■ 左需

0 引言

目前，许多城市面临严重的交通拥堵问题，比亚迪汽车工业有限公司（简称比亚迪公司）创新研发了独具特色的轨道交通工具——比亚迪云轨。云轨作为一种新型的中运量轨道交通工具，具有噪声低、乘坐舒适、景观性好、占地面积小、建造费用低等优点，能够很好地解决城市拥堵问题。

信息技术正在全球各领域快速发展，人们在享受网络信息发展成果的同时，也遭受了很多由网络安全问题引起的不良后果。当前城市轨道交通行业的网络安全不容乐观，需要提高防护意识。云轨作为一种新型的轨道交通工具，它的安全可靠性关系到广大乘客的人身安全，因此比亚迪公司对云轨的网络信息安全十分重视。相关部门对云轨网络信息系统进行了详细评估，发现云轨网络信息安全面临着一些挑战，例如内网攻击工具泛滥、网络边界众多、管理复杂、互联网业务带来新的风险等。在云轨建设中，针对这些问题提出解决方案，以保证达到国家要求的标准水平，实现对网络攻击的全面防护。

比亚迪云轨线路涉及4大子系统，包括车地无线、信号、通信和乘客服务系统。随着信息通信领域新技术、新业务的不断发展，网络攻击手段更加复杂和隐蔽，网络信息安全形势日趋严峻。云轨作为一种重要的基础设施，全面提升其网络设备安全以及网管系统的网络安全风险防范能力，具有极其重要的意义。

2017年《中华人民共和国网络安全法》正式实施，表明网络信息安全已经提升到一个前所未有的高度[1-2]。该标准文件明确指出国家对公共通信、信息服务、能源、水利等各行业网络安全的高度重视，必须确保国家网络处于绝对安全的地位。在这一背景下，比亚迪云轨线路信息安全设计方案的目的是：保证云轨线路的系统在各种安全威胁下各项业务能够正常运行，保障乘客服务系统业务服务区的安全，以及乘客服务、信号通信系统之间的安全访问控制。

1 信息安全设计概述

1.1 网络信息系统的定级

比亚迪云轨的网络安全建设严格依据GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》[3]。2018年步入信息系统安全等级保护（简称等保）2．0时代，等保基本要求也有了相应变化，一是从技术要求方面进行规范，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面；二是从管理要求方面进行规范，包括安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理[2]等方面。信息系统安全等级保护基本框架见图1。

依照GB/T 22240—2008《信息安全技术 信息系统安全等级保护定级指南》[4]规定，定级要素与安全保护等级的关系见表1。

为使比亚迪云轨工程在严峻的网络安全形势下能够高效运作，比亚迪公司从云轨网络信息安全系统的受侵害客体和对客体的侵害程度2方面考虑，对云轨的网络安全进行了全面而具体的安全防护。根据相关法律法规，比亚迪公司的网络信息安全能够达到国家要求的三级等级保护要求，从而可确保云轨网络信息系统在研发、制造、应用实施以及之后的运营都能达到相应的技术要求和管理要求。在对信息系统进行定级认证后，严格按照网络安全定级指南制成备案，并保存到相关部门安全存档。

1.2 信息安全设计原则

根据比亚迪云轨对线路网络信息安全的需求，安全方案设计必须满足以下原则（见图2）：

（1）先进性原则：网络信息传输的设备需要专用的硬件平台和安全的软件平台，所采用的设备必须是顺应业界技术发展趋势，属于行业知名且具有领先性和成熟性的技术和产品。例如，面对一些具有潜伏时间长、攻击程度深、检测技术难等特点的高级持续性威胁（Advanced Persistent Threat，APT）时，能够做到有效防护，并具有前瞻性。

（2）方案成熟性原则：网络安全信息系统是线路运营的重要基础设施，必须要提高网络设备及内网业务区的网络安全风险防范能力。安全设备由于部署在关键节点，设计时必须考虑高可靠性因素。

（3）可扩展性原则：随着信息化的不断发展，内网设备增加或者更新，带宽的需求也会相应增长，所以应充分保证网络各部分带宽满足流量高峰期的需要。而且相应的扩展能力要适合轨道交通行业的发展，不能造成资源的浪费。

（4）开放兼容性原则：能够达到相应产品的设计规范，并且符合国际标准，兼容其他厂家产品，能够与其他系统做到合理的互联，并本着有效性原则以保护投资。

2 信息安全设计方案

2.1 设计要点

通过分析比亚迪云轨交通系统的安全述求，提出层次立体、防护全面、安全可靠的解决方案。解决方案主体目的是在安全准入机制的基础上对未知威胁实现攻击防护和入侵检测。应用智能的安全运行平台实现位置威胁防护和高业务连续型设计，该安全方案可为比亚迪云轨交通系统打造立体的安全防护体系。整个方案涵盖4个维度：边界防护、攻击防护、安全管控与审计、未知威胁防护，每个维度分别包括多个子安全解决方案[5]。以下对其中3方面进行详细阐述。

（1）边界防护：研究表明很大一部分网络安全问题来自企业内网管理松懈。比亚迪公司通过对内网进行合理的区域划分和在网络边界进行有效的访问和隔离，做到内部的严格管理，保证网络安全；通过网络防病毒网关对网络中传输的流量进行病毒检测和防护，避免病毒在内网中传播。

图1 信息系统安全等级保护基本框架

表1 定级要素与安全保护等级的关系

图2 网络安全设计原则

（2）攻击防护：具有全面的流量检测能力，提供独立的流量还原能力，可以识别主流网络协议，从而确保所通过的网络传输文件安全可靠。支持信誉体系、基于特征的恶意检测方式、启发式检测引擎及虚拟执行，从而提高对以APT为代表的下一代威胁的应对能力，并提供下一代威胁的所有危险操作清单，让用户对威胁的攻击过程、攻击目标一目了然。具有优秀的业务分析能力，同时支持水平扩容组成分析集群。提供接近实时的处理能力，有效地实现对下一代威胁的检测响应降到秒级，并与下一代防火墙配合实现在线防御能力。提供一流的针对APT的反躲避手段，也能够提供基于虚拟机的检测技术。

（3）安全管控与审计：进行统一的安全管控，对网络中日志事件、告警事件进行收集，分析问题之间的关系，得出问题产生的原因，最后以精确的安全报警信息传达给运维人员，输出合规性报告。运用安全审计手段，按照相关标准实现精确报警、事后追溯、实时监控的功能。

2.2 详细方案

信号与通信融合组成一张大的环形组网，环网采用3层互联，防火墙挂在融合控制中心路由器上，将信号和通信系统划分成不同的安全领域，信号与通信系统之间通过防火墙上安全策略实现安全互访。通信系统之中每个系统用不同的虚拟私人网络（Vitual Private Network）实例进行系统区分以及业务的安全隔离。

乘客服务系统按照等级保护安全三级的原则，在互联网接入区部署分布式拒绝服务攻击（Distributed Denial of Service，DDoS）设备、防火墙、入侵防御系统（Intrusion Prevention System，IPS）以及防病毒网关设

备以保障流量的安全接入；通过在核心交换机旁挂IPS、网站应用级入侵防御系统（Web Application Firewall）以及沙箱设备进行入侵检测；网管区内部署统一运维审计（Unified Maintenance Audit）堡垒机，实现设备运维安全审计；部署准入控制服务器，实现用户的安全接入和接入终端的安全检查。真正实现从网络、主机、应用、数据和管理各个层面防御各种安全威胁。云轨各系统网络防护组织架构见图3。

2.3 安全防护设备的具体作用

（1）防火墙部署：基于高可靠性考虑，出口防火墙建议部署分布式、双主控、高性能的设备，功能包括网络地址转换（Network Address Translation）、应用协议识别、流量控制等安全功能，进行出口安全防护。

（2）沙箱设备部署：沙箱设备部署在防火墙的一侧，防火墙通过网络接口向沙箱设备提交待检测文件，等沙箱完成检测后，防火墙通过结果查询接口查询检测结果，同时沙箱也可以通过自身网络产品界面设计（Website User Interface）展示检测结果。沙箱设备采用独特的3层防御体系，通过静态检测、启发式检测和虚拟执行3层防御体系实现对APT高级威胁的高性能、高准确率防御。

（3）DDoS部署：经过分析研究，采用Anti-DDoS系统进行网络流量分析，深入分析流量，精心打造“7层净化”构架，可有效识别现代网络流量型和应用型等多种类型的攻击，从而保证客户接受流量信息的正确与安全。

（4）IDS部署：专业检测相关服务器的各种攻击，检测Web应用相关攻击，检测蠕虫、木马、间谍软件、广告软件、僵尸网络等恶意软件，提供具体、有效的技术指导措施，最终实现从防护、检测到响应的整体性解决方案。

图3 云轨各系统网络防护组织架构

（5）安全审计部署：安全审计员对安全审计机制进行集中管理，负责日志监视、日志管理、审计分析等方面的工作。

（6）堡垒机部署：堡垒机可以集中管理和控制一些信息技术资源，从而实现认证、授权和审计等功能。用户的远程操作可以在堡垒机上集中体现，通过二次跳转技术直接将用户和相应的服务器进行连接，使用户对服务器资源互通实现集中管理，做到对资源操作的认证、控制和审计。

（7）IPS部署：防御蠕虫活动、针对浏览器和插件漏洞的攻击，使企业办公网络健康运行。拦截基于漏洞攻击传播的木马或间谍程序活动，保护办公电脑的隐私、身份等关键数据信息。利用标准的IPS功能、应用感知、应用层威胁防御、环境感知、未知威胁检测等技术进行全面防护。

（8）Web应用防御：防止系统开发人员由于缺乏安全意识，造成Web业务系统存在代码层面的漏洞，使黑客能够利用这些漏洞对网站发起攻击行为。

（9）防病毒网关：能够快速准确地对网络层和应用层的病毒进行扫描和查杀，在基本不影响原网络的情况下最大程度地提高所保护网络对病毒的防御能力。基于云的Avamar虚拟化（Avamar Virtual Edition）部署灵活，既可以工作在2层业务接口，也能工作在3层业务接口，支持多种接口卡，以多种方式为用户网络提供最大程度的投资保护。

3 信息管理

3.1 信息管理设计要点

比亚迪公司严格按照信息系统等级保护基本要求的新规定，即“等保2．0”来设计信息管理，采取科学、合理的设计理念，全力打造健康、安全的信息管理平台。

（1）安全策略和管理制度：信息安全策略是在特定的安全环境中，提供一种能够保证一定安全级别的规则。实现网络信息安全不仅依靠专门的安全策略，也需要严格的安全管理制度，这样才能让企业网络安全处于一个相对稳定的运作环境。

（2）安全管理机构和人员：设置合适的岗位分工制度，各级别相关人员应具有符合自己岗位的管理权限来约束信息安全监管权力。既能够保证信息系统的安全运作，还能让管理人员工作高效。

（3）安全建设管理：要确保信息安全，应从信息安全的三大性质（数据保密性、数据完整性、数据可用性）入手，采取相应措施组成阶段性的建设方案，即在安全策略确定、安全风险分析、实施方案设计、后续组织监督4个阶段开展对安全的建设管理。

（4）安全运维管理：安全运维从日常设备维修和访问权限控制两大方面进行管理[3]。

3.2 信息管理平台功能

该信息管理方案是用于监管综合安全事件的软件管理平台，处理公司网络信息安全事件，进行数据的汇集、统计，还能与网关系统连接，实现实时监控、远程报警的功能。仅有软件监控平台是不够的，还需要1台能够用于处理特殊事件的网络安全服务器，这台服务器安装特定的安全管理客户端，在平时某些特殊情况下也能实现安全监控[4]。上述方案主要具备以下功能：能够实现某些特殊业务的资产管理；能够动态显示某些特殊业务的风险状态；对公司各部门的互联网协议地址（Internet Protocol Address）实行流程化管理；对安全产品的生产能够集中管控；能够检测误报警信号的真实性；能够分析各种安全事件的本质原因；运用技术手段实现安全管理；拥有安全运维的考核机制。信息管理平台功能体系架构见图4。

3.3 信息管理体系应用效果

除了对网络安全等级保护管理体系进行建设，比亚迪公司也建立了系统的安全管理制度和考核体系，整体上提升了安全运维能力，能够从分析结果中知晓安全风险的可控程度。在实际应用方面，既能防御外部攻击，又能防御内部攻击，可以达到“外防内抗”的程度。通过防火墙部署、IPS部署、安全审计、防病毒网关等一系列技术手段和安全控制设备，让企业的信息安全防御形成一个纵深体系，从而杜绝了木马、蠕虫、恶意软件等在网络中的传播。另一方面，通过管理手段，弥补了因为技术限制导致的不能实施很好防御的窘境，从而大大提高了整个信息系统的安全防御能力。

图4 信息管理平台功能体系架构

4 结束语

城市轨道交通近年来受到国家的高度重视，在其迅速发展的关键时期，对数量与质量的要求都会达到一个新高度。比亚迪云轨作为跨座式单轨中具有鲜明特色的城市轨道交通工具，不仅重视产品自身技术的质量，而且对网络安全系统的防护进行全方位建设。在云轨工程网络信息安全建设过程中，一方面重点分析现在面临的网络安全隐患，从技术方面提升网络安全防护能力；另一方面强调信息安全管理体系要科学合理，具有忧患意识，进而实现全面的“技术+管理”的双重防护手段。

比亚迪云轨工程会在未来发展中不断对方案进行优化更新，使该系统工程在统一的安全策略管控下，做到精益求精，安全快速发展。