隨著城市軌道交通信息化高速發(fā)展，智慧城市軌道云平臺(tái)建設(shè)已經(jīng)成為必然趨勢(shì)，各項(xiàng)業(yè)務(wù)系統(tǒng)上云，對(duì)軌道交通行業(yè)的數(shù)據(jù)安全保障工作提出了新的挑戰(zhàn)，企業(yè)面臨著云環(huán)境網(wǎng)絡(luò)邊界模糊、細(xì)粒度管控需求難以實(shí)現(xiàn)等難題，針對(duì)上述行業(yè)用戶痛點(diǎn)，發(fā)布本期牛品推薦：天琴科技——基于標(biāo)記的強(qiáng)制訪問行為控制體系（簡(jiǎn)稱標(biāo)記強(qiáng)訪控制體系），該體系通過主客代理模塊對(duì)數(shù)據(jù)和用戶進(jìn)行標(biāo)記，并與服務(wù)資源代理、安全隔離網(wǎng)關(guān)、集中配置模塊和可視化集中展示模塊協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)了對(duì)云應(yīng)用相關(guān)數(shù)據(jù)安全流轉(zhuǎn)的保障。

　　標(biāo)簽

　　01

　　精細(xì)化管控，高適配度，數(shù)字化管控，標(biāo)記性管控，可視化管控

　　用戶痛點(diǎn)

　　02

　　隨著云計(jì)算和關(guān)基建設(shè)的要求，城市軌道交通行業(yè)著力打造“智慧城軌云”，城軌相關(guān)業(yè)務(wù)上云，業(yè)務(wù)數(shù)據(jù)流的環(huán)境發(fā)生巨大的變化，不再在傳統(tǒng)的網(wǎng)絡(luò)中進(jìn)行，原有的針對(duì)網(wǎng)絡(luò)層的防護(hù)“老三樣”——防火墻、入侵檢測(cè)和防病毒由于其被動(dòng)防御的特征和防御對(duì)象的局限性，對(duì)城軌云整個(gè)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流的保護(hù)力度減弱，而針對(duì)云環(huán)境的惡意攻擊手段在不斷的演進(jìn)，使得城軌云環(huán)境中的數(shù)據(jù)安全防護(hù)面臨著更多的風(fēng)險(xiǎn)：

　　1、隱蔽通道和越權(quán)訪問

　　虛擬化技術(shù)是云計(jì)算平臺(tái)的核心，虛擬化技術(shù)提供了大量的共享資源，數(shù)據(jù)資源流向開放，催生了隱蔽通道和越權(quán)訪問的各種條件，云內(nèi)的非正常操作和各種攻擊的隱蔽性更強(qiáng)，更難發(fā)現(xiàn)；

　　2、惡意訪問高速傳播

　　由于云環(huán)境內(nèi)邊界模糊，一旦產(chǎn)生惡意訪問，惡意代碼的橫向傳播速度極快，輕則消耗云內(nèi)計(jì)算資源，重則對(duì)業(yè)務(wù)應(yīng)用造成影響，導(dǎo)致業(yè)務(wù)停滯甚至癱瘓，恢復(fù)難度大、成本高；

　　3、數(shù)據(jù)管控粒度粗

　　現(xiàn)有監(jiān)測(cè)手段對(duì)云環(huán)境內(nèi)數(shù)據(jù)交換過程的管控力度不足，無法對(duì)各個(gè)組成模塊下的業(yè)務(wù)運(yùn)行狀態(tài)和通信過程進(jìn)行細(xì)粒度把控，發(fā)生異常時(shí)，難以覺察，一旦發(fā)現(xiàn)，可能已經(jīng)造成較大的損失。

　　解決方案

　　03

　　智慧城軌云在建設(shè)時(shí)，結(jié)合城軌業(yè)務(wù)需求及應(yīng)用特征，將云環(huán)境劃分為外部服務(wù)網(wǎng)、內(nèi)部管理網(wǎng)、安全生產(chǎn)網(wǎng)和運(yùn)維管理網(wǎng)四個(gè)獨(dú)立的安全區(qū)域，不同安全域的安全級(jí)別不同，部署對(duì)應(yīng)安全級(jí)別的業(yè)務(wù)或者管理系統(tǒng)。相同安全域內(nèi)的訪問和跨安全域的數(shù)據(jù)交互，構(gòu)成了整個(gè)城軌云業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)字運(yùn)行體系，成為城市軌道交通業(yè)務(wù)運(yùn)行的重要基礎(chǔ)設(shè)施。

　　智慧城軌云的計(jì)算環(huán)境及業(yè)務(wù)運(yùn)行產(chǎn)生的數(shù)據(jù)呈現(xiàn)出明顯的多源異構(gòu)的特征：不同系統(tǒng)應(yīng)用遵循的業(yè)務(wù)邏輯不同，進(jìn)行安全管控的策略也有較大差異，這增大了全網(wǎng)安全策略統(tǒng)一實(shí)施和控制的難度，傳統(tǒng)防護(hù)手段對(duì)數(shù)據(jù)訪問控制的粒度較粗，無法深入應(yīng)用內(nèi)部，云內(nèi)數(shù)據(jù)面臨較大的安全隱患。

　　標(biāo)記強(qiáng)訪控制體系將所有應(yīng)用系統(tǒng)間抽象的業(yè)務(wù)數(shù)據(jù)流細(xì)化為具體的訪問行為，并作為基礎(chǔ)的控制單元，對(duì)訪問行為的主體（通常指用戶，或者進(jìn)程）和客體（通常指由用戶啟動(dòng)的進(jìn)程，或者各類業(yè)務(wù)數(shù)據(jù)）進(jìn)行伴隨其整個(gè)生命周期的標(biāo)記，記錄它們的安全屬性、應(yīng)用屬性、訪問行為等相關(guān)信息，并以此為基礎(chǔ)，將城軌云環(huán)境內(nèi)的所有訪問行為轉(zhuǎn)換為相同的格式進(jìn)行描述，在訪問行為發(fā)生時(shí)，對(duì)主客體標(biāo)記進(jìn)行分析，與安全策略進(jìn)行對(duì)比，放行正常訪問的報(bào)文，截棄非正常訪問的報(bào)文，記錄非正常訪問行為，從而實(shí)現(xiàn)對(duì)云環(huán)境內(nèi)各應(yīng)用系統(tǒng)運(yùn)行和云內(nèi)數(shù)據(jù)傳輸過程進(jìn)行細(xì)粒度的監(jiān)測(cè)及管控。

　　面向智慧城軌云的標(biāo)記強(qiáng)訪體系架構(gòu)，通過主客體保護(hù)模塊、服務(wù)資源代理、安全隔離網(wǎng)關(guān)、集中配置模塊和可視化集中展示五大模塊覆蓋至城軌云環(huán)境中，協(xié)同作用形成完整的數(shù)據(jù)流安全控制體系，保障了智慧城軌云應(yīng)用系統(tǒng)在云內(nèi)的安全運(yùn)行。

　　1、主客體保護(hù)模塊

　　城軌云環(huán)境下，通常采用虛擬主機(jī)部署各類應(yīng)用。在虛擬主機(jī)（或主機(jī)）上部署主客體保護(hù)模塊，實(shí)現(xiàn)對(duì)主機(jī)計(jì)算環(huán)境內(nèi)部I/O訪問和網(wǎng)絡(luò)訪問的管控，從而對(duì)系統(tǒng)內(nèi)的主客體完整性進(jìn)行保護(hù)，也為計(jì)算環(huán)境內(nèi)的客體資源提供額外的加解密保護(hù)手段。

　　2、服務(wù)資源代理

　　城軌云環(huán)境下，業(yè)務(wù)應(yīng)用系統(tǒng)部署于多個(gè)安全區(qū)域內(nèi)，服務(wù)資源代理實(shí)現(xiàn)不同應(yīng)用之間的數(shù)據(jù)流轉(zhuǎn)及跨應(yīng)用訪問。服務(wù)資源代理提供標(biāo)準(zhǔn)接口服務(wù)，彌補(bǔ)不同應(yīng)用系統(tǒng)數(shù)據(jù)的格式差異，并通過標(biāo)記強(qiáng)訪為不同應(yīng)用系統(tǒng)間的數(shù)據(jù)交換提供便利、安全的總線。

　　3、安全隔離網(wǎng)關(guān)

　　城軌云環(huán)境下，用戶的跨域訪問，或者數(shù)據(jù)的跨域傳輸，都需要對(duì)請(qǐng)求報(bào)文進(jìn)行處理以確保安全。安全隔離網(wǎng)關(guān)部署在不同安全區(qū)域的邊界，通過識(shí)別請(qǐng)求報(bào)文中的會(huì)話信息，對(duì)其傳輸路徑、安全級(jí)別和是否符合安全策略進(jìn)行判斷，不符合安全策略的報(bào)文進(jìn)行丟棄，對(duì)正確的報(bào)文進(jìn)行安全屬性的重新匹配，并確保該報(bào)文傳輸?shù)侥繕?biāo)地址所在的受保護(hù)區(qū)域的資源代理或者操作系統(tǒng)。

　　4、集中配置模塊

　　為應(yīng)對(duì)不同規(guī)模、形式的云平臺(tái)建設(shè)需求，標(biāo)記強(qiáng)訪控制體系提供了豐富的落地方案，通過集中配置模塊對(duì)全局安全策略進(jìn)行統(tǒng)一配置，實(shí)現(xiàn)對(duì)云內(nèi)業(yè)務(wù)數(shù)據(jù)的分級(jí)、分類及多場(chǎng)景多模式的管理，充分滿足安全管理的不同層次的需求：

　　面對(duì)阻斷需求，能夠直接截?cái)嘣苾?nèi)的非正常訪問并進(jìn)行詳細(xì)記錄便于審計(jì)；面對(duì)云內(nèi)安全監(jiān)測(cè)的需求，能夠通過標(biāo)記相關(guān)日志對(duì)所有訪問行為進(jìn)行詳細(xì)記錄，對(duì)非正常訪問進(jìn)行預(yù)警并依安全策略進(jìn)行干預(yù)；面對(duì)更高層次的溯源、主動(dòng)防御需求，能夠提供仿真環(huán)境及異常訪問引導(dǎo)，捕獲更多數(shù)據(jù)以深入分析進(jìn)行入侵溯源。

　　5、可視化集中展示

　　城軌云環(huán)境內(nèi)，標(biāo)記強(qiáng)訪控制體系的部署對(duì)普通業(yè)務(wù)用戶來說是無感的，安全策略在云環(huán)境內(nèi)的部署也是透明的，符合安全策略的正常應(yīng)用可以按照既定的路徑進(jìn)行數(shù)據(jù)交互和業(yè)務(wù)訪問，而沒有按照既定路徑進(jìn)行訪問的數(shù)據(jù)報(bào)文經(jīng)過安全模塊、資源代理、安全網(wǎng)關(guān)的時(shí)候會(huì)根據(jù)安全策略的要求被處理，達(dá)到系統(tǒng)防護(hù)的目標(biāo)，并通過可視化集中展示模塊為安全管理人員提供直觀的預(yù)警、查詢、處理、調(diào)度界面，協(xié)同其他網(wǎng)絡(luò)安全防護(hù)措施對(duì)云環(huán)境內(nèi)的安全問題進(jìn)行及時(shí)響應(yīng)和處理。

　　標(biāo)記強(qiáng)訪控制體系的部署，相當(dāng)于在云環(huán)境內(nèi)建立了一整套數(shù)據(jù)訪問通道白名單的立體網(wǎng)絡(luò)，正確的訪問行為才能夠通過層層通道完成數(shù)據(jù)交互，而未經(jīng)授權(quán)的訪問和惡意的程序、代碼在云內(nèi)的擴(kuò)展和傳播則能夠得到有效的杜絕。

　　標(biāo)記強(qiáng)訪控制體系對(duì)計(jì)算環(huán)境I/O的管控，基本阻斷了云內(nèi)非正常應(yīng)用的進(jìn)行，對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)能夠?qū)υ苾?nèi)應(yīng)用的故障進(jìn)行快速定位，在云內(nèi)透明的運(yùn)行機(jī)制保障了業(yè)務(wù)之間交互和數(shù)據(jù)流轉(zhuǎn)的高性能，綜合來看，標(biāo)記強(qiáng)訪控制體系充分提升了云平臺(tái)用戶對(duì)云環(huán)境網(wǎng)絡(luò)安全的控制能力。

　　智慧城軌云內(nèi)復(fù)雜多樣的業(yè)務(wù)應(yīng)用系統(tǒng)，通過標(biāo)記強(qiáng)訪體系，實(shí)現(xiàn)了所有交互通信都按照統(tǒng)一格式、遵循相同的安全管控策略進(jìn)行，這樣一來，覆蓋于網(wǎng)絡(luò)范圍的安全策略，通過標(biāo)記滲透到計(jì)算環(huán)境和應(yīng)用當(dāng)中，不僅簡(jiǎn)化了多源異構(gòu)環(huán)境下繁復(fù)的安全策略邏輯，更解決了城軌云環(huán)境中全局安全策略穿透性弱的問題，確保整個(gè)網(wǎng)絡(luò)內(nèi)應(yīng)用運(yùn)行及訪問行為的安全進(jìn)行。

　　用戶反饋

　　04

　　天琴科技的標(biāo)記強(qiáng)訪控制體系在合法合規(guī)的基礎(chǔ)上，精準(zhǔn)的屏蔽了云環(huán)境中的異常訪問行為，并提供了詳細(xì)的屏蔽記錄，使蠕蟲、礦機(jī)等惡意代碼和惡意程序的非法訪問被快速識(shí)別，此外，該體系對(duì)我司云系統(tǒng)的聯(lián)調(diào)聯(lián)試助力很大，解決了不同人員誤操作時(shí)造成業(yè)務(wù)停滯的問題。

　　——某地鐵用戶設(shè)備部門負(fù)責(zé)人

　　城軌建設(shè)公司業(yè)務(wù)上云后的合規(guī)性建設(shè)十分重要，同時(shí)需要先進(jìn)的技術(shù)支持。在對(duì)天琴科技標(biāo)記強(qiáng)訪控制體系的配置測(cè)試階段，我們發(fā)現(xiàn)該體系在保證業(yè)務(wù)運(yùn)行效率的基礎(chǔ)上實(shí)現(xiàn)了多方對(duì)接聯(lián)調(diào)，這進(jìn)一步提升了我們對(duì)后續(xù)建設(shè)方案中加入標(biāo)記強(qiáng)訪問方案的信心。

　　——某城軌建設(shè)公司技術(shù)負(fù)責(zé)人

　　《城市軌道交通云平臺(tái)構(gòu)建技術(shù)規(guī)范T/CAMET 11002-2020》和等保在網(wǎng)絡(luò)安全方面都提出了使用標(biāo)記強(qiáng)訪控制，該體系在我司與天琴科技共建的試點(diǎn)項(xiàng)目中發(fā)揮了重要作用，標(biāo)記強(qiáng)訪控制體系讓業(yè)務(wù)系統(tǒng)更加透明化，實(shí)現(xiàn)了安全策略和應(yīng)用系統(tǒng)匹配過程的精細(xì)化管理，其對(duì)異常行為的精準(zhǔn)阻斷、告警能力加強(qiáng)了對(duì)系統(tǒng)的安全防護(hù)水平，異常行為記錄可查、可追溯，有效解決了應(yīng)用上云數(shù)據(jù)丟失包定位等關(guān)鍵問題。

　　——某地鐵應(yīng)用開發(fā)公司技術(shù)負(fù)責(zé)人

　　安全牛評(píng)

　　工業(yè)互聯(lián)網(wǎng)應(yīng)用的特殊性和復(fù)雜性，使其訪問控制安全的重要性比企業(yè)級(jí)的遠(yuǎn)程訪問重要和復(fù)雜得多，適用于工業(yè)環(huán)境的安全防護(hù)框架具有很高的挑戰(zhàn)。天琴科技在本方案中基于ABAC的“安全標(biāo)記”在城軌工業(yè)網(wǎng)絡(luò)中打造了集網(wǎng)絡(luò)、主機(jī)、業(yè)務(wù)及管理中心的系統(tǒng)化訪問控制體系，符合信息系統(tǒng)“一個(gè)中心三層防護(hù)”的合規(guī)設(shè)計(jì)理念。

　　在該合規(guī)框架基礎(chǔ)上可以構(gòu)建彈性的增強(qiáng)防護(hù)以滿足不同安全等級(jí)要求的工業(yè)控制環(huán)境，能為其它工業(yè)場(chǎng)景的安全建設(shè)提供很好的借鑒。