城市轨道交通企业云安全管理浅析

□ 杭州市地铁集团有限责任公司 周光军，李琦

  摘要：云计算、大数据等新生信息技术在城市轨道交通行业的应用日益增多，同时也带来新的问题和挑战，如何按轨道交通专业的特点和信息技术发展的趋势，为全面实现智慧城市轨道交通提供重要的技术支撑和安全保障显得更加重要。本文首先概述了城市轨道交通行业业务发展背景和云安全管理现状，充分结合城轨企业在安全生产网、内部管理网和外部服务网中的信息化建设过程中面临的实际问题，进而梳理和分析了信息安全、云计算、云安全等相关技术架构和规范，提出了以“安全产品+安全服务”的城市轨道交通企业信息安全纵深防御体系和管理框架，最后对该云安全管理框架进行了总结和展望。

 

  1 引言

  截至2017年末，中国内地共计34个城市开通城市轨道交通，并投入运营，开通城轨交通线路165条，运营线路长度达到5033公里。同时，全国共有62个城市的轨道交通建设规划获得批复，规划线路总长7424公里。城市轨道交通发展高速化、密集化、多样化、网络化和智能化的特征日益显现。

  我国强力推进“互联网+城市轨道交通”战略，信息化建设也已进入到大规模开发和应用阶段。云计算、大数据等新生信息技术在城市轨道交通行业逐渐得到应用，但这些新生事物随之给城轨企业管理者也带来新的问题和挑战：云不是看不见摸不着吗？上了云系统和数据安全还需要管吗？怎么管理云上的信息安全？

  云安全是继云计算、云存储之后出现的云技术的重要分支，是传统IT领域安全概念在云计算时代的延伸。云安全主要涉及云安全技术、云安全应用、云安全产品、云安全标准及合规、云安全管理等等，涉及面很广。本文重点围绕城市轨道交通企业在云平台的安全管理业务范围，详细分析了相关技术规范，并结合行业业务管理特性和网络安全管理现状，针对性地提出城轨企业安全管理框架，以帮助企业在云化的过程中能更深入了解云安全面临的威胁，消除对业务上云过程中的安全顾虑。

 

  2 云平台面临的安全问题

学过信息安全的人都知道，信息安全风险是由威胁而引发的，面临的威胁越多则风险越大。下面我们将云计算面临的问题从客观、主观上进行详细分析：

  2.1 客观存在的安全威胁

  云安全联盟（CSA）在2016年发布了一份“Treacherous 12”的云安全威胁报告，这些威胁分别是：数据泄露、凭据或身份验证遭到攻击或破坏、接口和API被黑客攻击、利用系统漏洞、账户被劫持、来自企业内部的恶意人员、APT(高级持续性威胁)寄生虫、永久性的数据丢失、缺乏尽职调查、云服务的滥用、DoS攻击、共享的科技，共享的危险。

  云安全联盟（CSA）是一个致力于云计算安全的非盈利世界性行业组织，每年都会发布云安全的威胁报告，被业内广泛的采用和传播，“Treacherous 12”的云安全威胁更是被业内大部分从业者所广泛接受。下面我们来具体分析一下这些威胁：首先，上述威胁中我们看到诸如数据泄漏、身份验证、系统漏洞、账户劫持、恶意内部人士、数据丢失、DOS攻击等的安全威胁在传统IT领域环境下本身就存在的。其次，如接口和API被黑客攻击在传统IT领域也存在，只是因为云计算环境下所有的云服务都需要使用接口和API进行管理和互动，且API和接口通常需要从公网进行访问，这就使安全问题扩大化了。最后，还有一些如虚拟化、共享技术的使用带来了的新的安全问题。

   新型的威胁引入我们可以从以下几个方面来看：

  （1）IT资源虚拟化的威胁，Hypervisor层（资源抽象和控制层）脆弱性，一旦出现问题，可能导致云上所有应用都会受到影响，如虚拟机逃逸威胁等；另外还存在虚拟机的动态迁移特性使得基于传统硬件防护的技术措施失效的风险。

  （2）基础设施即是服务（IaaS）和平台即是服务（PaaS），对于这种新的服务模式，云服务商或云平台管理方拥有超级的用户权限，普通用户在这两层上对这些潜在的风险缺乏有效的防范手段。

  （3）云计算的多用户模式下，东西向（横向）流量占据主导，恶意用户可以通过共享资源对其它用户和云基础设施进行攻击，甚至导数据泄漏等安全问题。

  （4）最后，云平台的开放性也便于攻击者选择多种途径入侵（DDoS、资源滥用）和控制云平台等运维管理方面的风险。

   基于上述对安全威胁的分析，我们可以归纳为以下几点：

  （1）云计算的安全问题80%是传统IT领域就存在的安全问题。

  （2）剩下20%的安全问题来自于：新技术的使用带来的新管理问题；老技术的新用法带来的老安全问题扩大化；以及新的服务模式带来的潜在问题。

  因此，在城市轨道交通各信息系统中，传统的信息安全理论和技术防护措施仍然适用于解决云计算安全问题。

  2.2 城轨企业对云安全的顾虑

  城市轨道交通的高速化、大运量和线网化的业务发展趋势，使得对城轨企业的安全生产网、内部管理网和外部服务网内的业务应用复杂性持续增强，应用数据规模持续扩大，信息安全管理难度日益增加。同时，城轨企业自身在网络安全方面的技术防护、安全管理和安全运维方面不及IT行业的发展和应用成熟。另外，还存在缺乏行业相关技术架构和规范等问题。下面看一下城轨。      

  行业用户在云安全方面的顾虑和主观感受。对于习惯使用传统物理设备和系统的城轨企业而言，当提到业务上云时，会对云计算这一新生事物会有所顾虑或担心，甚至有些抵触。

  （1）用户担心失去控制权。业务向云端迁移时，对于原先习惯于操纵物理服务器的IT安全管理员们和业务部门用户来说，常常会为无法实际访问服务器而焦虑不安。

  （2）用户担心失去所有权。对于用户数据存储在云平台上，他们会认为不像存储在内部物理环境的数据那样放心，总是担心数据会不会被人拿走或丢失。

  （3）对云技术在成熟度方面缺乏信心。他们认为，城轨企业的信息系统对安全性、稳定性要求高，目前云技术的应用和相关标准还没有成熟到足以满足城轨企业使用云服务带来更高的安全要求这一地步。

  如果我们认识到，以上这些顾虑或担心只是我们认知上的问题，而不是云的实际风险，那么就很容易理解了。谷歌的安全主管曾说过下面这番话：“云计算如今即便不比大多数企业在传统环境下采取的做法来得安全，但至少也一样安全”。

  3 云安全技术体系

  从云计算应用来看，除上一章我们所谈到的可能增加安全风险外，其实还有另外一种观点，那就是云计算也可以提高安全性。简单举几个例子：云机房建设要求达到机房设计规范A级的建设标准，一般比传统机房的安全性更高；云主机宕机后云服务的自动迁移功能，可以提高服务可用性、数据安全性；还有利用云计算的超强计算能力和大数据分析能力来重新设计安全产品，如态势感知功能等等。从这些角度来看，云技术确实可以提高部分系统安全性。实际上，我们还可以通过分析和进步了解相关技术架构，设计安全管理体系来提高云安全管理能力。

  3.1 云计算架构

  要研究云安全体系，那就不得不先从了解云计算的架构开始。

图1-云计算架构

  云计算架构也称为云计算环境，包括物理层、网络层、主机层、资源抽象和控制层、云计算服务软件，以及云上部署的应用软件的集合。为便于理解及安全管理责任的划分，我们参照传统云计算架构，将其分成了上下两层：云平台层及云上业务层，如上图1所示。

  3.2 信息保障技术框架

传统的《信息保障技术框架》被各行各业广泛采纳，该框架简称IATF[4]。IATF是美国国家安全局（NSA）制定的，是一份描述其信息安全保障的指导性文件。我国国家973“信息与网络安全体系研究”课题组于2002年将IATF3.0版引进国内，该框架对我国信息安全工作的发展和信息安全保障体系的建设起到重要的参考和指导作用。下面我来详细分析一下该框架核心思想：

图2-IATF架构

  IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth），如上图。所谓纵深防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人（管理）、技术和操作（运维）是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。IATF还提出了三个安全基本原则：

   （1）保护多个区域的原则（分区分域）。包括保护网络和基础设施、区域边界、计算环境、支持性基础设施等，目的就是让人们理解网络安全的不同方面，以全面分析信息系统的安全需求，并考虑恰当的安全防御机制。

   （2）分层防御原则。如果保护多个区域原则是横向防御，那么分层防御原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御是指在攻击者和目标之间部署多层防御措施，如防护、检测、响应、审计等

   （3）适度安全原则。必须要考虑到信息价值与安全管理成本之间的平衡。

  3.3 等级保护要求安全框架

  信息安全等级保护制度是我国信息安全保障工作的基本制度，主要用于保障我国重要网络和信息系统的安全。国标GB/T 22239-2008《信息系统安全等级保护的基本要求》只提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求。基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分， 标准适用于指导不同安全保护等级信息系统的安全建  设和监督管理，具体可概括为：

  （1）技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全，技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。

  （2）管理要求包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面。管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

  3.4 云安全架构

  云安全体系架构参考了如《云计算服务安全指南》和《信息系统安全等级保护基本要求》等国内外安全标准，并在这些内容的基础上，结合“积极防御、综合防范”的指导思想提出了整体云安全体系架构。

  云安全体系架构与传统IT安全体系架构最大的差异在于分层的模型，依据云计算体系，我们将云安全体系分为云平台安全以及云上业务安全两个部分，主要用于指导云架构的安全体系建设和便于安全管理责任区分，具体架构如图3所示：

图3-云安全体系

  参照传统IATF信息安全管理框架，将云上业务安全也分为安全技术、安全管理、安全运维三个维度来描述：

   （1）安全技术：是指为实现云上业务系统的安全，而采取的多种云上安全技术措施，包括云防护、云监测、云审计、云恢复等。

   （2）安全管理：是指是为保障云上业务安全而采取的一系列管理措施的总和，通过建立健全的组织机构、规章制度，以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行，保证云上业务安全的技术措施真正发挥效用，共同保障企业云平台的整体安全。

   （3）安全运维：是为保障云上业务安全而采取的一系列安全运维服务活动的总和，内容主要包括安全评估、安全配置、安全监控、应急演练等。

  4 城轨企业云安全管理架构

  基于云计算平台技术的IT建设方案已成功应用于各行业，而在城市轨道交通领域，华为城轨生态实验室结合了城市轨道交通行业需求和行业特性，与国内外主流厂家共同联合创新和开发，构建了基于云计算的城轨应用系统平台实验室，为研究云安全管理奠定了基础。鉴于城市轨道交通信息系统对的重要性，如何在科学、先进、适用、安全的原则指导下，按轨道交通专业的特点和信息技术发展的趋势，既能为现有信息系统功能创新、系统升级，又能为新一代信息系统在全面实现智慧城市轨道交通提供重要的技术支撑和安全保障显得更加重要。

  4.1 管理主体及安全责任

  我们根据城市轨道交通企业安全生产网、内部管理网、外部服务网内的业务特性，分别设置网络边界隔离，进而将不同网络、不同专业、不同系统的云安全的管理需求从云平台安全和云用户业务安全两个层面的进行划分，分别针对云运营方和云用户两个责任主体：

  （1）云平台运营方主要承担云平台的建设和日常运营，保障云平台自身的安全及提供云运营方面的云上业务安全能力。

  （2）云用户的业务系统上云后的安全管理责任不变，承担除底层云基础设施安全之外的所有安全的需求。

  （3）另外无论云平台安全还是云用户业务安全也同样存在服务外包的需求，以及满足国家和行业在安全合规性方面的需求，如对云服务的安全审查、信息安全等级保护等合规方面的要求。

  4.2 云安全管理体系的建立

  通过第三章各技术架构研究和分析，我们可将城轨企业的安全生产网、内部管理网和外部服务网，按业务性质和信息安全等级对云平台及各专业应用系统分级分类，可采用网间分级隔离，网内分类防护的策略，按照系统自保、平台统保、等保达标、确保安全的管理原则，建立城市轨道交通企业信息安全纵深防御体系。其核心设计思路可概括以下几方面：

  首先，云计算的一大特点就是基础设施即是服务，云安全同样应该是云平台提供的一项基础服务。

  其次，信息安全是一个系统工程，又是一个动态管理过程，任何一个安全厂商包括都不可能覆盖安全的所有领域，因此需要结合第三方安全厂商产品，形成云安全管理生态。

  最后，我们提出云安全管理的整体思路：以“安全产品+安全服务”的形式打造成按需提供云安全服务管理，共同服务于最终云用户的业务安全。接下去我们详细的对该体系进行阐述，见图4：

图4-云安全管理体系

  （1）从横向上看，分为两大安全责任主体，平台运营方及云上用户分别各自承担相应层面的安全技术、安全管理、安全运维三方面的安全责任。其中，平台运营方主要由云平台的提供商和其它产品提供商共同支撑云平台安全管理。同样，云上的用户主要由业务维护方和软件开发商共同支撑云上业务的安全。

   （2）从纵向上看，平台运营方及云上用户各自承担的安全运维与安全管理的要求基本一样，安全运维包括安全评估、安全合规、安全加固、应急响应等，安全管理包括安全组织机构、安全管理制度、人员安全、安全培训等。在安全技术方面，我们提出云安全技术以国内云安全厂商的平台邢产品为基础安全核心，结合其他第三方安全厂商生态合作，为云端应用系统提供多层次、立体化的安全技术和服务。

  （3） 对于云平台运营方自身的技术管理，我们可以从两个方面来进行安全管理：

  第一方面，保障云平台数据中心的安全。这一块与传统数据中心安全设计是一样的，完全可以参照IATF、国家信息系统等级保护等相关的安全框架要求进行管理。

  第二方面，为城轨企业安全生产网、内部管理网和外部服务网网络内的各业务用户提供基本的安全防护能力和措施，可以进一步分三点：

  1）设置基础安全管理策略，包括安全镜像、多用户隔离、安全组防火墙、数据备份和数据清零等；

  2）统一部署并提供包括DDoS防御、漏洞扫描、Web防火墙、堡垒机、漏洞扫描等通用型防护功能，以服务的形式为云上用户提供公共云安全防护和服务；

  3）除以上通用型安全功防护技术外，还需要通过第三方安全生态合作来弥补系统缺失的特殊安全能力，但这些安全能力应区别于以硬件方式交付的传统安全防护技术（因为云上业务层根本不支持硬件的部署），同样也需以服务的方式为云上用户业务提供服务。

   （4）云上用户安全技术管理，主要包括：

  1）业务上云后虚拟网络层、虚拟主机层、应用层及数据层的安全，如虚拟网络的划分、虚拟机的安全配置、数据安全以及应用代码安全；

  2）云上用房还需要根据业务特性，设计合理的安全架构，选择合适的安全产品和服务，确保云上业务的各层面安全，最终用户能为自己在云上业务安全负责。

  要全方位、全面实现云安全的安全技术、安全运维和安全管理三位一体管理，我们还需借助于构建企业统一的安全管理中心，进行平台和用户业务的管理、配置、监控及展现。云安全管理中心还应包括安全运维管控中心、安全控制台、安全管理中心等的核心功能，主要用于对云平台和第三方安全产品和服务进行统一安全管控，协助企业安全管理员进行安全事件风险分析，预警管理和应急响应等。

  5 结束语

本文采用成熟技术体系框架的设计理念，充分借鉴了我国城市轨道交通企业和其他行业的信息化建设以及网络安全管理经验，结合城市轨道交通企业各业务特性，以行业云计算应用现状和安全管理现状为基础，详细分析了相关技术架构，并用“安全产品+安全服务”的理念提出城轨企业云安全管理体系框架，希望能够帮助城轨企业在云平台建设、运营时提供方案设计参考。

 

浙江省轨道交通建设与管理协会