劉為俊

隨著智慧城軌建設(shè)的不斷推廣，作為其數(shù)字基礎(chǔ)底座的城市軌道交通云平臺(tái)（以下簡稱“城軌云平臺(tái)”）建設(shè)項(xiàng)目也在不斷實(shí)施落地［1］。涉及運(yùn)營生產(chǎn)指揮的系統(tǒng)，如公務(wù)電話系統(tǒng)、乘客信息系統(tǒng)、視頻監(jiān)控系統(tǒng)、信號(hào)智能運(yùn)維、綜合監(jiān)控系統(tǒng)、自動(dòng)售檢票系統(tǒng)等自動(dòng)化系統(tǒng)相繼在城軌云平臺(tái)上部署［2-4］。城軌云平臺(tái)及運(yùn)營生產(chǎn)系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施直接關(guān)系到公共安全，一旦網(wǎng)絡(luò)安全功能喪失，可能危害公共利益。因此，需要遵循網(wǎng)絡(luò)安全等級保護(hù)制度，按照平臺(tái)統(tǒng)保、系統(tǒng)自保的原則，實(shí)行重點(diǎn)保護(hù)。根據(jù)城軌云業(yè)務(wù)安全需求特點(diǎn)，遵循以適度安全為核心，以重點(diǎn)保護(hù)、分類防護(hù)、保障關(guān)鍵業(yè)務(wù)、技術(shù)與管理并重為原則，構(gòu)建完整的安全方案體系［5］。

訪問控制技術(shù)是保護(hù)信息資源不被非法使用和訪問的重要組成部分，云計(jì)算環(huán)境中的計(jì)算模式和存儲(chǔ)模式的變化，如用戶對資源的控制權(quán)減少，多租戶技術(shù)和虛擬化技術(shù)的使用，都對傳統(tǒng)的訪問控制技術(shù)提出了新的挑戰(zhàn)。因此，云計(jì)算環(huán)境下的訪問控制技術(shù)已經(jīng)從傳統(tǒng)的用戶授權(quán)擴(kuò)展到虛擬資源的訪問和云存儲(chǔ)數(shù)據(jù)的安全訪問等方面。這些變化要求云平臺(tái)采用更復(fù)雜和靈活的訪問控制策略來確保數(shù)據(jù)和服務(wù)的安全性。例如，云環(huán)境下的訪問控制技術(shù)需要考慮如何在不同的安全管理域之間實(shí)現(xiàn)統(tǒng)一策略、相互授權(quán)和資源共享［6］。

目前的研究主要針對非云部署的網(wǎng)絡(luò)安全［7-8］、城軌云平臺(tái)整體的安全體系構(gòu)建［9-10］，以及通用訪問控制技術(shù)［11］等，針對城軌云平臺(tái)安全體系下訪問控制技術(shù)的研究較少。因此，本文將重點(diǎn)探討城軌云平臺(tái)場景下基于安全標(biāo)記的強(qiáng)制訪問控制技術(shù)，以訪問控制策略的表達(dá)、分析和實(shí)施為主，定義安全保護(hù)的目標(biāo)，對訪問控制策略的應(yīng)用和實(shí)施進(jìn)行抽象描述，進(jìn)而確定訪問控制系統(tǒng)的具體實(shí)現(xiàn)、組成架構(gòu)和部件之間的交互流程。

1 安全風(fēng)險(xiǎn)分析

城軌云平臺(tái)以私有云平臺(tái)建設(shè)為主，主要面臨以下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1）信息資源安全隔離問題。城軌云平臺(tái)匯集了大量用戶信息和數(shù)據(jù)信息，根據(jù)地鐵業(yè)務(wù)系統(tǒng)特點(diǎn)，這些數(shù)據(jù)分別部署在不同的資源池，一旦安全隔離失敗，信息泄露將成為城軌云平臺(tái)的突出安全問題。

2）防護(hù)邊界模糊化問題。城軌云平臺(tái)中大量業(yè)務(wù)采用虛擬化部署，導(dǎo)致傳統(tǒng)中心和車站局域網(wǎng)的邊界模糊化，通用安全防御體系失效，訪問權(quán)限控制、異常流量實(shí)時(shí)監(jiān)控等問題尤為突出。

3）人員管理復(fù)雜化問題。城軌多項(xiàng)業(yè)務(wù)都有運(yùn)用云平臺(tái)，使用人員覆蓋開發(fā)、運(yùn)營、維護(hù)等多個(gè)角色，可能引發(fā)系統(tǒng)安全問題。此外，各種攻擊者如黑客、專業(yè)罪犯、內(nèi)部惡意人員、蓄意破壞者等也會(huì)給各個(gè)業(yè)務(wù)系統(tǒng)帶來安全威脅［12］。

2 方案設(shè)計(jì)

2.1 安全架構(gòu)和防護(hù)策略

城軌云平臺(tái)承載內(nèi)部多業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行，結(jié)合網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析結(jié)果，提出分區(qū)分域的業(yè)務(wù)系統(tǒng)間隔離的基礎(chǔ)架構(gòu)設(shè)計(jì)思路，以實(shí)現(xiàn)系統(tǒng)安全功能。城軌云平臺(tái)分區(qū)分域安全架構(gòu)見圖1。

圖1 城軌云平臺(tái)分區(qū)分域安全架構(gòu)

圖1中，將基礎(chǔ)設(shè)施資源劃分為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)3個(gè)獨(dú)立的區(qū)域，各區(qū)域間不能直接訪問，僅允許通過基于安全標(biāo)記技術(shù)的跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換［13］，從而實(shí)現(xiàn)數(shù)據(jù)導(dǎo)入的結(jié)構(gòu)檢查、數(shù)據(jù)導(dǎo)出的認(rèn)證和授權(quán)。對網(wǎng)絡(luò)服務(wù)進(jìn)行控制，僅提供允許的服務(wù)和業(yè)務(wù)系統(tǒng)使用的特定服務(wù)，禁止其他難以控制或不可控制的網(wǎng)絡(luò)服務(wù)。

各安全域內(nèi)的業(yè)務(wù)系統(tǒng)應(yīng)劃分二級等保區(qū)和三級等保區(qū)，二者的計(jì)算資源不允許共享。在防護(hù)策略方面，每個(gè)等保區(qū)域內(nèi)不同業(yè)務(wù)系統(tǒng)應(yīng)用間通過局域網(wǎng)/虛擬可擴(kuò)展的局域網(wǎng)隔離，業(yè)務(wù)系統(tǒng)間通過訪問控制設(shè)備進(jìn)行訪問，禁止非授權(quán)訪問，達(dá)到端到端的隔離效果。

2.2 風(fēng)控體系和主動(dòng)防御體系

在城軌云平臺(tái)的環(huán)境下，風(fēng)控體系需重點(diǎn)關(guān)注異常流量檢測和異常網(wǎng)絡(luò)攻擊檢測［14］。在異常流量檢測方面，城軌云平臺(tái)中各業(yè)務(wù)系統(tǒng)內(nèi)部存在一臺(tái)或多臺(tái)虛擬機(jī)，虛擬機(jī)是否安全可靠直接影響到業(yè)務(wù)系統(tǒng)連續(xù)運(yùn)行的可靠性指標(biāo)。單臺(tái)物理服務(wù)器上各虛擬機(jī)業(yè)務(wù)間，可能存在直接的數(shù)據(jù)鏈路層信息交換，管理員很難監(jiān)控到這部分流量。因此，需要通過對虛擬機(jī)間流量進(jìn)行監(jiān)控，實(shí)現(xiàn)虛擬機(jī)間的訪問控制及安全風(fēng)險(xiǎn)檢測。此外，還要通過虛擬機(jī)漏洞掃描實(shí)現(xiàn)對所在物理機(jī)的訪問行為進(jìn)行防范和控制［15］。技術(shù)實(shí)現(xiàn)上，通過建立不同業(yè)務(wù)系統(tǒng)虛擬機(jī)之間的強(qiáng)制訪問控制體系，屏蔽非必要的虛擬主機(jī)之間的互訪，即使有數(shù)據(jù)互訪的需求，也是在管理員知情并批準(zhǔn)的前提下且需經(jīng)過安全防護(hù)設(shè)備的安全控制。

云平臺(tái)的核心是計(jì)算和數(shù)據(jù)資源，因此也是網(wǎng)絡(luò)異常攻擊者最主要的目標(biāo)。云平臺(tái)系統(tǒng)或應(yīng)用一旦感染病毒、蠕蟲、木馬等惡意代碼，就可能在平臺(tái)內(nèi)部快速傳播，消耗網(wǎng)絡(luò)資源，劫持平臺(tái)應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁。同時(shí)，城軌云內(nèi)部業(yè)務(wù)服務(wù)器底層和業(yè)務(wù)系統(tǒng)會(huì)不斷產(chǎn)生新的安全漏洞，如操作系統(tǒng)、后門、文件傳輸協(xié)議、數(shù)據(jù)庫漏洞等對平臺(tái)敏感信息的監(jiān)控、竊取、篡改等［15］。因此，城軌云平臺(tái)的安全設(shè)計(jì)充分考慮了檢測和清除病毒、蠕蟲、木馬等惡意內(nèi)容的機(jī)制，增加有效的手段來識(shí)別并防護(hù)針對系統(tǒng)漏洞的攻擊。

在風(fēng)控體系的基礎(chǔ)上，構(gòu)建網(wǎng)絡(luò)安全管理自動(dòng)化和智能化的主動(dòng)防御體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一運(yùn)維管理、審計(jì)管理等功能。通過構(gòu)建統(tǒng)一的資產(chǎn)管理、日志管理、配置管理、報(bào)警管理、標(biāo)記策略管理等，實(shí)現(xiàn)全流程跟蹤記錄和工單告警聯(lián)動(dòng)，便于優(yōu)化處理流程，實(shí)現(xiàn)流程審計(jì)和問題閉環(huán)［16］。通過監(jiān)測網(wǎng)絡(luò)實(shí)現(xiàn)對誤操作、內(nèi)部攻擊和外部入侵的有效保護(hù)，統(tǒng)籌全網(wǎng)部署的網(wǎng)絡(luò)安全設(shè)備，對網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)、主動(dòng)、全面的保護(hù)。

通過攻擊模式分析、噪聲數(shù)據(jù)處理、攻擊分析建模、未知攻擊識(shí)別等技術(shù)，搭建城軌云安全態(tài)勢感控平臺(tái)，見圖2，實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)防御。對檢測到的數(shù)據(jù)進(jìn)行整合，構(gòu)建數(shù)據(jù)矩陣，并引入安全分析算法，逐步形成安全威脅挖掘分析模型，將各類型的病毒、木馬等挖掘模式保存在智能分析引擎中，同時(shí)將智能分析引擎部署于各網(wǎng)，從而獲取準(zhǔn)確的挖掘結(jié)果，并將結(jié)果輸出到前臺(tái)實(shí)時(shí)交互接口，阻斷病毒、木馬在網(wǎng)絡(luò)中的傳播，從而實(shí)現(xiàn)主動(dòng)防御的目的。

圖2 城軌云安全態(tài)勢感控平臺(tái)

3 城軌云安全標(biāo)記設(shè)計(jì)

安全標(biāo)記技術(shù)作為一種支持業(yè)務(wù)間安全訪問控制的手段，使用基于網(wǎng)絡(luò)數(shù)據(jù)流的安全標(biāo)記，將其添加到數(shù)據(jù)包，實(shí)現(xiàn)數(shù)據(jù)流從安全操作系統(tǒng)到網(wǎng)絡(luò)傳輸?shù)霓D(zhuǎn)化，從而提供安全的訪問控制能力［17］。隨著等保2.0的發(fā)布與實(shí)施，網(wǎng)絡(luò)安全等級保護(hù)相關(guān)要求成為系統(tǒng)建設(shè)方案中的關(guān)注點(diǎn)。對于網(wǎng)絡(luò)安全等級保護(hù)三級，即安全標(biāo)記保護(hù)級，現(xiàn)有各種系統(tǒng)中運(yùn)用實(shí)施的并不多，對于數(shù)據(jù)標(biāo)記、安全策略模型、主體對客體強(qiáng)制訪問控制的方案也較為少見。

使用安全標(biāo)記需要完成3個(gè)基本工作：定義安全標(biāo)記主客體、基于IP協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)流實(shí)現(xiàn)安全標(biāo)記的綁定、實(shí)現(xiàn)確保主客體之間的訪問控制。

為了滿足城軌云各業(yè)務(wù)系統(tǒng)對于多域、跨域安全訪問控制的需求，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)安全訪問控制，在既有訪問控制手段的基礎(chǔ)上，增強(qiáng)安全標(biāo)記設(shè)計(jì)，也使業(yè)務(wù)系統(tǒng)間的訪問控制實(shí)現(xiàn)更高的安全級別。安全防護(hù)重點(diǎn)在于邊界防護(hù)，將各個(gè)業(yè)務(wù)網(wǎng)和運(yùn)維網(wǎng)劃分為獨(dú)立網(wǎng)域，各個(gè)網(wǎng)域之間通過邊界網(wǎng)關(guān)進(jìn)行安全隔離。

各個(gè)區(qū)域形成后，對區(qū)域內(nèi)主客體確定其安全屬性，利用安全屬性決定主體對客體的訪問權(quán)限，由安全管理員為主、客體分配安全屬性，業(yè)務(wù)不能改變自身安全屬性。通過這種強(qiáng)制訪問控制策略對各個(gè)區(qū)域的數(shù)據(jù)流進(jìn)行統(tǒng)一控制。

基于這種強(qiáng)制訪問控制策略的思路，可采用安全標(biāo)記實(shí)現(xiàn)城軌云主/客體安全屬性設(shè)計(jì)。城軌云平臺(tái)安全標(biāo)記L可以表示為L=C×K，其中C為安全級別，K為安全范疇。為保證在網(wǎng)絡(luò)、傳輸、應(yīng)用、數(shù)據(jù)庫層面的強(qiáng)制訪問控制策略具有統(tǒng)一的語義，在訪問者和受訪者的訪問路徑上形成具有一致性的安全策略體系，從業(yè)務(wù)和數(shù)據(jù)角度定義安全級別和范疇。

安全級別按數(shù)據(jù)敏感度和完整性等級進(jìn)行設(shè)定。針對系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)情況，主、客體安全級別定義為1～4共4個(gè)敏感度，敏感度從1至4逐步提高。敏感度定義見表1。

表1 敏感度定義

完整性等級根據(jù)用戶寫入、修改、刪除信息的可信度，非授權(quán)修改對客體產(chǎn)生的危害進(jìn)行設(shè)定。針對業(yè)務(wù)的用戶和數(shù)據(jù)情況，將主客體完整性等級定義為1～4共4個(gè)完整性等級，從1至4逐步提高。完整性等級定義見表2。

表2 完整性等級定義

根據(jù)城軌云平臺(tái)及各業(yè)務(wù)系統(tǒng)應(yīng)用的類型、功能和控制區(qū)域等場景和安全屬性進(jìn)行抽象和定義，考慮系統(tǒng)業(yè)務(wù)和管理特點(diǎn)，安全范疇可以從業(yè)務(wù)類型和業(yè)務(wù)區(qū)域2個(gè)維度進(jìn)行抽象和定義。在業(yè)務(wù)類型維度上，從業(yè)務(wù)應(yīng)用、業(yè)務(wù)管理、系統(tǒng)管理等方面定義范疇。具體來講，業(yè)務(wù)應(yīng)用包括生產(chǎn)業(yè)務(wù)、OA等；業(yè)務(wù)管理包括配置、日志、權(quán)限等；系統(tǒng)管理包括配置管理、安全管理、安全審計(jì)等。在業(yè)務(wù)區(qū)域維度上，根據(jù)各安全域邊界情況，如安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)、運(yùn)維管理網(wǎng)等安全域?qū)?shù)據(jù)的管控要求進(jìn)行定義。在業(yè)務(wù)類型相關(guān)的范疇定義中，每種業(yè)務(wù)類別都設(shè)置了一個(gè)較大的業(yè)務(wù)類型范疇，主要目的是給系統(tǒng)的強(qiáng)制訪問控制提供不同粒度的控制能力。較粗粒度的業(yè)務(wù)類型范疇和類別內(nèi)的其他范疇?wèi)?yīng)同時(shí)使用，即設(shè)定細(xì)粒度范疇的同時(shí)應(yīng)設(shè)定大的類別范疇。

4 結(jié)束語

通過對城軌云平臺(tái)網(wǎng)絡(luò)安全需求進(jìn)行分析，將傳統(tǒng)訪問控制、運(yùn)維管理、風(fēng)險(xiǎn)監(jiān)控、數(shù)據(jù)智能分析等集成在完整的云平臺(tái)之上，創(chuàng)建城市軌道交通管理系統(tǒng)的全業(yè)務(wù)承載和深度防御的安全保障環(huán)境。從數(shù)據(jù)敏感度和完整性等級方面進(jìn)行詳細(xì)定義和評估設(shè)計(jì)，實(shí)現(xiàn)安全標(biāo)記強(qiáng)制訪問控制功能，有效支持所設(shè)計(jì)的城軌云平臺(tái)達(dá)到網(wǎng)絡(luò)安全標(biāo)記等級要求，符合當(dāng)前安全技術(shù)發(fā)展和建設(shè)規(guī)范的新要求，可作為行業(yè)應(yīng)用的參考。