地铁云平台网络安全方案

　　1. 行业痛点

　　地铁业务系统作为国家关键信息基础设施，一直以来其网络都是相对独立和封闭的，地铁内部的各个业务系统之间的网络都是独立建设。近年来为了推动地区的轨道交通的发展，提升行业的服务质量，部分地区的地铁建设方通过引进云计算技术来改变传统的地铁业务建设模式，将各大专业（业务系统），诸如：AFC系统、ISCS系统、SIG系统等等都集中在一个云数据中心，将车站级的数据要求降低甚至取消，提高全局的资源利用率，减少业务建设过程中过多的对车站的投入，同时通过集中的管理中心对全局的各系统个资产进行管理，提高管理效率。

　　地铁云平台面临的安全问题主要有：

　　 云平台自身的安全问题

　　云平台的底层架构是通过虚拟化技术实现资源共享调用，但是共享需要保证用户资源间的隔离，目前大多数云平台存在VENOM(毒液)漏洞，通过该漏洞能让攻击者越过虚拟化技术的限制，访问并监视控制宿主机，并通过宿主机的权限来访问控制其他虚拟主机。因此需要提供面向虚拟机、存储等虚拟对象的安全保护策略。

　　 不同专业的安全控制与管理

　　虽然将各专业的计算都集中到了云中心，但是部分专业的现场级的数据采集组件都是部署在车站的，在目前的技术背景下，无法实现现场级设备的虚拟化，且采用TCP/IP协议作为数据传输协议，且各业务系统如ISCS与AFC、SIG等专业都是采用的工业控制协议：TCP/MODBUS，应用层协议依靠传统的网络分析技术是无法进行分析的。

　　 云端数据的安全传输与交换

　　地铁云平台将所有数据都集中到云端加工、存储，站段数据向云端传输需要云平台向各业务系统开放相应的接口，这种中心级的数据交换需要保障各业务系统的数据安全传输与交换。

　　2. 解决方案

　　1）云平台网络安全边界防护体系

　　建立外部服务网、内部管理网、安全生产网三个安全域间防护体系；各安全域内部业务系统安全边界；带外管理网区域边界；车站/车辆段节点安全域边界；区域边界实现以下几方面的防护措施：边界隔离及访问控制、安全审计、抗DDoS攻击、入侵检测及防御、未知威胁检测、通信链路加密、负载均衡、Web安全防护。

　　2）云平台网络安全防护支撑体系

　　云平台网络安全防护支撑体系旨在建立云平台安全管理中心，云平台安全管理中心定位于云安全体系中的上层管理平台系统，可以整合云中各类安全监控资源、采集环境中全量的安全监测信息，形成面向云计算集中安全监测、综合安全分析和统一运维支撑的安全运维管理，承担云上态势感知的功能。

　　3. 方案成果与价值

　　该方案以安全生产网、内部管理网以及外部服务网为基础，实现区域化的安全治理。集合云技术资源动态调度的优势，将安全能力以资源池的形态进行交付，各专网、系统按需提出需求，由云安全管理中心进行分配；最终实现跨专业、跨网络的统一安全管理，解决了资源利用不足，安全部署繁琐、不利于统一管理的问题。

　　责任编辑：广汉