鐵路通信骨干網云安全技術保障體系研究

陳丹暉，周耀勝

我國鐵路經過持續多年的快速發展，目前在路網規模、運營質量、技術裝備以及經營管理水平上均達到世界領先水平。在交通強國、智慧交通的國家戰略背景下，在新時代高速鐵路智能化需求和ICT技術發展的驅動下，鐵路通信正在積極探索數字化轉型。作為新基建方面的重要基礎設施，通信系統云化已經成為通信行業發展的必然趨勢。

1 云安全威脅

在云計算中，非法入侵、惡意代碼攻擊、異常跳板等安全問題始終存在。與此同時，針對云平臺架構的虛擬機逃逸、資源濫用、橫向穿透等新的安全問題也層出不窮，而且基于云服務便捷性高、擴展性好的特點，利用云提供的服務或資源去攻擊其他目標也成為一種新的安全問題［1］。經分析，鐵路通信云發展面臨的安全挑戰有以下幾方面。

1.1 傳統威脅

鐵路通信云面臨著從傳統的病毒、木馬、系統漏洞攻擊，到新型的勒索軟件、挖礦程序，以及各種針對Web應用的攻擊。攻擊手段不斷增加，造成的危害也越發嚴重。

1）服務器資產不清晰。服務器虛擬化后，業務系統硬件設備看不見、摸不著，傳統依靠人工臺賬的方式統計虛擬資產，效率低、準確率差，對于服務器版本、應用、進程、端口等安全資產變化的掌控力弱，遭黑客攻擊的范圍大。

2）資產風險不可知。諸如操作系統、應用等自身的漏洞，配置缺陷、危險端口暴露，以及缺乏安全意識導致的弱口令等安全問題難以排查，安全風險無法實時感知。

3）對未知威脅缺乏防護能力。傳統的防護策略依賴特征和安全規則，對于0 day漏洞和新型惡意代碼沒有防護能力。

4）攻擊溯源不精確。當安全事件發生后，無法準確判斷黑客信息、入侵位置、攻擊路徑和攻擊手段等。

1.2 云計算環境威脅

由于是在云計算環境基礎架構上引入新的技術元素，因此也帶來了云環境下特定的安全問題。同時，因為業務信息化的快速增長，以及云計算技術易用性和便捷性的特點，造成云上業務不斷擴張。而不同業務系統安全等級的差異，又使云平臺內部的隔離性要求變得至關重要。因此應避免低安全等級業務系統成為攻擊高安全等級業務系統的“跳板”，防止威脅泛濫。

1.2.1 云虛擬化層威脅

云計算架構的核心是云操作系統，新的虛擬化層導致基礎硬件架構比傳統架構更復雜，使得攻擊有機可乘。云虛擬化層威脅主要體現在以下幾個方面［2］。

1）云操作系統提權。黑客利用云操作系統漏洞，越權訪問、監視宿主機，并橫向攻擊其他虛擬機，極大地威脅云上業務系統及數據安全。

2）虛擬交換機流量不可見。云計算導致傳統安全域劃分不可用，云平臺內部流量不可見。部分虛擬機之間的通信流量是基于云操作系統虛擬交換機，傳統的安全手段無法獲取相關信息，造成大量盲區。

3）虛擬云主機安全策略跟隨。云環境下，虛擬云主機在資源池內按需漂移，已設置的安全策略無法隨之遷移，會造成大面積安全策略失效。

1.2.2 云運維模式威脅

云計算運維模式與傳統環境的差異，也是云計算受到威脅的主要成因。如某政務云因為運維疏忽，租戶安全意識缺乏，沒有修改虛擬機模板中的統一弱密碼，造成黑客輕易獲取云主機權限，使得大量虛擬機淪陷，社會影響惡劣。在當今云化后的IT基礎設施構建方式發生根本變革后，云運維模式威脅主要來自以下幾個方面。

1）控制權變更。云平臺資產的創建和管理由租戶掌控，而云上漏洞、不當配置等信息，甚至資產信息本身完全黑盒。

2）云克隆。為提升云基礎架構的交付速度，云運維管理員會大量使用虛擬機模板快速創建云資源，而基于該方式創建的云主機往往使用相同的密碼，存在相同的不當配置項目。

3）批量漏洞。虛擬機大多從有限種類的幾種鏡像克隆而來，同一批次的虛擬主機在某個版本相同CVE ID的漏洞會大量產生，而批量補丁升級會對業務連續性造成影響。

4）云監管運營困難。由于控制權的變更，云平臺內部資產、流量、數據對于租戶已經完全處于黑盒狀態，云平臺內部發生什么，存在什么風險，租戶缺乏解決問題的抓手。

5）安全審計問題。對云運維管理員和用戶行為進行審計是難題之一，基于云計算的違規行為難以追查取證。

1.3 云安全管理

和傳統平臺相比，云安全管理需要進行的監管范圍更大、力度更強，不但需要識別和記錄云平臺中重要資產的安全狀態，還需要對所涉及的計算機、網絡以及應用系統的安全機制實施統一管理、集中監控、協同防護，從而發揮安全機制的整體作用［3］。

1）云管理員違規提權。云運維管理員因賬戶被盜或其他原因，導致云平臺資源大量違規訪問及數據竊取，造成惡劣的影響。

2）缺乏統一的聯動和管理機制。隨著各類安全產品日志數量的不斷增加、部署位置的分散且異構，導致現有安全能力割裂，僅憑機械的日志收集無法看清安全事件全貌。

3）補丁管理困難。云計算環境急需一套高效的虛擬機實體補丁管理系統，減輕批量漏洞的危害。同時，虛擬化、容器的鏡像、動態遷移等機制，也給補丁管理帶來挑戰。

針對云計算環境特性及安全需求分析，遵循等保2.0第三級安全要求，本文構建了一套基于WPDR3模型的鐵路通信骨干網云安全技術保障體系架構，通過全面提升云計算安全以及運營水平，并具備自適應、彈性伸縮、敏捷性等管理優勢，適應云計算動態變化的安全需求。

2 體系架構

鐵路通信骨干網云安全技術保障體系架構見圖1。主要由WPDR3安全模型、保護對象和縱深防御技術保障3個層面構成。

圖1 鐵路通信骨干網云安全技術保障體系架構

2.1 WPDR3安全模型

WPDR3模型源于鐵路通信網網絡安全關鍵研究課題，由告警、防護、檢測、響應、恢復及更新6個環節組成，在充分分析各類安全告警后，綜合運用防護手段，通過檢測工具，了解和評估系統的安全狀態，在適當的響應后，將系統風險調整為較低狀態，并結合系統恢復和對各種安全威脅源的自我學習（更新），構成了一個完整的、動態的安全循環［4］。

2.2 保護對象

云平臺安全包括通信網絡安全、區域邊界安全、物理主機安全和云自身管理平臺安全。而業務系統安全又包括虛擬網絡安全、虛擬主機安全、數據安全及應用安全等。

2.3 縱深防御技術

云平臺及業務系統安全防護，依照等保2.0基本要求及云擴展要求設計，防護技術覆蓋通信網絡、區域邊界、云安全資源池及安全管理中心，具體如下。

1）通信網絡：包含鐵路通信骨干網云平臺內外部通信過程中數據的機密性和完整性、通信網絡的安全審計，以及通信網絡的可用性等相關內容［5］。

2）區域邊界：指傳統安全設備防護的物理邊界。作為第一道防御，該邊界應實現對云平臺及云上業務系統至外部網絡的安全區域隔離、入侵防范及網絡惡意代碼防范等功能。

3）云安全資源池：為云上業務系統提供虛擬區域邊界和計算環境的安全防護。采用軟件定義安全的架構，按照云計算的理念，基于物理服務器、存儲和網絡設備，實現安全設備的資源池化［6］。云安全資源池防護組件包括虛擬防火墻、虛擬入侵檢測、虛擬Web應用防火墻、虛擬主機加固等多種虛擬安全網元，既可以通過系統業務邏輯，對各類安全組件進行組織編排和策略部署，實現統一的安全管理；還可以根據業務規模按需使用、彈性分配、平滑擴展，滿足不同系統的安全需求，實現各系統在身份鑒別、訪問控制、安全審計、入侵檢測、惡意代碼防范、數據及應用安全等方面的防護能力構建。

4）安全管理中心：集安全要素獲取、分析、處理、跟蹤、預測為一體，結合機器學習、外部情報聯動等技術，將各類資源的日志、事件、告警等進行匯集，并通過統一的管理界面，完成對網絡安全的統一管理；優化安全管理的體系和流程，清晰界定管理人員之間的工作職責，實現對計算環境安全狀況的全面掌控，從而提高對安全威脅的準確判斷。

3 構建方案

鐵路通信骨干網云平臺以彈性自適應云安全體系為理念，參照網絡安全等級保護基本要求和云計算擴展要求（第3級），在“一個中心、三重防護”安全設計思路的指引下，構建以鐵路通信骨干網安全管理中心及云安全資源池為核心，對云平臺的通信網絡、區域邊界和計算環境進行安全防護，同時為云上業務系統提供安全能力。鐵路通信骨干網云安全防護部署見圖2。基于安全管理和業務需求，設立安全管理中心、云安全資源池及邊界防護區。防護能力構建方案如下。

圖2 鐵路通信骨干網云安全防護部署

3.1 安全管理中心

鐵路通信骨干網安全管理中心，通過集中部署安全管理平臺、漏洞掃描、堡壘機、數據庫審計、日志審計、終端防護及管控等安全設備，綜合設備資產、日志信息、安全基線、漏洞、告警、流量等信息的關聯分析和趨勢預警，實現對云平臺物理/虛擬網絡、物理/虛擬主機、數據、應用等各類資產的集中監控、數據日志的統一管理與審計，以及安全事件的統一呈現，并對納管終端按照策略進行惡意代碼檢測、漏洞修復及網絡準入，滿足鐵路通信骨干網云平臺的日常運維及管理需求［7］。

3.2 云安全資源池

云安全資源池不僅實現對云平臺自身服務器、存儲、網絡的安全防護，還對虛擬主機安全配置加固、虛擬資源隔離和獨占、虛擬主機惡意代碼防范、虛擬入侵防范、虛擬補丁管理、鏡像和快照保護等方面進行安全防護。各虛擬安全組件可根據實際需要開啟一個或多個實例，滿足不同的需求［8］。

安全組件包括虛擬防火墻、虛擬入侵檢測、虛擬Web應用防火墻、虛擬服務器加固等。通過構建虛擬防火墻，可滿足云平臺內部虛擬機之間、虛擬機與宿主機之間的虛擬邊界防護，滿足虛擬邊界防護與控制、網絡側惡意代碼防范等方面的相關要求；虛擬入侵檢測系統可對云平臺內部網絡流量進行安全監測，檢測來自網絡內部的網絡攻擊和網絡入侵；虛擬Web應用防火墻對云平臺或承載業務的WebService應用接口進行安全防護，檢測并防止對云平臺應用業務的SQL注入、XSS注入、Webshell上傳等基于http協議的應用層網絡攻擊；虛擬主機加固可對云平臺宿主服務器及業務系統虛擬機的計算環境進行安全保護，包括主機防火墻、主機IPS等［9］。

3.3 邊界防護區

1）設備冗余部署。接入路由器、邊界防火墻、核心交換機及相關鏈路采用冗余部署，并在通信過程采用SSH或 HTTPS等加密手段，提高業務通信過程中數據的保密性。

2）邊界防護。指云平臺局域網與廣域網間的物理邊界防護，綜合考慮業務吞吐率等性能需求，在云平臺局域網與廣域網間的物理邊界部署物理防火墻、入侵防御及未知威脅檢測設備，對云平臺進行邊界防護，以滿足等級保護中安全區域邊界關于邊界防護與控制、入侵防范、網絡惡意代碼防范等方面的相關要求。

4 未來展望

隨著網絡安全形勢的劇變，網絡空間安全戰略地位逐步凸顯，而云計算基礎設施作為重要的數字資產及業務聚集地，面臨的安全形勢尤為嚴峻。

將云計算資源集中共享、彈性按需調配的特性應用于安全領域，通過“軟件定義流量、軟件定義資源、軟件定義威脅”，為鐵路通信骨干網絡與業務系統安全邊界的劃分和防護、安全控制措施選擇和部署、安全監測和安全運維等帶來新的技術機制，為鐵路通信構建動態的、閉環的、軟件定義的云安全體系，讓云安全問題的解決變得簡單、敏捷、合規。