城市軌道交通云平臺網(wǎng)絡(luò)安全訪問控制技術(shù)研究

劉為俊

隨著智慧城軌建設(shè)的不斷推廣，作為其數(shù)字基礎(chǔ)底座的城市軌道交通云平臺（以下簡稱“城軌云平臺”）建設(shè)項目也在不斷實施落地［1］。涉及運營生產(chǎn)指揮的系統(tǒng)，如公務(wù)電話系統(tǒng)、乘客信息系統(tǒng)、視頻監(jiān)控系統(tǒng)、信號智能運維、綜合監(jiān)控系統(tǒng)、自動售檢票系統(tǒng)等自動化系統(tǒng)相繼在城軌云平臺上部署［2-4］。城軌云平臺及運營生產(chǎn)系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施直接關(guān)系到公共安全，一旦網(wǎng)絡(luò)安全功能喪失，可能危害公共利益。因此，需要遵循網(wǎng)絡(luò)安全等級保護制度，按照平臺統(tǒng)保、系統(tǒng)自保的原則，實行重點保護。根據(jù)城軌云業(yè)務(wù)安全需求特點，遵循以適度安全為核心，以重點保護、分類防護、保障關(guān)鍵業(yè)務(wù)、技術(shù)與管理并重為原則，構(gòu)建完整的安全方案體系［5］。

訪問控制技術(shù)是保護信息資源不被非法使用和訪問的重要組成部分，云計算環(huán)境中的計算模式和存儲模式的變化，如用戶對資源的控制權(quán)減少，多租戶技術(shù)和虛擬化技術(shù)的使用，都對傳統(tǒng)的訪問控制技術(shù)提出了新的挑戰(zhàn)。因此，云計算環(huán)境下的訪問控制技術(shù)已經(jīng)從傳統(tǒng)的用戶授權(quán)擴展到虛擬資源的訪問和云存儲數(shù)據(jù)的安全訪問等方面。這些變化要求云平臺采用更復(fù)雜和靈活的訪問控制策略來確保數(shù)據(jù)和服務(wù)的安全性。例如，云環(huán)境下的訪問控制技術(shù)需要考慮如何在不同的安全管理域之間實現(xiàn)統(tǒng)一策略、相互授權(quán)和資源共享［6］。

目前的研究主要針對非云部署的網(wǎng)絡(luò)安全［7-8］、城軌云平臺整體的安全體系構(gòu)建［9-10］，以及通用訪問控制技術(shù)［11］等，針對城軌云平臺安全體系下訪問控制技術(shù)的研究較少。因此，本文將重點探討城軌云平臺場景下基于安全標記的強制訪問控制技術(shù)，以訪問控制策略的表達、分析和實施為主，定義安全保護的目標，對訪問控制策略的應(yīng)用和實施進行抽象描述，進而確定訪問控制系統(tǒng)的具體實現(xiàn)、組成架構(gòu)和部件之間的交互流程。

1 安全風(fēng)險分析

城軌云平臺以私有云平臺建設(shè)為主，主要面臨以下網(wǎng)絡(luò)安全風(fēng)險。

1）信息資源安全隔離問題。城軌云平臺匯集了大量用戶信息和數(shù)據(jù)信息，根據(jù)地鐵業(yè)務(wù)系統(tǒng)特點，這些數(shù)據(jù)分別部署在不同的資源池，一旦安全隔離失敗，信息泄露將成為城軌云平臺的突出安全問題。

2）防護邊界模糊化問題。城軌云平臺中大量業(yè)務(wù)采用虛擬化部署，導(dǎo)致傳統(tǒng)中心和車站局域網(wǎng)的邊界模糊化，通用安全防御體系失效，訪問權(quán)限控制、異常流量實時監(jiān)控等問題尤為突出。

3）人員管理復(fù)雜化問題。城軌多項業(yè)務(wù)都有運用云平臺，使用人員覆蓋開發(fā)、運營、維護等多個角色，可能引發(fā)系統(tǒng)安全問題。此外，各種攻擊者如黑客、專業(yè)罪犯、內(nèi)部惡意人員、蓄意破壞者等也會給各個業(yè)務(wù)系統(tǒng)帶來安全威脅［12］。

2 方案設(shè)計

2.1 安全架構(gòu)和防護策略

城軌云平臺承載內(nèi)部多業(yè)務(wù)應(yīng)用系統(tǒng)運行，結(jié)合網(wǎng)絡(luò)安全風(fēng)險分析結(jié)果，提出分區(qū)分域的業(yè)務(wù)系統(tǒng)間隔離的基礎(chǔ)架構(gòu)設(shè)計思路，以實現(xiàn)系統(tǒng)安全功能。城軌云平臺分區(qū)分域安全架構(gòu)見圖1。

圖1 城軌云平臺分區(qū)分域安全架構(gòu)

圖1中，將基礎(chǔ)設(shè)施資源劃分為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)3個獨立的區(qū)域，各區(qū)域間不能直接訪問，僅允許通過基于安全標記技術(shù)的跨網(wǎng)數(shù)據(jù)交換區(qū)進行數(shù)據(jù)交換［13］，從而實現(xiàn)數(shù)據(jù)導(dǎo)入的結(jié)構(gòu)檢查、數(shù)據(jù)導(dǎo)出的認證和授權(quán)。對網(wǎng)絡(luò)服務(wù)進行控制，僅提供允許的服務(wù)和業(yè)務(wù)系統(tǒng)使用的特定服務(wù)，禁止其他難以控制或不可控制的網(wǎng)絡(luò)服務(wù)。

各安全域內(nèi)的業(yè)務(wù)系統(tǒng)應(yīng)劃分二級等保區(qū)和三級等保區(qū)，二者的計算資源不允許共享。在防護策略方面，每個等保區(qū)域內(nèi)不同業(yè)務(wù)系統(tǒng)應(yīng)用間通過局域網(wǎng)/虛擬可擴展的局域網(wǎng)隔離，業(yè)務(wù)系統(tǒng)間通過訪問控制設(shè)備進行訪問，禁止非授權(quán)訪問，達到端到端的隔離效果。

2.2 風(fēng)控體系和主動防御體系

在城軌云平臺的環(huán)境下，風(fēng)控體系需重點關(guān)注異常流量檢測和異常網(wǎng)絡(luò)攻擊檢測［14］。在異常流量檢測方面，城軌云平臺中各業(yè)務(wù)系統(tǒng)內(nèi)部存在一臺或多臺虛擬機，虛擬機是否安全可靠直接影響到業(yè)務(wù)系統(tǒng)連續(xù)運行的可靠性指標。單臺物理服務(wù)器上各虛擬機業(yè)務(wù)間，可能存在直接的數(shù)據(jù)鏈路層信息交換，管理員很難監(jiān)控到這部分流量。因此，需要通過對虛擬機間流量進行監(jiān)控，實現(xiàn)虛擬機間的訪問控制及安全風(fēng)險檢測。此外，還要通過虛擬機漏洞掃描實現(xiàn)對所在物理機的訪問行為進行防范和控制［15］。技術(shù)實現(xiàn)上，通過建立不同業(yè)務(wù)系統(tǒng)虛擬機之間的強制訪問控制體系，屏蔽非必要的虛擬主機之間的互訪，即使有數(shù)據(jù)互訪的需求，也是在管理員知情并批準的前提下且需經(jīng)過安全防護設(shè)備的安全控制。

云平臺的核心是計算和數(shù)據(jù)資源，因此也是網(wǎng)絡(luò)異常攻擊者最主要的目標。云平臺系統(tǒng)或應(yīng)用一旦感染病毒、蠕蟲、木馬等惡意代碼，就可能在平臺內(nèi)部快速傳播，消耗網(wǎng)絡(luò)資源，劫持平臺應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁。同時，城軌云內(nèi)部業(yè)務(wù)服務(wù)器底層和業(yè)務(wù)系統(tǒng)會不斷產(chǎn)生新的安全漏洞，如操作系統(tǒng)、后門、文件傳輸協(xié)議、數(shù)據(jù)庫漏洞等對平臺敏感信息的監(jiān)控、竊取、篡改等［15］。因此，城軌云平臺的安全設(shè)計充分考慮了檢測和清除病毒、蠕蟲、木馬等惡意內(nèi)容的機制，增加有效的手段來識別并防護針對系統(tǒng)漏洞的攻擊。

在風(fēng)控體系的基礎(chǔ)上，構(gòu)建網(wǎng)絡(luò)安全管理自動化和智能化的主動防御體系，實現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一運維管理、審計管理等功能。通過構(gòu)建統(tǒng)一的資產(chǎn)管理、日志管理、配置管理、報警管理、標記策略管理等，實現(xiàn)全流程跟蹤記錄和工單告警聯(lián)動，便于優(yōu)化處理流程，實現(xiàn)流程審計和問題閉環(huán)［16］。通過監(jiān)測網(wǎng)絡(luò)實現(xiàn)對誤操作、內(nèi)部攻擊和外部入侵的有效保護，統(tǒng)籌全網(wǎng)部署的網(wǎng)絡(luò)安全設(shè)備，對網(wǎng)絡(luò)安全進行實時、主動、全面的保護。

通過攻擊模式分析、噪聲數(shù)據(jù)處理、攻擊分析建模、未知攻擊識別等技術(shù)，搭建城軌云安全態(tài)勢感控平臺，見圖2，實現(xiàn)網(wǎng)絡(luò)安全主動防御。對檢測到的數(shù)據(jù)進行整合，構(gòu)建數(shù)據(jù)矩陣，并引入安全分析算法，逐步形成安全威脅挖掘分析模型，將各類型的病毒、木馬等挖掘模式保存在智能分析引擎中，同時將智能分析引擎部署于各網(wǎng)，從而獲取準確的挖掘結(jié)果，并將結(jié)果輸出到前臺實時交互接口，阻斷病毒、木馬在網(wǎng)絡(luò)中的傳播，從而實現(xiàn)主動防御的目的。

圖2 城軌云安全態(tài)勢感控平臺

3 城軌云安全標記設(shè)計

安全標記技術(shù)作為一種支持業(yè)務(wù)間安全訪問控制的手段，使用基于網(wǎng)絡(luò)數(shù)據(jù)流的安全標記，將其添加到數(shù)據(jù)包，實現(xiàn)數(shù)據(jù)流從安全操作系統(tǒng)到網(wǎng)絡(luò)傳輸?shù)霓D(zhuǎn)化，從而提供安全的訪問控制能力［17］。隨著等保2.0的發(fā)布與實施，網(wǎng)絡(luò)安全等級保護相關(guān)要求成為系統(tǒng)建設(shè)方案中的關(guān)注點。對于網(wǎng)絡(luò)安全等級保護三級，即安全標記保護級，現(xiàn)有各種系統(tǒng)中運用實施的并不多，對于數(shù)據(jù)標記、安全策略模型、主體對客體強制訪問控制的方案也較為少見。

使用安全標記需要完成3個基本工作：定義安全標記主客體、基于IP協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)流實現(xiàn)安全標記的綁定、實現(xiàn)確保主客體之間的訪問控制。

為了滿足城軌云各業(yè)務(wù)系統(tǒng)對于多域、跨域安全訪問控制的需求，實現(xiàn)各業(yè)務(wù)系統(tǒng)安全訪問控制，在既有訪問控制手段的基礎(chǔ)上，增強安全標記設(shè)計，也使業(yè)務(wù)系統(tǒng)間的訪問控制實現(xiàn)更高的安全級別。安全防護重點在于邊界防護，將各個業(yè)務(wù)網(wǎng)和運維網(wǎng)劃分為獨立網(wǎng)域，各個網(wǎng)域之間通過邊界網(wǎng)關(guān)進行安全隔離。

各個區(qū)域形成后，對區(qū)域內(nèi)主客體確定其安全屬性，利用安全屬性決定主體對客體的訪問權(quán)限，由安全管理員為主、客體分配安全屬性，業(yè)務(wù)不能改變自身安全屬性。通過這種強制訪問控制策略對各個區(qū)域的數(shù)據(jù)流進行統(tǒng)一控制。

基于這種強制訪問控制策略的思路，可采用安全標記實現(xiàn)城軌云主/客體安全屬性設(shè)計。城軌云平臺安全標記L可以表示為L=C×K，其中C為安全級別，K為安全范疇。為保證在網(wǎng)絡(luò)、傳輸、應(yīng)用、數(shù)據(jù)庫層面的強制訪問控制策略具有統(tǒng)一的語義，在訪問者和受訪者的訪問路徑上形成具有一致性的安全策略體系，從業(yè)務(wù)和數(shù)據(jù)角度定義安全級別和范疇。

安全級別按數(shù)據(jù)敏感度和完整性等級進行設(shè)定。針對系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)情況，主、客體安全級別定義為1～4共4個敏感度，敏感度從1至4逐步提高。敏感度定義見表1。

表1 敏感度定義

完整性等級根據(jù)用戶寫入、修改、刪除信息的可信度，非授權(quán)修改對客體產(chǎn)生的危害進行設(shè)定。針對業(yè)務(wù)的用戶和數(shù)據(jù)情況，將主客體完整性等級定義為1～4共4個完整性等級，從1至4逐步提高。完整性等級定義見表2。

表2 完整性等級定義

根據(jù)城軌云平臺及各業(yè)務(wù)系統(tǒng)應(yīng)用的類型、功能和控制區(qū)域等場景和安全屬性進行抽象和定義，考慮系統(tǒng)業(yè)務(wù)和管理特點，安全范疇可以從業(yè)務(wù)類型和業(yè)務(wù)區(qū)域2個維度進行抽象和定義。在業(yè)務(wù)類型維度上，從業(yè)務(wù)應(yīng)用、業(yè)務(wù)管理、系統(tǒng)管理等方面定義范疇。具體來講，業(yè)務(wù)應(yīng)用包括生產(chǎn)業(yè)務(wù)、OA等；業(yè)務(wù)管理包括配置、日志、權(quán)限等；系統(tǒng)管理包括配置管理、安全管理、安全審計等。在業(yè)務(wù)區(qū)域維度上，根據(jù)各安全域邊界情況，如安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)、運維管理網(wǎng)等安全域?qū)?shù)據(jù)的管控要求進行定義。在業(yè)務(wù)類型相關(guān)的范疇定義中，每種業(yè)務(wù)類別都設(shè)置了一個較大的業(yè)務(wù)類型范疇，主要目的是給系統(tǒng)的強制訪問控制提供不同粒度的控制能力。較粗粒度的業(yè)務(wù)類型范疇和類別內(nèi)的其他范疇應(yīng)同時使用，即設(shè)定細粒度范疇的同時應(yīng)設(shè)定大的類別范疇。

4 結(jié)束語

通過對城軌云平臺網(wǎng)絡(luò)安全需求進行分析，將傳統(tǒng)訪問控制、運維管理、風(fēng)險監(jiān)控、數(shù)據(jù)智能分析等集成在完整的云平臺之上，創(chuàng)建城市軌道交通管理系統(tǒng)的全業(yè)務(wù)承載和深度防御的安全保障環(huán)境。從數(shù)據(jù)敏感度和完整性等級方面進行詳細定義和評估設(shè)計，實現(xiàn)安全標記強制訪問控制功能，有效支持所設(shè)計的城軌云平臺達到網(wǎng)絡(luò)安全標記等級要求，符合當前安全技術(shù)發(fā)展和建設(shè)規(guī)范的新要求，可作為行業(yè)應(yīng)用的參考。