城軌云架構(gòu)下的網(wǎng)絡(luò)安全風(fēng)險與安全建設(shè)思考

宣樹達(dá)

（天津軌道交通運(yùn)營集團(tuán)，天津 300392）

隨著國內(nèi)城市軌道交通的建設(shè)發(fā)展，運(yùn)營里程和運(yùn)營線路快速增長，城市軌道交通建設(shè)呈密集化、線網(wǎng)化，運(yùn)營管理、調(diào)度指揮向集中化發(fā)展，云計算等適應(yīng)未來地鐵運(yùn)營發(fā)展的信息技術(shù)也逐漸得到應(yīng)用。依托軌道交通協(xié)會發(fā)布的智慧城軌信息技術(shù)架構(gòu)，武漢地鐵和呼和浩特地鐵進(jìn)行了城軌云的示范工程和試點(diǎn)工作的推進(jìn)，天津地鐵也在進(jìn)行云平臺的規(guī)劃建設(shè)并將相應(yīng)信息系統(tǒng)按需逐步的遷移到云平臺。軌道交通信息通過云平臺來統(tǒng)一承載與集中管理的趨勢逐步顯現(xiàn)。

在信息化快速發(fā)展的今天，網(wǎng)絡(luò)安全的重要性日益凸顯。當(dāng)前網(wǎng)絡(luò)攻擊活動日益猖獗，目標(biāo)也從普通網(wǎng)絡(luò)用戶向關(guān)系到社會甚至國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施延伸。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)是基于防火墻、IPS/IDS、堡壘機(jī)等設(shè)備進(jìn)行分散被動的安全防御，無法應(yīng)對新技術(shù)架構(gòu)下有組織、有目標(biāo)的更高級網(wǎng)絡(luò)攻擊手段。軌道交通信息化正處于向云化架構(gòu)演進(jìn)的發(fā)展過程中，同樣面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，應(yīng)當(dāng)建立一種新的網(wǎng)絡(luò)安全架構(gòu)，綜合運(yùn)用態(tài)勢感知、零信任等新的網(wǎng)絡(luò)安全技術(shù)，實(shí)現(xiàn)對安全威脅的提前感知、主動防御，構(gòu)建全局性縱深防御體系。

1 網(wǎng)絡(luò)安全風(fēng)險與挑戰(zhàn)

城軌云技術(shù)架構(gòu)一般為線網(wǎng)中心云平臺+車站兩級架構(gòu)，通過數(shù)據(jù)中心網(wǎng)絡(luò)、骨干傳輸網(wǎng)絡(luò)等進(jìn)行數(shù)據(jù)互通的方式進(jìn)行部署［1］。在云計算模式下，資源具備一定的冗余能力和可擴(kuò)展性，可以更好地進(jìn)行彈性調(diào)度與伸縮擴(kuò)展，使云資源具備更好地可用性和開放性，但也暴露了更多風(fēng)險面；云計算的架構(gòu)以及IaaS、PaaS和SaaS的服務(wù)模式、引入的管理組件和性能模塊容易成為網(wǎng)絡(luò)攻擊新的目標(biāo)。

在IaaS服務(wù)模式下，可以創(chuàng)建鏡像，通過鏡像開通云主機(jī)的方式可以獲得一致的軟件環(huán)境，簡化了配置過程，但如果鏡像被惡意篡改或植入病毒等，在利用此鏡像批量創(chuàng)建云主機(jī)時，安全風(fēng)險將被成倍擴(kuò)大；同時IaaS服務(wù)下因虛擬化平臺和管理組件被攻擊引起的主機(jī)越權(quán)與虛機(jī)逃逸、虛擬機(jī)遷移過程中的資源數(shù)據(jù)完整性問題，PaaS服務(wù)模式下的鏡像篡改、容器逃逸和SaaS下數(shù)據(jù)與鑒別信息泄露等風(fēng)險也同樣威脅著云平臺系統(tǒng)安全，需要重點(diǎn)關(guān)注［2］。

隨著新技術(shù)的快速發(fā)展，網(wǎng)絡(luò)入侵和攻擊方式也呈多樣化、復(fù)雜化的趨勢。APT（Advanced Persistent Threats，高級持續(xù)性威脅）攻擊逐步引起信息安全專業(yè)的高度重視。APT攻擊具有入侵目的明確、隱蔽性強(qiáng)、持續(xù)時間長、威脅程度高的特點(diǎn)［3］。見圖1。

圖1 APT攻擊概念與特點(diǎn)

傳統(tǒng)的安全檢測與防護(hù)手段一般是從技術(shù)角度對安全威脅進(jìn)行識別；但對APT攻擊早期的信息收集分析行為，缺少反信息收集的安全應(yīng)對策略，難以對惡意行為提前預(yù)警；另外，APT攻擊善于利用“0day”漏洞、未知惡意程序及特征庫更新與安全監(jiān)測匹配的滯后性，加大安全防護(hù)的難度。傳統(tǒng)安全防護(hù)缺乏通過用戶身份、行為習(xí)慣及之間的關(guān)聯(lián)關(guān)系形成綜合安全策略的防御能力，這也是APT攻擊容易得手的原因之一。總之，APT攻擊的實(shí)施者采用更具策略性與計劃性的組合，使用多種網(wǎng)絡(luò)攻擊手段，增加了成功竊取核心數(shù)據(jù)或破壞重要信息基礎(chǔ)設(shè)施的概率，為網(wǎng)絡(luò)安全保障帶來相當(dāng)大的壓力。

2 防護(hù)體系構(gòu)想

面對新技術(shù)發(fā)展下日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，傳統(tǒng)方式下被動、靜態(tài)與分散的安全架構(gòu)及安全技術(shù)已經(jīng)難以滿足網(wǎng)絡(luò)安全發(fā)展的需要，難以有效應(yīng)對APT攻擊這類新的綜合性網(wǎng)絡(luò)入侵，需要構(gòu)建更加符合未來發(fā)展需要的網(wǎng)絡(luò)安全架構(gòu)體系。

結(jié)合態(tài)勢感知技術(shù)與零信任模型，建設(shè)管控全局化、風(fēng)險可視化、防護(hù)主動化的“一個中心、三重防護(hù)”安全體系，可以更有效地應(yīng)對當(dāng)前形勢下網(wǎng)絡(luò)安全風(fēng)險。見圖2。

圖2 基于一個中心三重防護(hù)的安全建設(shè)構(gòu)想

建設(shè)安全管理中心，分別對計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)體系進(jìn)行管理，實(shí)施多層隔離和保護(hù)，可以防止某薄弱環(huán)節(jié)出現(xiàn)問題影響整體安全，這也是等保2.0中明確提出的安全防護(hù)框架［4］。

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以更好地解決傳統(tǒng)安全防護(hù)分散單一、被動防御、關(guān)聯(lián)性較弱的問題。態(tài)勢感知是在網(wǎng)絡(luò)環(huán)境中對引起安全態(tài)勢變化的要素進(jìn)行獲取、理解、展示以及對發(fā)展趨勢進(jìn)行評估預(yù)測，從而幫助決策和行動的技術(shù)，是一種動態(tài)地、整體地洞悉安全風(fēng)險的能力［5］，包括態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測3個主要階段。在態(tài)勢獲取階段會通過采集設(shè)備、主機(jī)、應(yīng)用日志告警、異常流量數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、賬號信息、漏洞與脆弱性和威脅情報來進(jìn)行狀態(tài)識別與威脅感知；態(tài)勢理解階段對獲取的數(shù)據(jù)與信息進(jìn)行特征提取、載荷內(nèi)容還原、協(xié)議分析、會話關(guān)聯(lián)分析、綜合評估與攻擊溯源取證并對攻擊行為進(jìn)行建模與畫像；在態(tài)勢預(yù)測階段，利用人工智能和深度學(xué)習(xí)，對分析數(shù)據(jù)進(jìn)行整理分類、趨勢歸納、場景構(gòu)建、推演和安全態(tài)勢的預(yù)測，挖掘預(yù)測數(shù)據(jù)的處置與響應(yīng)策略。態(tài)勢感知能夠盡可能的在安全損害發(fā)生之前或早期發(fā)現(xiàn)威脅，以便及時進(jìn)行響應(yīng)處置，降低損失，保障網(wǎng)絡(luò)安全［6］。

零信任模型的理念是默認(rèn)情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的人員、設(shè)備、系統(tǒng)。任何訪問均需要基于認(rèn)證和授權(quán)來建立，即通過持續(xù)認(rèn)證、動態(tài)授權(quán)和全面審計在訪問主體、運(yùn)行環(huán)境、訪問客體間建立可信的訪問鏈條，以確保動態(tài)安全。見圖3。

圖3 零信任安全技術(shù)體系

零信任模型引導(dǎo)安全認(rèn)證體系從“網(wǎng)絡(luò)中心化”向“身份中心化”過渡。城軌云技術(shù)架構(gòu)網(wǎng)絡(luò)邏輯邊界延伸到云租戶，其按需服務(wù)、資源彈性調(diào)度等特點(diǎn)導(dǎo)致應(yīng)用與服務(wù)暴露面增多，加大了安全風(fēng)險；而零信任模型的訪問控制體系對云租戶身份、終端環(huán)境以及訪問行為的持續(xù)認(rèn)證、動態(tài)評估、最小化授權(quán)可以更好地應(yīng)對城軌云架構(gòu)下的安全訪問風(fēng)險［7］。

在“一個中心三重防護(hù)”架構(gòu)中，安全管理中心作為整個體系的安全中樞與三重防護(hù)域進(jìn)行信息互通與協(xié)同聯(lián)動，負(fù)責(zé)態(tài)勢感知、零信任等一系列安全防護(hù)策略的全局性管控；三重防護(hù)域通過設(shè)備、協(xié)議與策略部署進(jìn)行安全信息的全面感知、訪問的信任評估并根據(jù)安全管理中心的協(xié)同聯(lián)動實(shí)施動態(tài)防護(hù)；同時，安全管理中心的可視化界面能夠?qū)①Y產(chǎn)對象態(tài)勢、脆弱性態(tài)勢、網(wǎng)絡(luò)攻擊態(tài)勢、安全事件及告警態(tài)勢等通過圖形化的方式進(jìn)行持續(xù)性、多維度跟蹤展示，為輔助決策、動態(tài)調(diào)整全局安全策略、準(zhǔn)確響應(yīng)處置提供依據(jù)。

建設(shè)態(tài)勢感知和零信任結(jié)合的“一個中心三重防護(hù)”安全架構(gòu)，可以實(shí)現(xiàn)安全風(fēng)險可視化、防御策略全局化、安全防護(hù)主動化，更好地滿足城軌云架構(gòu)下的網(wǎng)絡(luò)安全發(fā)展需求，更加有效地保障信息系統(tǒng)的安全運(yùn)行。

3 結(jié)語

城軌云是智慧城軌的平臺基礎(chǔ)，是未來發(fā)展的趨勢；在充分利用云技術(shù)優(yōu)勢的同時，也要做好應(yīng)對網(wǎng)絡(luò)安全風(fēng)險挑戰(zhàn)的準(zhǔn)備。智慧城軌相應(yīng)規(guī)范和等保2.0的發(fā)布為城軌云和網(wǎng)絡(luò)安全建設(shè)提供了標(biāo)準(zhǔn)依據(jù)；在此基礎(chǔ)上，與時俱進(jìn)、積極探索新技術(shù)的特點(diǎn)和應(yīng)用場景，關(guān)注新技術(shù)的應(yīng)用實(shí)踐與優(yōu)化完善，關(guān)注技術(shù)架構(gòu)與組織管理的同步適配，建立一個符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全發(fā)展需求的體系是應(yīng)該堅持思考的方向。