◆謝正媛 劉霞 李雅卓

行業(yè)與應(yīng)用安全

城軌云平臺(tái)網(wǎng)絡(luò)安全方案淺析

◆謝正媛 劉霞 李雅卓通訊作者

（江漢大學(xué)智能制造學(xué)院 湖北 430074）

本文針對(duì)現(xiàn)階段行業(yè)內(nèi)城市軌道交通云平臺(tái)網(wǎng)絡(luò)安全的現(xiàn)狀做了描述，介紹了軌道交通團(tuán)體規(guī)范中對(duì)城軌云平臺(tái)網(wǎng)絡(luò)域之間安全隔離方案的技術(shù)要求，調(diào)研并列舉了現(xiàn)有典型城軌云項(xiàng)目網(wǎng)絡(luò)安全的措施，論述了網(wǎng)閘的技術(shù)缺陷，提出了基于標(biāo)記強(qiáng)制訪問控制技術(shù)的網(wǎng)間物理隔離技術(shù)方案，并對(duì)方案進(jìn)行了比選，給出推薦結(jié)論，展望了城軌云平臺(tái)網(wǎng)絡(luò)安全的發(fā)展方向。

城軌云平臺(tái)；安全生產(chǎn)網(wǎng)；內(nèi)部管理網(wǎng)；外部服務(wù)網(wǎng)；邊界安全

1 項(xiàng)目背景

根據(jù)中國(guó)城市軌道交通協(xié)會(huì)2020年3月發(fā)布的《中國(guó)城市軌道交通智慧城軌發(fā)展綱要》，要求2025 年目標(biāo)：新建城軌交通城市全部采用城軌云；已經(jīng)建成城軌交通的城市在新建線路采用城軌云及在既有線設(shè)備更新升級(jí)時(shí)移入城軌云與大數(shù)據(jù)平臺(tái)。而城軌云平臺(tái)按各應(yīng)用系統(tǒng)的總體需求，為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)三個(gè)域分配計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等資源池。因此城軌云平臺(tái)的網(wǎng)絡(luò)域之間的安全隔離技術(shù)顯得尤其重要。城軌云平臺(tái)網(wǎng)絡(luò)安全應(yīng)遵循“系統(tǒng)自保、平臺(tái)統(tǒng)保、邊界防護(hù)、等保達(dá)標(biāo)、安全確?！钡牟呗?，以網(wǎng)絡(luò)安全等級(jí)保護(hù)為基礎(chǔ)，分級(jí)分類建立應(yīng)用系統(tǒng)的安全保護(hù)措施。

2 規(guī)范對(duì)城軌云平臺(tái)網(wǎng)絡(luò)域之間安全隔離技術(shù)要求

安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的技術(shù)要求

根據(jù)《智慧城市軌道交通信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范》第三部分網(wǎng)絡(luò)安全相關(guān)要求，城軌云平臺(tái)安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)邊界相關(guān)技術(shù)要求應(yīng)符合以下內(nèi)容：

（1）應(yīng)能檢測(cè)并阻止安全生產(chǎn)網(wǎng)與外部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)直接互聯(lián)。

（2）內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間應(yīng)采用邊界防護(hù)設(shè)備，啟用IPS功能，并應(yīng)采用最小授權(quán)原則配置訪問控制策略。

圖1 城軌云平臺(tái)基本安全架構(gòu)

根據(jù)規(guī)范要求，部署邊界防護(hù)設(shè)備及邊界準(zhǔn)入禁止安全生產(chǎn)網(wǎng)與外部服務(wù)網(wǎng)、互聯(lián)網(wǎng)等直接互聯(lián)，通過內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間部署標(biāo)記強(qiáng)訪設(shè)備、防火墻、IPS并進(jìn)行訪問控制策略設(shè)置，能夠檢測(cè)安全生產(chǎn)網(wǎng)出口流量的異常并進(jìn)行阻斷。

城軌云平臺(tái)內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)邊界相關(guān)技術(shù)要求應(yīng)符合以下內(nèi)容：

應(yīng)能檢測(cè)并阻止內(nèi)部管理網(wǎng)與互聯(lián)網(wǎng)、外部服務(wù)網(wǎng)與安全生產(chǎn)網(wǎng)直接互聯(lián)。

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間應(yīng)采用物理隔離技術(shù)，數(shù)據(jù)應(yīng)通過擺渡方式進(jìn)行傳輸，并應(yīng)采用最小授權(quán)原則配置訪問控制策略。

防止內(nèi)部管理網(wǎng)與互聯(lián)網(wǎng)、外部服務(wù)網(wǎng)與安全生產(chǎn)網(wǎng)等形式的業(yè)務(wù)系統(tǒng)跨域互聯(lián)，部署云內(nèi)異常流量監(jiān)測(cè)及防護(hù)設(shè)備及準(zhǔn)入設(shè)備，能夠檢測(cè)到跨域流量并與邊界防護(hù)設(shè)備進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)流量阻斷。

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間部署網(wǎng)閘等物理隔離裝置進(jìn)行物理隔離，并設(shè)置防護(hù)規(guī)則可實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。

3 既有城軌云平臺(tái)項(xiàng)目案例網(wǎng)間安全隔離方案

目前城軌云平臺(tái)的代表項(xiàng)目主要有呼和浩特城軌云平臺(tái)項(xiàng)目（2019年底已成功開通）和太原軌道交通2號(hào)線城軌云平臺(tái)項(xiàng)目（目前正在進(jìn)行現(xiàn)場(chǎng)調(diào)試），以下重點(diǎn)介紹這兩個(gè)項(xiàng)目的城軌云平臺(tái)網(wǎng)間隔離方案。

3.1 呼和浩特城軌云平臺(tái)網(wǎng)間安全隔離方案

安全生產(chǎn)網(wǎng)與內(nèi)部服務(wù)網(wǎng)之間設(shè)置防火墻匹配安全生產(chǎn)網(wǎng)三級(jí)等保、內(nèi)部服務(wù)網(wǎng)二級(jí)等保的相關(guān)要求。在安全生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)核心交換機(jī)之間部署網(wǎng)間防火墻，安全生產(chǎn)網(wǎng)和內(nèi)部服務(wù)網(wǎng)在生產(chǎn)中心云平臺(tái)中通過防火墻進(jìn)行數(shù)據(jù)交互。防火墻開啟安全策略，對(duì)安全生產(chǎn)網(wǎng)和內(nèi)部服務(wù)網(wǎng)間的數(shù)據(jù)訪問進(jìn)行控制，同時(shí)開啟IPS功能。

圖2 安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)域間網(wǎng)絡(luò)安全架構(gòu)示意圖

內(nèi)部服務(wù)網(wǎng)與外部服務(wù)網(wǎng)之間設(shè)置網(wǎng)閘匹配內(nèi)部服務(wù)網(wǎng)二級(jí)等保的相關(guān)要求。

在內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)核心交換機(jī)之間部署網(wǎng)閘，內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)在生產(chǎn)中心云平臺(tái)中通過網(wǎng)閘進(jìn)行數(shù)據(jù)交互。

圖3 內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)域間網(wǎng)絡(luò)安全架構(gòu)示意圖

3.2 太原軌道交通2號(hào)線城軌云平臺(tái)網(wǎng)間安全隔離方案

外部服務(wù)網(wǎng)與內(nèi)部管理網(wǎng)之間采用網(wǎng)絡(luò)隔離技術(shù)實(shí)現(xiàn)信息擺渡，可在內(nèi)外網(wǎng) TCP/IP 協(xié)議徹底阻斷的情況下，提供HTTP、SMTP、FTP、POP3、FileSync、ORACLE 等應(yīng)用級(jí)檢測(cè)通道，在屏蔽會(huì)話層以下網(wǎng)絡(luò)威脅的前提下，對(duì)內(nèi)外網(wǎng)交互數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制和日志審計(jì)。內(nèi)部管理網(wǎng)與安全生產(chǎn)網(wǎng)之間，采用防火墻設(shè)備，進(jìn)行隔離。對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為[1]。對(duì)現(xiàn)網(wǎng)進(jìn)行安全域劃分，每個(gè)安全域/或重要的安全域通過部署防火墻實(shí)現(xiàn)安全域隔離防護(hù)。

圖4 太原軌道交通2號(hào)線城軌云平臺(tái)網(wǎng)間安全隔離架構(gòu)圖

4 城軌云平臺(tái)網(wǎng)間隔離方案比選

根據(jù)規(guī)范要求以及呼和浩特城軌云及太原城軌云案例可以看到，安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的網(wǎng)間隔離措施可以采用具備IPS策略的防火墻進(jìn)行隔離，此方案技術(shù)成熟，效果穩(wěn)定，可滿足城軌云平臺(tái)內(nèi)安全生產(chǎn)網(wǎng)和內(nèi)部管理網(wǎng)之間數(shù)據(jù)交互的要求。

4.1 網(wǎng)閘方案

內(nèi)部管理網(wǎng)與外部服務(wù)網(wǎng)目前大部分采用的物理隔離技術(shù)手段是網(wǎng)閘，作為物理安全設(shè)備，安全網(wǎng)閘提供的高安全性是顯而易見的，但是由于其工作原理上的特性，不可避免地決定了安全網(wǎng)閘存在一些缺陷[1]：

（1）只支持靜態(tài)數(shù)據(jù)交換，不支持交互式訪問。

這是安全網(wǎng)閘最明顯得一個(gè)缺陷。由于是真正的網(wǎng)絡(luò)間物理隔離，它不支持諸如動(dòng)態(tài)web頁(yè)面技術(shù)中的activex、java甚至是客戶端的cookie技術(shù)，目前安全網(wǎng)閘一般只支持靜態(tài)web頁(yè)、郵件文件等靜態(tài)數(shù)據(jù)的交換。

（2）適用范圍窄。

由于數(shù)據(jù)鏈路層被忽略，安全網(wǎng)閘無法實(shí)現(xiàn)一個(gè)完整的iso/osi七層連接過程，所以安全網(wǎng)閘對(duì)所有交換的數(shù)據(jù)必須根據(jù)其特性開發(fā)專用的交換模塊，靈活性差，適用范圍十分狹窄。

（3）系統(tǒng)配置復(fù)雜，安全性很大程度上取決于網(wǎng)絡(luò)管理員的技術(shù)水平。

在網(wǎng)閘傳送數(shù)據(jù)過程中要實(shí)現(xiàn)病毒、木馬過濾和安全性檢查等一系列功能，這都需要網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)應(yīng)用的具體情況加以判斷和設(shè)置。如果設(shè)置不當(dāng)，比如對(duì)內(nèi)部人員向外部提交的數(shù)據(jù)不進(jìn)行過濾而導(dǎo)致信息外泄等，都可能造成安全網(wǎng)閘的安全功能大打折扣。

（4）結(jié)構(gòu)復(fù)雜，成本較高。

安全網(wǎng)閘的三個(gè)組件都必須為大容量存儲(chǔ)設(shè)備，特別在支持多種應(yīng)用的情況下，存儲(chǔ)轉(zhuǎn)發(fā)決定了必須采用較大的存儲(chǔ)器來存儲(chǔ)和緩存大量的交換數(shù)據(jù)。另外，安全網(wǎng)閘由于處在兩個(gè)網(wǎng)段的結(jié)合部，具有網(wǎng)關(guān)的地位，一旦宕機(jī)就會(huì)使兩邊數(shù)據(jù)無法交換，所以往往需要配置多臺(tái)網(wǎng)閘設(shè)備作為冗余，這就使購(gòu)置和實(shí)施費(fèi)用不可避免地上升了。

（5）技術(shù)不成熟，沒有形成體系化。

安全網(wǎng)閘技術(shù)是一項(xiàng)新興的網(wǎng)絡(luò)安全技術(shù)，尚無專門的國(guó)際性研究組織對(duì)其進(jìn)行系統(tǒng)的研究和從事相關(guān)體系化標(biāo)準(zhǔn)的制定工作。

（6）帶來網(wǎng)絡(luò)通信的“瓶頸”問題。

因?yàn)殡娮娱_關(guān)切換速率的固有特性和安全過濾內(nèi)容功能的復(fù)雜化，目前安全網(wǎng)閘的交換速率已接近該技術(shù)的理論速率極限?？梢灶A(yù)見在不久的將來，隨著高速網(wǎng)絡(luò)技術(shù)的發(fā)展，安全網(wǎng)閘在交換速率上的問題將會(huì)成為阻礙網(wǎng)絡(luò)數(shù)據(jù)交換的重要因素。

但無論如何，網(wǎng)閘對(duì)其他網(wǎng)絡(luò)安全設(shè)備是一個(gè)很好的補(bǔ)充，也是其他網(wǎng)絡(luò)安全設(shè)備所無法替代的安全產(chǎn)品。

4.2 安全數(shù)據(jù)交換系統(tǒng)方案

為有效解決城軌云網(wǎng)絡(luò)不同安全等級(jí)網(wǎng)間數(shù)據(jù)多種安全傳輸需求，適應(yīng)城軌云所需的動(dòng)態(tài)靈活的安全策略，安全數(shù)據(jù)交換系統(tǒng)作為邊界網(wǎng)關(guān)具備以下功能：

（1）具有安全標(biāo)記強(qiáng)訪功能，支持BLP和BIBA模型，多種隔離模式能有效滿足不同安全等級(jí)網(wǎng)間的多種安全傳輸需求；

（2）高度集成多種安全基礎(chǔ)技術(shù)，支持SDS（軟件定義安全模型）來保護(hù)云邊界安全，配合實(shí)現(xiàn)云基礎(chǔ)/內(nèi)生安全；

（3）應(yīng)用微隔離技術(shù)，將策略和應(yīng)用深度綁定，以實(shí)現(xiàn)深度的安全檢查和數(shù)據(jù)防護(hù)，以支撐協(xié)議層的縱深防御；

（4）支持?jǐn)?shù)字鑒權(quán)和基礎(chǔ)密碼服務(wù)，對(duì)應(yīng)用的訪問和數(shù)據(jù)的流向進(jìn)行多層多級(jí)授權(quán)；

（5）支持?jǐn)?shù)據(jù)格式檢查以保護(hù)敏感數(shù)據(jù)無法被越權(quán)/越界傳輸，防止內(nèi)部敏感信息外泄；

（6）通過集成多種安全技術(shù)和標(biāo)記技術(shù)，可以有效防范各類已知、未知病毒及惡意代碼攻擊等；

（7）通過安全數(shù)據(jù)交換系統(tǒng)配合標(biāo)記強(qiáng)訪策略、認(rèn)證和密碼服務(wù)，共同構(gòu)建系統(tǒng)內(nèi)生安全體系。

4.3 方案比選

表1 方案比對(duì)表

上述兩套方案，均能實(shí)現(xiàn)不同安全域之間的隔離與數(shù)據(jù)擺渡功能。其中，網(wǎng)閘屬于傳統(tǒng)的物理隔離設(shè)備，在數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性方面具有天然的劣勢(shì)，至只適用于對(duì)實(shí)時(shí)性要求不高的場(chǎng)景。

數(shù)據(jù)安全交換系統(tǒng)是一種基于標(biāo)記強(qiáng)制訪問控制技術(shù)的全新設(shè)備，不但解決了網(wǎng)閘設(shè)備無法實(shí)時(shí)數(shù)據(jù)交換的問題，而且在安全性上有了質(zhì)的飛躍。其中，標(biāo)記強(qiáng)制訪問控制技術(shù)的應(yīng)用，是城軌行業(yè)網(wǎng)絡(luò)安全上的一大突破。采用標(biāo)記強(qiáng)訪技術(shù)，可構(gòu)建城軌云網(wǎng)的主動(dòng)免疫的可信計(jì)算架構(gòu)，提供主動(dòng)防御功能的全新技術(shù)理念。通過與數(shù)據(jù)交換總線、密碼和自動(dòng)化運(yùn)維技術(shù)、大數(shù)據(jù)、態(tài)勢(shì)感知技術(shù)的協(xié)同，可實(shí)現(xiàn)城軌云網(wǎng)絡(luò)多級(jí)別傳輸過程中數(shù)據(jù)的完整性、可用性、可信性、私密性和一致性的保證，提升網(wǎng)絡(luò)抗攻擊能力。

綜上，數(shù)據(jù)安全交換系統(tǒng)方案，能夠滿足城軌云建設(shè)的各類標(biāo)準(zhǔn)規(guī)范及應(yīng)用的要求，達(dá)到可信、安全可控目的。但基于標(biāo)記技術(shù)目前要求基于linux操作系統(tǒng)，對(duì)部分業(yè)務(wù)系統(tǒng)軟件的操作系統(tǒng)選型會(huì)存在一定影響。

4.4 推薦結(jié)論

綜上所述，在實(shí)際城軌云實(shí)施項(xiàng)目工程中，推薦濟(jì)南軌道交通安全生產(chǎn)網(wǎng)與內(nèi)部管理網(wǎng)之間的網(wǎng)間隔離措施，可以采用具備IPS策略的防火墻進(jìn)行隔離；內(nèi)部管理網(wǎng)及外部服務(wù)網(wǎng)之間流量不大的業(yè)務(wù)可采用雙向訪問網(wǎng)閘進(jìn)行物理隔離，同時(shí)積極審慎的跟蹤相關(guān)業(yè)務(wù)系統(tǒng)在linux環(huán)境下部署的可能性，適時(shí)推進(jìn)數(shù)據(jù)安全交換系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)量大業(yè)務(wù)系統(tǒng)的網(wǎng)間雙向數(shù)據(jù)共享。

5 展望

城軌云平臺(tái)代表著先進(jìn)生產(chǎn)力和未來技術(shù)發(fā)展趨勢(shì)，在建設(shè)好城軌云平臺(tái)的同時(shí)應(yīng)根據(jù)城軌云平臺(tái)內(nèi)部署各業(yè)務(wù)信息系統(tǒng)的安全需求，構(gòu)建保證信息系統(tǒng)可用性、完整性和保密性的平臺(tái)和安全保證體系，確保城市軌道交通行業(yè)的業(yè)務(wù)安全。采用“網(wǎng)間分級(jí)隔離”的策略，根據(jù)業(yè)務(wù)特點(diǎn)、安全性和可靠性的需求，對(duì)應(yīng)安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)和外部服務(wù)網(wǎng)網(wǎng)絡(luò)設(shè)置安全機(jī)制和對(duì)應(yīng)的資源池，并對(duì)各類資源池進(jìn)行保護(hù)。在保障網(wǎng)絡(luò)安全條件下，城軌云平臺(tái)勢(shì)必將為智慧城軌信息化發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。

[1]智慧城市軌道交通信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范.中國(guó)城市軌道交通協(xié)會(huì)專家和學(xué)術(shù)委員會(huì)，2019.

[2]元進(jìn)輝，江開雄，王剛.城市軌道交通綜合監(jiān)控系統(tǒng)云的應(yīng)用探索[J].城市軌道交通研究，2019，22（11）：139-142.

[3]何霖，藥世峰.城市軌道交通云建設(shè)探討[J].都市快軌交通，2016，29（02）：37-40.

[4]李中浩，朱東飛，邢智明.以信息化助推城市軌道交通快速發(fā)展的思考[J]，城市軌道交通研究，2017（5）：1.

[5]王皓，楊承東.城市軌道交通融合云平臺(tái)探討[J].都市快軌交通，2018，31（05）：50-53.

湖北省高等學(xué)校優(yōu)秀中青年科技創(chuàng)新團(tuán)隊(duì)計(jì)劃項(xiàng)目“智能交通和物流的優(yōu)化與決策”（T201828）