城轨云如何实现全方位安全防护？

截至目前，中国城市轨道交通建成里程已超过9000公里，占比全球四分之一以上，是当之无愧的城市轨道交通大国。智慧城轨步入发展黄金期，城轨云平台如何竖起“铜墙铁壁”，确保平台自身及业务系统安全无虞？

8月11日，由深信服与RT轨道交通联合发起的“城轨云安全探索与实践”线上交流会在“约见轨道界”直播间如期举行。

交流会群英荟萃，特邀中国城市轨道交通协会信息化专业委员会信息安全专项工作组专家娄永梅担任主持嘉宾，南京地铁集团有限公司信息中心主任研究员级高工、博士杨旭，深圳市地铁集团有限公司信息管理中心高级经理刘晓溪，太原轨道交通集团有限公司机电设备部通信/云平台主管工程师刘海川，中铁第四勘察设计院集团有限公司通号院高级工程师王皓等嘉宾参与了分享交流。

图片来源：RT轨道交通

诸位嘉宾针对城轨云网络安全规划和建设现状，发展中的痛点，以及业务系统等保建设、生产系统安全统筹、终端安全防护、全流量安全监测、数据安全体系建设等各个方向进行了深入的探讨和交流。

深信服交通事业部轨交业务部总监胡佳乐受邀出席本次活动，并以《智慧城轨云平台网络安全建设实践》为题发表了主旨演讲。

智慧城轨上云加速，萌生四大安全诉求

2016年，我国首次提出“云计算+城轨”的理念，城轨云作为智慧城轨发展的重要平台，有效支撑了智慧城轨走向高质量发展。

近年来，随着我国步入智慧城轨建设的关键期，网络架构从封闭孤立走向开放融合，安全边界消失，敏感资源集中，网络安全保障系统的构建已成为我国发展智慧城轨的重要一环。

胡佳乐指出，城轨上云后的安全核心诉求主要体现在四个方面：

一是需要满足合规要求，包括云平台及相关业务系统需满足国家相关法律法规、国家标准、行业标准；

二是要实现业务安全的全面保护，包括云平台自身的安全性和各个业务系统的安全性；

三是云安统一管理，在一个界面上实现云和安全的统一管理；

四是实现高效便捷运维，能够适应云环境资源弹性伸缩，实现云安全能力的“按需所取”。

网络安全整体方案， 为全国多个城市实现城轨云全方位安全防护

针对城轨云四大安全诉求，胡佳乐向观众详细介绍了深信服云平台网络安全建设思路以及实践方案。

深信服围绕“系统自保、平台统保、边界防护、等保达标、安全确保”二十字方针的总体策略，为用户量身定制了城轨云平台安全整体方案，并且已经在南京、天津、西安等8个城市轨道交通云平台中实现了落地。

在平台自保方面，为了满足等级保护中关于计算环境的要求，深信服解决方案在平台等保的相关建设规划能够充分确保云平台自身的合规性。

其中，安全生产网按照三级等保进行设计和建设，内部管理网按照二级等保进行建设，外部服务网则按照系统自身的要求按照二级或者三级进行建设，“三网”所需要的等保组件均由运维管理平台来实现统一管理。

而在系统自保方面，在安全建设上则要满足不同的业务系统个性化的安全需求。借助深信服安全资源池，AFC、PIS、ISCS等各个网内的业务系统都可以通过portal向资源池申请个性化、定制化的安全能力，按需选择安全防护组件，获取所需的云安全服务，确保云化环境下各大业务系统的安全性。

打造线网级网络安全运营中心，助力实现“安全确保”

为了真正实现“安全确保”，城轨云平台除了加强安全建设之外，还需要站在业务的视角，关联业务、资产、责任人员，提供持续迭代优化的网络安全运营能力，才能真正摆脱掣肘，达成安全建设效果目标。

胡佳乐表示：“深信服为城轨行业量身定制的城轨云网络安全运营平台以1234整体架构，其中包括1个线网级安全运营中心，2套技术防护体系，NOCC级（超级、二级运营中心）-线路级-车站级分级安全建设体系3级架构，从而帮助用户构建具备全面开放包容、贴合业务流程、安全能力专业、云化平滑延伸4大优势的新型安全运营中心。

新型安全运营中心通过网段+终端综合检测分析平台，能够从中心到车站中的安全生产网、内部管理网、外部服务网、运维管理网等每一项边界，以及从承载城轨业务的物理机、虚拟机、容器等多种终端，进行威胁数据的采集分析，可削减90%无效告警数量，并通过通过自动化多源数据取证分析，完成安全事件自动响应处置闭环，大大降低城轨安全运营人员工作量。”

在交流会的最后，中国城市轨道交通协会信息化专业委员会信息安全专项工作组专家娄永梅总结道：“随着城轨云的建设逐步深化，我国城轨行业的安全态势将会彻底改变。行业要从顶层设计出发，做好网络安全规划，建立安全管理队伍，构建安全运营中心。这样才有利于我国智慧城轨长远可持续发展，希望轨交行业从业者深入贯彻执行‘系统自保、平台统保、边界防护、等保达标、安全确保’的策略，构建完善的城轨云网络安全保障体系，为智慧城轨安全及行业高质量发展保驾护航。”