城轨交通网络安全系列（三） | 城轨云安全思考与实践

中国城市轨道交通协会于2020年3月发布《中国城市轨道交通智慧城市轨道发展纲要》（以下简称《纲要》）。《纲要》作为城市轨道交通行业制订智慧城市轨道相关技术政策、技术规范、 发展规划和实施计划的指导性文件，其出台发布将有序推进智慧城市轨道建设，使之迎来一个崭新的历史发展机遇。

依据《纲要》，中国城市轨道交通协会随后发布了《智慧城轨信息技术架构和信息安全规范》系列标准T/CAMET 11001.X-2019和《城市轨道交通云计算平台网络安全技术规范》T/CAMET 11005-2020。标准规范了城市轨道交通云的架构和安全防护范围和措施，为保障城市轨道网络安全提供指导和参考。

标准对城市轨道交通云划分为三张网和一个区域，安全生产网、内部管理网、外部服务网和独立的管理网，并提出“系统自保、平台统保、边界防护、等保达标、安全确保”二十字方针。要求安全生产网应按照等保三级建设，内部管理网应按照等保二级建设，外部服务网按各应用所需的级别建设，并确保达到相应等级的实际安全保护效果。

城市轨道交通云在建设时，网络安全防护应在落实标准的要求上持续改进。

1、某些城市建设城市轨道交通云，在外部服务网设置了DMZ区。该区域是为城市轨道企业员工提供对外远程服务平台，方便员工办公。与为社会群众提供服务的业务平台（如iAFC、企业门户网站等）共用互联网出口。这种设计存在攻击任何一点，整个外部、内部的互联网服务都将中断。同时，在实践中了解到，业主的智能楼宇有独立的互联网出口，方便员工上网。因此，建议将DMZ区移至智能楼宇内，将工作数据流与服务数据流分离，分别进行防护。

2、标准中对三张网的安全防护能力没有区分。应根据每个网的业务重要性、数据特点以及业主关注点进行有区别的防护能力设计和策略。如外部服务网应以防范互联网攻击为主，保障对外服务，并增强云主机内合规、审计、防篡改等安全能力。内部管理网应以数据安全为核心，加强安全能力建设。在数据的采集、交换、共享和开放等环节，及时发现和解决问题。利用大数据分析能力，进行敏感数据行为分析，实时监控和呈现数据安全态势，掌握敏感数据分布、流转和风险的状态和发展趋势。安全生产网应兼顾工业控制安全和传统信息系统安全，构建传统信息安全、云计算安全、工业控制安全的软硬一体综合安全能力。

3、城市轨道网络是覆盖整个城市的大型城域网，在城市轨道企业现有人力的情况下，难以保证全域网络安全事件的及时定位。城市轨道交通云的建设为实现全域网络安全管控提供了基础支撑。应利用可视化技术，扩展现实技术、数字孪生技术、大数据技术等建立城市轨道网络空间，从整体安全态势展现和预警，实现跨部门跨领域的安全决策支撑、整体安全防护、安全事件管理和应急联动指挥。

某市地铁集团信息系统基于轨道交通云平台架构进行建设，通过虚拟化技术、分布式存储技术、云资源管理技术、信息安全技术等，搭建内部管理网内的适应地铁自动化办公业务基础云平台，实现计算、存储、网络、安全资源按需分配、统一管理和集中监测，提高资源利用率，便于业务快速部署和扩展。

绿盟云安全集中管理系统通过统一的运维门户对安全资源池的资源进行管理、分配、服务编排；可以掌握安全资源池的运行状态，使用率；配合虚拟化技术形成安全能力弹性扩展；可对资源池内物理安全设备、虚拟化安全设备提供丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络管理功能，从而实现了对云内所有分布的安全资源进行统一的管理，统一的运行监控。安全资源池包含了虚拟化类型安全能力有：vNF、vIPS、vWAF、vIDS、vSAS、vRSAS、vWVSS、vSAS-H、vLAS、vDAS；软件类型安全能力有：EDR、防病毒、主机防篡改。

该项目涉及绿盟态势感知、安全资源池、防火墙、上网行为管理、负载均衡设备、终端安全、漏洞扫描等安全产品。