。根據(jù)業(yè)務(wù)負(fù)載及租戶數(shù)量，按需調(diào)整資源池規(guī)模及安全組件性能配置。

（2）云安全組件是將安全能力服務(wù)化，提供如虛擬防火墻、虛擬負(fù)載均衡、虛擬堡壘機(jī)、虛擬日志審計、虛擬漏洞掃描、虛擬數(shù)據(jù)庫審計等組件，用戶可通過門戶按需申請。

（3）安全資源池管理平臺是平臺管理類軟件，用于集中管理各類軟硬件安全產(chǎn)品（包括安全資源池、邊界安全物理設(shè)備等），實現(xiàn)云安全產(chǎn)品的集中配置、策略管理、態(tài)勢呈現(xiàn)等功能。

2.1 物理部署架構(gòu)

安全資源池基于虛擬化資源池構(gòu)建，底層虛擬化系統(tǒng)提供基礎(chǔ)計算資源，可根據(jù)業(yè)務(wù)負(fù)載靈活調(diào)整分配的資源配置，快速適應(yīng)不同租戶的擴(kuò)容需求，實現(xiàn)“彈性”資源分配能力。安全資源池部署時，通常作為與業(yè)務(wù)虛擬化資源池平級的資源池接入核心交換機(jī)，通過SDN+虛擬擴(kuò)展局域網(wǎng)（VxLAN），實現(xiàn)資源池組件與業(yè)務(wù)虛擬機(jī)之間網(wǎng)絡(luò)互通及自動引流［9］。根據(jù)工程規(guī)模及實際配置安全資源池與業(yè)務(wù)虛擬化資源池，可獨立設(shè)置接入交換機(jī)也可合設(shè)，但安全資源池內(nèi)不建議運行業(yè)務(wù)虛擬機(jī)。安全資源池物理部署架構(gòu)見圖3。

圖3 安全資源池物理部署架構(gòu)

2.2 跨租戶安全防護(hù)

在實踐應(yīng)用項目中，跨租戶流量的特點是流量會到達(dá)租戶出口地址，其防護(hù)方案是在傳統(tǒng)邊界防護(hù)的基礎(chǔ)上增加基于核心防火墻的虛擬防火墻能力。同時，在虛擬防火墻開啟實時病毒防護(hù)、入侵檢測、數(shù)據(jù)防泄漏、未知威脅防御等能力。

城軌云中的租戶間流量主要包括2 種場景（見圖4）：一是云內(nèi)業(yè)務(wù)與云外設(shè)備互訪，如車站工作站訪問中心云內(nèi)應(yīng)用服務(wù)器；二是云內(nèi)租戶1與云內(nèi)租戶2互訪，如信號通信前置機(jī)訪問綜合監(jiān)控通信前置機(jī)。

（1）場景1 流量路徑：如圖4 中路徑①所示，該場景主要為租戶與云平臺外流量訪問。訪問流量從租戶內(nèi)發(fā)起，經(jīng)過服務(wù)器內(nèi)虛擬交換機(jī)到達(dá)物理網(wǎng)口，再由物理網(wǎng)口到達(dá)接入交換機(jī)、核心交換機(jī)，通過引流技術(shù)，流量到達(dá)旁掛于核心交換機(jī)的核心防火墻，核心防火墻內(nèi)為各租戶啟用相應(yīng)的虛擬防火墻，流量經(jīng)過虛擬防火墻策略后再回到核心交換機(jī)，到達(dá)出口交換機(jī)，經(jīng)過邊界物理防護(hù)設(shè)備完成與云平臺之外的設(shè)備通信。

（2）場景2 流量路徑：如圖4 中路徑②所示，該場景主要為云平臺內(nèi)2 個租戶之間訪問。區(qū)別于場景1，業(yè)務(wù)流量在回到核心交換機(jī)后，返回被訪問的租戶內(nèi)虛擬路由器，再到相應(yīng)租戶網(wǎng)絡(luò)內(nèi)云主機(jī)。

2.3 租戶內(nèi)安全防護(hù)

租戶內(nèi)流量的特點是其發(fā)生在租戶內(nèi)部，如子網(wǎng)與子網(wǎng)之間、子網(wǎng)內(nèi)主機(jī)與主機(jī)之間［10］。在傳統(tǒng)網(wǎng)絡(luò)安全拓?fù)渲?，往往將網(wǎng)絡(luò)出口作為安全邊界重點防護(hù)，而對于內(nèi)部模塊之間很少采用訪問控制策略進(jìn)行約束，操作系統(tǒng)防火墻能力也不夠全面。云安全資源池方案中租戶可按需申請?zhí)摂M化部署的安全組件用于業(yè)務(wù)定制管理，例如，通過虛擬防火墻和安全組件配合的方式實現(xiàn)隔離與互訪，實現(xiàn)更精細(xì)安全區(qū)域的管控。租戶內(nèi)安全防護(hù)流量路徑見圖5，租戶內(nèi)子網(wǎng)1 發(fā)起訪問，流量到達(dá)虛擬路由器后引流至相應(yīng)租戶安全組件（如虛擬防火墻），符合防護(hù)策略后到達(dá)子網(wǎng)3內(nèi)對應(yīng)目標(biāo)云主機(jī)，完成互訪。

圖5 租戶內(nèi)安全防護(hù)流量路徑

3 應(yīng)用效果

安全資源池方案從硬件資源、網(wǎng)絡(luò)管控、安全能力、一體化管控等各方面進(jìn)行有機(jī)整合，打破了傳統(tǒng)業(yè)務(wù)系統(tǒng)“煙囪式”的建設(shè)模式，從計算、網(wǎng)絡(luò)、存儲、安全等維度全面實現(xiàn)業(yè)務(wù)遷移入云，在平臺統(tǒng)保的基礎(chǔ)上，給租戶一定的自主性以達(dá)到安全自保的差異化配置需要，平臺與租戶最終實現(xiàn)等保達(dá)標(biāo)、安全確保的防護(hù)效果。同時，基于資源池的部署模式，可輕松應(yīng)對業(yè)務(wù)擴(kuò)充帶來的網(wǎng)絡(luò)能力擴(kuò)展、調(diào)整等需求。

“超大城市軌道交通高效運輸與安全服務(wù)集成平臺研發(fā)項目工程化示范實施”項目中，通過在安全域、管理域、服務(wù)域部署新華三安全資源池，將傳統(tǒng)架構(gòu)下分散在各系統(tǒng)的網(wǎng)絡(luò)安全能力進(jìn)行整合，與云管理平臺、SDN 深度融合后實現(xiàn)“云-網(wǎng)-安”聯(lián)動。項目內(nèi)各業(yè)務(wù)應(yīng)用程序全部上云部署，云平臺對各業(yè)務(wù)的計算、存儲、安全、網(wǎng)絡(luò)設(shè)備全部進(jìn)行整合，統(tǒng)一管控。云平臺在確保平臺自身安全的基礎(chǔ)上，為租戶提供云化的網(wǎng)絡(luò)安全服務(wù)，以云安全資源池的方案，將屬于云租戶負(fù)責(zé)的安全交由云租戶自行運維管理，云租戶在統(tǒng)一的門戶下自助式申請安全能力，同時平臺提供“等保二級”“等保三級”等標(biāo)準(zhǔn)化套餐，極大地降低了業(yè)務(wù)構(gòu)建云上安全體系的難度［11］。對于業(yè)主單位而言，通過引入安全資源池方案，各上云專業(yè)不需要再分別采購專用的網(wǎng)絡(luò)安全設(shè)備，有效降低了硬件成本，節(jié)省了機(jī)房空間，簡化了系統(tǒng)維護(hù)。對云安全資源池方案應(yīng)用效果總結(jié)如下：

（1）資源池化，高可靠性。云安全資源池將安全能力變?yōu)橘Y源池，利用通用的計算硬件承載安全能力，對于底層計算資源池而言可在云資源管理平臺的管理下穩(wěn)定運行，充分享受虛擬化資源池的高可靠性特性。當(dāng)主機(jī)發(fā)生故障時，運行在主機(jī)上的虛擬機(jī)將自動遷移至資源池內(nèi)其他主機(jī)，以此減少安全組件服務(wù)中斷時間，同時面對計劃性維護(hù)場景，平臺管理員可手動將安全虛擬機(jī)遷移出目標(biāo)主機(jī)，實現(xiàn)計劃維修安全能力零中斷，滿足運營生產(chǎn)類系統(tǒng)高可靠性需求。

（2）按需擴(kuò)展，靈活自定義。安全能力與硬件部署解耦后，安全組件可按需申請部署，組件規(guī)模也可隨著業(yè)務(wù)量增加而逐步擴(kuò)展。同時，云安全方案將平臺安全之外的業(yè)務(wù)安全管控權(quán)歸還業(yè)務(wù)應(yīng)用，租戶可根據(jù)自身業(yè)務(wù)需要定制化添加安全服務(wù)并配置安全策略，更好地貫徹安全共擔(dān)理念。

（3）云-網(wǎng)-安聯(lián)動，統(tǒng)一管理。云安全資源池接受云安全管理平臺統(tǒng)一管理，可實現(xiàn)安全集中管控。安全管理平臺通過對接云管理平臺、SDN 管理平臺，可實現(xiàn)運維平臺、運營平臺的大統(tǒng)一。平臺管理員通過統(tǒng)一的運維平臺可實現(xiàn)云資源、安全資源的維修維護(hù)，租戶管理員通過統(tǒng)一的運營門戶可實現(xiàn)對租戶資源的集中管理、自主配置。

4 結(jié)論

針對城軌云建設(shè)模式帶來的網(wǎng)絡(luò)安全挑戰(zhàn)進(jìn)行研究分析，通過對安全能力整合提出云安全資源池解決方案。該方案在硬件邊界安全方案基礎(chǔ)上，以虛擬化資源池方式承載租戶網(wǎng)絡(luò)安全能力。云安全資源池方案實現(xiàn)了安全能力與部署架構(gòu)解耦，通過云管理平臺統(tǒng)一編排調(diào)度，能有效填補(bǔ)租戶內(nèi)安全防護(hù)空白，實現(xiàn)云內(nèi)租戶按需部署安全組件、靈活調(diào)整、可知可控，解決了多租戶場景下的多重防護(hù)需求，實現(xiàn)了安全能力服務(wù)化、安全防護(hù)差異化、資源部署自動化。