铁路通信骨干网云安全技术保障体系研究_陈丹晖.pdf

1、 2023 年 2 月第 59 卷 第 2 期铁 道 通 信 信 号Railway Signalling&CommunicationFebruary 2023Vol.59 No.2铁路通信骨干网云安全技术保障体系研究陈丹晖，周耀胜摘 要：通过分析铁路通信骨干网云基础设施可能存在的网络安全风险，提出了基于WPDR3模型，以弹性自适应云安全体系为核心理念的铁路通信云安全技术保障体系架构；在贯彻落实等保2.0基本要求和云计算安全扩展要求的基础上，结合铁路通信骨干网业务特点，研究了以安全管理中心及云安全资源池为核心的云安全防护技术方案。关键词：铁路通信；云安全；安全资源池；按需服务；三重防护中图分类号

2、：U285.8 文献标识码：A Research on Cloud Security Technical Guarantee System of Railway Communication Backbone NetworkCHEN Danhui,ZHOU YaoshengAbstract：By analyzing the possible network security risks in the cloud infrastructure of the railway communication backbone network,this paper proposes a railway co

3、mmunication cloud security technology guarantee system architecture based on WPDR3 model with elastic adaptive cloud security system as the core concept.On the basis of implementing the basic requirements of Classified Protection 2.0 and cloud computing security expansion,combined with the character

4、istics of railway communication backbone network services,the technical scheme of cloud security protection capability with security management center and cloud security resource pool as the core is studied.Key words：Railway communication；Cloud security；Security resource pool；On-demand services；Trip

5、le protection我国铁路经过持续多年的快速发展，目前在路网规模、运营质量、技术装备以及经营管理水平上均达到世界领先水平。在交通强国、智慧交通的国家战略背景下，在新时代高速铁路智能化需求和ICT技术发展的驱动下，铁路通信正在积极探索数字化转型。作为新基建方面的重要基础设施，通信系统云化已经成为通信行业发展的必然趋势。1云安全威胁在云计算中，非法入侵、恶意代码攻击、异常跳板等安全问题始终存在。与此同时，针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷，而且基于云服务便捷性高、扩陈丹晖：北京铁路通信技术中心 高级工程师 100038 北京周耀胜：北京铁路通信技术中心

6、高级工程师 100038 北京基金项目：中国国家铁路集团有限公司科技研究开发计划（N2020G013）收稿日期：2022-11-09DOI：10.13879/j.issn.1000-7458.2023-02.22362扫码浏览下载50Railway Signalling&Communication Vol.59 No.2 2023展性好的特点，利用云提供的服务或资源去攻击其他目标也成为一种新的安全问题1。经分析，铁路通信云发展面临的安全挑战有以下几方面。1.1传统威胁铁路通信云面临着从传统的病毒、木马、系统漏洞攻击，到新型的勒索软件、挖矿程序，以及各种针对Web应用的攻击。攻击手段不断增加，造

7、成的危害也越发严重。1）服务器资产不清晰。服务器虚拟化后，业务系统硬件设备看不见、摸不着，传统依靠人工台账的方式统计虚拟资产，效率低、准确率差，对于服务器版本、应用、进程、端口等安全资产变化的掌控力弱，遭黑客攻击的范围大。2）资产风险不可知。诸如操作系统、应用等自身的漏洞，配置缺陷、危险端口暴露，以及缺乏安全意识导致的弱口令等安全问题难以排查，安全风险无法实时感知。3）对未知威胁缺乏防护能力。传统的防护策略依赖特征和安全规则，对于0 day漏洞和新型恶意代码没有防护能力。4）攻击溯源不精确。当安全事件发生后，无法准确判断黑客信息、入侵位置、攻击路径和攻击手段等。1.2云计算环境威胁由于是在云计

8、算环境基础架构上引入新的技术元素，因此也带来了云环境下特定的安全问题。同时，因为业务信息化的快速增长，以及云计算技术易用性和便捷性的特点，造成云上业务不断扩张。而不同业务系统安全等级的差异，又使云平台内部的隔离性要求变得至关重要。因此应避免低安全等级业务系统成为攻击高安全等级业务系统的“跳板”，防止威胁泛滥。1.2.1云虚拟化层威胁云计算架构的核心是云操作系统，新的虚拟化层导致基础硬件架构比传统架构更复杂，使得攻击有机可乘。云虚拟化层威胁主要体现在以下几个方面2。1）云操作系统提权。黑客利用云操作系统漏洞，越权访问、监视宿主机，并横向攻击其他虚拟机，极大地威胁云上业务系统及数据安全。2）虚拟交

9、换机流量不可见。云计算导致传统安全域划分不可用，云平台内部流量不可见。部分虚拟机之间的通信流量是基于云操作系统虚拟交换机，传统的安全手段无法获取相关信息，造成大量盲区。3）虚拟云主机安全策略跟随。云环境下，虚拟云主机在资源池内按需漂移，已设置的安全策略无法随之迁移，会造成大面积安全策略失效。1.2.2云运维模式威胁云计算运维模式与传统环境的差异，也是云计算受到威胁的主要成因。如某政务云因为运维疏忽，租户安全意识缺乏，没有修改虚拟机模板中的统一弱密码，造成黑客轻易获取云主机权限，使得大量虚拟机沦陷，社会影响恶劣。在当今云化后的IT基础设施构建方式发生根本变革后，云运维模式威胁主要来自以下几个方面

10、。1）控制权变更。云平台资产的创建和管理由租户掌控，而云上漏洞、不当配置等信息，甚至资产信息本身完全黑盒。2）云克隆。为提升云基础架构的交付速度，云运维管理员会大量使用虚拟机模板快速创建云资源，而基于该方式创建的云主机往往使用相同的密码，存在相同的不当配置项目。3）批量漏洞。虚拟机大多从有限种类的几种镜像克隆而来，同一批次的虚拟主机在某个版本相同CVE ID的漏洞会大量产生，而批量补丁升级会对业务连续性造成影响。4）云监管运营困难。由于控制权的变更，云平台内部资产、流量、数据对于租户已经完全处于黑盒状态，云平台内部发生什么，存在什么风险，租户缺乏解决问题的抓手。5）安全审计问题。对云运维管理员

11、和用户行为进行审计是难题之一，基于云计算的违规行为难以追查取证。1.3云安全管理和传统平台相比，云安全管理需要进行的监管范围更大、力度更强，不但需要识别和记录云平台中重要资产的安全状态，还需要对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、集中监控、协同防护，从而发挥安全机制的整体作用3。1）云管理员违规提权。云运维管理员因账户被盗或其他原因，导致云平台资源大量违规访问及数据窃取，造成恶劣的影响。2）缺乏统一的联动和管理机制。随着各类安全产品日志数量的不断增加、部署位置的分散且异51铁道通信信号 2023年第59卷第2期构，导致现有安全能力割裂，仅凭机械的日志收集无法看清安全事件全貌

12、。3）补丁管理困难。云计算环境急需一套高效的虚拟机实体补丁管理系统，减轻批量漏洞的危害。同时，虚拟化、容器的镜像、动态迁移等机制，也给补丁管理带来挑战。针对云计算环境特性及安全需求分析，遵循等保2.0第三级安全要求，本文构建了一套基于WPDR3模型的铁路通信骨干网云安全技术保障体系架构，通过全面提升云计算安全以及运营水平，并具备自适应、弹性伸缩、敏捷性等管理优势，适应云计算动态变化的安全需求。2体系架构铁路通信骨干网云安全技术保障体系架构见图1。主要由WPDR3安全模型、保护对象和纵深防御技术保障3个层面构成。2.1WPDR3安全模型WPDR3模型源于铁路通信网网络安全关键研究课题，由告警、防

13、护、检测、响应、恢复及更新6个环节组成，在充分分析各类安全告警后，综合运用防护手段，通过检测工具，了解和评估系统的安全状态，在适当的响应后，将系统风险调整为较低状态，并结合系统恢复和对各种安全威胁源的自我学习（更新），构成了一个完整的、动态的安全循环4。2.2保护对象云平台安全包括通信网络安全、区域边界安全、物理主机安全和云自身管理平台安全。而业务系统安全又包括虚拟网络安全、虚拟主机安全、数据安全及应用安全等。2.3纵深防御技术云平台及业务系统安全防护，依照等保2.0基本要求及云扩展要求设计，防护技术覆盖通信网络、区域边界、云安全资源池及安全管理中心，具体如下。1）通信网络：包含铁路通信骨干网

14、云平台内外部通信过程中数据的机密性和完整性、通信网络的安全审计，以及通信网络的可用性等相关内容5。2）区域边界：指传统安全设备防护的物理边界。作为第一道防御，该边界应实现对云平台及云纵深防御技术保障虚拟网络安全虚拟主机安全数据安全应用安全云管平台安全物理主机安全物理网络及设备安全通信网络区域边界云安全资源池安全管理中心 IT资产集中监控、告警统一呈现、事件关联分析及趋势预警铁路通信骨干网云安全技术保障体系告警（Warm）防护（Protection）检测（Detection）响应（Response）恢复（Recovery）更新（Renew）云平台安全业务系统安全东西向防火墙、WAF、数据库审计等

15、虚拟化安全组件防火墙、入侵检测、流量探针等传统安全设备防护物理边界通信过程数据安全、审计安全及可用性安全等图1 铁路通信骨干网云安全技术保障体系架构52Railway Signalling&Communication Vol.59 No.2 2023上业务系统至外部网络的安全区域隔离、入侵防范及网络恶意代码防范等功能。3）云安全资源池：为云上业务系统提供虚拟区域边界和计算环境的安全防护。采用软件定义安全的架构，按照云计算的理念，基于物理服务器、存储和网络设备，实现安全设备的资源池化 6。云安全资源池防护组件包括虚拟防火墙、虚拟入侵检测、虚拟Web应用防火墙、虚拟主机加固等多种虚拟安全网元，既可

16、以通过系统业务逻辑，对各类安全组件进行组织编排和策略部署，实现统一的安全管理；还可以根据业务规模按需使用、弹性分配、平滑扩展，满足不同系统的安全需求，实现各系统在身份鉴别、访问控制、安全审计、入侵检测、恶意代码防范、数据及应用安全等方面的防护能力构建。4）安全管理中心：集安全要素获取、分析、处理、跟踪、预测为一体，结合机器学习、外部情报联动等技术，将各类资源的日志、事件、告警等进行汇集，并通过统一的管理界面，完成对网络安全的统一管理；优化安全管理的体系和流程，清晰界定管理人员之间的工作职责，实现对计算环境安全状况的全面掌控，从而提高对安全威胁的准确判断。3构建方案铁路通信骨干网云平台以弹性自适

17、应云安全体系为理念，参照网络安全等级保护基本要求和云计算扩展要求（第3级），在“一个中心、三重防护”安全设计思路的指引下，构建以铁路通信骨干网安全管理中心及云安全资源池为核心，对云平台的通信网络、区域边界和计算环境进行安全防护，同时为云上业务系统提供安全能力。铁路通信骨干网云安全防护部署见图2。基于安全管理和业务需求，设立安全管理中心、云安全资源池及边界防护区。防护能力构建方案如下。3.1安全管理中心铁路通信骨干网安全管理中心，通过集中部署安全管理平台、漏洞扫描、堡垒机、数据库审计、日志审计、终端防护及管控等安全设备，综合设备资产、日志信息、安全基线、漏洞、告警、流量等信息的关联分析和趋势预警

18、，实现对云平台物理/虚拟网络、物理/虚拟主机、数据、应用等各类资产的集中监控、数据日志的统一管理与审计，以及安全事件的统一呈现，并对纳管终端按照策略进行恶意代码检测、漏洞修复及网络准入，满足铁路通信骨干网云平台的日常运维及管理需求7。3.2云安全资源池云安全资源池不仅实现对云平台自身服务器、存储、网络的安全防护，还对虚拟主机安全配置加固、虚拟资源隔离和独占、虚拟主机恶意代码防范、虚拟入侵防范、虚拟补丁管理、镜像和快照保其他安全组件主机安全Web应用防火墙数据库审计代理组件沙箱东西向防火墙东西向入侵检测边界未知威胁检测计 算存储云 平 台.计 算存储云安全资源池边界入侵检测核心交换机边界防火墙终

19、端接入交换机网络铁路通信骨干网安全管理中心图2 铁路通信骨干网云安全防护部署53铁道通信信号 2023年第59卷第2期护等方面进行安全防护。各虚拟安全组件可根据实际需要开启一个或多个实例，满足不同的需求8。安全组件包括虚拟防火墙、虚拟入侵检测、虚拟Web应用防火墙、虚拟服务器加固等。通过构建虚拟防火墙，可满足云平台内部虚拟机之间、虚拟机与宿主机之间的虚拟边界防护，满足虚拟边界防护与控制、网络侧恶意代码防范等方面的相关要求；虚拟入侵检测系统可对云平台内部网络流量进行安全监测，检测来自网络内部的网络攻击和网络入侵；虚拟Web应用防火墙对云平台或承载业务的WebService应用接口进行安全防护，检

20、测并防止对云平台应用业务的 SQL 注入、XSS 注入、Webshell上传等基于http协议的应用层网络攻击；虚拟主机加固可对云平台宿主服务器及业务系统虚拟机的计算环境进行安全保护，包括主机防火墙、主机IPS等9。3.3边界防护区1）设备冗余部署。接入路由器、边界防火墙、核心交换机及相关链路采用冗余部署，并在通信过程采用 SSH 或 HTTPS等加密手段，提高业务通信过程中数据的保密性。2）边界防护。指云平台局域网与广域网间的物理边界防护，综合考虑业务吞吐率等性能需求，在云平台局域网与广域网间的物理边界部署物理防火墙、入侵防御及未知威胁检测设备，对云平台进行边界防护，以满足等级保护中安全区域

21、边界关于边界防护与控制、入侵防范、网络恶意代码防范等方面的相关要求。4未来展望随着网络安全形势的剧变，网络空间安全战略地位逐步凸显，而云计算基础设施作为重要的数字资产及业务聚集地，面临的安全形势尤为严峻。将云计算资源集中共享、弹性按需调配的特性应用于安全领域，通过“软件定义流量、软件定义资源、软件定义威胁”，为铁路通信骨干网络与业务系统安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等带来新的技术机制，为铁路通信构建动态的、闭环的、软件定义的云安全体系，让云安全问题的解决变得简单、敏捷、合规。参考文献1 腾讯安全联合GeekPwn.腾讯安全公众号 2019云安全威胁报告R.20

22、19.2 田俸羽.C-RAN架构下虚拟基站池间的可信协作平台实现D.西安:西安电子科技大学,2018.3 中国国家标准化管理委员会.GB/T 202692006 信息安全技术 信息系统安全管理要求S.北京:中国标准出版社,2006.4 张卫军,郭桂芳,刘清涛.铁路通信网网络安全体系架构研究J.铁道通信信号,2018,54(9):40-41.5 安恒风暴中心.风暴中心官网 安全技术体系之云计算安全R.2020.6 王晔,陈丽娟,衣然.等保2.0 时代城市轨道交通信号系统网络安全防护新思路J.信息技术与网络安全,2020(3):1-5.7 陈丹晖.构建铁路数据通信网骨干网的网络安全管理中心J.铁道通信信号,2020,56(4):69-72.8 周振勇.NFV技术进展及其应用探讨J.电信网技术,2016(7):41-45.9 黄蕗.云计算安全防护设计C/中国移动通信信息安全管理与运行中心.中国移动通信信息安全管理与运行中心第五届信息安全专家论坛.北京:2015.（责任编辑：诸红）54