宣树达

（天津轨道交通运营集团，天津 300392）

随着国内城市轨道交通的建设发展，运营里程和运营线路快速增长，城市轨道交通建设呈密集化、线网化，运营管理、调度指挥向集中化发展，云计算等适应未来地铁运营发展的信息技术也逐渐得到应用。依托轨道交通协会发布的智慧城轨信息技术架构，武汉地铁和呼和浩特地铁进行了城轨云的示范工程和试点工作的推进，天津地铁也在进行云平台的规划建设并将相应信息系统按需逐步的迁移到云平台。轨道交通信息通过云平台来统一承载与集中管理的趋势逐步显现。

在信息化快速发展的今天，网络安全的重要性日益凸显。当前网络攻击活动日益猖獗，目标也从普通网络用户向关系到社会甚至国家安全的关键信息基础设施延伸。传统网络安全防护是基于防火墙、IPS/IDS、堡垒机等设备进行分散被动的安全防御，无法应对新技术架构下有组织、有目标的更高级网络攻击手段。轨道交通信息化正处于向云化架构演进的发展过程中，同样面临着日益严峻的网络安全形势，应当建立一种新的网络安全架构，综合运用态势感知、零信任等新的网络安全技术，实现对安全威胁的提前感知、主动防御，构建全局性纵深防御体系。

1 网络安全风险与挑战

城轨云技术架构一般为线网中心云平台+车站两级架构，通过数据中心网络、骨干传输网络等进行数据互通的方式进行部署［1］。在云计算模式下，资源具备一定的冗余能力和可扩展性，可以更好地进行弹性调度与伸缩扩展，使云资源具备更好地可用性和开放性，但也暴露了更多风险面；云计算的架构以及IaaS、PaaS和SaaS的服务模式、引入的管理组件和性能模块容易成为网络攻击新的目标。

在IaaS服务模式下，可以创建镜像，通过镜像开通云主机的方式可以获得一致的软件环境，简化了配置过程，但如果镜像被恶意篡改或植入病毒等，在利用此镜像批量创建云主机时，安全风险将被成倍扩大；同时IaaS服务下因虚拟化平台和管理组件被攻击引起的主机越权与虚机逃逸、虚拟机迁移过程中的资源数据完整性问题，PaaS服务模式下的镜像篡改、容器逃逸和SaaS下数据与鉴别信息泄露等风险也同样威胁着云平台系统安全，需要重点关注［2］。

随着新技术的快速发展，网络入侵和攻击方式也呈多样化、复杂化的趋势。APT（Advanced Persistent Threats，高级持续性威胁）攻击逐步引起信息安全专业的高度重视。APT攻击具有入侵目的明确、隐蔽性强、持续时间长、威胁程度高的特点［3］。见图1。

图1 APT攻击概念与特点

传统的安全检测与防护手段一般是从技术角度对安全威胁进行识别；但对APT攻击早期的信息收集分析行为，缺少反信息收集的安全应对策略，难以对恶意行为提前预警；另外，APT攻击善于利用“0day”漏洞、未知恶意程序及特征库更新与安全监测匹配的滞后性，加大安全防护的难度。传统安全防护缺乏通过用户身份、行为习惯及之间的关联关系形成综合安全策略的防御能力，这也是APT攻击容易得手的原因之一。总之，APT攻击的实施者采用更具策略性与计划性的组合，使用多种网络攻击手段，增加了成功窃取核心数据或破坏重要信息基础设施的概率，为网络安全保障带来相当大的压力。

2 防护体系构想

面对新技术发展下日益严峻的网络安全形势，传统方式下被动、静态与分散的安全架构及安全技术已经难以满足网络安全发展的需要，难以有效应对APT攻击这类新的综合性网络入侵，需要构建更加符合未来发展需要的网络安全架构体系。

结合态势感知技术与零信任模型，建设管控全局化、风险可视化、防护主动化的“一个中心、三重防护”安全体系，可以更有效地应对当前形势下网络安全风险。见图2。

图2 基于一个中心三重防护的安全建设构想

建设安全管理中心，分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，可以防止某薄弱环节出现问题影响整体安全，这也是等保2.0中明确提出的安全防护框架［4］。

网络安全态势感知技术可以更好地解决传统安全防护分散单一、被动防御、关联性较弱的问题。态势感知是在网络环境中对引起安全态势变化的要素进行获取、理解、展示以及对发展趋势进行评估预测，从而帮助决策和行动的技术，是一种动态地、整体地洞悉安全风险的能力［5］，包括态势获取、态势理解和态势预测3个主要阶段。在态势获取阶段会通过采集设备、主机、应用日志告警、异常流量数据、资产数据、账号信息、漏洞与脆弱性和威胁情报来进行状态识别与威胁感知；态势理解阶段对获取的数据与信息进行特征提取、载荷内容还原、协议分析、会话关联分析、综合评估与攻击溯源取证并对攻击行为进行建模与画像；在态势预测阶段，利用人工智能和深度学习，对分析数据进行整理分类、趋势归纳、场景构建、推演和安全态势的预测，挖掘预测数据的处置与响应策略。态势感知能够尽可能的在安全损害发生之前或早期发现威胁，以便及时进行响应处置，降低损失，保障网络安全［6］。

零信任模型的理念是默认情况下不信任网络内部和外部的人员、设备、系统。任何访问均需要基于认证和授权来建立，即通过持续认证、动态授权和全面审计在访问主体、运行环境、访问客体间建立可信的访问链条，以确保动态安全。见图3。

图3 零信任安全技术体系

零信任模型引导安全认证体系从“网络中心化”向“身份中心化”过渡。城轨云技术架构网络逻辑边界延伸到云租户，其按需服务、资源弹性调度等特点导致应用与服务暴露面增多，加大了安全风险；而零信任模型的访问控制体系对云租户身份、终端环境以及访问行为的持续认证、动态评估、最小化授权可以更好地应对城轨云架构下的安全访问风险［7］。

在“一个中心三重防护”架构中，安全管理中心作为整个体系的安全中枢与三重防护域进行信息互通与协同联动，负责态势感知、零信任等一系列安全防护策略的全局性管控；三重防护域通过设备、协议与策略部署进行安全信息的全面感知、访问的信任评估并根据安全管理中心的协同联动实施动态防护；同时，安全管理中心的可视化界面能够将资产对象态势、脆弱性态势、网络攻击态势、安全事件及告警态势等通过图形化的方式进行持续性、多维度跟踪展示，为辅助决策、动态调整全局安全策略、准确响应处置提供依据。

建设态势感知和零信任结合的“一个中心三重防护”安全架构，可以实现安全风险可视化、防御策略全局化、安全防护主动化，更好地满足城轨云架构下的网络安全发展需求，更加有效地保障信息系统的安全运行。

3 结语

城轨云是智慧城轨的平台基础，是未来发展的趋势；在充分利用云技术优势的同时，也要做好应对网络安全风险挑战的准备。智慧城轨相应规范和等保2.0的发布为城轨云和网络安全建设提供了标准依据；在此基础上，与时俱进、积极探索新技术的特点和应用场景，关注新技术的应用实践与优化完善，关注技术架构与组织管理的同步适配，建立一个符合网络安全标准和网络安全发展需求的体系是应该坚持思考的方向。