基于城轨云的线网网络安全“四化”建设

　　摘要：构建可靠有效的网络安全体系是城市轨道交通线网安全运行的重要保障。结合网络安全法和等级保护的要求，提出运用“标准化”“精准化”“可视化”“智能化”的“四化“概念构建城市轨道交通线网网络安全保障体系。解决通用网络安全标准与城市轨道交通行业网络安全实际需求之间的耦合，形成先进、系统的城市轨道交通线网网络安全解决方案。

　　关键词：城市轨道交通；网络安全；等级保护；工业互联网

　　近年城市轨道交通建设逐渐成网，包括城轨云架构、工业互联网、移动支付等一系列新技术的应用，在为乘客和管理者带来巨大便利的同时，来自互联网的安全威胁与各类工业控制系统的安全隐患相互作用，形成了新的信息物理系统(cyber-physicalsystems，CPS)综合安全风险[1]。轨道交通安全运行面临着严重的网络安全威胁，建设一套行之有效的、可以综合监管城市轨道交通线网的网络安全防护体系势在必行。

　　1网络安全“四化”建设概述

　　城市轨道交通网络安全“四化”建设以中国《信息安全技术网络安全等级保护基本要求》(GB/T22239—2019)为基础，构建“一个中心，三重防护”的体系架构；以轨道交通网络安全属性为抓手，构建“标准、精准、可视、智能”的轨道交通安全保障系统，如图1所示。

　　2网络安全标准化

　　网络安全等级保护通过十几年的建设，已经发展到体系更加完善的等级保护2.0时代。作为中国普适性的网络安全体系，核心体现在“一个中心，三重防护”，通过多年的实践证明是行之有效的。等级保护中的“一个中心”是指以安全管理平台为中心，“三重防护”是指对网络边界、网络通信、计算环境进行安全防护[2]。

　　轨道交通进行网络安全等级保护建设，重点体现在4个方面。第一个方面是安全管理平台的行业化塑造，轨道交通(简称“轨交”)安全管理平台要体现出轨交网络安全对安全事件精准化的预警、对网络安全风险可视化的呈现、对网络安全威胁智能化的分析；第二个方面是网络边界动态巡逻，实时分析网络边界安全防护强度、访问控制粒度、策略合规程度是否符合要求[3]。第三个方面是设备资产管理，对设备资产的真实性、在线与否，以及网络行为正常与否进行监测与识别；第四个方面是网络通信路径的风险识别，对网络发生的攻击行为，能够判断发生攻击的路径并及时截断攻击，对网络发生的病毒木马，能够判断从哪些路径进行扩散，并及时截断扩散路径。基于等级保护的“标准化”建设如图2所示。

　　等级保护从技术细节来看，是一个大而全的技术标准，在行业落实的过程中，最重要的是建立符合等级保护要求的标准化体系架构，技术细节的落实要根据相应技术在行业的符合性和成熟性逐步分阶段完善。不分主次、不考虑行业特点，照搬等级保护，在轨交网络安全建设上进行大而全的技术或产品叠加，不仅不会带来安全防御能力的提升，反而会带来额外的风险。

　　3网络安全精准化

　　网络安全洪荒时代已经过去，由通用的安全产品向精准化方向演进是城市轨道交通的特点决定的。城市轨交系统虽然复杂多样，但它是一个有序联动保证列车安全、正点运行的实时性极强的系统[4]。网络安全也必须为此服务，通过精准预警和防御网络安全事件的发生，来保证列车的运行安全。

　　网络安全建模是实现网络安全精准化的最好方式[5]。通过采集安全策略、资产信息、网络流量、设备配置、设备状态，结合行业安全规范，构建轨交业务模型、网络流量模型、网络秩序模型、资产模型，最终形成轨交线网系统安全模型。通过对网络行为与合规模型的比较，精准预警违规行为。基于建模的“精准化”技术如图3所示。

　　其中资产和服务建模采用了主动探测、指纹和网络特征提取技术；流量建模提取了网络流中的指纹特征、通信特征、异常特征；秩序建模是从配置文件中通过统一描述语言提取了策略规则模型，同时从流量中学习流量的访问秩序；工控业务建模是在协议识别、协议指令解析的基础上，构建业务的逻辑规则[6]。

　　4网络安全可视化

　　尽管网络安全已经成为生产安全的重要组成部分，但由于网络安全的不可见，造成城市轨交对网络安全的把控能力大打折扣，可视化已经成为网络安全防御的关键要素。网络安全“可视化”应用如图4所示。

　　可视化包括设备资产状态可视化、全景秩序可视化、流量异常可视化、恶意代码可视化、路径溯源可视化。

　　4.1设备资产状态可视化

　　通过采集不同子系统或不同区域的流量，对网络协议进行深度解析，依据子系统或区域的不同安全属性，建立业务流量模型。在对轨交网络流量安全建模的基础上，对比实时流量与流量基线的差异，及时准确地发现网络中流量方向的异常、流量大小的异常及流量关系的异常等[8]。

　　4.2全景秩序可视化

　　“分区分域分等级”是等级保护安全设计原则，各个区域之间通过业务之间的访问关系，会形成矩阵访问关系[7]。区域之间的矩阵访问是否符合安全策略需要结合区域边界设备的安全策略和路由信息，通过时空关联分析，建立全景网络安全秩序模型，从而对区域之间的访问关系的合规程度进行监测。

　　4.3流量异常可视化

　　资产状态可视化主要监测服务器、交换机、路由器、存储设备、接口设备、工作站、安全设备，以及部署在云上的网络和主机的运行状态，包括CPU、内存、磁盘、端口流量，以及监测设备的在线和离线等，以判断其运行状态和网络健康度，发现异常后，及时进行故障告警，并启动应急响应。

　　4.4恶意代码可视化

　　病毒木马等恶意代码防范系统如何恰当部署一直是城市轨交等工业互联网企业面临的难题[9]。工业控制系统一方面面临着恶意代码的威胁，一方面需要考虑工业控制系统的兼容性问题。通过多年的实践和研究，恶意代码防范系统部署有几个原则：一是互联网边界需要部署防病毒网关，其他边界需要弱化；二是网络通信整个平面需要部署检查恶意代码的引擎，三是Windows操作系统需要安装相应工控系统厂商认证的杀毒软件。这样就可以形成一套立体化的恶意代码监控体系，一旦有恶意代码出现，通过立体交叉、异构搭配的系统，能够及时精准查杀恶意代码，实现恶意代码的可视化。

　　4.5路径溯源可视化

　　网络入侵或恶意代码的出现，首先要采取的措施是知道网络入侵的路径或恶意代码的扩散路径，并采取物理的措施或自动化运维措施，截断入侵路径或恶意代码扩散路径。路径溯源通过安全策略和路由，构建了源地址和目的地址的可达路径，当入侵或恶意代码发生时，能够迅速呈现入侵路径或恶意代码扩散路径，达到路径溯源的可视化[10]。

　　5网络安全智能化

　　城市轨道交通网络安全信息采集的数据量越来越大，没有人工智能化分析，安全信息的采集和存储的价值就会大打折扣。城市轨道交通网络安全智能化主要用于边界强度智能分析、网络秩序智能分析、策略合规智能分析、业务合规智能分析。网络安全“智能化”应用如图5所示。

　　边界强度智能分析包括对防火墙策略进行静态分析和结合流量的动态分析两种方式[11]；网络秩序智能分析是在安全模型基础上建立的流量基线和秩序基线，同时结合白名单和黑名单知识库进行检测和分析；策略合规智能分析是从访问合规、配置合规、策略合规3个方面，对系统资产针对不同的合规标准进行合规检查；业务合规智能分析是关联了策略、日志、流量和资产状态的多维度时空分析。

　　6结语

　　2017年6月1日颁布的《中华人民共和国网络安全法》，明确了交通行业信息系统属于国家关键信息基础设施。2018年3月，国务院办公厅在“国办发〔2018〕13号”文件中提出“加强列车运行控制等关键系统信息安全保护”。等级保护2.0的发布，对轨道交通网络安全和云安全都提出了要求。

　　信息化建设已覆盖城市轨道交通的建设、运营、管理、安全、服务等各个方面。网络安全在轨道交通运营中的重要性凸显。基于轨道交通私有云场景，进行“标准化、精准化、可视化、智能化”的轨道交通网络安全建设，不仅可以实现轨交网络安全等级保护合规要求，而且能够建立一套行之有效、符合轨道交通企业实际需要的网络安全保障系统，是普适性网络安全标准要求与城市轨道交通行业网络安全实际需求的耦合，可以为列车安全稳定持续运营提供安全的网络环境。