张晓波

（广州地铁设计研究院股份有限公司，广东广州 510030）

新时代轨道交通应以人民为中心，贯彻创新、协调、绿色、开放、共享的新发展理念，构筑多层级、一体化的综合交通枢纽体系，大力发展智慧交通，推动新技术与交通行业深度融合，构建现代化的综合交通运输体系，构筑快速交通网。信息化技术是智慧城轨建设的核心和基础，云计算作为信息化技术创新服务模式的集中体现，已经成为支撑各行业发展的关键信息基础设施。云计算的资源共享、按需自助服务、弹性伸缩、可计量、广泛的网络接入等特点，驱动业务能力快速复制、灵活扩展及迭代，革命性改变传统IT服务提供方式。各地轨道交通企业都在大力建设轨道交通云平台，并将各种轨道交通业务系统承载在云平台上，是确保轨道交通云平台信息安全是保证城市轨道交通能够安全、可靠运行的基础。

1 需求分析

1.1 管理需求

城市轨道交通云平台的建设需要符合最新监管合规的各项要求，如网络安全法、网络安全等级保护基本要求、智慧城轨信息技术架构和信息安全规范等法律法规的要求。云平台需要满足三级等保要求，并为云上业务系统提供IaaS层的三级等保能力。云平台的安全体系建设参考等级保护三级基本要求，搭建符合业务运行基本安全需求的安全体系，争取做到既考虑安全实效，又兼顾投资成本，减少安全疏漏，避免贪大求全。

适度安全：信息安全业界的基本原则之一就是没有绝对的安全，多少预算都无法保证云数据中心的绝对安全。随着云数据中心安全性的提高，需要的预算也越来越高，系统的性能和灵活程度就越低。安全体系建设的目标为适度安全，在合理的预算范围内，尽可能保证云数据中心免受外部用户和内部人员的非恶意安全威胁。

前瞻性和可扩展性：云数据中心云平台建成后，将接受公安部的等级保护测评，安全体系的设计应具有前瞻性和扩展性，保证后续可以逐步扩充，接受测评时不会由于设计不合理导致返工和浪费。

1.2 业务需求

当前城市轨道交通业务系统拥有自己的独立的网络，城市轨道交通云平台及网络部署后，需要考虑部分业务上云、部分业务自有网络运行的混合运行模式以及混合运行模式下的安全防护。混合运行模式下，需要对各业务系统的纵向网络防护以及云平台自身及承载业务的防护分别设计。云平台需要为部署在多个安全域的业务系统定制协同一致的安全策略，提供基础平台的安全服务，以保证业务的完整性。基于平台云化的需求，信息安全需要考虑前瞻性，安全需要适应云平台的需求；安全服务化，具备敏捷、弹性能力；基于云平台承载的业务，持续提升云平台的安全服务能力。

2 信息安全方案设计

2.1 信息安全防护概述

从城市轨道交通纵向网络层级分析，城市轨道交通云平台安全设计包括车站、车辆段、停车场的安全、区域控制中心的安全以及数据中心的安全设计。从业务系统承载层面分析，城市轨道交通云平台安全设计包括云平台自身的安全以及云平台为业务系统提供的安全能力。

目前城市轨道交通云平台通常为私有云部署模式，且当前定位主要是IaaS平台，云平台上业务系统的信息安全防护由业务系统自身及云平台的安全机制共同保障，云平台应具备支持业务系统达到网络安全等级保护第三级的能力。云平台保证关键业务的持续可用性，为各个业务定制安全服务，达到其所需的安全能力。云平台为云上业务系统提供的安全服务包括云主机安全防护、租户隔离、租户安全防护等。

2.2 主要设计原则

根据信息安全防护要求，城市轨道交通云平台安全防护总体方案的设计应遵从“规范定密、准确定级，依据标准、同步建设、突出重点、确保核心，明确责任、加强监督”的原则。

安全保护范围：云平台以各处的汇聚交换机为界，仅保证云内部的安全，云外的安全措施由各业务系统自行考虑。

分域分级防护：根据信息密级、管理权限等划分不同的安全域并确定等级，按照相应等级的保护要求进行防护。

技术和管理并重：采取技术和管理相结合的整体安全防护措施。

最小授权与分权管理：用户的权限应配置为确保其完成工作所必需的最小权限，并使不同用户的权限相互独立、相互制约，避免出现权限过大的用户或账号。

易操作性：安全措施应易于操作，且不影响业务系统的正常运行。

适应性及灵活性：安全措施应灵活适应业务系统性能及安全需求的变化，容易修改和升级。

多重保护：建立一个多重保护系统，各层保护相互补充，一层保护被攻破时，其他层保护仍可保护信息的安全。

2.3 业务系统承载设计

城市轨道交通云平台的服务对象是业务系统，各业务系统通过骨干网的各级接入节点及数据中心节点连接云平台，使用云平台的计算、网络和存储资源。根据《智慧城轨信息技术架构及信息安全规范》规定，应遵循“系统自保、平台统保、边界防护、等保达标、安全确保”策略，以网络安全等级保护为基础，分级分类建立应用系统的安全保护措施。

承载在云平台和自有网络运行的部分，都需要各业务系统管理者自行部署安全防护策略，安全责任也归属于业务系统管理者。

对于承载在云平台上的业务系统，安全由应用系统自身安全机制和云平台的安全机制协同保障，根据各业务系统的安全诉求，云平台需要提供对应的安全能力，在各层级、各区域分别给予防护。

承载在云平台上的各业务系统，应采用“网间分级隔离”策略。在云平台网络节点上采用路由+转发平面隔离，在云数据中心为各业务系统提供专属的虚拟网络（VPC）。VPC之间可以实现安全隔离，保证不同业务系统之间的安全隔离以及云平台与业务系统之间的安全隔离。如果业务系统之间通过云平台互通，应在云平台数据中心及骨干网的对应位置部署安全防护策略，对业务系统之间互访的流量进行防护，保证流量正常转发。

2.4 云平台信息安全设计

城市轨道交通云平台对于安全的需求，可以从物理、虚拟化控制以及安全服务三个层面整体进行安全体系的建设，以达到等级保护三级的设计要求。

体系框架如图1所示。

图1 城市轨道交通云平台信息安全体系框架

在满足等级保护三级安全防护要求的同时，需要结合云平台的安全体系架构落实。云平台内部建立云内的网络安全防护机制，在未经过授权允许的情况下，云内各系统间默认情况下不能相互访问，将不同应用系统加入不同安全区域，不同安全区域之间的云主机网络默认隔离。需要互通时，通过部署安全策略，打开互访通道。

根据三级等保要求及城轨信息安全规范的要求，云平台需要对计算环境安全、区域边界安全、通信网络安全和集中安全管理等维度进行设计。

（1）计算环境安全。

对云平台本身的服务器、操作系统、数据库、业务应用以及数据的安全性要求外，等保2.0对镜像和快照安全、虚拟化安全等方面提出了要求。云平台基于虚拟化技术部署了计算资源的池化、动态配置以及资源编排。

针对虚机创建、使用、迁移过程中可能存在的风险，需要对虚拟化平台（Hypervisor层）安全、虚机隔离、虚机镜像安全等进行设计。在Hypervisor层部署深度安全防御，将传统网络中的防病毒方案引入虚拟化内核架构，形成无代理的虚拟化杀毒方案。

（2）区域边界安全。

不同的区域间实现互联互通的同时，网络边界需要采取必要的安全接入、访问控制、入侵防范、安全审计等措施，以实现平台内部计算环境安全。安全层面需要在车站、车辆段、停车场、区域控制中心及数据中心边界部署安全策略。

（3）通信网络安全。

网络通信安全一方面是安全云网络架构以及虚拟网络架构的安全性设计，使整体网络资源分布、架构合理；另一方面是网络传输数据的安全性，确保网络传输的数据安全、完整、可用。根据云平台的计算、存储等资源需求以及站段场、控制中心到数据中心访问流量的估算，预留充分的网络设备性能及带宽的扩展空间。网络带宽、设备性能、通信线路及设备冗余需要充分考虑。

（4）安全管理中心。

安全管理中心是安全防御体系的核心，包括系统管理、审计管理和安全管理。通过技术工具实现集中管理，便于云平台资源调度、管理和监控，实现统一运维、认证、授权。

3 结语

面对信息安全风险和加强防护意识的形势，城市轨道交通工程应依照等级保护规范打造针对城市轨道交通云平台的信息安全防御体系。本文从城市轨道交通云平台信息安全的需求分析入手，对云平台的设计原则、云上业务系统承载方案、云平台信息安全方案进行研究，制定了城市轨道交通云平台安全体系框架，有利于在城市轨道交通行业内建立统一标准，为城市轨道交通云平台信息安全体系的设计和建设提供指引。