绿色智慧城轨网络安全纵深防护体系建设之思考

为进一步落实国家“双碳”战略部署，日前，中国城市轨道交通协会发布了《中国城市轨道交通绿色城轨发展行动方案》（以下简称《绿色城轨行动方案》）。《绿色城轨行动方案》作为《智慧城轨发展纲要》的姐妹篇，意味着绿色城轨将与正在施行中的智慧城轨相互呼应、融合发展，共同开启绿色城轨和智慧城轨协同建设新征程。

(资料图)

网络安全防护体系建设是绿色智慧城轨“必修课”

对智慧城轨发展而言,统一的城轨云和大数据平台建设是“1-8-1-1”智慧城轨体系的重要基础，而网络安全则是守护智慧城轨健康发展不可或缺的基石。智慧城轨网络安全建设重点在于落实推进中国城市轨道交通协会提出的网络安全建设“系统自保、平台统保、边界防护等保达标、安全确保”二十字方针，构建基于“云-边-端”网络安全纵深防护体系。绿色城轨的总体思路是“以绿色转型为主线，清洁能源为方向，节能降碳为重点，智慧赋能，创新驱动，开展六大行动，实现碳达峰碳中和，建成绿色城轨”，而网络安全如何在“低碳排”、“高效能”中发挥一份价值，为“大运量”城轨安全出行保驾护航，最终达成“人悦其行，人享其行”的终极目标，任重而道远。综上所述，网络安全纵深防护体系建设不再是无足轻重的“选择题”，而是关乎生存和长远发展的“必修课”。

比亚迪云巴系统与深信服安全云联合打造的“更安全的云巴系统”，是绿色和智慧的创新结合。该系统基于“云巴系统”的创新方案秉承着安全可靠、运维便捷、高性价比、技术可生长的原则进行构建。小而美的超融合架构承载“比亚迪云巴系统”，融合容器安全及应用开发安全，在等保合规基础上进一步强化安全防护效果，构建一整套网络安全纵深防护体系。

首先，构建初步的安全能力，打造云化基础设施安全防护，将安全能力适配云化环境，做好云平台及云上系统的基础防护。其次，持续加强安全能力建设，集成容器安全、应用开发安全、安全运营中心等能力，打造云上业务全流程安全防护，完善系统开发、测试、发布、运行全流程安全防护能力，并且完善云安全管理与云安全运营。

这套创新解决方案在物理空间占用、能耗成本、运维管理等维度均有很大的提升和优化，非常契合绿色智慧城轨的建设要求。

拥抱云化和服务化，构建网络安全纵深防护体系

伴随着城轨云平台建设得如火如荼，构建纵深防护体系的安全能力交付形态也在发生变化，从原先的机架式盒子逐步转向云化和服务化。

按照《城市轨道交通信息化工程设计规范》第10章要求：安全资源池宜将安全能力平台化、服务化、自动化交付；安全资源池应在安全生产网、内部管理网、外部服务网中分别部署；安全资源池宜由独立设置的安全组件组成，安全组件可采用X86服务器、虚拟机或一体机形态部署。城轨云平台建设中诸多地铁业主也在主动考虑软件定义安全的“安全资源池”，通过服务化的形式，为云平台提供所需的安全能力。

以西安市地铁线网云平台为例，西安线网云平台包括主用中心、备份中心、测试中心。主用中心包括三张网，业务都在主用中心运行；备份中心安全生产网与主用中心做双活，内部管理网和外部服务网做数据热备；测试中心和三张网互联互通，用于在业务上线前模拟测试。基于上述的网络架构和业务需求，主用中心的安全生产网、内部管理网、外部服务网内系统自保均设计独立的安全资源池。备份中心单独部署一套安全资源池，与主中心安全生产网一致。在测试中心部署一套安全资源池为测试业务提供安全组件服务；在运维管理网为云平台提供合规类审计产品服务。安全资源池支持经过测算，一套安全资源池可以承载几十到上百个安全组件，在硬件资源上共享一套计算、存储和网络，极大提升了资源利用率，降低了整体能耗成本，所有设备的运维管理界面统一Web展现，无需像以往逐个安全设备登录配置，日常运维着实也“提质增效”。

“四个融合”，助力网络安全纵深防护目标实现

构建城轨行业网络安全纵深防护体系，是践行“智绿融合网络安全”的必经之路。深信服认为，为达到纵深防护的体系化目标，在网络安全建设的过程中要遵循“四个融合”：

规划融合：设计单位为城轨业主规划城轨云平台安全时，要从城轨云的整体架构出发，考虑中心云平台、站段云节点、专业系统等保、物联网终端及其它涉及到数据安全、信息安全的网络及资产。业主也要遵循网络安全与机电设备、弱电系统“同步规划、同步建设、同步使用”的原则，确保重要系统和设施安全有序运行。

技术融合：城轨行业正在积极拥抱互联网化、智慧化、云化、国产化的新趋势，加之网络安全的外部态势日益严峻，这都要求整个行业主动拥抱新技术以解决不断涌现的新问题。城轨行业应用新技术的步伐既不能一蹴而就，也不能裹足不前。俗话说，不管黑猫白猫，抓住老鼠就好猫，针对已在市场普遍应用的技术要大胆引入和实践；针对前沿全新的技术，行业协会或业主也可以通过创新课题、技术研讨、共建实验室等方式为行业孵化新技术的落地场景，引领行业新技术的应用趋势。

交付融合：网络安全不是孤立存在的，网络安全与信息化的关系是相辅相成、相伴共生的。当前城轨行业普遍迈入城轨云建设时代，网络安全作为业务系统的重要保障体系尤为重要。安全品类涵盖面广、涉及维度多的特点也需要适配城轨行业灵活扩展、稳定高效、安全可靠的需求。同时为了实现城轨行业“1-8-1-1”智慧城轨蓝图和“1-6-6-1-N”绿色城轨发展“一张蓝图”，也需要将安全体系与云平台进行融合。云计算的核心理念是软件定义，那么软件定义安全技术是融合的前提，以此脱离传统硬件的束缚，实现在独立的安全资源池中以组件化的形式按需部署，最大化提升云上业务系统安全防护能力，为城轨用户提供真正的“交钥匙”的安全方案及服务。

管理融合：网络安全设备及服务的采购及部署不是最难的，最难的是中长期的网络安全管理及运维。由于城轨行业的安全建设起步晚、底子薄，作为城轨行业网络安全的实际践行者，一定要从管理上倡导“融合”，让整个行业对于网络安全管理体系加大重视和投入，扭转“重建设轻管理”的观念。管理组织要融合，建立独立的组织机构和人员；管理流程要融合，战时和平时结合，打造一套“经得起、防得住”的网络安全管理流程和制度；管理界面要融合，打造一个统一的运维管理界面，实现统一监视、统一预警、统一响应和统一处置。

“不谋万世者，不足以谋一时；不谋全局者，不足以谋一域”。构建纵深防护网络安全体系是夯实“智绿城轨融合发展”的基石。零信任、物联网安全、数据安全、安全资源池、安全运营中心、容器安全、供应链安全等网络安全创新技术的研究和应用，将极大助力城轨行业安全防护体系的建立与运营，节省大量的人力、物力资源，使得安全技术体系、管理体系与运营体系相辅相成，搭乘“智慧+绿色”的东风，真正做到降本增效。

（作者：马涛 深信服科技股份有限公司交通事业部技术总监）