新品发布｜绿盟科技推出城轨云网络安全解决方案

随着我国城市化进程的加快，轨道交通对社会发展的促进作用愈发突出。2019年9月25日，习近平总书记在北京考察轨道交通建设发展情况时指出：“城市轨道交通是现代大城市交通的发展方向。发展轨道交通是解决大城市病的有效途径，也是建设绿色城市、智能城市的有效途径”。赛迪智库发布的《“新基建”发展白皮书》中预测，至 2025年，在“新基建”所涵盖的七大产业中，对城际高铁和轨道交通的直接投资规模约4.5万亿元，带动相关投资累计超5.7万亿元。^[1]

城市轨道交通作为关键基础设施的重要组成部分，其安全运行对保障人民群众生命财产安全、维护社会稳定具有重要意义。随着新一代工业互联网、物联网技术在城市轨道交通建设中不断深化应用，城市轨道交通系统向着网络化、自动化的方向快速发展，网络与信息安全已成为城市轨道交通安全运行的重要基础和保障。

城市轨道交通所建设的城轨云通常采用线网中心云平台和站段云节点的两级架构。在云计算IaaS、PaaS 和SaaS的服务模式下，引入的管理组件和性能模块成为网络攻击的新目标。

在IaaS服务模式下，如果系统镜像被恶意篡改或植入病毒等，利用此镜像批量创建云主机时安全风险将被成倍扩大；同时，虚拟化平台和管理组件被攻击会引起主机越权与虚拟机逃逸、虚拟机迁移过程中资源数据完整性被破坏等问题。PaaS服务模式下的镜像篡改、容器逃逸和SaaS模式下数据与鉴别信息泄露等风险也同样威胁着城轨云的网络安全。

城市轨道交通是集工业控制系统、信息系统于一体的复杂系统。城市轨道交通的电力监控系统、综合监控系统等工业控制系统使用标准工业控制协议、通用操作系统，使得各类网络攻击、病毒有可能快速渗透到城市轨道交通控制网络，导致轨道车辆运行故障等重大安全事故，给城市轨道交通的安全运行带来巨大风险。城市轨道交通的门户网站系统、乘客信息系统、办公系统等信息系统，面临漏洞利用、非法访问、信息窃取、信息篡改等安全威胁，可能导致不良社会影响、乘客隐私泄露和运营经济损失等问题。

绿盟科技推出的城轨云网络安全解决方案以网络安全等级保护要求为基础，将城市轨道交通有关网络安全和云平台安全标准规范与安全防护需求充分融合，以《中国城市轨道交通智慧城轨发展纲要》中提出的“系统自保、平台统保、边界防护、等保达标、安全确保”网络安全建设策略为基准，构建“保护有力、监测全面、研判精准、呈现清晰”的城轨云网络安全防御体系。

城轨云网络安全总体防护框架旨在打造“一个中心支撑下的三重保障体系”。主要内容包括：安全技术方面所涉及的基础安全防护（即安全物理环境、安全区域边界、安全通信网络和安全计算环境）、支撑性安全基础设施、云计算平台安全防护、安全运营中心；安全管理方面所涉及的制度、机构、人员、建设、应急和运维，为城轨云提供全方位、全过程、体系化的安全防护能力，确保业务应用系统安全可持续运行。总体防护框架如下图所示：

城轨云网络安全域的划分按照《智慧城市轨道交通 信息技术架构及网络安全规范 第3部分：网络安全》（T/CAMET 11001.3-2019）和《城市轨道交通 云平台网络安全技术规范》（T/CAMET 11005-2020）要求，将城轨云网络总体架构划分为安全生产网、内部管理网、外部服务网及运维管理网。安全生产网、内部管理网、外部服务网按照物理位置划分为中心局域网、站段局域网。各业务应用系统根据其业务属性分别部署在安全生产网、内部管理网、外部服务网中。安全域划分如下图所示。

本方案将网络安全技术与城市轨道交通的工业控制系统和信息系统深度融合，根据城轨云网络安全需求，以安全运营中心为核心，设计并建设全覆盖、全天候的综合防护与监控基础安全能力，对涉及的云计算平台及关键业务数据依托动态弹性可扩展、可订阅的云安全能力实现重点防护，构筑起城轨云的安全计算环境、安全区域边界和安全通信网络；同时，依托大数据技术，通过安全数据采集、汇聚及威胁事件处理分析，打造城轨云网络安全态势感知与预警、安全风险研判等能力，并提高应对网络安全突发事件的应急处置能力，从而有效应对有组织的网络攻击行为，保障城轨云及其承载的业务应用持续稳定运行。