黃曼全，肖彥峰，王輝麟，張德棟，馮凱亮，白 麗

隨著大數(shù)據(jù)、云計算、物聯(lián)網和人工智能等新一輪智能信息技術發(fā)展熱潮的興起，以及交通強國、新型基礎設施建設等國家戰(zhàn)略規(guī)劃的頒布實施，傳統(tǒng)的軌道交通行業(yè)也積極引入這些新技術，以促進軌道交通的新應用、新業(yè)態(tài)和新體系的發(fā)展，對軌道交通行業(yè)進行重構。目前，在深圳都市圈智能城際鐵路規(guī)劃中，提出了以加大5G、互聯(lián)網、大數(shù)據(jù)、物聯(lián)網及AI 等新型基礎設施的建設，以數(shù)字化轉型促進軌道交通智能化運營的發(fā)展理念。以數(shù)字化信息平臺為傳統(tǒng)的城際鐵路業(yè)務賦能，促進其智能化、安全運營是當下都市軌道交通規(guī)劃的基本導向，構建一套具有內生性安全的智能城際鐵路信息基礎設施，是確保整個軌道交通運營安全的關鍵?；诖吮尘?，探討深圳都市圈智能城際鐵路的網絡安全整體架構和技術方案，從城際鐵路業(yè)務安全、通信鏈路安全和安全域隔離等方面探索相關安全防護的落地途徑。

1 都市圈城際鐵路網絡安全現(xiàn)狀

運用前端物聯(lián)網感知系統(tǒng)、后端云計算的算力和大數(shù)據(jù)挖掘能力，以及AI 的業(yè)務賦能能力，以構建都市圈城際鐵路的全面感知、智能融合的應用，全面實現(xiàn)運營生產、運營管理、企業(yè)管理、建設管理和資源管理等業(yè)務的智能化[1]?；谛禄?、新技術和新業(yè)態(tài)的城際鐵路在實際運營中所面臨的安全威脅[2]，使得都市圈城際鐵路的網絡安全呈現(xiàn)出以下不同特點：①傳統(tǒng)安全邊界被打破，業(yè)務上云、用戶及終端接入方式及位置具有不確定性；②前端物聯(lián)感知設備數(shù)量大、位置分散且暴露易遭受攻擊者利用[3]；③業(yè)務跨部門、跨域系統(tǒng)的耦合及交互，針對信息系統(tǒng)的攻擊面增大；④基于大數(shù)據(jù)的業(yè)務融合及分析，使得數(shù)據(jù)安全風險增加[4]；⑤5G、移動互聯(lián)網等技術引入，使得用戶的訪問行為復雜化，用戶身份管理風險增大；⑥在第三方產品、服務及業(yè)務融合中，因各自安全水平的不一致，易引入新的外部安全風險。

同時，國內各大都市圈現(xiàn)有城際鐵路各線路系統(tǒng)所采用的信息安全產品自成體系，產品之間缺乏聯(lián)動和兼容性，安全方面缺乏相應的頂層設計，不具備安全事件的關聯(lián)分析能力，無法開展主動式防御。為了應對上述安全風險及彌補現(xiàn)有安全方案的不足之處，在深圳都市圈智能城際鐵路的網絡安全防護體系設計中，提出以確保城際鐵路運營的核心業(yè)務安全為中心，分別從云安全、數(shù)據(jù)安全、網絡安全等不同層面，構建主動式安全防護體系。

2 網絡安全架構

2.1 安全策略及目標

遵循中國軌道交通協(xié)會針對城市軌道系統(tǒng)安全所提出的“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標、安全確?！钡目傮w方針[5]，依照國家所頒布的“網絡安全法”“等級保護條例”和軌道交通行業(yè)安全相關標準，結合深圳都市圈智能城際鐵路網中的各條線路業(yè)務特點和實際情況，確立系統(tǒng)安全規(guī)劃總體目標如圖1所示。

圖1 安全規(guī)劃總體目標Fig.1 Overall security planning objectives

（1）等保合規(guī)，縱深防御，安全能力合規(guī)化。遵照國家網絡安全方面的法律和條例，嚴格遵循等級保護的體系及標準，從安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心等方面，落實安全等級保護技術要求，在終端、網絡、邊界、云平臺、數(shù)據(jù)等不同層面實體部署安全機制，以實現(xiàn)縱深式防御。

（2）面向應用，云網安協(xié)同，安全能力最大化。根據(jù)業(yè)務應用系統(tǒng)特性，從威脅攻擊路徑出發(fā)，以保證應用系統(tǒng)持續(xù)穩(wěn)定運行為目標，云平臺、網絡、安全一體化協(xié)同防護，為應用提供安全保障與服務，兼顧業(yè)務系統(tǒng)的安全性與可用性。通過持續(xù)監(jiān)測，建立全面立體化信息采集及監(jiān)控體系，形成全域多層級的信息感知、資產全覆蓋、內部安全檢測+外部威脅檢測、網絡安全事件監(jiān)測，并在網絡層及終端設備上實現(xiàn)安全阻斷[6]。

（3）智能運營，安全能力智能化。結合運營體系，通過集中管理，統(tǒng)一監(jiān)測，安全運維，實現(xiàn)安全機制間相互補強、協(xié)同防護[7]，從威脅事件的識別、防御、檢測、響應、恢復等安全環(huán)節(jié)進行閉環(huán)管理，構建端到端的安全運維體系，提升安全維護的數(shù)字化、智能化水平，形成以主動防御、態(tài)勢感知為支撐的動態(tài)協(xié)同安全防御體系。

2.2 網絡安全總體架構

依據(jù)《城市軌道交通云平臺網絡安全技術規(guī)范》(T/CAMET 11005—2020)，網絡架構劃分為運維管理網、安全生產網、內部服務網、外部服務網4部分，其通信網一般由線網中心網絡、通信傳輸網、站段局域網、車地通信網、車載網絡構成。

基于上述的安全設計目標和思路，結合實際的網絡結構和劃分情況，深圳智能城際鐵路的網絡信息安全體系不僅要實現(xiàn)從終端、網絡、云平臺、業(yè)務應用到數(shù)據(jù)平臺等實體的安全防護，還應將網絡、安全、云平臺的組件和安全能力統(tǒng)一調度和管理，提供一體化、可視化、全局化的體驗。通過將傳統(tǒng)網絡安全產品與云計算技術相融合以實現(xiàn)“云網安一體”的智能化安全管控平臺，并將其分為運營層、分析層、管控層和執(zhí)行層4 個部分，深圳都市圈智能城際鐵路網絡安全總體架構圖如圖2所示。

圖2 網絡安全總體架構圖Fig.2 Overall network security architecture

（1）執(zhí)行層，是指參與業(yè)務交互的物理設備及其部署所依賴的環(huán)境和設施，由終端、網絡、云3個部分組成，每個部分均包含各自的安全設備，如防火墻、探針、IPS、終端安全軟件、云安全資源池等。其中，終端包括生產終端、辦公終端和服務終端3 大類型的不同具體應用的設備。網絡由安全生產網、內部服務網、外部服務網組成，站段與數(shù)據(jù)中心網絡通過骨干網絡完成連接。云包括云平臺、云內應用、數(shù)據(jù)等部分。執(zhí)行層在整體架構中負責收集轉發(fā)用戶流量，收集資產、狀態(tài)、流信息、日志信息，并上傳至安全分析系統(tǒng)，接受控制器下發(fā)的授權策略和阻斷策略，對終端、用戶、流量進行相應的處置。

（2）管控層，由終端管理、網絡管理、安全管理、云管理等平臺組成。終端管理負責收集終端資產、終端狀態(tài)、終端安全日志，并對終端進行安全處置。網絡/安全控制器通過南向NETCONF、SNMP 等接口，統(tǒng)一管理控制物理和虛擬網絡，完成網絡配置的自動化下發(fā)。同時北向與安全分析平臺對接，完成安全威脅的自動化閉環(huán)。云管理平臺負責云業(yè)務的部署，以及虛擬網絡、虛擬機創(chuàng)建等服務。管控層在架構中，向下對執(zhí)行層進行管理控制，向上和安全分析平臺進行協(xié)同，提供溯源等信息，管控層從分析層接受授權、阻斷、查詢策略并下發(fā)給執(zhí)行層，是實現(xiàn)自動化阻斷和溯源的關鍵部件。

（3）分析層，由網絡安全態(tài)勢感知平臺、云安全分析平臺組成。網絡安全態(tài)勢感知平臺收集終端和網絡的信息，并進行分析，實現(xiàn)網絡側的態(tài)勢感知。云安全分析平臺負責收集云平臺、應用、數(shù)據(jù)的安全信息，完成云自身安全威脅分析。分析層在整體架構中通過智能算法對所有信息進行綜合分析和研判，并將全網的安全態(tài)勢進行統(tǒng)一呈現(xiàn)，對于需要處置的事件下發(fā)給控制器進行處理，是云網安一體架構的核心。

（4）運營層，由深圳地鐵集團統(tǒng)一運維運營系統(tǒng)構成。統(tǒng)一運維運營系統(tǒng)承擔集團IT 系統(tǒng)的統(tǒng)一運維和運營管理功能，從運營角度實現(xiàn)對安全事件的溯源、工單派發(fā)、閉環(huán)處置等安全生命周期管理。通過部署安全運營中心，收集網絡安全態(tài)勢感知平臺和多個云安全分析平臺的事件信息，進行關聯(lián)分析和威脅統(tǒng)一呈現(xiàn)，響應處置。安全運營中心可實現(xiàn)對網絡設備、安全設備、系統(tǒng)、主機、中間件、數(shù)據(jù)庫、存儲、應用、虛擬化等多種資產的安全事件、設備運行狀態(tài)、網絡通信流量、資產脆弱性、網絡安全防護能力等數(shù)據(jù)的采集、集中管理和全網安全態(tài)勢可視化。在實際部署中，安全運營中心和網絡安全態(tài)勢感知平臺或者云安全分析平臺合一。統(tǒng)一運維運營系統(tǒng)通過調用安全運營中心接口，實現(xiàn)上述功能。

2.3 云網安一體安全架構

云網安協(xié)同防護通過收集網絡流量、安全日志、漏洞掃描日志、主機日志等多維度的安全威脅事件信息，進行統(tǒng)一綜合研判，提升安全分析精準度，實現(xiàn)精準溯源，對于違規(guī)的主體立即就近阻斷，實現(xiàn)一體化協(xié)同防護。云網安一體安全架構圖如圖3 所示。云網安協(xié)同防護方案主要分為3 階段，統(tǒng)一安全分析、精準溯源、近源處置，即通過持續(xù)收集全網全量的流量信息，以及終端的安全、漏洞等安全事件信息，進行統(tǒng)一的安全關聯(lián)分析，提升安全分析準確率，減少重復或者無效的告警；進一步對威脅源進行精準溯源；根據(jù)溯源后的位置進行近源快速阻斷，防止威脅橫向擴散。

圖3 云網安一體安全架構圖Fig.3 Integrated architecture of cloud network security

3 網絡安全方案與設計

3.1 網絡安全域劃分

依據(jù)上述網絡結構和所設計的網絡安全架構，在實際實現(xiàn)及部署過程中，面向深圳都市圈智能城際鐵路的核心關鍵業(yè)務及所依賴的網絡環(huán)境，結合等級防護的要求，進一步將上述的安全目標及功能分配至各個模塊。網絡安全域系統(tǒng)劃分示意圖如圖4所示。

圖4 網絡安全域系統(tǒng)劃分示意圖Fig.4 Network security domain division

（1）安全管理中心，其主要功能是實現(xiàn)全網的統(tǒng)一安全運營，以安全大數(shù)據(jù)平臺為底座，聯(lián)動其他安全設備，實現(xiàn)海量安全數(shù)據(jù)的采集、治理、分析、檢索等能力，支持風險識別、主動防御、精準檢測、快速響應與恢復的完整的智能閉環(huán)能力。

（2）安全生產網，主要承載的專業(yè)系統(tǒng)有自動售檢票系統(tǒng)(Auto Fare Collection，AFC)、列車自動監(jiān)控系統(tǒng)(Automatic Train Supervision，ATS)、乘客信息系統(tǒng)(PIS)、城市軌道交通綜合監(jiān)控系統(tǒng)(Integrated Supervisory Control System，ISCS)等，其中部署在云平上的業(yè)務系統(tǒng)通過云平臺自身的安全防護能力實現(xiàn)等保防護，車站及車輛段通過部署防火墻等設備實現(xiàn)對應的等保防護，兩個區(qū)域同時與安全管理中心的安全大數(shù)據(jù)平臺對接，實現(xiàn)云上、云下統(tǒng)一態(tài)勢感知。

（3）內部服務網，主要承載企業(yè)管理業(yè)務和OA業(yè)務，同樣分為云上業(yè)務部分和車站業(yè)務2 個部分，2 個區(qū)域同時與安全管理中心的安全大數(shù)據(jù)平臺對接，實現(xiàn)云上、云下統(tǒng)一態(tài)勢感知。

（4）外部服務網，主要承載對外部提供服務的業(yè)務，包括互聯(lián)網售檢票系統(tǒng)(IAFC)、智能運維系統(tǒng)(Intelligent Maintenance System，IMS)、公共電話等，同樣分為云上業(yè)務部分和車站業(yè)務2個部分，2 個區(qū)域同時與安全管理中心的安全大數(shù)據(jù)平臺對接，實現(xiàn)統(tǒng)一態(tài)勢感知。

（5）互聯(lián)網接入區(qū)域，主要給外部服務網提供外部網絡的鏈接出口，通過部署防火墻、入侵檢測、上網行為管理、DDoS 防御等系統(tǒng)來抵御外部互聯(lián)網的攻擊。

3.2 多層級的邊界防護

參照《智慧城市軌道交通信息技術架構及網絡安全規(guī)范第三部分：網絡安全》(T/CAMET 11001.3—2019)及《城市軌道交通云平臺網絡安全技術規(guī)范》(T/CAMET 11005—2020)，安全域之間通過網絡劃分，使用安全設備進行隔離。網絡安全多層級安全分區(qū)及邊界防護示意圖如圖5所示。

圖5 網絡安全多層級安全分區(qū)及邊界防護示意圖Fig.5 Network security multi-level partition and boundary protection

內部服務網和安全生產網之間宜采用邏輯隔離方式，外部服務網和內部服務網之間應采用數(shù)據(jù)擺渡技術作為強隔離手段，設置隔離區(qū)(Demilitarized Zone，DMZ)，為重要資源提供公共服務。站段局域網與骨干傳輸網應劃分不同的網絡安全區(qū)域并設置安全隔離策略進行邊界隔離和訪問控制。

外部服務網應設置互聯(lián)網接入區(qū)和外聯(lián)網接入區(qū)，部署抗DDoS 設備防御來自互聯(lián)網的分布式拒絕服務攻擊，部署入侵防護設備防御來自互聯(lián)網的網絡入侵，部署WEB應用防護設備防御對WEB應用服務的攻擊，部署沙箱設備防御未知威脅攻擊，部署VPN 隧道加密設備為遠程接入用戶提供安全接入，部署上網行為管理設備規(guī)范內部員工訪問行為，部署負載均衡設備均衡互聯(lián)網訪問壓力。

3.3 網絡通信安全防護

由于網絡協(xié)議及文件格式均具有標準、開發(fā)、公開的特征，因此數(shù)據(jù)在網上存儲和傳輸過程中面臨信息丟失、信息泄露或信息篡改的風險。因此，在信息傳輸和存儲過程中，必須要確保信息內容在發(fā)送、接收及保存環(huán)節(jié)的一致性；并在信息遭受篡改攻擊的情況下，提供有效的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證數(shù)據(jù)的機密性。

對于信息傳輸和存儲的完整性校驗可以采用的技術包括校驗碼技術、消息鑒別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名等技術手段。對于信息傳輸?shù)耐暾孕ｒ瀾蓚鬏敿用芟到y(tǒng)完成，通過識別傳輸協(xié)議類型對網絡數(shù)據(jù)進行隧道封裝，為用戶認證提供安全加密傳輸，并實現(xiàn)全業(yè)務數(shù)據(jù)在復雜網絡環(huán)境下的傳輸。對于信息存儲的完整性校驗應由應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。建議部署SSL/IPSec安全接入網關加密機來實現(xiàn)。

3.4 面向等保的業(yè)務系統(tǒng)安全防護

網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網絡安全等級保護工作是對信息系統(tǒng)和信息系統(tǒng)軟硬件，按照其重要性、對經濟社會的影響程度分級別進行網絡安全保護的一種工作[8-10]。針對深圳都市圈智能城際鐵路業(yè)務系統(tǒng)采用了“1-6-18-X”設計原則，即基于1 個云腦平臺，以6 個城際鐵路板塊為基礎、涉及18 個業(yè)務領域的X 個業(yè)務系統(tǒng)，以云腦平臺為支撐，為整個深圳都市圈智能城際鐵路業(yè)務系統(tǒng)提供服務。其中，6 大城際鐵路板塊包括智能施工、智能調度與列控、智能列車、智能客運、智能檢測監(jiān)測、智能運維網絡安全防護，重點從基礎設施、訪問控制、數(shù)據(jù)安全、安全審計等方面考慮，進行細粒度控制和動態(tài)調整，實現(xiàn)整個深圳都市圈智能城際鐵路業(yè)務安全。

針對18個具體業(yè)務系統(tǒng)，則應保障其自身的等保安全。參照《智慧城市軌道交通 信息技術架構及網絡安全規(guī)范第三部分：網絡安全》(T/CAMET 11001.3—2019)、《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239—2019)，明確了各專項業(yè)務系統(tǒng)的等保防護建議，梳理得到業(yè)務等級保護參照表如表1所示。

表1 業(yè)務等級保護參照表Tab.1 Service level protection

4 綜合安全防護能力的建設及關鍵技術

4.1 基于XDR的“一體化”平臺防護能力

在安全方面一個重大改變就是將之前的“面向線路的安全防護”提升為基于“線網的平臺化防護”。通過構建一個基于云、網、端的一體化防御平臺，將“態(tài)勢感知”技術與可擴展檢測響應平臺(Extended Detection and Response，XDR)[11-13]相結合，形成智能城際鐵路對信息安全產品的廣度、深度的擴展能力，提高各條線路及線網云平臺內部安全的協(xié)調通暢性，進而構建“平臺化”的安全能力。使用態(tài)勢感知系統(tǒng)的后端事件分析和持續(xù)監(jiān)控能力，結合XDR 前端安全產品的高效集成能力，可以構建智能城際鐵路的云、網、端一體化縱深式安全防御平臺，提高系統(tǒng)安全產品的可擴展能力。

4.2 基于零信任及SDP的動態(tài)防護能力

針對城際鐵路相關業(yè)務在無線化和移動化方面的拓展，以及泛在物聯(lián)接入、移動化接入和業(yè)務上云，原有的信任邊界被打破。通過安全域、云端隔離等多層級的邊界防護技術來應對該問題。但邊界防護的本質是構建信任機制，而對穿透邊界的異常行為依然缺乏應對手段，為此，在云端的安全管理平臺引入“零信任”及軟件定義邊界(Software Defined Perimeter，SDP)技術[14]，以實現(xiàn)端到端的實體(用戶/應用)鑒別、授權、訪問控制框架。在實體“鑒別、授權”過程中，將根據(jù)實體終端環(huán)境與行為，不斷更新信任評估結果，實現(xiàn)實體間的“持續(xù)可信”與“自適應安全”，以提高安全性。

4.3 基于隱私計算的安全數(shù)據(jù)共享能力

不同線路、不同業(yè)務及不同部門之間數(shù)據(jù)要素的有序共享，是實現(xiàn)深圳都市圈智能城際鐵路云網安一體的數(shù)據(jù)挖掘及決策分析能力的前提保證。為此，提出了構建數(shù)據(jù)南北向、東西向的安全共享能力，通過云端部署業(yè)務隔離、安全應用程序接口(Application Programming Interface，API)及SDP 控制器，能夠有效地確保調用的合法性。同時，進一步采用差分隱私、同態(tài)加密、多方計算等隱私計算技術[15]，能夠幫助各方在不泄露各自數(shù)據(jù)的前提下，實現(xiàn)數(shù)據(jù)脫敏、隱私保護和多方數(shù)據(jù)共享等能力，還可以實現(xiàn)關鍵業(yè)務數(shù)據(jù)不出本地，實現(xiàn)“數(shù)據(jù)可用不可見”的保護。

5 結束語

根據(jù)《網絡安全法》《數(shù)據(jù)安全法》和《智慧城市軌道交通信息技術架構網絡安全規(guī)范》等法律和規(guī)范，結合深圳智能城際鐵路實際業(yè)務需求和現(xiàn)有網絡結構，提出基于云技術的云網安一體架構。從業(yè)務等保合規(guī)、通信網絡安全和邊界防護等角度，明確各業(yè)務系統(tǒng)的等保安全體系建議及防護等級要求，設計相關安全功能的實現(xiàn)方案，并結合系統(tǒng)的縱深式綜合安全防御能力，探討其落地部署時所涉及的關鍵技術，可為京津冀、長三角、成渝等國家重點發(fā)展區(qū)域智能城際鐵路網絡安全體系建設提供借鑒和參考。