城市軌道交通云平臺網絡安全訪問控制技術研究

劉為俊

隨著智慧城軌建設的不斷推廣，作為其數字基礎底座的城市軌道交通云平臺（以下簡稱“城軌云平臺”）建設項目也在不斷實施落地［1］。涉及運營生產指揮的系統，如公務電話系統、乘客信息系統、視頻監控系統、信號智能運維、綜合監控系統、自動售檢票系統等自動化系統相繼在城軌云平臺上部署［2-4］。城軌云平臺及運營生產系統作為關鍵信息基礎設施直接關系到公共安全，一旦網絡安全功能喪失，可能危害公共利益。因此，需要遵循網絡安全等級保護制度，按照平臺統保、系統自保的原則，實行重點保護。根據城軌云業務安全需求特點，遵循以適度安全為核心，以重點保護、分類防護、保障關鍵業務、技術與管理并重為原則，構建完整的安全方案體系［5］。

訪問控制技術是保護信息資源不被非法使用和訪問的重要組成部分，云計算環境中的計算模式和存儲模式的變化，如用戶對資源的控制權減少，多租戶技術和虛擬化技術的使用，都對傳統的訪問控制技術提出了新的挑戰。因此，云計算環境下的訪問控制技術已經從傳統的用戶授權擴展到虛擬資源的訪問和云存儲數據的安全訪問等方面。這些變化要求云平臺采用更復雜和靈活的訪問控制策略來確保數據和服務的安全性。例如，云環境下的訪問控制技術需要考慮如何在不同的安全管理域之間實現統一策略、相互授權和資源共享［6］。

目前的研究主要針對非云部署的網絡安全［7-8］、城軌云平臺整體的安全體系構建［9-10］，以及通用訪問控制技術［11］等，針對城軌云平臺安全體系下訪問控制技術的研究較少。因此，本文將重點探討城軌云平臺場景下基于安全標記的強制訪問控制技術，以訪問控制策略的表達、分析和實施為主，定義安全保護的目標，對訪問控制策略的應用和實施進行抽象描述，進而確定訪問控制系統的具體實現、組成架構和部件之間的交互流程。

1 安全風險分析

城軌云平臺以私有云平臺建設為主，主要面臨以下網絡安全風險。

1）信息資源安全隔離問題。城軌云平臺匯集了大量用戶信息和數據信息，根據地鐵業務系統特點，這些數據分別部署在不同的資源池，一旦安全隔離失敗，信息泄露將成為城軌云平臺的突出安全問題。

2）防護邊界模糊化問題。城軌云平臺中大量業務采用虛擬化部署，導致傳統中心和車站局域網的邊界模糊化，通用安全防御體系失效，訪問權限控制、異常流量實時監控等問題尤為突出。

3）人員管理復雜化問題。城軌多項業務都有運用云平臺，使用人員覆蓋開發、運營、維護等多個角色，可能引發系統安全問題。此外，各種攻擊者如黑客、專業罪犯、內部惡意人員、蓄意破壞者等也會給各個業務系統帶來安全威脅［12］。

2 方案設計

2.1 安全架構和防護策略

城軌云平臺承載內部多業務應用系統運行，結合網絡安全風險分析結果，提出分區分域的業務系統間隔離的基礎架構設計思路，以實現系統安全功能。城軌云平臺分區分域安全架構見圖1。

圖1 城軌云平臺分區分域安全架構

圖1中，將基礎設施資源劃分為安全生產網、內部管理網、外部服務網3個獨立的區域，各區域間不能直接訪問，僅允許通過基于安全標記技術的跨網數據交換區進行數據交換［13］，從而實現數據導入的結構檢查、數據導出的認證和授權。對網絡服務進行控制，僅提供允許的服務和業務系統使用的特定服務，禁止其他難以控制或不可控制的網絡服務。

各安全域內的業務系統應劃分二級等保區和三級等保區，二者的計算資源不允許共享。在防護策略方面，每個等保區域內不同業務系統應用間通過局域網/虛擬可擴展的局域網隔離，業務系統間通過訪問控制設備進行訪問，禁止非授權訪問，達到端到端的隔離效果。

2.2 風控體系和主動防御體系

在城軌云平臺的環境下，風控體系需重點關注異常流量檢測和異常網絡攻擊檢測［14］。在異常流量檢測方面，城軌云平臺中各業務系統內部存在一臺或多臺虛擬機，虛擬機是否安全可靠直接影響到業務系統連續運行的可靠性指標。單臺物理服務器上各虛擬機業務間，可能存在直接的數據鏈路層信息交換，管理員很難監控到這部分流量。因此，需要通過對虛擬機間流量進行監控，實現虛擬機間的訪問控制及安全風險檢測。此外，還要通過虛擬機漏洞掃描實現對所在物理機的訪問行為進行防范和控制［15］。技術實現上，通過建立不同業務系統虛擬機之間的強制訪問控制體系，屏蔽非必要的虛擬主機之間的互訪，即使有數據互訪的需求，也是在管理員知情并批準的前提下且需經過安全防護設備的安全控制。

云平臺的核心是計算和數據資源，因此也是網絡異常攻擊者最主要的目標。云平臺系統或應用一旦感染病毒、蠕蟲、木馬等惡意代碼，就可能在平臺內部快速傳播，消耗網絡資源，劫持平臺應用，竊取敏感信息，發送垃圾信息，甚至重定向用戶到惡意網頁。同時，城軌云內部業務服務器底層和業務系統會不斷產生新的安全漏洞，如操作系統、后門、文件傳輸協議、數據庫漏洞等對平臺敏感信息的監控、竊取、篡改等［15］。因此，城軌云平臺的安全設計充分考慮了檢測和清除病毒、蠕蟲、木馬等惡意內容的機制，增加有效的手段來識別并防護針對系統漏洞的攻擊。

在風控體系的基礎上，構建網絡安全管理自動化和智能化的主動防御體系，實現網絡安全統一運維管理、審計管理等功能。通過構建統一的資產管理、日志管理、配置管理、報警管理、標記策略管理等，實現全流程跟蹤記錄和工單告警聯動，便于優化處理流程，實現流程審計和問題閉環［16］。通過監測網絡實現對誤操作、內部攻擊和外部入侵的有效保護，統籌全網部署的網絡安全設備，對網絡安全進行實時、主動、全面的保護。

通過攻擊模式分析、噪聲數據處理、攻擊分析建模、未知攻擊識別等技術，搭建城軌云安全態勢感控平臺，見圖2，實現網絡安全主動防御。對檢測到的數據進行整合，構建數據矩陣，并引入安全分析算法，逐步形成安全威脅挖掘分析模型，將各類型的病毒、木馬等挖掘模式保存在智能分析引擎中，同時將智能分析引擎部署于各網，從而獲取準確的挖掘結果，并將結果輸出到前臺實時交互接口，阻斷病毒、木馬在網絡中的傳播，從而實現主動防御的目的。

圖2 城軌云安全態勢感控平臺

3 城軌云安全標記設計

安全標記技術作為一種支持業務間安全訪問控制的手段，使用基于網絡數據流的安全標記，將其添加到數據包，實現數據流從安全操作系統到網絡傳輸的轉化，從而提供安全的訪問控制能力［17］。隨著等保2.0的發布與實施，網絡安全等級保護相關要求成為系統建設方案中的關注點。對于網絡安全等級保護三級，即安全標記保護級，現有各種系統中運用實施的并不多，對于數據標記、安全策略模型、主體對客體強制訪問控制的方案也較為少見。

使用安全標記需要完成3個基本工作：定義安全標記主客體、基于IP協議的網絡數據流實現安全標記的綁定、實現確保主客體之間的訪問控制。

為了滿足城軌云各業務系統對于多域、跨域安全訪問控制的需求，實現各業務系統安全訪問控制，在既有訪問控制手段的基礎上，增強安全標記設計，也使業務系統間的訪問控制實現更高的安全級別。安全防護重點在于邊界防護，將各個業務網和運維網劃分為獨立網域，各個網域之間通過邊界網關進行安全隔離。

各個區域形成后，對區域內主客體確定其安全屬性，利用安全屬性決定主體對客體的訪問權限，由安全管理員為主、客體分配安全屬性，業務不能改變自身安全屬性。通過這種強制訪問控制策略對各個區域的數據流進行統一控制。

基于這種強制訪問控制策略的思路，可采用安全標記實現城軌云主/客體安全屬性設計。城軌云平臺安全標記L可以表示為L=C×K，其中C為安全級別，K為安全范疇。為保證在網絡、傳輸、應用、數據庫層面的強制訪問控制策略具有統一的語義，在訪問者和受訪者的訪問路徑上形成具有一致性的安全策略體系，從業務和數據角度定義安全級別和范疇。

安全級別按數據敏感度和完整性等級進行設定。針對系統的業務和數據情況，主、客體安全級別定義為1～4共4個敏感度，敏感度從1至4逐步提高。敏感度定義見表1。

表1 敏感度定義

完整性等級根據用戶寫入、修改、刪除信息的可信度，非授權修改對客體產生的危害進行設定。針對業務的用戶和數據情況，將主客體完整性等級定義為1～4共4個完整性等級，從1至4逐步提高。完整性等級定義見表2。

表2 完整性等級定義

根據城軌云平臺及各業務系統應用的類型、功能和控制區域等場景和安全屬性進行抽象和定義，考慮系統業務和管理特點，安全范疇可以從業務類型和業務區域2個維度進行抽象和定義。在業務類型維度上，從業務應用、業務管理、系統管理等方面定義范疇。具體來講，業務應用包括生產業務、OA等；業務管理包括配置、日志、權限等；系統管理包括配置管理、安全管理、安全審計等。在業務區域維度上，根據各安全域邊界情況，如安全生產網、內部管理網、外部服務網、運維管理網等安全域對數據的管控要求進行定義。在業務類型相關的范疇定義中，每種業務類別都設置了一個較大的業務類型范疇，主要目的是給系統的強制訪問控制提供不同粒度的控制能力。較粗粒度的業務類型范疇和類別內的其他范疇應同時使用，即設定細粒度范疇的同時應設定大的類別范疇。

4 結束語

通過對城軌云平臺網絡安全需求進行分析，將傳統訪問控制、運維管理、風險監控、數據智能分析等集成在完整的云平臺之上，創建城市軌道交通管理系統的全業務承載和深度防御的安全保障環境。從數據敏感度和完整性等級方面進行詳細定義和評估設計，實現安全標記強制訪問控制功能，有效支持所設計的城軌云平臺達到網絡安全標記等級要求，符合當前安全技術發展和建設規范的新要求，可作為行業應用的參考。