信息安全助力深圳地鐵數字化轉型穩步推進

文/劉曉溪，深圳市地鐵集團有限公司

2020年3月，中國城市軌道交通協會發布了《中國城市軌道交通智慧城軌發展綱要》，對我國智慧城軌提出了2035年的發展目標，未來我國城市軌道交通將進入到智慧城軌時代。隨著5G、城軌云、大數據、物聯網、移動互聯網逐步覆蓋城市軌道交通行業設備運維和乘客服務業務，數字化、智能化、智慧化已成為城市軌道交通發展的大趨勢，與此相伴國際網絡安全形勢日趨復雜嚴峻，新技術與傳統系統融合過程亦會產生新的風險。因此，構建一套適用于城市軌道交通行業業務特點且能有效保障系統完整性、可靠性、可用性的網絡安全體系迫在眉睫。深圳地鐵集團在信息安全的頂層設計、建設實施、常態化運行等方面進行了探索，并取得了一定成效。

一、強化頂層設計，構建“安全一張網”

深圳地鐵集團在城軌云安全方面已進行了多年的實踐，為進一步提升安全防護能力，在全面摸清基本情況的基礎上，2020年初結合現狀進行差距分析，從橫向到邊，縱向到底，構建了“安全一張網”的信息安全頂層設計藍圖。

（一）橫向：根據應用、管理及安全防護等級的不同，信息安全整體框架劃分為安全生產網、內部管理網、外部網。

安全生產網主要用于安全生產及管控、運輸指揮、應急指揮調度業務相關系統的數據通信及數據共享。與行車安全密切相關信號系統安全網可設置獨立專網。

內部管理網主要用于企業管理、運營管理、建設管理、資源管理等企業信息化相關業務系統的數據通信及數據共享。

外部網主要用于門戶網站等面向外部或公眾業務的數據通信及數據共享。

圖1：橫向信息安全整體框架

（二）縱向：構建了IaaS、PaaS、SaaS三層云安全防護體系。

IaaS層提供計算虛擬化、存儲虛擬化和網絡虛擬化，通過必要的服務使得資源能夠以服務接口和資源抽象的方式提供給城軌云用戶使用。深圳地鐵云的IaaS層安全包括了網絡安全、平臺虛擬化安全、主機安全、存儲安全以及終端安全等幾個方面。

PaaS層提供容器、數據庫、大數據平臺等資源，PaaS層安全主要涉及開放API安全、數據庫安全、大數據平臺安全、開發環境安全等。

SaaS層通過行業化研發形成應用云服務，SaaS層安全包括應用數據遷移安全、應用系統自身安全和內容安全。

圖2：縱向信息安全整體框架

二、圍繞業務實施建設縱深防御，為智慧地鐵保駕護航

2020年初，根據信息安全頂層設計規劃，深圳地鐵歷時3個月打造了集團級云數據中心，云安全設備部署方案如下：

圖3：深圳地鐵集團云數據中心安全方案

（一）安全管理中心：部署網絡安全態勢感知、資產管理、運維、審計系統，收集網絡設備、安全設備、云平臺等的日志、告警、輿情數據，實現泛化和關聯分析，為網絡安全應急指揮提供隱患的可視化展現和決策支持。

（二）安全通信網絡：部署鏈路負載均衡、網絡準入、防火墻、VPN等設備，對網絡中的異常通信、流量、行為進行事中告警阻斷、事后審計。

（三）安全區域邊界：在安全生產網與內部服務網之間部署網閘，南北向部署邊界網關、WAF、沙箱、APT、上網行為、防病毒、堡壘機等設備，在東西向部署虛擬防火墻和安全組，實現有效邊界防護。

（四）安全計算環境：部署主機加固、主機殺毒、漏掃設備、IAM、防垃圾郵件、數據脫敏等設備，保證計算環境的安全可靠。

（五）安全防護服務：為云數據中心提供應急響應、攻防演練、等保測評等服務，部署網站云監測和網站云防護，7X24小時對被監控網站進行連續、全面、系統、動態的檢查，以保障被監測網站的可用性、完整性、可靠性。

三、建立常態化信息安全運行機制，確保有效運行

深圳地鐵集團圍繞建立常態化信息安全運行機制，開展了三個方面的工作：

（一）建立制度

深圳地鐵集團下屬單位眾多，信息安全管理難度較大，為保證告警信息及時上傳下達，建立了《深圳市地鐵集團有限公司信息安全管理辦法》，并于2021年補充發布了《深圳市地鐵集團有限公司網絡安全事件應急預案》，固化了信息安全領導小組和執行小組。

（二）常態化運行機制

摸清家底：全面梳理集團本部及17家分子單位的互聯網出口、數據中心、業務系統、服務器、網絡設備、安全設備、終端、顯示屏，建立了資產臺賬。

日常巡檢：加強日常巡檢監測，由專人負責信息系統與網絡安全巡檢，對巡檢項進行詳細記錄，對系統狀態、網絡狀態等進行全方位監測。

全面檢查：定期開展全集團網絡安全檢查和整改工作，2021年共計發現并清除漏洞隱患2007處。對需要互聯網訪問的業務系統進行前后端分離部署，管理后臺不對互聯網開放；對一些互聯網使用需求不高的系統關閉互聯網服務。

補足短板：對缺乏網絡防護的薄弱位置及時補充防火墻設備，為有需要的外部網站部署網站云防護。

優化策略：根據信息安全風險評估情況，針對現有網絡安全情況提升整體安全級別，優化安全設備規則及策略。

提高能力：在深圳地鐵云學院上線《網絡安全意識培訓》系列課程，要求全集團學習并增強網絡安全意識，同時，部署上線了攻防演練系統，面向集團及下屬單位信息安全負責人提供攻防培訓系統。

圖4：深圳地鐵攻防演練系統

（三）攻防演練

根據網絡安全攻防演練工作方案，編制攻防演練腳本，開展了從攻擊——監控——討論定級——應急處置——應急結束——總結評估的閉環攻防演練工作。

四、取得的成效

深圳地鐵信息安全保障體系已在日常運行中發揮了重要的防御作用，在2021年7月特護期間，我司各下屬單位信息安全責任人嚴格落實值班值守，24小時值班巡檢，調整WAF、防火墻、堡壘機等安全策略，利用安全態勢感知系統及網站云監測自動化實時監控網絡入侵情況，封堵高風險IP共計2000余條，有效的保證了深圳地鐵官網等核心業務系統不中斷運行。

圖5：深圳地鐵安全態勢感知

下一步，將借助深圳地鐵NOCC二期云數據中心的建設，進一步打造安全運營中心，建立符合自身需求的一套可行性高、實操性強、注重實效的數字化系統生命周期安全管理體系，通過將信息安全的要求、標準和實踐融入到系統生命周期的各個階段，主動防御外部威脅、有效的管理漏洞，實現經濟、合理、快速管理安全風險的目標。