城轨云平台网络安全方案浅析

◆谢正媛 刘霞 李雅卓

行业与应用安全

城轨云平台网络安全方案浅析

◆谢正媛 刘霞 李雅卓通讯作者

（江汉大学智能制造学院 湖北 430074）

本文针对现阶段行业内城市轨道交通云平台网络安全的现状做了描述，介绍了轨道交通团体规范中对城轨云平台网络域之间安全隔离方案的技术要求，调研并列举了现有典型城轨云项目网络安全的措施，论述了网闸的技术缺陷，提出了基于标记强制访问控制技术的网间物理隔离技术方案，并对方案进行了比选，给出推荐结论，展望了城轨云平台网络安全的发展方向。

城轨云平台；安全生产网；内部管理网；外部服务网；边界安全

1 项目背景

根据中国城市轨道交通协会2020年3月发布的《中国城市轨道交通智慧城轨发展纲要》，要求2025 年目标：新建城轨交通城市全部采用城轨云；已经建成城轨交通的城市在新建线路采用城轨云及在既有线设备更新升级时移入城轨云与大数据平台。而城轨云平台按各应用系统的总体需求，为安全生产网、内部管理网、外部服务网三个域分配计算、存储、网络、安全等资源池。因此城轨云平台的网络域之间的安全隔离技术显得尤其重要。城轨云平台网络安全应遵循“系统自保、平台统保、边界防护、等保达标、安全确保”的策略，以网络安全等级保护为基础，分级分类建立应用系统的安全保护措施。

2 规范对城轨云平台网络域之间安全隔离技术要求

安全生产网与内部管理网之间的技术要求

根据《智慧城市轨道交通信息技术架构及网络安全规范》第三部分网络安全相关要求，城轨云平台安全生产网与内部管理网边界相关技术要求应符合以下内容：

（1）应能检测并阻止安全生产网与外部服务网、安全生产网与互联网直接互联。

（2）内部管理网与安全生产网之间应采用边界防护设备，启用IPS功能，并应采用最小授权原则配置访问控制策略。

图1 城轨云平台基本安全架构

根据规范要求，部署边界防护设备及边界准入禁止安全生产网与外部服务网、互联网等直接互联，通过内部管理网与安全生产网之间部署标记强访设备、防火墙、IPS并进行访问控制策略设置，能够检测安全生产网出口流量的异常并进行阻断。

城轨云平台内部管理网与外部服务网边界相关技术要求应符合以下内容：

应能检测并阻止内部管理网与互联网、外部服务网与安全生产网直接互联。

外部服务网与内部管理网之间应采用物理隔离技术，数据应通过摆渡方式进行传输，并应采用最小授权原则配置访问控制策略。

防止内部管理网与互联网、外部服务网与安全生产网等形式的业务系统跨域互联，部署云内异常流量监测及防护设备及准入设备，能够检测到跨域流量并与边界防护设备进行联动，实现流量阻断。

外部服务网与内部管理网之间部署网闸等物理隔离装置进行物理隔离，并设置防护规则可实现数据的安全传输。

3 既有城轨云平台项目案例网间安全隔离方案

目前城轨云平台的代表项目主要有呼和浩特城轨云平台项目（2019年底已成功开通）和太原轨道交通2号线城轨云平台项目（目前正在进行现场调试），以下重点介绍这两个项目的城轨云平台网间隔离方案。

3.1 呼和浩特城轨云平台网间安全隔离方案

安全生产网与内部服务网之间设置防火墙匹配安全生产网三级等保、内部服务网二级等保的相关要求。在安全生产网、内部服务网核心交换机之间部署网间防火墙，安全生产网和内部服务网在生产中心云平台中通过防火墙进行数据交互。防火墙开启安全策略，对安全生产网和内部服务网间的数据访问进行控制，同时开启IPS功能。

图2 安全生产网与内部管理网域间网络安全架构示意图

内部服务网与外部服务网之间设置网闸匹配内部服务网二级等保的相关要求。

在内部服务网、外部服务网核心交换机之间部署网闸，内部服务网和外部服务网在生产中心云平台中通过网闸进行数据交互。

图3 内部管理网与外部服务网域间网络安全架构示意图

3.2 太原轨道交通2号线城轨云平台网间安全隔离方案

外部服务网与内部管理网之间采用网络隔离技术实现信息摆渡，可在内外网 TCP/IP 协议彻底阻断的情况下，提供HTTP、SMTP、FTP、POP3、FileSync、ORACLE 等应用级检测通道，在屏蔽会话层以下网络威胁的前提下，对内外网交互数据进行严格的访问控制和日志审计。内部管理网与安全生产网之间，采用防火墙设备，进行隔离。对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为[1]。对现网进行安全域划分，每个安全域/或重要的安全域通过部署防火墙实现安全域隔离防护。

图4 太原轨道交通2号线城轨云平台网间安全隔离架构图

4 城轨云平台网间隔离方案比选

根据规范要求以及呼和浩特城轨云及太原城轨云案例可以看到，安全生产网与内部管理网之间的网间隔离措施可以采用具备IPS策略的防火墙进行隔离，此方案技术成熟，效果稳定，可满足城轨云平台内安全生产网和内部管理网之间数据交互的要求。

4.1 网闸方案

内部管理网与外部服务网目前大部分采用的物理隔离技术手段是网闸，作为物理安全设备，安全网闸提供的高安全性是显而易见的，但是由于其工作原理上的特性，不可避免地决定了安全网闸存在一些缺陷[1]：

（1）只支持静态数据交换，不支持交互式访问。

这是安全网闸最明显得一个缺陷。由于是真正的网络间物理隔离，它不支持诸如动态web页面技术中的activex、java甚至是客户端的cookie技术，目前安全网闸一般只支持静态web页、邮件文件等静态数据的交换。

（2）适用范围窄。

由于数据链路层被忽略，安全网闸无法实现一个完整的iso/osi七层连接过程，所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块，灵活性差，适用范围十分狭窄。

（3）系统配置复杂，安全性很大程度上取决于网络管理员的技术水平。

在网闸传送数据过程中要实现病毒、木马过滤和安全性检查等一系列功能，这都需要网络管理员根据网络应用的具体情况加以判断和设置。如果设置不当，比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等，都可能造成安全网闸的安全功能大打折扣。

（4）结构复杂，成本较高。

安全网闸的三个组件都必须为大容量存储设备，特别在支持多种应用的情况下，存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外，安全网闸由于处在两个网段的结合部，具有网关的地位，一旦宕机就会使两边数据无法交换，所以往往需要配置多台网闸设备作为冗余，这就使购置和实施费用不可避免地上升了。

（5）技术不成熟，没有形成体系化。

安全网闸技术是一项新兴的网络安全技术，尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。

（6）带来网络通信的“瓶颈”问题。

因为电子开关切换速率的固有特性和安全过滤内容功能的复杂化，目前安全网闸的交换速率已接近该技术的理论速率极限。可以预见在不久的将来，随着高速网络技术的发展，安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。

但无论如何，网闸对其他网络安全设备是一个很好的补充，也是其他网络安全设备所无法替代的安全产品。

4.2 安全数据交换系统方案

为有效解决城轨云网络不同安全等级网间数据多种安全传输需求，适应城轨云所需的动态灵活的安全策略，安全数据交换系统作为边界网关具备以下功能：

（1）具有安全标记强访功能，支持BLP和BIBA模型，多种隔离模式能有效满足不同安全等级网间的多种安全传输需求；

（2）高度集成多种安全基础技术，支持SDS（软件定义安全模型）来保护云边界安全，配合实现云基础/内生安全；

（3）应用微隔离技术，将策略和应用深度绑定，以实现深度的安全检查和数据防护，以支撑协议层的纵深防御；

（4）支持数字鉴权和基础密码服务，对应用的访问和数据的流向进行多层多级授权；

（5）支持数据格式检查以保护敏感数据无法被越权/越界传输，防止内部敏感信息外泄；

（6）通过集成多种安全技术和标记技术，可以有效防范各类已知、未知病毒及恶意代码攻击等；

（7）通过安全数据交换系统配合标记强访策略、认证和密码服务，共同构建系统内生安全体系。

4.3 方案比选

表1 方案比对表

上述两套方案，均能实现不同安全域之间的隔离与数据摆渡功能。其中，网闸属于传统的物理隔离设备，在数据传输的实时性方面具有天然的劣势，至只适用于对实时性要求不高的场景。

数据安全交换系统是一种基于标记强制访问控制技术的全新设备，不但解决了网闸设备无法实时数据交换的问题，而且在安全性上有了质的飞跃。其中，标记强制访问控制技术的应用，是城轨行业网络安全上的一大突破。采用标记强访技术，可构建城轨云网的主动免疫的可信计算架构，提供主动防御功能的全新技术理念。通过与数据交换总线、密码和自动化运维技术、大数据、态势感知技术的协同，可实现城轨云网络多级别传输过程中数据的完整性、可用性、可信性、私密性和一致性的保证，提升网络抗攻击能力。

综上，数据安全交换系统方案，能够满足城轨云建设的各类标准规范及应用的要求，达到可信、安全可控目的。但基于标记技术目前要求基于linux操作系统，对部分业务系统软件的操作系统选型会存在一定影响。

4.4 推荐结论

综上所述，在实际城轨云实施项目工程中，推荐济南轨道交通安全生产网与内部管理网之间的网间隔离措施，可以采用具备IPS策略的防火墙进行隔离；内部管理网及外部服务网之间流量不大的业务可采用双向访问网闸进行物理隔离，同时积极审慎的跟踪相关业务系统在linux环境下部署的可能性，适时推进数据安全交换系统，实现数据量大业务系统的网间双向数据共享。

5 展望

城轨云平台代表着先进生产力和未来技术发展趋势，在建设好城轨云平台的同时应根据城轨云平台内部署各业务信息系统的安全需求，构建保证信息系统可用性、完整性和保密性的平台和安全保证体系，确保城市轨道交通行业的业务安全。采用“网间分级隔离”的策略，根据业务特点、安全性和可靠性的需求，对应安全生产网、内部管理网和外部服务网网络设置安全机制和对应的资源池，并对各类资源池进行保护。在保障网络安全条件下，城轨云平台势必将为智慧城轨信息化发展奠定坚实的基础。

[1]智慧城市轨道交通信息技术架构及网络安全规范.中国城市轨道交通协会专家和学术委员会，2019.

[2]元进辉，江开雄，王刚.城市轨道交通综合监控系统云的应用探索[J].城市轨道交通研究，2019，22（11）：139-142.

[3]何霖，药世峰.城市轨道交通云建设探讨[J].都市快轨交通，2016，29（02）：37-40.

[4]李中浩，朱东飞，邢智明.以信息化助推城市轨道交通快速发展的思考[J]，城市轨道交通研究，2017（5）：1.

[5]王皓，杨承东.城市轨道交通融合云平台探讨[J].都市快轨交通，2018，31（05）：50-53.

湖北省高等学校优秀中青年科技创新团队计划项目“智能交通和物流的优化与决策”（T201828）