《智慧城市軌道交通 信息技術架構及網絡安全規范第3部分：網絡安全》標準解讀

編制背景

面對復雜的網絡攻擊環境，為了保障國家網絡空間的安全，國家高度重視網絡安全，習近平主席提出了“沒有網絡安全就沒有國家安全”的重要指示?！吨腥A人民共和國網絡安全法》于2017年6月1日正式實施，讓網絡安全建設有法可依。而在今年五月份發布的《網絡安全等級保護》2.0的相關要求，則是進一步將相關要求具體到技術層面。中國城市軌道交通協會下達了《關于下達中國城市軌道交通協會2019年第一批團體標準制修訂計劃的通知》（〔2019〕004號），由中城協專家學術委承擔并組織全行業專家共同編制《智慧城市軌道交通 信息技術架構及網絡安全規范》（以下簡稱：《規范》）現對《規范》的第三部分網絡安全進行如下簡單解讀。

城軌云通過云計算、大數據等技術手段，對城軌各業務應用系統進行合理優化，使城軌運營生產中的各類信息資源得到整合，實現各業務系統軟硬件的集中部署、統建共用、信息共享，各業務部門協同作業，改變了既有城軌交通各個信息獨立成網，數據沒有交互的現狀，實現了城軌運營生產過程的全程信息化管理和作業的遠程集中控制，有效地消除信息孤島與自動化孤島。在城軌云的建設過程中，使用了云計算、物聯網、大數據等新技術，為了確保新技術更好的應用，安全問題是需要面對的首要問題。一方面，攻擊威脅技術本身在不斷演進，由于城軌面向公眾服務的特性，成網后極易成為攻擊者宣稱實力的陣地，所以城市軌道交通面臨的網絡空間安全風險越來越大。另一方面，城軌業務系統云化之后，多個專業共享同一個云中心，不同等級的業務和數據混合在同一個物理平臺上，如何保證使得各專業的業務系統和資源安全運營，是個需要統籌考慮的系統性問題。

《規范》的編制原則與總體思路

本規范的編制遵循“系統自保，平臺統保，邊界防護，等保達標，安全確?！倍只静呗浴Ｔ谠撝笇г瓌t下，按照網絡縱深防御和主動防御的思想，在技術層面提出了以下網絡安全防護策略：

·網間分級隔離：按外部服務網、內部服務網和安全生產網構建安全域，并從外層到內層（即云的南北向）形成縱向防護機制，以多層安全保護措施實現南北向邊界防護；

·域內分類保護：分別在外部服務網、內部服務網和安全生產網的安全域內（即云的東西向）按應用系統安全需求，定制應用安全區，在安全域的應用安全區之間實現東西向邊界保護。同時在域內，按照數據的安全等級提供對應的防護策略，保證數據安全；

·邊界強化防護：在外部服務網、內部服務網和安全生產網安全域邊界，應在物理鏈路層、網絡層、應用層實行自下向上的防護策略。

在上述原則與策略的指導下，本規范的編制過程的主要思路包括以下四點：

·依法合規：遵照國家網絡安全方面的法律和條例，以國家等級保護最新要求為基礎，助力國家等保制度在城軌行業的落地。

·面向應用：以保證應用系統持續穩定運行為安全中心目標，安全防護設施不能影響應用系統的可用性。

·注重實效：適應各應用特點，為應用提供所需的安全保障與服務，保證其安全。

·協同防護：統籌自身安全與平臺保護，技術與管理并舉，安全專用設施與非安全專用設施配合。

圖1 城軌云網絡安全架構

《規范》設計的系統安全架構與基礎設施安全

城軌云的網絡由三張業務承載域（習慣稱為三網，包含外部服務網、內部管理網和安全生產網）和帶外管理域構成。每個網絡域內按照各自的功能需求劃分功能區，功能區之間應隔離，即域內隔離。在運維管理網中劃分單獨的安全管理區域，用于部署安全設備，支持安全審計、安全態勢感知等設備的使用。并設置專門的文件交換區，對于外部傳入的不明文件，通過安全檢測后才能導入城軌云網絡中。

總體上，安全生產網應按照等保三級建設，內部管理網應按照等保二級建設，外部服務網按各應用所需的級別建設，并確保達到相應等級的實際安全保護效果。

《規范》設計的邊界安全防護

圖2 城軌云網絡邊界防護

由于在城軌云的網絡中存在很多邊界，需要特別注意網絡邊界的安全防護，邊界安全是城軌網絡安全的關鍵點之一，故單獨列出此大類要求。涉及外部服務網與互聯網邊界，外部服務網與內部服務網邊界，內部服務網與安全生產網邊界，安全生產網與信號系統區邊界等十四類邊界，給出了各類邊界的具體安全防護要求。

《規范》設計的網絡安全

網絡安全部分主要包括：互聯網出入口安全、網站應用安全防護、無線WLAN接入外部服務網、無線LTE-M接入生產安全網、安全集中管控、安全審計與態勢感知等內容。

網絡層的安全，除了傳輸自身安全外，還應特別重視建立獨立的安全管理區，對網絡的整體安全情況進行集中管控，及時收集收集全部流量和日志信息，按照最新的等保2.0的要求，采用大數據、人工智能等新技術建設主動防御能力體系，分析發現發現異常設備和異常事件及潛在威脅，及時預警，根據態勢感知發出的告警，向設備下發阻斷、降級或脫網等策略。

《規范》設計的云計算環境安全

云計算環境是智慧城軌信息系統建設的基礎。規范按云的原理模型組織云計算環境安全要求：

·IaaS應用從平臺虛擬化安全、網絡安全、主機安全、存儲安全、終端安全等幾個方面規定了安全防護措施。

·PaaS應用從開放API安全、開發環境安全、中間件安全、數據庫安全、大數據平臺安全等幾個方面規定了安全防護措施。

·SaaS應用從應用軟件開發安全、應用數據遷移安全、應用系統自身的安全等幾個方面規定了安全防護措施。

·云計算平臺管理的安全防護措施。

《規范》設計的主要應用系統安全

圖3 主要應用系統部署圖

結合城軌業務應用特點、以等保的要求為基線，編制應用系統的規范。將城軌主要業務系統根據業務特點及安全原則分散部署在三張網，并根據各個應用系統各自的業務特點，提出了針對業務系統的安全要求。

《規范》設計的網絡安全管理機制

安全保障技術的實施離不開安全的保障機制，應參照國家等級保護制度，明確安全管理職責，建立配套的安全管理制度，保證安全技術措施同步規劃、同步建設、同步使用。