城軌云平臺網絡安全方案淺析

◆謝正媛 劉霞 李雅卓

行業與應用安全

城軌云平臺網絡安全方案淺析

◆謝正媛 劉霞 李雅卓通訊作者

（江漢大學智能制造學院 湖北 430074）

本文針對現階段行業內城市軌道交通云平臺網絡安全的現狀做了描述，介紹了軌道交通團體規范中對城軌云平臺網絡域之間安全隔離方案的技術要求，調研并列舉了現有典型城軌云項目網絡安全的措施，論述了網閘的技術缺陷，提出了基于標記強制訪問控制技術的網間物理隔離技術方案，并對方案進行了比選，給出推薦結論，展望了城軌云平臺網絡安全的發展方向。

城軌云平臺；安全生產網；內部管理網；外部服務網；邊界安全

1 項目背景

根據中國城市軌道交通協會2020年3月發布的《中國城市軌道交通智慧城軌發展綱要》，要求2025 年目標：新建城軌交通城市全部采用城軌云；已經建成城軌交通的城市在新建線路采用城軌云及在既有線設備更新升級時移入城軌云與大數據平臺。而城軌云平臺按各應用系統的總體需求，為安全生產網、內部管理網、外部服務網三個域分配計算、存儲、網絡、安全等資源池。因此城軌云平臺的網絡域之間的安全隔離技術顯得尤其重要。城軌云平臺網絡安全應遵循“系統自保、平臺統保、邊界防護、等保達標、安全確保”的策略，以網絡安全等級保護為基礎，分級分類建立應用系統的安全保護措施。

2 規范對城軌云平臺網絡域之間安全隔離技術要求

安全生產網與內部管理網之間的技術要求

根據《智慧城市軌道交通信息技術架構及網絡安全規范》第三部分網絡安全相關要求，城軌云平臺安全生產網與內部管理網邊界相關技術要求應符合以下內容：

（1）應能檢測并阻止安全生產網與外部服務網、安全生產網與互聯網直接互聯。

（2）內部管理網與安全生產網之間應采用邊界防護設備，啟用IPS功能，并應采用最小授權原則配置訪問控制策略。

圖1 城軌云平臺基本安全架構

根據規范要求，部署邊界防護設備及邊界準入禁止安全生產網與外部服務網、互聯網等直接互聯，通過內部管理網與安全生產網之間部署標記強訪設備、防火墻、IPS并進行訪問控制策略設置，能夠檢測安全生產網出口流量的異常并進行阻斷。

城軌云平臺內部管理網與外部服務網邊界相關技術要求應符合以下內容：

應能檢測并阻止內部管理網與互聯網、外部服務網與安全生產網直接互聯。

外部服務網與內部管理網之間應采用物理隔離技術，數據應通過擺渡方式進行傳輸，并應采用最小授權原則配置訪問控制策略。

防止內部管理網與互聯網、外部服務網與安全生產網等形式的業務系統跨域互聯，部署云內異常流量監測及防護設備及準入設備，能夠檢測到跨域流量并與邊界防護設備進行聯動，實現流量阻斷。

外部服務網與內部管理網之間部署網閘等物理隔離裝置進行物理隔離，并設置防護規則可實現數據的安全傳輸。

3 既有城軌云平臺項目案例網間安全隔離方案

目前城軌云平臺的代表項目主要有呼和浩特城軌云平臺項目（2019年底已成功開通）和太原軌道交通2號線城軌云平臺項目（目前正在進行現場調試），以下重點介紹這兩個項目的城軌云平臺網間隔離方案。

3.1 呼和浩特城軌云平臺網間安全隔離方案

安全生產網與內部服務網之間設置防火墻匹配安全生產網三級等保、內部服務網二級等保的相關要求。在安全生產網、內部服務網核心交換機之間部署網間防火墻，安全生產網和內部服務網在生產中心云平臺中通過防火墻進行數據交互。防火墻開啟安全策略，對安全生產網和內部服務網間的數據訪問進行控制，同時開啟IPS功能。

圖2 安全生產網與內部管理網域間網絡安全架構示意圖

內部服務網與外部服務網之間設置網閘匹配內部服務網二級等保的相關要求。

在內部服務網、外部服務網核心交換機之間部署網閘，內部服務網和外部服務網在生產中心云平臺中通過網閘進行數據交互。

圖3 內部管理網與外部服務網域間網絡安全架構示意圖

3.2 太原軌道交通2號線城軌云平臺網間安全隔離方案

外部服務網與內部管理網之間采用網絡隔離技術實現信息擺渡，可在內外網 TCP/IP 協議徹底阻斷的情況下，提供HTTP、SMTP、FTP、POP3、FileSync、ORACLE 等應用級檢測通道，在屏蔽會話層以下網絡威脅的前提下，對內外網交互數據進行嚴格的訪問控制和日志審計。內部管理網與安全生產網之間，采用防火墻設備，進行隔離。對所有流經防火墻的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，杜絕越權訪問，防止各類非法攻擊行為[1]。對現網進行安全域劃分，每個安全域/或重要的安全域通過部署防火墻實現安全域隔離防護。

圖4 太原軌道交通2號線城軌云平臺網間安全隔離架構圖

4 城軌云平臺網間隔離方案比選

根據規范要求以及呼和浩特城軌云及太原城軌云案例可以看到，安全生產網與內部管理網之間的網間隔離措施可以采用具備IPS策略的防火墻進行隔離，此方案技術成熟，效果穩定，可滿足城軌云平臺內安全生產網和內部管理網之間數據交互的要求。

4.1 網閘方案

內部管理網與外部服務網目前大部分采用的物理隔離技術手段是網閘，作為物理安全設備，安全網閘提供的高安全性是顯而易見的，但是由于其工作原理上的特性，不可避免地決定了安全網閘存在一些缺陷[1]：

（1）只支持靜態數據交換，不支持交互式訪問。

這是安全網閘最明顯得一個缺陷。由于是真正的網絡間物理隔離，它不支持諸如動態web頁面技術中的activex、java甚至是客戶端的cookie技術，目前安全網閘一般只支持靜態web頁、郵件文件等靜態數據的交換。

（2）適用范圍窄。

由于數據鏈路層被忽略，安全網閘無法實現一個完整的iso/osi七層連接過程，所以安全網閘對所有交換的數據必須根據其特性開發專用的交換模塊，靈活性差，適用范圍十分狹窄。

（3）系統配置復雜，安全性很大程度上取決于網絡管理員的技術水平。

在網閘傳送數據過程中要實現病毒、木馬過濾和安全性檢查等一系列功能，這都需要網絡管理員根據網絡應用的具體情況加以判斷和設置。如果設置不當，比如對內部人員向外部提交的數據不進行過濾而導致信息外泄等，都可能造成安全網閘的安全功能大打折扣。

（4）結構復雜，成本較高。

安全網閘的三個組件都必須為大容量存儲設備，特別在支持多種應用的情況下，存儲轉發決定了必須采用較大的存儲器來存儲和緩存大量的交換數據。另外，安全網閘由于處在兩個網段的結合部，具有網關的地位，一旦宕機就會使兩邊數據無法交換，所以往往需要配置多臺網閘設備作為冗余，這就使購置和實施費用不可避免地上升了。

（5）技術不成熟，沒有形成體系化。

安全網閘技術是一項新興的網絡安全技術，尚無專門的國際性研究組織對其進行系統的研究和從事相關體系化標準的制定工作。

（6）帶來網絡通信的“瓶頸”問題。

因為電子開關切換速率的固有特性和安全過濾內容功能的復雜化，目前安全網閘的交換速率已接近該技術的理論速率極限。可以預見在不久的將來，隨著高速網絡技術的發展，安全網閘在交換速率上的問題將會成為阻礙網絡數據交換的重要因素。

但無論如何，網閘對其他網絡安全設備是一個很好的補充，也是其他網絡安全設備所無法替代的安全產品。

4.2 安全數據交換系統方案

為有效解決城軌云網絡不同安全等級網間數據多種安全傳輸需求，適應城軌云所需的動態靈活的安全策略，安全數據交換系統作為邊界網關具備以下功能：

（1）具有安全標記強訪功能，支持BLP和BIBA模型，多種隔離模式能有效滿足不同安全等級網間的多種安全傳輸需求；

（2）高度集成多種安全基礎技術，支持SDS（軟件定義安全模型）來保護云邊界安全，配合實現云基礎/內生安全；

（3）應用微隔離技術，將策略和應用深度綁定，以實現深度的安全檢查和數據防護，以支撐協議層的縱深防御；

（4）支持數字鑒權和基礎密碼服務，對應用的訪問和數據的流向進行多層多級授權；

（5）支持數據格式檢查以保護敏感數據無法被越權/越界傳輸，防止內部敏感信息外泄；

（6）通過集成多種安全技術和標記技術，可以有效防范各類已知、未知病毒及惡意代碼攻擊等；

（7）通過安全數據交換系統配合標記強訪策略、認證和密碼服務，共同構建系統內生安全體系。

4.3 方案比選

表1 方案比對表

上述兩套方案，均能實現不同安全域之間的隔離與數據擺渡功能。其中，網閘屬于傳統的物理隔離設備，在數據傳輸的實時性方面具有天然的劣勢，至只適用于對實時性要求不高的場景。

數據安全交換系統是一種基于標記強制訪問控制技術的全新設備，不但解決了網閘設備無法實時數據交換的問題，而且在安全性上有了質的飛躍。其中，標記強制訪問控制技術的應用，是城軌行業網絡安全上的一大突破。采用標記強訪技術，可構建城軌云網的主動免疫的可信計算架構，提供主動防御功能的全新技術理念。通過與數據交換總線、密碼和自動化運維技術、大數據、態勢感知技術的協同，可實現城軌云網絡多級別傳輸過程中數據的完整性、可用性、可信性、私密性和一致性的保證，提升網絡抗攻擊能力。

綜上，數據安全交換系統方案，能夠滿足城軌云建設的各類標準規范及應用的要求，達到可信、安全可控目的。但基于標記技術目前要求基于linux操作系統，對部分業務系統軟件的操作系統選型會存在一定影響。

4.4 推薦結論

綜上所述，在實際城軌云實施項目工程中，推薦濟南軌道交通安全生產網與內部管理網之間的網間隔離措施，可以采用具備IPS策略的防火墻進行隔離；內部管理網及外部服務網之間流量不大的業務可采用雙向訪問網閘進行物理隔離，同時積極審慎的跟蹤相關業務系統在linux環境下部署的可能性，適時推進數據安全交換系統，實現數據量大業務系統的網間雙向數據共享。

5 展望

城軌云平臺代表著先進生產力和未來技術發展趨勢，在建設好城軌云平臺的同時應根據城軌云平臺內部署各業務信息系統的安全需求，構建保證信息系統可用性、完整性和保密性的平臺和安全保證體系，確保城市軌道交通行業的業務安全。采用“網間分級隔離”的策略，根據業務特點、安全性和可靠性的需求，對應安全生產網、內部管理網和外部服務網網絡設置安全機制和對應的資源池，并對各類資源池進行保護。在保障網絡安全條件下，城軌云平臺勢必將為智慧城軌信息化發展奠定堅實的基礎。

[1]智慧城市軌道交通信息技術架構及網絡安全規范.中國城市軌道交通協會專家和學術委員會，2019.

[2]元進輝，江開雄，王剛.城市軌道交通綜合監控系統云的應用探索[J].城市軌道交通研究，2019，22（11）：139-142.

[3]何霖，藥世峰.城市軌道交通云建設探討[J].都市快軌交通，2016，29（02）：37-40.

[4]李中浩，朱東飛，邢智明.以信息化助推城市軌道交通快速發展的思考[J]，城市軌道交通研究，2017（5）：1.

[5]王皓，楊承東.城市軌道交通融合云平臺探討[J].都市快軌交通，2018，31（05）：50-53.

湖北省高等學校優秀中青年科技創新團隊計劃項目“智能交通和物流的優化與決策”（T201828）