城市轨道交通云平台网络安全访问控制技术研究

刘为俊

随着智慧城轨建设的不断推广，作为其数字基础底座的城市轨道交通云平台（以下简称“城轨云平台”）建设项目也在不断实施落地［1］。涉及运营生产指挥的系统，如公务电话系统、乘客信息系统、视频监控系统、信号智能运维、综合监控系统、自动售检票系统等自动化系统相继在城轨云平台上部署［2-4］。城轨云平台及运营生产系统作为关键信息基础设施直接关系到公共安全，一旦网络安全功能丧失，可能危害公共利益。因此，需要遵循网络安全等级保护制度，按照平台统保、系统自保的原则，实行重点保护。根据城轨云业务安全需求特点，遵循以适度安全为核心，以重点保护、分类防护、保障关键业务、技术与管理并重为原则，构建完整的安全方案体系［5］。

访问控制技术是保护信息资源不被非法使用和访问的重要组成部分，云计算环境中的计算模式和存储模式的变化，如用户对资源的控制权减少，多租户技术和虚拟化技术的使用，都对传统的访问控制技术提出了新的挑战。因此，云计算环境下的访问控制技术已经从传统的用户授权扩展到虚拟资源的访问和云存储数据的安全访问等方面。这些变化要求云平台采用更复杂和灵活的访问控制策略来确保数据和服务的安全性。例如，云环境下的访问控制技术需要考虑如何在不同的安全管理域之间实现统一策略、相互授权和资源共享［6］。

目前的研究主要针对非云部署的网络安全［7-8］、城轨云平台整体的安全体系构建［9-10］，以及通用访问控制技术［11］等，针对城轨云平台安全体系下访问控制技术的研究较少。因此，本文将重点探讨城轨云平台场景下基于安全标记的强制访问控制技术，以访问控制策略的表达、分析和实施为主，定义安全保护的目标，对访问控制策略的应用和实施进行抽象描述，进而确定访问控制系统的具体实现、组成架构和部件之间的交互流程。

1 安全风险分析

城轨云平台以私有云平台建设为主，主要面临以下网络安全风险。

1）信息资源安全隔离问题。城轨云平台汇集了大量用户信息和数据信息，根据地铁业务系统特点，这些数据分别部署在不同的资源池，一旦安全隔离失败，信息泄露将成为城轨云平台的突出安全问题。

2）防护边界模糊化问题。城轨云平台中大量业务采用虚拟化部署，导致传统中心和车站局域网的边界模糊化，通用安全防御体系失效，访问权限控制、异常流量实时监控等问题尤为突出。

3）人员管理复杂化问题。城轨多项业务都有运用云平台，使用人员覆盖开发、运营、维护等多个角色，可能引发系统安全问题。此外，各种攻击者如黑客、专业罪犯、内部恶意人员、蓄意破坏者等也会给各个业务系统带来安全威胁［12］。

2 方案设计

2.1 安全架构和防护策略

城轨云平台承载内部多业务应用系统运行，结合网络安全风险分析结果，提出分区分域的业务系统间隔离的基础架构设计思路，以实现系统安全功能。城轨云平台分区分域安全架构见图1。

图1 城轨云平台分区分域安全架构

图1中，将基础设施资源划分为安全生产网、内部管理网、外部服务网3个独立的区域，各区域间不能直接访问，仅允许通过基于安全标记技术的跨网数据交换区进行数据交换［13］，从而实现数据导入的结构检查、数据导出的认证和授权。对网络服务进行控制，仅提供允许的服务和业务系统使用的特定服务，禁止其他难以控制或不可控制的网络服务。

各安全域内的业务系统应划分二级等保区和三级等保区，二者的计算资源不允许共享。在防护策略方面，每个等保区域内不同业务系统应用间通过局域网/虚拟可扩展的局域网隔离，业务系统间通过访问控制设备进行访问，禁止非授权访问，达到端到端的隔离效果。

2.2 风控体系和主动防御体系

在城轨云平台的环境下，风控体系需重点关注异常流量检测和异常网络攻击检测［14］。在异常流量检测方面，城轨云平台中各业务系统内部存在一台或多台虚拟机，虚拟机是否安全可靠直接影响到业务系统连续运行的可靠性指标。单台物理服务器上各虚拟机业务间，可能存在直接的数据链路层信息交换，管理员很难监控到这部分流量。因此，需要通过对虚拟机间流量进行监控，实现虚拟机间的访问控制及安全风险检测。此外，还要通过虚拟机漏洞扫描实现对所在物理机的访问行为进行防范和控制［15］。技术实现上，通过建立不同业务系统虚拟机之间的强制访问控制体系，屏蔽非必要的虚拟主机之间的互访，即使有数据互访的需求，也是在管理员知情并批准的前提下且需经过安全防护设备的安全控制。

云平台的核心是计算和数据资源，因此也是网络异常攻击者最主要的目标。云平台系统或应用一旦感染病毒、蠕虫、木马等恶意代码，就可能在平台内部快速传播，消耗网络资源，劫持平台应用，窃取敏感信息，发送垃圾信息，甚至重定向用户到恶意网页。同时，城轨云内部业务服务器底层和业务系统会不断产生新的安全漏洞，如操作系统、后门、文件传输协议、数据库漏洞等对平台敏感信息的监控、窃取、篡改等［15］。因此，城轨云平台的安全设计充分考虑了检测和清除病毒、蠕虫、木马等恶意内容的机制，增加有效的手段来识别并防护针对系统漏洞的攻击。

在风控体系的基础上，构建网络安全管理自动化和智能化的主动防御体系，实现网络安全统一运维管理、审计管理等功能。通过构建统一的资产管理、日志管理、配置管理、报警管理、标记策略管理等，实现全流程跟踪记录和工单告警联动，便于优化处理流程，实现流程审计和问题闭环［16］。通过监测网络实现对误操作、内部攻击和外部入侵的有效保护，统筹全网部署的网络安全设备，对网络安全进行实时、主动、全面的保护。

通过攻击模式分析、噪声数据处理、攻击分析建模、未知攻击识别等技术，搭建城轨云安全态势感控平台，见图2，实现网络安全主动防御。对检测到的数据进行整合，构建数据矩阵，并引入安全分析算法，逐步形成安全威胁挖掘分析模型，将各类型的病毒、木马等挖掘模式保存在智能分析引擎中，同时将智能分析引擎部署于各网，从而获取准确的挖掘结果，并将结果输出到前台实时交互接口，阻断病毒、木马在网络中的传播，从而实现主动防御的目的。

图2 城轨云安全态势感控平台

3 城轨云安全标记设计

安全标记技术作为一种支持业务间安全访问控制的手段，使用基于网络数据流的安全标记，将其添加到数据包，实现数据流从安全操作系统到网络传输的转化，从而提供安全的访问控制能力［17］。随着等保2.0的发布与实施，网络安全等级保护相关要求成为系统建设方案中的关注点。对于网络安全等级保护三级，即安全标记保护级，现有各种系统中运用实施的并不多，对于数据标记、安全策略模型、主体对客体强制访问控制的方案也较为少见。

使用安全标记需要完成3个基本工作：定义安全标记主客体、基于IP协议的网络数据流实现安全标记的绑定、实现确保主客体之间的访问控制。

为了满足城轨云各业务系统对于多域、跨域安全访问控制的需求，实现各业务系统安全访问控制，在既有访问控制手段的基础上，增强安全标记设计，也使业务系统间的访问控制实现更高的安全级别。安全防护重点在于边界防护，将各个业务网和运维网划分为独立网域，各个网域之间通过边界网关进行安全隔离。

各个区域形成后，对区域内主客体确定其安全属性，利用安全属性决定主体对客体的访问权限，由安全管理员为主、客体分配安全属性，业务不能改变自身安全属性。通过这种强制访问控制策略对各个区域的数据流进行统一控制。

基于这种强制访问控制策略的思路，可采用安全标记实现城轨云主/客体安全属性设计。城轨云平台安全标记L可以表示为L=C×K，其中C为安全级别，K为安全范畴。为保证在网络、传输、应用、数据库层面的强制访问控制策略具有统一的语义，在访问者和受访者的访问路径上形成具有一致性的安全策略体系，从业务和数据角度定义安全级别和范畴。

安全级别按数据敏感度和完整性等级进行设定。针对系统的业务和数据情况，主、客体安全级别定义为1～4共4个敏感度，敏感度从1至4逐步提高。敏感度定义见表1。

表1 敏感度定义

完整性等级根据用户写入、修改、删除信息的可信度，非授权修改对客体产生的危害进行设定。针对业务的用户和数据情况，将主客体完整性等级定义为1～4共4个完整性等级，从1至4逐步提高。完整性等级定义见表2。

表2 完整性等级定义

根据城轨云平台及各业务系统应用的类型、功能和控制区域等场景和安全属性进行抽象和定义，考虑系统业务和管理特点，安全范畴可以从业务类型和业务区域2个维度进行抽象和定义。在业务类型维度上，从业务应用、业务管理、系统管理等方面定义范畴。具体来讲，业务应用包括生产业务、OA等；业务管理包括配置、日志、权限等；系统管理包括配置管理、安全管理、安全审计等。在业务区域维度上，根据各安全域边界情况，如安全生产网、内部管理网、外部服务网、运维管理网等安全域对数据的管控要求进行定义。在业务类型相关的范畴定义中，每种业务类别都设置了一个较大的业务类型范畴，主要目的是给系统的强制访问控制提供不同粒度的控制能力。较粗粒度的业务类型范畴和类别内的其他范畴应同时使用，即设定细粒度范畴的同时应设定大的类别范畴。

4 结束语

通过对城轨云平台网络安全需求进行分析，将传统访问控制、运维管理、风险监控、数据智能分析等集成在完整的云平台之上，创建城市轨道交通管理系统的全业务承载和深度防御的安全保障环境。从数据敏感度和完整性等级方面进行详细定义和评估设计，实现安全标记强制访问控制功能，有效支持所设计的城轨云平台达到网络安全标记等级要求，符合当前安全技术发展和建设规范的新要求，可作为行业应用的参考。