云軌工程網絡信息安全研究

■ 左需

0 引言

目前，許多城市面臨嚴重的交通擁堵問題，比亞迪汽車工業有限公司（簡稱比亞迪公司）創新研發了獨具特色的軌道交通工具——比亞迪云軌。云軌作為一種新型的中運量軌道交通工具，具有噪聲低、乘坐舒適、景觀性好、占地面積小、建造費用低等優點，能夠很好地解決城市擁堵問題。

信息技術正在全球各領域快速發展，人們在享受網絡信息發展成果的同時，也遭受了很多由網絡安全問題引起的不良后果。當前城市軌道交通行業的網絡安全不容樂觀，需要提高防護意識。云軌作為一種新型的軌道交通工具，它的安全可靠性關系到廣大乘客的人身安全，因此比亞迪公司對云軌的網絡信息安全十分重視。相關部門對云軌網絡信息系統進行了詳細評估，發現云軌網絡信息安全面臨著一些挑戰，例如內網攻擊工具泛濫、網絡邊界眾多、管理復雜、互聯網業務帶來新的風險等。在云軌建設中，針對這些問題提出解決方案，以保證達到國家要求的標準水平，實現對網絡攻擊的全面防護。

比亞迪云軌線路涉及4大子系統，包括車地無線、信號、通信和乘客服務系統。隨著信息通信領域新技術、新業務的不斷發展，網絡攻擊手段更加復雜和隱蔽，網絡信息安全形勢日趨嚴峻。云軌作為一種重要的基礎設施，全面提升其網絡設備安全以及網管系統的網絡安全風險防范能力，具有極其重要的意義。

2017年《中華人民共和國網絡安全法》正式實施，表明網絡信息安全已經提升到一個前所未有的高度[1-2]。該標準文件明確指出國家對公共通信、信息服務、能源、水利等各行業網絡安全的高度重視，必須確保國家網絡處于絕對安全的地位。在這一背景下，比亞迪云軌線路信息安全設計方案的目的是：保證云軌線路的系統在各種安全威脅下各項業務能夠正常運行，保障乘客服務系統業務服務區的安全，以及乘客服務、信號通信系統之間的安全訪問控制。

1 信息安全設計概述

1.1 網絡信息系統的定級

比亞迪云軌的網絡安全建設嚴格依據GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》[3]。2018年步入信息系統安全等級保護（簡稱等保）2．0時代，等保基本要求也有了相應變化，一是從技術要求方面進行規范，包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面；二是從管理要求方面進行規范，包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理[2]等方面。信息系統安全等級保護基本框架見圖1。

依照GB/T 22240—2008《信息安全技術 信息系統安全等級保護定級指南》[4]規定，定級要素與安全保護等級的關系見表1。

為使比亞迪云軌工程在嚴峻的網絡安全形勢下能夠高效運作，比亞迪公司從云軌網絡信息安全系統的受侵害客體和對客體的侵害程度2方面考慮，對云軌的網絡安全進行了全面而具體的安全防護。根據相關法律法規，比亞迪公司的網絡信息安全能夠達到國家要求的三級等級保護要求，從而可確保云軌網絡信息系統在研發、制造、應用實施以及之后的運營都能達到相應的技術要求和管理要求。在對信息系統進行定級認證后，嚴格按照網絡安全定級指南制成備案，并保存到相關部門安全存檔。

1.2 信息安全設計原則

根據比亞迪云軌對線路網絡信息安全的需求，安全方案設計必須滿足以下原則（見圖2）：

（1）先進性原則：網絡信息傳輸的設備需要專用的硬件平臺和安全的軟件平臺，所采用的設備必須是順應業界技術發展趨勢，屬于行業知名且具有領先性和成熟性的技術和產品。例如，面對一些具有潛伏時間長、攻擊程度深、檢測技術難等特點的高級持續性威脅（Advanced Persistent Threat，APT）時，能夠做到有效防護，并具有前瞻性。

（2）方案成熟性原則：網絡安全信息系統是線路運營的重要基礎設施，必須要提高網絡設備及內網業務區的網絡安全風險防范能力。安全設備由于部署在關鍵節點，設計時必須考慮高可靠性因素。

（3）可擴展性原則：隨著信息化的不斷發展，內網設備增加或者更新，帶寬的需求也會相應增長，所以應充分保證網絡各部分帶寬滿足流量高峰期的需要。而且相應的擴展能力要適合軌道交通行業的發展，不能造成資源的浪費。

（4）開放兼容性原則：能夠達到相應產品的設計規范，并且符合國際標準，兼容其他廠家產品，能夠與其他系統做到合理的互聯，并本著有效性原則以保護投資。

2 信息安全設計方案

2.1 設計要點

通過分析比亞迪云軌交通系統的安全述求，提出層次立體、防護全面、安全可靠的解決方案。解決方案主體目的是在安全準入機制的基礎上對未知威脅實現攻擊防護和入侵檢測。應用智能的安全運行平臺實現位置威脅防護和高業務連續型設計，該安全方案可為比亞迪云軌交通系統打造立體的安全防護體系。整個方案涵蓋4個維度：邊界防護、攻擊防護、安全管控與審計、未知威脅防護，每個維度分別包括多個子安全解決方案[5]。以下對其中3方面進行詳細闡述。

（1）邊界防護：研究表明很大一部分網絡安全問題來自企業內網管理松懈。比亞迪公司通過對內網進行合理的區域劃分和在網絡邊界進行有效的訪問和隔離，做到內部的嚴格管理，保證網絡安全；通過網絡防病毒網關對網絡中傳輸的流量進行病毒檢測和防護，避免病毒在內網中傳播。

圖1 信息系統安全等級保護基本框架

表1 定級要素與安全保護等級的關系

圖2 網絡安全設計原則

（2）攻擊防護：具有全面的流量檢測能力，提供獨立的流量還原能力，可以識別主流網絡協議，從而確保所通過的網絡傳輸文件安全可靠。支持信譽體系、基于特征的惡意檢測方式、啟發式檢測引擎及虛擬執行，從而提高對以APT為代表的下一代威脅的應對能力，并提供下一代威脅的所有危險操作清單，讓用戶對威脅的攻擊過程、攻擊目標一目了然。具有優秀的業務分析能力，同時支持水平擴容組成分析集群。提供接近實時的處理能力，有效地實現對下一代威脅的檢測響應降到秒級，并與下一代防火墻配合實現在線防御能力。提供一流的針對APT的反躲避手段，也能夠提供基于虛擬機的檢測技術。

（3）安全管控與審計：進行統一的安全管控，對網絡中日志事件、告警事件進行收集，分析問題之間的關系，得出問題產生的原因，最后以精確的安全報警信息傳達給運維人員，輸出合規性報告。運用安全審計手段，按照相關標準實現精確報警、事后追溯、實時監控的功能。

2.2 詳細方案

信號與通信融合組成一張大的環形組網，環網采用3層互聯，防火墻掛在融合控制中心路由器上，將信號和通信系統劃分成不同的安全領域，信號與通信系統之間通過防火墻上安全策略實現安全互訪。通信系統之中每個系統用不同的虛擬私人網絡（Vitual Private Network）實例進行系統區分以及業務的安全隔離。

乘客服務系統按照等級保護安全三級的原則，在互聯網接入區部署分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）設備、防火墻、入侵防御系統（Intrusion Prevention System，IPS）以及防病毒網關設

備以保障流量的安全接入；通過在核心交換機旁掛IPS、網站應用級入侵防御系統（Web Application Firewall）以及沙箱設備進行入侵檢測；網管區內部署統一運維審計（Unified Maintenance Audit）堡壘機，實現設備運維安全審計；部署準入控制服務器，實現用戶的安全接入和接入終端的安全檢查。真正實現從網絡、主機、應用、數據和管理各個層面防御各種安全威脅。云軌各系統網絡防護組織架構見圖3。

2.3 安全防護設備的具體作用

（1）防火墻部署：基于高可靠性考慮，出口防火墻建議部署分布式、雙主控、高性能的設備，功能包括網絡地址轉換（Network Address Translation）、應用協議識別、流量控制等安全功能，進行出口安全防護。

（2）沙箱設備部署：沙箱設備部署在防火墻的一側，防火墻通過網絡接口向沙箱設備提交待檢測文件，等沙箱完成檢測后，防火墻通過結果查詢接口查詢檢測結果，同時沙箱也可以通過自身網絡產品界面設計（Website User Interface）展示檢測結果。沙箱設備采用獨特的3層防御體系，通過靜態檢測、啟發式檢測和虛擬執行3層防御體系實現對APT高級威脅的高性能、高準確率防御。

（3）DDoS部署：經過分析研究，采用Anti-DDoS系統進行網絡流量分析，深入分析流量，精心打造“7層凈化”構架，可有效識別現代網絡流量型和應用型等多種類型的攻擊，從而保證客戶接受流量信息的正確與安全。

（4）IDS部署：專業檢測相關服務器的各種攻擊，檢測Web應用相關攻擊，檢測蠕蟲、木馬、間諜軟件、廣告軟件、僵尸網絡等惡意軟件，提供具體、有效的技術指導措施，最終實現從防護、檢測到響應的整體性解決方案。

圖3 云軌各系統網絡防護組織架構

（5）安全審計部署：安全審計員對安全審計機制進行集中管理，負責日志監視、日志管理、審計分析等方面的工作。

（6）堡壘機部署：堡壘機可以集中管理和控制一些信息技術資源，從而實現認證、授權和審計等功能。用戶的遠程操作可以在堡壘機上集中體現，通過二次跳轉技術直接將用戶和相應的服務器進行連接，使用戶對服務器資源互通實現集中管理，做到對資源操作的認證、控制和審計。

（7）IPS部署：防御蠕蟲活動、針對瀏覽器和插件漏洞的攻擊，使企業辦公網絡健康運行。攔截基于漏洞攻擊傳播的木馬或間諜程序活動，保護辦公電腦的隱私、身份等關鍵數據信息。利用標準的IPS功能、應用感知、應用層威脅防御、環境感知、未知威脅檢測等技術進行全面防護。

（8）Web應用防御：防止系統開發人員由于缺乏安全意識，造成Web業務系統存在代碼層面的漏洞，使黑客能夠利用這些漏洞對網站發起攻擊行為。

（9）防病毒網關：能夠快速準確地對網絡層和應用層的病毒進行掃描和查殺，在基本不影響原網絡的情況下最大程度地提高所保護網絡對病毒的防御能力。基于云的Avamar虛擬化（Avamar Virtual Edition）部署靈活，既可以工作在2層業務接口，也能工作在3層業務接口，支持多種接口卡，以多種方式為用戶網絡提供最大程度的投資保護。

3 信息管理

3.1 信息管理設計要點

比亞迪公司嚴格按照信息系統等級保護基本要求的新規定，即“等保2．0”來設計信息管理，采取科學、合理的設計理念，全力打造健康、安全的信息管理平臺。

（1）安全策略和管理制度：信息安全策略是在特定的安全環境中，提供一種能夠保證一定安全級別的規則。實現網絡信息安全不僅依靠專門的安全策略，也需要嚴格的安全管理制度，這樣才能讓企業網絡安全處于一個相對穩定的運作環境。

（2）安全管理機構和人員：設置合適的崗位分工制度，各級別相關人員應具有符合自己崗位的管理權限來約束信息安全監管權力。既能夠保證信息系統的安全運作，還能讓管理人員工作高效。

（3）安全建設管理：要確保信息安全，應從信息安全的三大性質（數據保密性、數據完整性、數據可用性）入手，采取相應措施組成階段性的建設方案，即在安全策略確定、安全風險分析、實施方案設計、后續組織監督4個階段開展對安全的建設管理。

（4）安全運維管理：安全運維從日常設備維修和訪問權限控制兩大方面進行管理[3]。

3.2 信息管理平臺功能

該信息管理方案是用于監管綜合安全事件的軟件管理平臺，處理公司網絡信息安全事件，進行數據的匯集、統計，還能與網關系統連接，實現實時監控、遠程報警的功能。僅有軟件監控平臺是不夠的，還需要1臺能夠用于處理特殊事件的網絡安全服務器，這臺服務器安裝特定的安全管理客戶端，在平時某些特殊情況下也能實現安全監控[4]。上述方案主要具備以下功能：能夠實現某些特殊業務的資產管理；能夠動態顯示某些特殊業務的風險狀態；對公司各部門的互聯網協議地址（Internet Protocol Address）實行流程化管理；對安全產品的生產能夠集中管控；能夠檢測誤報警信號的真實性；能夠分析各種安全事件的本質原因；運用技術手段實現安全管理；擁有安全運維的考核機制。信息管理平臺功能體系架構見圖4。

3.3 信息管理體系應用效果

除了對網絡安全等級保護管理體系進行建設，比亞迪公司也建立了系統的安全管理制度和考核體系，整體上提升了安全運維能力，能夠從分析結果中知曉安全風險的可控程度。在實際應用方面，既能防御外部攻擊，又能防御內部攻擊，可以達到“外防內抗”的程度。通過防火墻部署、IPS部署、安全審計、防病毒網關等一系列技術手段和安全控制設備，讓企業的信息安全防御形成一個縱深體系，從而杜絕了木馬、蠕蟲、惡意軟件等在網絡中的傳播。另一方面，通過管理手段，彌補了因為技術限制導致的不能實施很好防御的窘境，從而大大提高了整個信息系統的安全防御能力。

圖4 信息管理平臺功能體系架構

4 結束語

城市軌道交通近年來受到國家的高度重視，在其迅速發展的關鍵時期，對數量與質量的要求都會達到一個新高度。比亞迪云軌作為跨座式單軌中具有鮮明特色的城市軌道交通工具，不僅重視產品自身技術的質量，而且對網絡安全系統的防護進行全方位建設。在云軌工程網絡信息安全建設過程中，一方面重點分析現在面臨的網絡安全隱患，從技術方面提升網絡安全防護能力；另一方面強調信息安全管理體系要科學合理，具有憂患意識，進而實現全面的“技術+管理”的雙重防護手段。

比亞迪云軌工程會在未來發展中不斷對方案進行優化更新，使該系統工程在統一的安全策略管控下，做到精益求精，安全快速發展。