山石网科城轨云平台安全防护方案

---

城轨云平台安全防护需求：

截至2020年6月30日，我国内地41个城市投运城轨交通线路6917.62公里，稳居世界首位。随着云计算发展，城市轨道交通系统也逐步迁移到云计算平台，城市轨道交通建设进入城轨云方向。

城轨云信息化系统建设除具有传统环境下的所有风险之外，同时也具备云计算技术下衍生出的安全问题。城轨云平台安全建设需要考虑如下几个问题：

1. 城轨云平台框架中有众多业务边界，需要考虑众多边界之间防护。
2. 城轨云平台中业务系统VPC之间以及虚拟机之间需要考虑安全隔离。
3. 根据等级保护的要求，需要建设安全管理中心实现安全监测以及安全运维。
4. 城轨云业务系统如何开展全生命周期的安全服务工作，保障业务安全稳定运行。

城轨云平台安全防护方案：

根据《智慧城市轨道交通信息技术架构及网络安全规范》城轨云平台划分为：安全生产云、内部管理云、外部服务云。城轨云平台安全建设以等保为基线，建立纵深安全防护体系。

图：城轨云安全架构

• 城轨云边界安全防护

对外服务网与内部管理网之间物理隔离，内部生产网与安全生产网边界、车站接入边界、终端接入边界采用逻辑隔离。隔离策略采用最小化配置原则，默认为拒绝以及开启入侵检测和防病毒。

外部服务网对互联网通过访问控制、入侵防御、防病毒、带宽优化、链路优化、防DDOS攻击进行防护，并且对WEB应用提供反爬虫、防SQL注入、防篡改等安全防护。

• 城轨云虚拟网络安全防护：

城轨云平台中不同业务VPC之间采用山石虚拟防火墙进行访问控制、入侵防御、恶意代码防范。虚拟机之间采用山石云·格实现虚拟网络内深度隔离监控、虚机间东西向流量监控、应用异常行为、网络病毒识别的安全防护。

• 城轨云安全管理中心：

安全管理中心一般部署在运维管理网络中。除了传统的网管平台之外，增加三权分立的安全运维系统、资产策略管理的安全管理系统、针对城轨云的全日志审计等安全系统，并且构建“监测、预警、响应”体系的态势感知系统。

• 城轨云安全服务：

基于PPDR（预测、防御、监控、回溯）构建全生命周期安全服务是城轨云建设重点。安全服务负责城轨云业务系统全生命周期的安全服务工作，包括业务系统上线前规划、业务系统建设核查以及运行中整个信息化系统的持续性安全服务。