鐵路云平臺(tái)細(xì)粒度訪問(wèn)控制方案研究

鎖向榮，齊 勝，張悅斌，朱 賀

（1. 中鐵信息工程集團(tuán)有限公司，北京 100044；2. 中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司，北京 100044）

云計(jì)算是一種使用基于網(wǎng)絡(luò)訪問(wèn)并可共享訪問(wèn)，可按需配置的計(jì)算資源的模式。云計(jì)算平臺(tái)通過(guò)優(yōu)化資源分配、提高計(jì)算效率，可大幅降低企業(yè)信息系統(tǒng)的總體擁有成本（TCO，Total Cost of Ownership）。當(dāng)前，鐵路云平臺(tái)正處于快速發(fā)展階段，鐵路云平臺(tái)安全也成為關(guān)注的焦點(diǎn)[1]。云安全聯(lián)盟（CSA）在2018 年初發(fā)布的《12 大頂級(jí)云安全威脅：行業(yè)見(jiàn)解報(bào)告》中將數(shù)據(jù)泄露、身份、憑證和訪問(wèn)管理不當(dāng)、賬戶劫持、不懷好意的內(nèi)部人員等列為頂級(jí)云安全威脅，通過(guò)訪問(wèn)控制，可以在一定程度上防范這些威脅[2]。

訪問(wèn)控制是一種保護(hù)信息資源免受非授權(quán)訪問(wèn)的安全機(jī)制，采取某種方式準(zhǔn)許或限制某個(gè)訪問(wèn)過(guò)程，進(jìn)而對(duì)重要信息資產(chǎn)進(jìn)行保護(hù)，能夠有效防止外部用戶的非法入侵和內(nèi)部用戶的違規(guī)操作，保證信息資源能夠合法受控地使用。Anderson 在1972年提出訪問(wèn)監(jiān)控器的概念之后，訪問(wèn)控制理論經(jīng)過(guò)不斷深入發(fā)展，逐漸成為網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)[3]。國(guó)內(nèi)外學(xué)者在此基礎(chǔ)上提出了很多訪問(wèn)控制模型，其主要分為3 類：（1）自主訪問(wèn)控制模型（DAC）；（2）強(qiáng)制訪問(wèn)控制模型（MAC）；（3）基于角色的訪問(wèn)控制（RBAC）。其中，強(qiáng)制訪問(wèn)控制模型更受學(xué)者青睞[4]。

鐵路網(wǎng)絡(luò)既有的安全措施部署較早，技術(shù)相對(duì)陳舊，部分設(shè)備日趨老化，應(yīng)對(duì)新出現(xiàn)的多樣化安全威脅防范能力不足，特別是對(duì)于云計(jì)算、大數(shù)據(jù)等新技術(shù)應(yīng)用，缺乏針對(duì)性的安全防護(hù)措施[5]。為加強(qiáng)鐵路云平臺(tái)網(wǎng)絡(luò)的安全防護(hù)，參照信息系統(tǒng)安全等級(jí)保護(hù)的有關(guān)要求，在鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系框架下，研究鐵路云平臺(tái)細(xì)粒度訪問(wèn)控制方案。

1 鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系

按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019），鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系以電子認(rèn)證服務(wù)為基礎(chǔ)，嚴(yán)格落實(shí)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等基礎(chǔ)安全，由管理中心通過(guò)態(tài)勢(shì)感知和集中管控，實(shí)現(xiàn)全方位的安全監(jiān)管鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系的構(gòu)成如圖1 所示，其中，網(wǎng)絡(luò)安全技術(shù)保障體系包括安全管理層、基礎(chǔ)防護(hù)層和擴(kuò)展防護(hù)層、安全信任支撐層和信息技術(shù)基礎(chǔ)設(shè)施層[6-7]。

（1）安全管理層：包括安全態(tài)勢(shì)感知、集中安全管理等可視展示和管理中心。

（2）安全防護(hù)層：包括基礎(chǔ)防護(hù)和擴(kuò)展防護(hù)；基礎(chǔ)防護(hù)涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等[8]，根據(jù)等級(jí)保護(hù)相關(guān)要求進(jìn)行統(tǒng)一防護(hù)；擴(kuò)展防護(hù)對(duì)云計(jì)算安全、移動(dòng)互聯(lián)網(wǎng)安全等典型應(yīng)用提供針對(duì)性防護(hù)。

（3）安全信任支撐層：主要統(tǒng)一身份認(rèn)證服務(wù)。

（4）信息技術(shù)基礎(chǔ)設(shè)施層：包括綜合信息網(wǎng)、鐵路客 票專網(wǎng)、列車調(diào)度指揮專網(wǎng)等。

2 鐵路云平臺(tái)細(xì)粒度訪問(wèn)控制方案

2.1 零信任訪問(wèn)控制策略

零信任訪問(wèn)控制策略的核心思想是：任何一次訪問(wèn)都應(yīng)受到安全控制[9]。由于網(wǎng)絡(luò)中存在大量的數(shù) 據(jù)鏈路，采用零信任訪問(wèn)控制策略時(shí)，盡可能將網(wǎng)絡(luò)劃分成多個(gè)安全區(qū)域，不同安全區(qū)域之間通過(guò)安全管控對(duì)所有通信協(xié)議的過(guò)濾，無(wú)需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)對(duì)所有主客體的管控即可實(shí)現(xiàn)全局安全目標(biāo)，如即時(shí)認(rèn)證、全日志體系、所有主客體的基礎(chǔ)權(quán)限和動(dòng)態(tài)權(quán)限的統(tǒng)一分配。

本方案采用標(biāo)記技術(shù)和可信技術(shù)，進(jìn)一步強(qiáng)化零信任訪問(wèn)控制策略，不再局限于認(rèn)證和代理，實(shí)現(xiàn)對(duì)鐵路云平臺(tái)網(wǎng)絡(luò)空間的全局細(xì)粒度訪問(wèn)控制。

2.2 方案構(gòu)成

在鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系框架下，針對(duì)安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境，設(shè)計(jì)細(xì)粒度訪問(wèn)控制方案，主要由代理程序、數(shù)據(jù)總線、網(wǎng)關(guān)設(shè)備、安全模塊 4 個(gè)部件構(gòu)成，如圖2 所示。

其中，代理程序?yàn)閼?yīng)用提供信息傳輸代理服務(wù)，完成協(xié)議轉(zhuǎn)換并將傳輸信息送入數(shù)據(jù)總線，由數(shù)據(jù)總線負(fù)責(zé)數(shù)據(jù)傳輸，在網(wǎng)關(guān)設(shè)備處進(jìn)行標(biāo)記的驗(yàn)證和釋放，由安全模塊進(jìn)行授權(quán)訪問(wèn)控制。通過(guò)這 4個(gè)部件協(xié)同工作，實(shí)現(xiàn)鐵路云平臺(tái)網(wǎng)絡(luò)空間的細(xì)粒度訪問(wèn)控制，為鐵路云平臺(tái)提供完善的安全防護(hù)。

2.3 代理程序

代理程序部署在應(yīng)用服務(wù)器，或周邊的物理服務(wù)器、虛擬機(jī)上，是一個(gè)用來(lái)模擬客戶端的程序或服務(wù)。本地應(yīng)用程序若要與遠(yuǎn)端程序進(jìn)行通信，需通過(guò)代理程序來(lái)完成。代理程序按照標(biāo)準(zhǔn)通信協(xié)議，對(duì)不同應(yīng)用的通信請(qǐng)求進(jìn)行轉(zhuǎn)換后，將需要與遠(yuǎn)端程序交互的信息傳遞給數(shù)據(jù)總線，由數(shù)據(jù)總線完成數(shù)據(jù)傳輸。

2.4 數(shù)據(jù)總線

數(shù)據(jù)總線是一個(gè)消息服務(wù)的程序，該程序提供多個(gè)消息接口，完成代理與代理之間的統(tǒng)一通信。以 Web 應(yīng)用數(shù)據(jù)交換為例，異構(gòu)系統(tǒng)之間可以通過(guò)數(shù)據(jù)總線，統(tǒng)一以 Web Service 方式進(jìn)行標(biāo)準(zhǔn)的數(shù)據(jù)傳輸，實(shí)現(xiàn)異構(gòu)系統(tǒng)間的數(shù)據(jù)共享與信息交換。數(shù)據(jù)總線設(shè)置有緩存區(qū)，可緩存交互的數(shù)據(jù)。當(dāng)應(yīng)用訪問(wèn)數(shù)據(jù)時(shí)，可以直接讀取緩存區(qū)中的數(shù)據(jù)，從而提高系統(tǒng)響應(yīng)速率。

2.5 網(wǎng)關(guān)設(shè)備

網(wǎng)關(guān)設(shè)備是部署在不同安全域之間的網(wǎng)關(guān)型防護(hù)設(shè)備，網(wǎng)關(guān)設(shè)備的內(nèi)部結(jié)構(gòu)如圖3 所示，由 2 套相同配置、獨(dú)立工作的網(wǎng)關(guān)系統(tǒng)構(gòu)成。

這 2 套獨(dú)立的網(wǎng)關(guān)系統(tǒng)分別連接 2 個(gè)不同的安全域，網(wǎng)關(guān)設(shè)備內(nèi)部署有數(shù)據(jù)檢查模塊，惡意代碼掃描模塊和數(shù)據(jù)格式檢查模塊?；凇傲阈湃巍辈呗?，數(shù)據(jù)標(biāo)記檢查模塊檢查所有數(shù)據(jù)的標(biāo)記，以防止未經(jīng)授權(quán)的訪問(wèn)信息，確保數(shù)據(jù)的完整性和保密性；惡意代碼掃描模塊用于識(shí)別和過(guò)濾非法添加到數(shù)據(jù)中的惡意代碼；數(shù)據(jù)格式檢查模塊檢查數(shù)據(jù)格式，以確保數(shù)據(jù)格式傳輸無(wú)誤。由網(wǎng)關(guān)系統(tǒng)實(shí)現(xiàn)不同安全域之間安全的數(shù)據(jù)交換，保證數(shù)據(jù)可信，是可信計(jì)算的關(guān)鍵環(huán)節(jié)。

2.6 安全模塊

安全模塊是 1 個(gè)部署在主機(jī)上的安全組件，運(yùn)行于操作系統(tǒng)驅(qū)動(dòng)層，是采用可信計(jì)算技術(shù)實(shí)現(xiàn)系統(tǒng)可信的關(guān)鍵組件。通過(guò)數(shù)據(jù)報(bào)文的標(biāo)記處理、訪問(wèn)請(qǐng)求的認(rèn)證和權(quán)限分配、以及 I / O 的控制和監(jiān)控，確保只有被安全模塊授權(quán)的應(yīng)用才能提供對(duì)應(yīng)的 I /O 接口進(jìn)行通信，來(lái)自其它應(yīng)用的數(shù)據(jù)請(qǐng)求都會(huì)被丟棄，從而防止未授權(quán)訪問(wèn)。安全模塊的處理流程如圖4 所示。

系統(tǒng)內(nèi)的安全模塊對(duì)數(shù)據(jù)有嚴(yán)格的限制，只有當(dāng)帶有正確標(biāo)記的數(shù)據(jù)經(jīng)過(guò)安全模塊識(shí)別確認(rèn)之后，依照其標(biāo)記報(bào)文中所包含的信息確認(rèn)其權(quán)限范圍和目標(biāo)應(yīng)用，從而對(duì)數(shù)據(jù)進(jìn)行相應(yīng)權(quán)限的操作；對(duì)于未帶標(biāo)記或帶有錯(cuò)誤標(biāo)記的數(shù)據(jù)經(jīng)過(guò)安全模塊識(shí)別確認(rèn)后將被拋棄。通過(guò)安全模塊的處理，僅允許帶有正確標(biāo)記的數(shù)據(jù)進(jìn)入，實(shí)現(xiàn)基于標(biāo)記的強(qiáng)制訪問(wèn)控制，在保證數(shù)據(jù)完整性和保密性的基礎(chǔ)上確保系統(tǒng)安全。

3 細(xì)粒度訪問(wèn)控制下的數(shù)據(jù)傳輸過(guò)程

利用部署在不同網(wǎng)絡(luò)安全域之間的網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)不同安全域之間的隔離和防護(hù)，兼顧隔離和防護(hù)，滿足各個(gè)安全域內(nèi)等保等級(jí)的邊界安全需求。為了更好地兼容應(yīng)用，由代理程序和安全模塊為其提供基礎(chǔ)的安全接口，對(duì)于網(wǎng)絡(luò)中的數(shù)據(jù)通信，統(tǒng)一由數(shù)據(jù)總線完成同一安全域內(nèi)的數(shù)據(jù)交互，但數(shù)據(jù)總線只負(fù)責(zé)傳輸工作，數(shù)據(jù)標(biāo)志檢查和數(shù)據(jù)結(jié)構(gòu)檢查等則由網(wǎng)關(guān)系統(tǒng)完成。

以下結(jié)合具體的數(shù)據(jù)傳輸過(guò)程，如圖5 所示，描述各個(gè)部件的作用。

圖5 數(shù)據(jù)傳輸過(guò)程示意

3.1 代理程序調(diào)用

代理程序部署在應(yīng)用周邊，與應(yīng)用進(jìn)行直接的通信。若應(yīng)用服務(wù)器安裝有安全模塊，安全模塊本身可以作為應(yīng)用的代理，并根據(jù)應(yīng)用對(duì)目標(biāo)端的請(qǐng)求加上相應(yīng)的標(biāo)記信息；若應(yīng)用服務(wù)器沒(méi)有安裝安全模塊，應(yīng)用通過(guò)調(diào)用最近的代理來(lái)實(shí)現(xiàn)添加標(biāo)記的操作。從代理程序發(fā)送的數(shù)據(jù)均帶有自身的安全標(biāo)記，代理程序完成標(biāo)記的初始化，是細(xì)粒度訪問(wèn)控制的依據(jù)。

3.2 數(shù)據(jù)總線傳輸

根據(jù)應(yīng)用請(qǐng)求的目標(biāo)端信息，代理程序?qū)в袠?biāo)記信息的數(shù)據(jù)報(bào)文傳輸給數(shù)據(jù)總線，數(shù)據(jù)總線根據(jù)數(shù)據(jù)報(bào)文的目標(biāo)端地址進(jìn)行正確的傳輸，此時(shí)分為 2 種情況：（1）若數(shù)據(jù)僅在本地安全域內(nèi)進(jìn)行傳輸，則數(shù)據(jù)報(bào)文通過(guò)數(shù)據(jù)總線進(jìn)行傳輸，數(shù)據(jù)總線可以提供緩存，以便于快速調(diào)用；（2）若數(shù)據(jù)報(bào)文的目標(biāo)端需要跨越安全域，此時(shí)數(shù)據(jù)總線需向部署在安全域邊界上的安全網(wǎng)關(guān)發(fā)起請(qǐng)求，由其協(xié)助完成數(shù)據(jù)跨域傳輸。

3.3 安全網(wǎng)關(guān)判斷

安全網(wǎng)關(guān)對(duì)接收到的報(bào)文進(jìn)行判斷，所接收?qǐng)?bào)文分為 2 類請(qǐng)求：應(yīng)用直接對(duì)安全網(wǎng)關(guān)的代理請(qǐng)求和數(shù)據(jù)總線對(duì)網(wǎng)關(guān)的請(qǐng)求。

對(duì)于應(yīng)用直接對(duì)安全網(wǎng)關(guān)的代理請(qǐng)求，這類請(qǐng)求源于應(yīng)用在本地安全域網(wǎng)絡(luò)內(nèi)沒(méi)有找到對(duì)應(yīng)的代理，或者采用同類調(diào)用方式的代理，只能直接通過(guò)網(wǎng)關(guān)進(jìn)行信息請(qǐng)求。這類傳輸請(qǐng)求又可分為 2 種：本地安全域的傳輸和跨越安全域的傳輸；對(duì)于本地安全域的傳輸傳輸，網(wǎng)關(guān)會(huì)通過(guò)數(shù)據(jù)總線和目標(biāo)端完成數(shù)據(jù)交換，兩端的應(yīng)用代理都運(yùn)行于網(wǎng)關(guān)上；對(duì)于跨越安全域的傳輸請(qǐng)求，網(wǎng)關(guān)會(huì)根據(jù)具體的業(yè)務(wù)需求完成跨越安全域傳輸操作。

數(shù)據(jù)總線對(duì)網(wǎng)關(guān)的請(qǐng)求一般是需要跨越安全域的數(shù)據(jù)傳輸請(qǐng)求。業(yè)務(wù)數(shù)據(jù)跨越安全域的操作分為4個(gè)步驟：（1）對(duì)數(shù)據(jù)應(yīng)用層還原并執(zhí)行安全檢查；（2）通過(guò)檢查標(biāo)記信息，核實(shí)數(shù)據(jù)報(bào)文是否可以通過(guò)網(wǎng)關(guān)設(shè)備進(jìn)入對(duì)應(yīng)的安全域；（3）將原始數(shù)據(jù)報(bào)文傳輸?shù)侥繕?biāo)端安全域的網(wǎng)關(guān)設(shè)備；（4）目標(biāo)端的安全網(wǎng)關(guān)將數(shù)據(jù)報(bào)文進(jìn)行重新組裝，并打上新的標(biāo)記，發(fā)送至安全域內(nèi)的數(shù)據(jù)總線，由數(shù)據(jù)總線根據(jù)網(wǎng)絡(luò)信息和標(biāo)記傳輸給目標(biāo)端。

4 關(guān)鍵技術(shù)

4.1 強(qiáng)制訪問(wèn)控制技術(shù)

在本方案中，網(wǎng)關(guān)設(shè)備是通過(guò)添加標(biāo)記來(lái)實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制，即在信息網(wǎng)絡(luò)某一層設(shè)置標(biāo)記，對(duì)這一層的信息實(shí)施強(qiáng)制訪問(wèn)控制[10]。標(biāo)記由網(wǎng)絡(luò)管理中心統(tǒng)一管理，標(biāo)記覆蓋的范圍決定了強(qiáng)制訪問(wèn)控制技術(shù)的覆蓋程度。標(biāo)記用于標(biāo)記每個(gè)資產(chǎn)的可被讀寫(xiě)的權(quán)限，可根據(jù)信息資產(chǎn)的屬性生成標(biāo)記，但標(biāo)記又獨(dú)立于資產(chǎn)。在實(shí)際應(yīng)用中，可僅對(duì)一部分信息采用標(biāo)記和強(qiáng)制訪問(wèn)控制策略，但由此會(huì)降低系統(tǒng)的安全水平。由代理程序完成數(shù)據(jù)格式轉(zhuǎn)換，再由數(shù)據(jù)總線統(tǒng)一傳輸數(shù)據(jù)，以實(shí)現(xiàn)全面的強(qiáng)制訪問(wèn)控制。

4.2 可信計(jì)算技術(shù)

可信技術(shù)基于白名單策略，其核心是在計(jì)算系統(tǒng)中建立強(qiáng)制的信任鏈[11]。信任鏈?zhǔn)加谝粋€(gè)可信根，可信根工作范圍決定了可信計(jì)算的安全特性，例如可信操作系統(tǒng)只能實(shí)現(xiàn)操作系統(tǒng)之上的可信。在本方案中，將標(biāo)記信息作為唯一的可信根，以鐵路云平臺(tái)為覆蓋范圍，實(shí)現(xiàn)鐵路云平臺(tái)整體安全可信。

5 結(jié)束語(yǔ)

當(dāng)前，鐵路云平臺(tái)正處于快速發(fā)展階段。參照信息系統(tǒng)安全等級(jí)保護(hù)的有關(guān)要求，在鐵路云平臺(tái)網(wǎng)絡(luò)安全保障體系框架下，研究鐵路云平臺(tái)細(xì)粒度訪問(wèn)控制方案。方案基于零信任訪問(wèn)控制策略，由代理程序、數(shù)據(jù)總線、安全網(wǎng)關(guān)和安全模塊4 個(gè)部件協(xié)同完成安全的數(shù)據(jù)傳輸；詳細(xì)描述細(xì)粒度訪問(wèn)控制下數(shù)據(jù)傳輸?shù)倪^(guò)程，利用標(biāo)記強(qiáng)制訪問(wèn)控制技術(shù)和可信計(jì)算技術(shù)，通過(guò)代理程序調(diào)用、數(shù)據(jù)總線傳輸、安全網(wǎng)關(guān)判斷，實(shí)現(xiàn)鐵路云平臺(tái)各安全域內(nèi)和跨域的細(xì)粒度訪問(wèn)控制。

該方案滿足等級(jí)保護(hù)2.0 三級(jí)及以上安全防護(hù)要求，在保持原有安全部署的基礎(chǔ)上，有效提升鐵路云平臺(tái)的安全防護(hù)能力，有利于推動(dòng)鐵路云平臺(tái)應(yīng)用的發(fā)展。