城市軌道交通云平臺信息安全方案研究

張曉波

（廣州地鐵設計研究院股份有限公司，廣東廣州 510030）

新時代軌道交通應以人民為中心，貫徹創新、協調、綠色、開放、共享的新發展理念，構筑多層級、一體化的綜合交通樞紐體系，大力發展智慧交通，推動新技術與交通行業深度融合，構建現代化的綜合交通運輸體系，構筑快速交通網。信息化技術是智慧城軌建設的核心和基礎，云計算作為信息化技術創新服務模式的集中體現，已經成為支撐各行業發展的關鍵信息基礎設施。云計算的資源共享、按需自助服務、彈性伸縮、可計量、廣泛的網絡接入等特點，驅動業務能力快速復制、靈活擴展及迭代，革命性改變傳統IT服務提供方式。各地軌道交通企業都在大力建設軌道交通云平臺，并將各種軌道交通業務系統承載在云平臺上，是確保軌道交通云平臺信息安全是保證城市軌道交通能夠安全、可靠運行的基礎。

1 需求分析

1.1 管理需求

城市軌道交通云平臺的建設需要符合最新監管合規的各項要求，如網絡安全法、網絡安全等級保護基本要求、智慧城軌信息技術架構和信息安全規范等法律法規的要求。云平臺需要滿足三級等保要求，并為云上業務系統提供IaaS層的三級等保能力。云平臺的安全體系建設參考等級保護三級基本要求，搭建符合業務運行基本安全需求的安全體系，爭取做到既考慮安全實效，又兼顧投資成本，減少安全疏漏，避免貪大求全。

適度安全：信息安全業界的基本原則之一就是沒有絕對的安全，多少預算都無法保證云數據中心的絕對安全。隨著云數據中心安全性的提高，需要的預算也越來越高，系統的性能和靈活程度就越低。安全體系建設的目標為適度安全，在合理的預算范圍內，盡可能保證云數據中心免受外部用戶和內部人員的非惡意安全威脅。

前瞻性和可擴展性：云數據中心云平臺建成后，將接受公安部的等級保護測評，安全體系的設計應具有前瞻性和擴展性，保證后續可以逐步擴充，接受測評時不會由于設計不合理導致返工和浪費。

1.2 業務需求

當前城市軌道交通業務系統擁有自己的獨立的網絡，城市軌道交通云平臺及網絡部署后，需要考慮部分業務上云、部分業務自有網絡運行的混合運行模式以及混合運行模式下的安全防護。混合運行模式下，需要對各業務系統的縱向網絡防護以及云平臺自身及承載業務的防護分別設計。云平臺需要為部署在多個安全域的業務系統定制協同一致的安全策略，提供基礎平臺的安全服務，以保證業務的完整性。基于平臺云化的需求，信息安全需要考慮前瞻性，安全需要適應云平臺的需求；安全服務化，具備敏捷、彈性能力；基于云平臺承載的業務，持續提升云平臺的安全服務能力。

2 信息安全方案設計

2.1 信息安全防護概述

從城市軌道交通縱向網絡層級分析，城市軌道交通云平臺安全設計包括車站、車輛段、停車場的安全、區域控制中心的安全以及數據中心的安全設計。從業務系統承載層面分析，城市軌道交通云平臺安全設計包括云平臺自身的安全以及云平臺為業務系統提供的安全能力。

目前城市軌道交通云平臺通常為私有云部署模式，且當前定位主要是IaaS平臺，云平臺上業務系統的信息安全防護由業務系統自身及云平臺的安全機制共同保障，云平臺應具備支持業務系統達到網絡安全等級保護第三級的能力。云平臺保證關鍵業務的持續可用性，為各個業務定制安全服務，達到其所需的安全能力。云平臺為云上業務系統提供的安全服務包括云主機安全防護、租戶隔離、租戶安全防護等。

2.2 主要設計原則

根據信息安全防護要求，城市軌道交通云平臺安全防護總體方案的設計應遵從“規范定密、準確定級，依據標準、同步建設、突出重點、確保核心，明確責任、加強監督”的原則。

安全保護范圍：云平臺以各處的匯聚交換機為界，僅保證云內部的安全，云外的安全措施由各業務系統自行考慮。

分域分級防護：根據信息密級、管理權限等劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護。

技術和管理并重：采取技術和管理相結合的整體安全防護措施。

最小授權與分權管理：用戶的權限應配置為確保其完成工作所必需的最小權限，并使不同用戶的權限相互獨立、相互制約，避免出現權限過大的用戶或賬號。

易操作性：安全措施應易于操作，且不影響業務系統的正常運行。

適應性及靈活性：安全措施應靈活適應業務系統性能及安全需求的變化，容易修改和升級。

多重保護：建立一個多重保護系統，各層保護相互補充，一層保護被攻破時，其他層保護仍可保護信息的安全。

2.3 業務系統承載設計

城市軌道交通云平臺的服務對象是業務系統，各業務系統通過骨干網的各級接入節點及數據中心節點連接云平臺，使用云平臺的計算、網絡和存儲資源。根據《智慧城軌信息技術架構及信息安全規范》規定，應遵循“系統自保、平臺統保、邊界防護、等保達標、安全確保”策略，以網絡安全等級保護為基礎，分級分類建立應用系統的安全保護措施。

承載在云平臺和自有網絡運行的部分，都需要各業務系統管理者自行部署安全防護策略，安全責任也歸屬于業務系統管理者。

對于承載在云平臺上的業務系統，安全由應用系統自身安全機制和云平臺的安全機制協同保障，根據各業務系統的安全訴求，云平臺需要提供對應的安全能力，在各層級、各區域分別給予防護。

承載在云平臺上的各業務系統，應采用“網間分級隔離”策略。在云平臺網絡節點上采用路由+轉發平面隔離，在云數據中心為各業務系統提供專屬的虛擬網絡（VPC）。VPC之間可以實現安全隔離，保證不同業務系統之間的安全隔離以及云平臺與業務系統之間的安全隔離。如果業務系統之間通過云平臺互通，應在云平臺數據中心及骨干網的對應位置部署安全防護策略，對業務系統之間互訪的流量進行防護，保證流量正常轉發。

2.4 云平臺信息安全設計

城市軌道交通云平臺對于安全的需求，可以從物理、虛擬化控制以及安全服務三個層面整體進行安全體系的建設，以達到等級保護三級的設計要求。

體系框架如圖1所示。

圖1 城市軌道交通云平臺信息安全體系框架

在滿足等級保護三級安全防護要求的同時，需要結合云平臺的安全體系架構落實。云平臺內部建立云內的網絡安全防護機制，在未經過授權允許的情況下，云內各系統間默認情況下不能相互訪問，將不同應用系統加入不同安全區域，不同安全區域之間的云主機網絡默認隔離。需要互通時，通過部署安全策略，打開互訪通道。

根據三級等保要求及城軌信息安全規范的要求，云平臺需要對計算環境安全、區域邊界安全、通信網絡安全和集中安全管理等維度進行設計。

（1）計算環境安全。

對云平臺本身的服務器、操作系統、數據庫、業務應用以及數據的安全性要求外，等保2.0對鏡像和快照安全、虛擬化安全等方面提出了要求。云平臺基于虛擬化技術部署了計算資源的池化、動態配置以及資源編排。

針對虛機創建、使用、遷移過程中可能存在的風險，需要對虛擬化平臺（Hypervisor層）安全、虛機隔離、虛機鏡像安全等進行設計。在Hypervisor層部署深度安全防御，將傳統網絡中的防病毒方案引入虛擬化內核架構，形成無代理的虛擬化殺毒方案。

（2）區域邊界安全。

不同的區域間實現互聯互通的同時，網絡邊界需要采取必要的安全接入、訪問控制、入侵防范、安全審計等措施，以實現平臺內部計算環境安全。安全層面需要在車站、車輛段、停車場、區域控制中心及數據中心邊界部署安全策略。

（3）通信網絡安全。

網絡通信安全一方面是安全云網絡架構以及虛擬網絡架構的安全性設計，使整體網絡資源分布、架構合理；另一方面是網絡傳輸數據的安全性，確保網絡傳輸的數據安全、完整、可用。根據云平臺的計算、存儲等資源需求以及站段場、控制中心到數據中心訪問流量的估算，預留充分的網絡設備性能及帶寬的擴展空間。網絡帶寬、設備性能、通信線路及設備冗余需要充分考慮。

（4）安全管理中心。

安全管理中心是安全防御體系的核心，包括系統管理、審計管理和安全管理。通過技術工具實現集中管理，便于云平臺資源調度、管理和監控，實現統一運維、認證、授權。

3 結語

面對信息安全風險和加強防護意識的形勢，城市軌道交通工程應依照等級保護規范打造針對城市軌道交通云平臺的信息安全防御體系。本文從城市軌道交通云平臺信息安全的需求分析入手，對云平臺的設計原則、云上業務系統承載方案、云平臺信息安全方案進行研究，制定了城市軌道交通云平臺安全體系框架，有利于在城市軌道交通行業內建立統一標準，為城市軌道交通云平臺信息安全體系的設計和建設提供指引。