《智慧城市轨道交通信息技术架构及网络安全规范第3部分：网络安全》标准解读

2019-08-15

城市轨道交通 2019年7期

编制背景

面对复杂的网络攻击环境，为了保障国家网络空间的安全，国家高度重视网络安全，习近平主席提出了“没有网络安全就没有国家安全”的重要指示。《中华人民共和国网络安全法》于2017年6月1日正式实施，让网络安全建设有法可依。而在今年五月份发布的《网络安全等级保护》2.0的相关要求，则是进一步将相关要求具体到技术层面。中国城市轨道交通协会下达了《关于下达中国城市轨道交通协会2019年第一批团体标准制修订计划的通知》（〔2019〕004号），由中城协专家学术委承担并组织全行业专家共同编制《智慧城市轨道交通信息技术架构及网络安全规范》（以下简称：《规范》）现对《规范》的第三部分网络安全进行如下简单解读。

城轨云通过云计算、大数据等技术手段，对城轨各业务应用系统进行合理优化，使城轨运营生产中的各类信息资源得到整合，实现各业务系统软硬件的集中部署、统建共用、信息共享，各业务部门协同作业，改变了既有城轨交通各个信息独立成网，数据没有交互的现状，实现了城轨运营生产过程的全程信息化管理和作业的远程集中控制，有效地消除信息孤岛与自动化孤岛。在城轨云的建设过程中，使用了云计算、物联网、大数据等新技术，为了确保新技术更好的应用，安全问题是需要面对的首要问题。一方面，攻击威胁技术本身在不断演进，由于城轨面向公众服务的特性，成网后极易成为攻击者宣称实力的阵地，所以城市轨道交通面临的网络空间安全风险越来越大。另一方面，城轨业务系统云化之后，多个专业共享同一个云中心，不同等级的业务和数据混合在同一个物理平台上，如何保证使得各专业的业务系统和资源安全运营，是个需要统筹考虑的系统性问题。

《规范》的编制原则与总体思路

本规范的编制遵循“系统自保，平台统保，边界防护，等保达标，安全确保”二十字基本策略。在该指导原则下，按照网络纵深防御和主动防御的思想，在技术层面提出了以下网络安全防护策略：

·网间分级隔离：按外部服务网、内部服务网和安全生产网构建安全域，并从外层到内层（即云的南北向）形成纵向防护机制，以多层安全保护措施实现南北向边界防护；

·域内分类保护：分别在外部服务网、内部服务网和安全生产网的安全域内（即云的东西向）按应用系统安全需求，定制应用安全区，在安全域的应用安全区之间实现东西向边界保护。同时在域内，按照数据的安全等级提供对应的防护策略，保证数据安全；

·边界强化防护：在外部服务网、内部服务网和安全生产网安全域边界，应在物理链路层、网络层、应用层实行自下向上的防护策略。

在上述原则与策略的指导下，本规范的编制过程的主要思路包括以下四点：

·依法合规：遵照国家网络安全方面的法律和条例，以国家等级保护最新要求为基础，助力国家等保制度在城轨行业的落地。

·面向应用：以保证应用系统持续稳定运行为安全中心目标，安全防护设施不能影响应用系统的可用性。

·注重实效：适应各应用特点，为应用提供所需的安全保障与服务，保证其安全。

·协同防护：统筹自身安全与平台保护，技术与管理并举，安全专用设施与非安全专用设施配合。

图1 城轨云网络安全架构

《规范》设计的系统安全架构与基础设施安全

城轨云的网络由三张业务承载域（习惯称为三网，包含外部服务网、内部管理网和安全生产网）和带外管理域构成。每个网络域内按照各自的功能需求划分功能区，功能区之间应隔离，即域内隔离。在运维管理网中划分单独的安全管理区域，用于部署安全设备，支持安全审计、安全态势感知等设备的使用。并设置专门的文件交换区，对于外部传入的不明文件，通过安全检测后才能导入城轨云网络中。

总体上，安全生产网应按照等保三级建设，内部管理网应按照等保二级建设，外部服务网按各应用所需的级别建设，并确保达到相应等级的实际安全保护效果。

《规范》设计的边界安全防护

图2 城轨云网络边界防护

由于在城轨云的网络中存在很多边界，需要特别注意网络边界的安全防护，边界安全是城轨网络安全的关键点之一，故单独列出此大类要求。涉及外部服务网与互联网边界，外部服务网与内部服务网边界，内部服务网与安全生产网边界，安全生产网与信号系统区边界等十四类边界，给出了各类边界的具体安全防护要求。

《规范》设计的网络安全

网络安全部分主要包括：互联网出入口安全、网站应用安全防护、无线WLAN接入外部服务网、无线LTE-M接入生产安全网、安全集中管控、安全审计与态势感知等内容。

网络层的安全，除了传输自身安全外，还应特别重视建立独立的安全管理区，对网络的整体安全情况进行集中管控，及时收集收集全部流量和日志信息，按照最新的等保2.0的要求，采用大数据、人工智能等新技术建设主动防御能力体系，分析发现发现异常设备和异常事件及潜在威胁，及时预警，根据态势感知发出的告警，向设备下发阻断、降级或脱网等策略。