陈丹晖，周耀胜

我国铁路经过持续多年的快速发展，目前在路网规模、运营质量、技术装备以及经营管理水平上均达到世界领先水平。在交通强国、智慧交通的国家战略背景下，在新时代高速铁路智能化需求和ICT技术发展的驱动下，铁路通信正在积极探索数字化转型。作为新基建方面的重要基础设施，通信系统云化已经成为通信行业发展的必然趋势。

1 云安全威胁

在云计算中，非法入侵、恶意代码攻击、异常跳板等安全问题始终存在。与此同时，针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷，而且基于云服务便捷性高、扩展性好的特点，利用云提供的服务或资源去攻击其他目标也成为一种新的安全问题［1］。经分析，铁路通信云发展面临的安全挑战有以下几方面。

1.1 传统威胁

铁路通信云面临着从传统的病毒、木马、系统漏洞攻击，到新型的勒索软件、挖矿程序，以及各种针对Web应用的攻击。攻击手段不断增加，造成的危害也越发严重。

1）服务器资产不清晰。服务器虚拟化后，业务系统硬件设备看不见、摸不着，传统依靠人工台账的方式统计虚拟资产，效率低、准确率差，对于服务器版本、应用、进程、端口等安全资产变化的掌控力弱，遭黑客攻击的范围大。

2）资产风险不可知。诸如操作系统、应用等自身的漏洞，配置缺陷、危险端口暴露，以及缺乏安全意识导致的弱口令等安全问题难以排查，安全风险无法实时感知。

3）对未知威胁缺乏防护能力。传统的防护策略依赖特征和安全规则，对于0 day漏洞和新型恶意代码没有防护能力。

4）攻击溯源不精确。当安全事件发生后，无法准确判断黑客信息、入侵位置、攻击路径和攻击手段等。

1.2 云计算环境威胁

由于是在云计算环境基础架构上引入新的技术元素，因此也带来了云环境下特定的安全问题。同时，因为业务信息化的快速增长，以及云计算技术易用性和便捷性的特点，造成云上业务不断扩张。而不同业务系统安全等级的差异，又使云平台内部的隔离性要求变得至关重要。因此应避免低安全等级业务系统成为攻击高安全等级业务系统的“跳板”，防止威胁泛滥。

1.2.1 云虚拟化层威胁

云计算架构的核心是云操作系统，新的虚拟化层导致基础硬件架构比传统架构更复杂，使得攻击有机可乘。云虚拟化层威胁主要体现在以下几个方面［2］。

1）云操作系统提权。黑客利用云操作系统漏洞，越权访问、监视宿主机，并横向攻击其他虚拟机，极大地威胁云上业务系统及数据安全。

2）虚拟交换机流量不可见。云计算导致传统安全域划分不可用，云平台内部流量不可见。部分虚拟机之间的通信流量是基于云操作系统虚拟交换机，传统的安全手段无法获取相关信息，造成大量盲区。

3）虚拟云主机安全策略跟随。云环境下，虚拟云主机在资源池内按需漂移，已设置的安全策略无法随之迁移，会造成大面积安全策略失效。

1.2.2 云运维模式威胁

云计算运维模式与传统环境的差异，也是云计算受到威胁的主要成因。如某政务云因为运维疏忽，租户安全意识缺乏，没有修改虚拟机模板中的统一弱密码，造成黑客轻易获取云主机权限，使得大量虚拟机沦陷，社会影响恶劣。在当今云化后的IT基础设施构建方式发生根本变革后，云运维模式威胁主要来自以下几个方面。

1）控制权变更。云平台资产的创建和管理由租户掌控，而云上漏洞、不当配置等信息，甚至资产信息本身完全黑盒。

2）云克隆。为提升云基础架构的交付速度，云运维管理员会大量使用虚拟机模板快速创建云资源，而基于该方式创建的云主机往往使用相同的密码，存在相同的不当配置项目。

3）批量漏洞。虚拟机大多从有限种类的几种镜像克隆而来，同一批次的虚拟主机在某个版本相同CVE ID的漏洞会大量产生，而批量补丁升级会对业务连续性造成影响。

4）云监管运营困难。由于控制权的变更，云平台内部资产、流量、数据对于租户已经完全处于黑盒状态，云平台内部发生什么，存在什么风险，租户缺乏解决问题的抓手。

5）安全审计问题。对云运维管理员和用户行为进行审计是难题之一，基于云计算的违规行为难以追查取证。

1.3 云安全管理

和传统平台相比，云安全管理需要进行的监管范围更大、力度更强，不但需要识别和记录云平台中重要资产的安全状态，还需要对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、集中监控、协同防护，从而发挥安全机制的整体作用［3］。

1）云管理员违规提权。云运维管理员因账户被盗或其他原因，导致云平台资源大量违规访问及数据窃取，造成恶劣的影响。

2）缺乏统一的联动和管理机制。随着各类安全产品日志数量的不断增加、部署位置的分散且异构，导致现有安全能力割裂，仅凭机械的日志收集无法看清安全事件全貌。

3）补丁管理困难。云计算环境急需一套高效的虚拟机实体补丁管理系统，减轻批量漏洞的危害。同时，虚拟化、容器的镜像、动态迁移等机制，也给补丁管理带来挑战。

针对云计算环境特性及安全需求分析，遵循等保2.0第三级安全要求，本文构建了一套基于WPDR3模型的铁路通信骨干网云安全技术保障体系架构，通过全面提升云计算安全以及运营水平，并具备自适应、弹性伸缩、敏捷性等管理优势，适应云计算动态变化的安全需求。

2 体系架构

铁路通信骨干网云安全技术保障体系架构见图1。主要由WPDR3安全模型、保护对象和纵深防御技术保障3个层面构成。

图1 铁路通信骨干网云安全技术保障体系架构

2.1 WPDR3安全模型

WPDR3模型源于铁路通信网网络安全关键研究课题，由告警、防护、检测、响应、恢复及更新6个环节组成，在充分分析各类安全告警后，综合运用防护手段，通过检测工具，了解和评估系统的安全状态，在适当的响应后，将系统风险调整为较低状态，并结合系统恢复和对各种安全威胁源的自我学习（更新），构成了一个完整的、动态的安全循环［4］。

2.2 保护对象

云平台安全包括通信网络安全、区域边界安全、物理主机安全和云自身管理平台安全。而业务系统安全又包括虚拟网络安全、虚拟主机安全、数据安全及应用安全等。

2.3 纵深防御技术

云平台及业务系统安全防护，依照等保2.0基本要求及云扩展要求设计，防护技术覆盖通信网络、区域边界、云安全资源池及安全管理中心，具体如下。

1）通信网络：包含铁路通信骨干网云平台内外部通信过程中数据的机密性和完整性、通信网络的安全审计，以及通信网络的可用性等相关内容［5］。

2）区域边界：指传统安全设备防护的物理边界。作为第一道防御，该边界应实现对云平台及云上业务系统至外部网络的安全区域隔离、入侵防范及网络恶意代码防范等功能。

3）云安全资源池：为云上业务系统提供虚拟区域边界和计算环境的安全防护。采用软件定义安全的架构，按照云计算的理念，基于物理服务器、存储和网络设备，实现安全设备的资源池化［6］。云安全资源池防护组件包括虚拟防火墙、虚拟入侵检测、虚拟Web应用防火墙、虚拟主机加固等多种虚拟安全网元，既可以通过系统业务逻辑，对各类安全组件进行组织编排和策略部署，实现统一的安全管理；还可以根据业务规模按需使用、弹性分配、平滑扩展，满足不同系统的安全需求，实现各系统在身份鉴别、访问控制、安全审计、入侵检测、恶意代码防范、数据及应用安全等方面的防护能力构建。

4）安全管理中心：集安全要素获取、分析、处理、跟踪、预测为一体，结合机器学习、外部情报联动等技术，将各类资源的日志、事件、告警等进行汇集，并通过统一的管理界面，完成对网络安全的统一管理；优化安全管理的体系和流程，清晰界定管理人员之间的工作职责，实现对计算环境安全状况的全面掌控，从而提高对安全威胁的准确判断。

3 构建方案

铁路通信骨干网云平台以弹性自适应云安全体系为理念，参照网络安全等级保护基本要求和云计算扩展要求（第3级），在“一个中心、三重防护”安全设计思路的指引下，构建以铁路通信骨干网安全管理中心及云安全资源池为核心，对云平台的通信网络、区域边界和计算环境进行安全防护，同时为云上业务系统提供安全能力。铁路通信骨干网云安全防护部署见图2。基于安全管理和业务需求，设立安全管理中心、云安全资源池及边界防护区。防护能力构建方案如下。

图2 铁路通信骨干网云安全防护部署

3.1 安全管理中心

铁路通信骨干网安全管理中心，通过集中部署安全管理平台、漏洞扫描、堡垒机、数据库审计、日志审计、终端防护及管控等安全设备，综合设备资产、日志信息、安全基线、漏洞、告警、流量等信息的关联分析和趋势预警，实现对云平台物理/虚拟网络、物理/虚拟主机、数据、应用等各类资产的集中监控、数据日志的统一管理与审计，以及安全事件的统一呈现，并对纳管终端按照策略进行恶意代码检测、漏洞修复及网络准入，满足铁路通信骨干网云平台的日常运维及管理需求［7］。

3.2 云安全资源池

云安全资源池不仅实现对云平台自身服务器、存储、网络的安全防护，还对虚拟主机安全配置加固、虚拟资源隔离和独占、虚拟主机恶意代码防范、虚拟入侵防范、虚拟补丁管理、镜像和快照保护等方面进行安全防护。各虚拟安全组件可根据实际需要开启一个或多个实例，满足不同的需求［8］。

安全组件包括虚拟防火墙、虚拟入侵检测、虚拟Web应用防火墙、虚拟服务器加固等。通过构建虚拟防火墙，可满足云平台内部虚拟机之间、虚拟机与宿主机之间的虚拟边界防护，满足虚拟边界防护与控制、网络侧恶意代码防范等方面的相关要求；虚拟入侵检测系统可对云平台内部网络流量进行安全监测，检测来自网络内部的网络攻击和网络入侵；虚拟Web应用防火墙对云平台或承载业务的WebService应用接口进行安全防护，检测并防止对云平台应用业务的SQL注入、XSS注入、Webshell上传等基于http协议的应用层网络攻击；虚拟主机加固可对云平台宿主服务器及业务系统虚拟机的计算环境进行安全保护，包括主机防火墙、主机IPS等［9］。

3.3 边界防护区

1）设备冗余部署。接入路由器、边界防火墙、核心交换机及相关链路采用冗余部署，并在通信过程采用SSH或 HTTPS等加密手段，提高业务通信过程中数据的保密性。

2）边界防护。指云平台局域网与广域网间的物理边界防护，综合考虑业务吞吐率等性能需求，在云平台局域网与广域网间的物理边界部署物理防火墙、入侵防御及未知威胁检测设备，对云平台进行边界防护，以满足等级保护中安全区域边界关于边界防护与控制、入侵防范、网络恶意代码防范等方面的相关要求。

4 未来展望

随着网络安全形势的剧变，网络空间安全战略地位逐步凸显，而云计算基础设施作为重要的数字资产及业务聚集地，面临的安全形势尤为严峻。

将云计算资源集中共享、弹性按需调配的特性应用于安全领域，通过“软件定义流量、软件定义资源、软件定义威胁”，为铁路通信骨干网络与业务系统安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等带来新的技术机制，为铁路通信构建动态的、闭环的、软件定义的云安全体系，让云安全问题的解决变得简单、敏捷、合规。