鐵路云平臺細粒度訪問控制方案研究

鎖向榮，齊 勝，張悅斌，朱 賀

（1. 中鐵信息工程集團有限公司，北京 100044；2. 中鐵信（北京）網絡技術研究院有限公司，北京 100044）

云計算是一種使用基于網絡訪問并可共享訪問，可按需配置的計算資源的模式。云計算平臺通過優化資源分配、提高計算效率，可大幅降低企業信息系統的總體擁有成本（TCO，Total Cost of Ownership）。當前，鐵路云平臺正處于快速發展階段，鐵路云平臺安全也成為關注的焦點[1]。云安全聯盟（CSA）在2018 年初發布的《12 大頂級云安全威脅：行業見解報告》中將數據泄露、身份、憑證和訪問管理不當、賬戶劫持、不懷好意的內部人員等列為頂級云安全威脅，通過訪問控制，可以在一定程度上防范這些威脅[2]。

訪問控制是一種保護信息資源免受非授權訪問的安全機制，采取某種方式準許或限制某個訪問過程，進而對重要信息資產進行保護，能夠有效防止外部用戶的非法入侵和內部用戶的違規操作，保證信息資源能夠合法受控地使用。Anderson 在1972年提出訪問監控器的概念之后，訪問控制理論經過不斷深入發展，逐漸成為網絡安全的關鍵技術[3]。國內外學者在此基礎上提出了很多訪問控制模型，其主要分為3 類：（1）自主訪問控制模型（DAC）；（2）強制訪問控制模型（MAC）；（3）基于角色的訪問控制（RBAC）。其中，強制訪問控制模型更受學者青睞[4]。

鐵路網絡既有的安全措施部署較早，技術相對陳舊，部分設備日趨老化，應對新出現的多樣化安全威脅防范能力不足，特別是對于云計算、大數據等新技術應用，缺乏針對性的安全防護措施[5]。為加強鐵路云平臺網絡的安全防護，參照信息系統安全等級保護的有關要求，在鐵路云平臺網絡安全保障體系框架下，研究鐵路云平臺細粒度訪問控制方案。

1 鐵路云平臺網絡安全保障體系

按照《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019），鐵路云平臺網絡安全保障體系以電子認證服務為基礎，嚴格落實安全物理環境、安全通信網絡、安全區域邊界、安全計算環境等基礎安全，由管理中心通過態勢感知和集中管控，實現全方位的安全監管鐵路云平臺網絡安全保障體系的構成如圖1 所示，其中，網絡安全技術保障體系包括安全管理層、基礎防護層和擴展防護層、安全信任支撐層和信息技術基礎設施層[6-7]。

（1）安全管理層：包括安全態勢感知、集中安全管理等可視展示和管理中心。

（2）安全防護層：包括基礎防護和擴展防護；基礎防護涉及安全物理環境、安全通信網絡、安全區域邊界、安全計算環境等[8]，根據等級保護相關要求進行統一防護；擴展防護對云計算安全、移動互聯網安全等典型應用提供針對性防護。

（3）安全信任支撐層：主要統一身份認證服務。

（4）信息技術基礎設施層：包括綜合信息網、鐵路客 票專網、列車調度指揮專網等。

2 鐵路云平臺細粒度訪問控制方案

2.1 零信任訪問控制策略

零信任訪問控制策略的核心思想是：任何一次訪問都應受到安全控制[9]。由于網絡中存在大量的數 據鏈路，采用零信任訪問控制策略時，盡可能將網絡劃分成多個安全區域，不同安全區域之間通過安全管控對所有通信協議的過濾，無需改變現有網絡結構，通過對所有主客體的管控即可實現全局安全目標，如即時認證、全日志體系、所有主客體的基礎權限和動態權限的統一分配。

本方案采用標記技術和可信技術，進一步強化零信任訪問控制策略，不再局限于認證和代理，實現對鐵路云平臺網絡空間的全局細粒度訪問控制。

2.2 方案構成

在鐵路云平臺網絡安全保障體系框架下，針對安全通信網絡、安全區域邊界、安全計算環境，設計細粒度訪問控制方案，主要由代理程序、數據總線、網關設備、安全模塊 4 個部件構成，如圖2 所示。

其中，代理程序為應用提供信息傳輸代理服務，完成協議轉換并將傳輸信息送入數據總線，由數據總線負責數據傳輸，在網關設備處進行標記的驗證和釋放，由安全模塊進行授權訪問控制。通過這 4個部件協同工作，實現鐵路云平臺網絡空間的細粒度訪問控制，為鐵路云平臺提供完善的安全防護。

2.3 代理程序

代理程序部署在應用服務器，或周邊的物理服務器、虛擬機上，是一個用來模擬客戶端的程序或服務。本地應用程序若要與遠端程序進行通信，需通過代理程序來完成。代理程序按照標準通信協議，對不同應用的通信請求進行轉換后，將需要與遠端程序交互的信息傳遞給數據總線，由數據總線完成數據傳輸。

2.4 數據總線

數據總線是一個消息服務的程序，該程序提供多個消息接口，完成代理與代理之間的統一通信。以 Web 應用數據交換為例，異構系統之間可以通過數據總線，統一以 Web Service 方式進行標準的數據傳輸，實現異構系統間的數據共享與信息交換。數據總線設置有緩存區，可緩存交互的數據。當應用訪問數據時，可以直接讀取緩存區中的數據，從而提高系統響應速率。

2.5 網關設備

網關設備是部署在不同安全域之間的網關型防護設備，網關設備的內部結構如圖3 所示，由 2 套相同配置、獨立工作的網關系統構成。

這 2 套獨立的網關系統分別連接 2 個不同的安全域，網關設備內部署有數據檢查模塊，惡意代碼掃描模塊和數據格式檢查模塊。基于“零信任”策略，數據標記檢查模塊檢查所有數據的標記，以防止未經授權的訪問信息，確保數據的完整性和保密性；惡意代碼掃描模塊用于識別和過濾非法添加到數據中的惡意代碼；數據格式檢查模塊檢查數據格式，以確保數據格式傳輸無誤。由網關系統實現不同安全域之間安全的數據交換，保證數據可信，是可信計算的關鍵環節。

2.6 安全模塊

安全模塊是 1 個部署在主機上的安全組件，運行于操作系統驅動層，是采用可信計算技術實現系統可信的關鍵組件。通過數據報文的標記處理、訪問請求的認證和權限分配、以及 I / O 的控制和監控，確保只有被安全模塊授權的應用才能提供對應的 I /O 接口進行通信，來自其它應用的數據請求都會被丟棄，從而防止未授權訪問。安全模塊的處理流程如圖4 所示。

系統內的安全模塊對數據有嚴格的限制，只有當帶有正確標記的數據經過安全模塊識別確認之后，依照其標記報文中所包含的信息確認其權限范圍和目標應用，從而對數據進行相應權限的操作；對于未帶標記或帶有錯誤標記的數據經過安全模塊識別確認后將被拋棄。通過安全模塊的處理，僅允許帶有正確標記的數據進入，實現基于標記的強制訪問控制，在保證數據完整性和保密性的基礎上確保系統安全。

3 細粒度訪問控制下的數據傳輸過程

利用部署在不同網絡安全域之間的網關設備實現不同安全域之間的隔離和防護，兼顧隔離和防護，滿足各個安全域內等保等級的邊界安全需求。為了更好地兼容應用，由代理程序和安全模塊為其提供基礎的安全接口，對于網絡中的數據通信，統一由數據總線完成同一安全域內的數據交互，但數據總線只負責傳輸工作，數據標志檢查和數據結構檢查等則由網關系統完成。

以下結合具體的數據傳輸過程，如圖5 所示，描述各個部件的作用。

圖5 數據傳輸過程示意

3.1 代理程序調用

代理程序部署在應用周邊，與應用進行直接的通信。若應用服務器安裝有安全模塊，安全模塊本身可以作為應用的代理，并根據應用對目標端的請求加上相應的標記信息；若應用服務器沒有安裝安全模塊，應用通過調用最近的代理來實現添加標記的操作。從代理程序發送的數據均帶有自身的安全標記，代理程序完成標記的初始化，是細粒度訪問控制的依據。

3.2 數據總線傳輸

根據應用請求的目標端信息，代理程序將帶有標記信息的數據報文傳輸給數據總線，數據總線根據數據報文的目標端地址進行正確的傳輸，此時分為 2 種情況：（1）若數據僅在本地安全域內進行傳輸，則數據報文通過數據總線進行傳輸，數據總線可以提供緩存，以便于快速調用；（2）若數據報文的目標端需要跨越安全域，此時數據總線需向部署在安全域邊界上的安全網關發起請求，由其協助完成數據跨域傳輸。

3.3 安全網關判斷

安全網關對接收到的報文進行判斷，所接收報文分為 2 類請求：應用直接對安全網關的代理請求和數據總線對網關的請求。

對于應用直接對安全網關的代理請求，這類請求源于應用在本地安全域網絡內沒有找到對應的代理，或者采用同類調用方式的代理，只能直接通過網關進行信息請求。這類傳輸請求又可分為 2 種：本地安全域的傳輸和跨越安全域的傳輸；對于本地安全域的傳輸傳輸，網關會通過數據總線和目標端完成數據交換，兩端的應用代理都運行于網關上；對于跨越安全域的傳輸請求，網關會根據具體的業務需求完成跨越安全域傳輸操作。

數據總線對網關的請求一般是需要跨越安全域的數據傳輸請求。業務數據跨越安全域的操作分為4個步驟：（1）對數據應用層還原并執行安全檢查；（2）通過檢查標記信息，核實數據報文是否可以通過網關設備進入對應的安全域；（3）將原始數據報文傳輸到目標端安全域的網關設備；（4）目標端的安全網關將數據報文進行重新組裝，并打上新的標記，發送至安全域內的數據總線，由數據總線根據網絡信息和標記傳輸給目標端。

4 關鍵技術

4.1 強制訪問控制技術

在本方案中，網關設備是通過添加標記來實現強制訪問控制，即在信息網絡某一層設置標記，對這一層的信息實施強制訪問控制[10]。標記由網絡管理中心統一管理，標記覆蓋的范圍決定了強制訪問控制技術的覆蓋程度。標記用于標記每個資產的可被讀寫的權限，可根據信息資產的屬性生成標記，但標記又獨立于資產。在實際應用中，可僅對一部分信息采用標記和強制訪問控制策略，但由此會降低系統的安全水平。由代理程序完成數據格式轉換，再由數據總線統一傳輸數據，以實現全面的強制訪問控制。

4.2 可信計算技術

可信技術基于白名單策略，其核心是在計算系統中建立強制的信任鏈[11]。信任鏈始于一個可信根，可信根工作范圍決定了可信計算的安全特性，例如可信操作系統只能實現操作系統之上的可信。在本方案中，將標記信息作為唯一的可信根，以鐵路云平臺為覆蓋范圍，實現鐵路云平臺整體安全可信。

5 結束語

當前，鐵路云平臺正處于快速發展階段。參照信息系統安全等級保護的有關要求，在鐵路云平臺網絡安全保障體系框架下，研究鐵路云平臺細粒度訪問控制方案。方案基于零信任訪問控制策略，由代理程序、數據總線、安全網關和安全模塊4 個部件協同完成安全的數據傳輸；詳細描述細粒度訪問控制下數據傳輸的過程，利用標記強制訪問控制技術和可信計算技術，通過代理程序調用、數據總線傳輸、安全網關判斷，實現鐵路云平臺各安全域內和跨域的細粒度訪問控制。

該方案滿足等級保護2.0 三級及以上安全防護要求，在保持原有安全部署的基礎上，有效提升鐵路云平臺的安全防護能力，有利于推動鐵路云平臺應用的發展。