隨著城市軌道交通信息化高速發(fā)展，智慧城市軌道云平臺建設已經(jīng)成為必然趨勢，各項業(yè)務系統(tǒng)上云，對軌道交通行業(yè)的數(shù)據(jù)安全保障工作提出了新的挑戰(zhàn)，企業(yè)面臨著云環(huán)境網(wǎng)絡邊界模糊、細粒度管控需求難以實現(xiàn)等難題，針對上述行業(yè)用戶痛點，發(fā)布本期牛品推薦：天琴科技——基于標記的強制訪問行為控制體系（簡稱標記強訪控制體系），該體系通過主客代理模塊對數(shù)據(jù)和用戶進行標記，并與服務資源代理、安全隔離網(wǎng)關、集中配置模塊和可視化集中展示模塊協(xié)同聯(lián)動，實現(xiàn)了對云應用相關數(shù)據(jù)安全流轉的保障。

　　標簽

　　01

　　精細化管控，高適配度，數(shù)字化管控，標記性管控，可視化管控

　　用戶痛點

　　02

　　隨著云計算和關基建設的要求，城市軌道交通行業(yè)著力打造“智慧城軌云”，城軌相關業(yè)務上云，業(yè)務數(shù)據(jù)流的環(huán)境發(fā)生巨大的變化，不再在傳統(tǒng)的網(wǎng)絡中進行，原有的針對網(wǎng)絡層的防護“老三樣”——防火墻、入侵檢測和防病毒由于其被動防御的特征和防御對象的局限性，對城軌云整個網(wǎng)絡環(huán)境中數(shù)據(jù)流的保護力度減弱，而針對云環(huán)境的惡意攻擊手段在不斷的演進，使得城軌云環(huán)境中的數(shù)據(jù)安全防護面臨著更多的風險：

　　1、隱蔽通道和越權訪問

　　虛擬化技術是云計算平臺的核心，虛擬化技術提供了大量的共享資源，數(shù)據(jù)資源流向開放，催生了隱蔽通道和越權訪問的各種條件，云內(nèi)的非正常操作和各種攻擊的隱蔽性更強，更難發(fā)現(xiàn)；

　　2、惡意訪問高速傳播

　　由于云環(huán)境內(nèi)邊界模糊，一旦產(chǎn)生惡意訪問，惡意代碼的橫向傳播速度極快，輕則消耗云內(nèi)計算資源，重則對業(yè)務應用造成影響，導致業(yè)務停滯甚至癱瘓，恢復難度大、成本高；

　　3、數(shù)據(jù)管控粒度粗

　　現(xiàn)有監(jiān)測手段對云環(huán)境內(nèi)數(shù)據(jù)交換過程的管控力度不足，無法對各個組成模塊下的業(yè)務運行狀態(tài)和通信過程進行細粒度把控，發(fā)生異常時，難以覺察，一旦發(fā)現(xiàn)，可能已經(jīng)造成較大的損失。

　　解決方案

　　03

　　智慧城軌云在建設時，結合城軌業(yè)務需求及應用特征，將云環(huán)境劃分為外部服務網(wǎng)、內(nèi)部管理網(wǎng)、安全生產(chǎn)網(wǎng)和運維管理網(wǎng)四個獨立的安全區(qū)域，不同安全域的安全級別不同，部署對應安全級別的業(yè)務或者管理系統(tǒng)。相同安全域內(nèi)的訪問和跨安全域的數(shù)據(jù)交互，構成了整個城軌云業(yè)務應用系統(tǒng)的數(shù)字運行體系，成為城市軌道交通業(yè)務運行的重要基礎設施。

　　智慧城軌云的計算環(huán)境及業(yè)務運行產(chǎn)生的數(shù)據(jù)呈現(xiàn)出明顯的多源異構的特征：不同系統(tǒng)應用遵循的業(yè)務邏輯不同，進行安全管控的策略也有較大差異，這增大了全網(wǎng)安全策略統(tǒng)一實施和控制的難度，傳統(tǒng)防護手段對數(shù)據(jù)訪問控制的粒度較粗，無法深入應用內(nèi)部，云內(nèi)數(shù)據(jù)面臨較大的安全隱患。

　　標記強訪控制體系將所有應用系統(tǒng)間抽象的業(yè)務數(shù)據(jù)流細化為具體的訪問行為，并作為基礎的控制單元，對訪問行為的主體（通常指用戶，或者進程）和客體（通常指由用戶啟動的進程，或者各類業(yè)務數(shù)據(jù)）進行伴隨其整個生命周期的標記，記錄它們的安全屬性、應用屬性、訪問行為等相關信息，并以此為基礎，將城軌云環(huán)境內(nèi)的所有訪問行為轉換為相同的格式進行描述，在訪問行為發(fā)生時，對主客體標記進行分析，與安全策略進行對比，放行正常訪問的報文，截棄非正常訪問的報文，記錄非正常訪問行為，從而實現(xiàn)對云環(huán)境內(nèi)各應用系統(tǒng)運行和云內(nèi)數(shù)據(jù)傳輸過程進行細粒度的監(jiān)測及管控。

　　面向智慧城軌云的標記強訪體系架構，通過主客體保護模塊、服務資源代理、安全隔離網(wǎng)關、集中配置模塊和可視化集中展示五大模塊覆蓋至城軌云環(huán)境中，協(xié)同作用形成完整的數(shù)據(jù)流安全控制體系，保障了智慧城軌云應用系統(tǒng)在云內(nèi)的安全運行。

　　1、主客體保護模塊

　　城軌云環(huán)境下，通常采用虛擬主機部署各類應用。在虛擬主機（或主機）上部署主客體保護模塊，實現(xiàn)對主機計算環(huán)境內(nèi)部I/O訪問和網(wǎng)絡訪問的管控，從而對系統(tǒng)內(nèi)的主客體完整性進行保護，也為計算環(huán)境內(nèi)的客體資源提供額外的加解密保護手段。

　　2、服務資源代理

　　城軌云環(huán)境下，業(yè)務應用系統(tǒng)部署于多個安全區(qū)域內(nèi)，服務資源代理實現(xiàn)不同應用之間的數(shù)據(jù)流轉及跨應用訪問。服務資源代理提供標準接口服務，彌補不同應用系統(tǒng)數(shù)據(jù)的格式差異，并通過標記強訪為不同應用系統(tǒng)間的數(shù)據(jù)交換提供便利、安全的總線。

　　3、安全隔離網(wǎng)關

　　城軌云環(huán)境下，用戶的跨域訪問，或者數(shù)據(jù)的跨域傳輸，都需要對請求報文進行處理以確保安全。安全隔離網(wǎng)關部署在不同安全區(qū)域的邊界，通過識別請求報文中的會話信息，對其傳輸路徑、安全級別和是否符合安全策略進行判斷，不符合安全策略的報文進行丟棄，對正確的報文進行安全屬性的重新匹配，并確保該報文傳輸?shù)侥繕说刂匪诘氖鼙Ｗo區(qū)域的資源代理或者操作系統(tǒng)。

　　4、集中配置模塊

　　為應對不同規(guī)模、形式的云平臺建設需求，標記強訪控制體系提供了豐富的落地方案，通過集中配置模塊對全局安全策略進行統(tǒng)一配置，實現(xiàn)對云內(nèi)業(yè)務數(shù)據(jù)的分級、分類及多場景多模式的管理，充分滿足安全管理的不同層次的需求：

　　面對阻斷需求，能夠直接截斷云內(nèi)的非正常訪問并進行詳細記錄便于審計；面對云內(nèi)安全監(jiān)測的需求，能夠通過標記相關日志對所有訪問行為進行詳細記錄，對非正常訪問進行預警并依安全策略進行干預；面對更高層次的溯源、主動防御需求，能夠提供仿真環(huán)境及異常訪問引導，捕獲更多數(shù)據(jù)以深入分析進行入侵溯源。

　　5、可視化集中展示

　　城軌云環(huán)境內(nèi)，標記強訪控制體系的部署對普通業(yè)務用戶來說是無感的，安全策略在云環(huán)境內(nèi)的部署也是透明的，符合安全策略的正常應用可以按照既定的路徑進行數(shù)據(jù)交互和業(yè)務訪問，而沒有按照既定路徑進行訪問的數(shù)據(jù)報文經(jīng)過安全模塊、資源代理、安全網(wǎng)關的時候會根據(jù)安全策略的要求被處理，達到系統(tǒng)防護的目標，并通過可視化集中展示模塊為安全管理人員提供直觀的預警、查詢、處理、調(diào)度界面，協(xié)同其他網(wǎng)絡安全防護措施對云環(huán)境內(nèi)的安全問題進行及時響應和處理。

　　標記強訪控制體系的部署，相當于在云環(huán)境內(nèi)建立了一整套數(shù)據(jù)訪問通道白名單的立體網(wǎng)絡，正確的訪問行為才能夠通過層層通道完成數(shù)據(jù)交互，而未經(jīng)授權的訪問和惡意的程序、代碼在云內(nèi)的擴展和傳播則能夠得到有效的杜絕。

　　標記強訪控制體系對計算環(huán)境I/O的管控，基本阻斷了云內(nèi)非正常應用的進行，對網(wǎng)絡的監(jiān)測能夠對云內(nèi)應用的故障進行快速定位，在云內(nèi)透明的運行機制保障了業(yè)務之間交互和數(shù)據(jù)流轉的高性能，綜合來看，標記強訪控制體系充分提升了云平臺用戶對云環(huán)境網(wǎng)絡安全的控制能力。

　　智慧城軌云內(nèi)復雜多樣的業(yè)務應用系統(tǒng)，通過標記強訪體系，實現(xiàn)了所有交互通信都按照統(tǒng)一格式、遵循相同的安全管控策略進行，這樣一來，覆蓋于網(wǎng)絡范圍的安全策略，通過標記滲透到計算環(huán)境和應用當中，不僅簡化了多源異構環(huán)境下繁復的安全策略邏輯，更解決了城軌云環(huán)境中全局安全策略穿透性弱的問題，確保整個網(wǎng)絡內(nèi)應用運行及訪問行為的安全進行。

　　用戶反饋

　　04

　　天琴科技的標記強訪控制體系在合法合規(guī)的基礎上，精準的屏蔽了云環(huán)境中的異常訪問行為，并提供了詳細的屏蔽記錄，使蠕蟲、礦機等惡意代碼和惡意程序的非法訪問被快速識別，此外，該體系對我司云系統(tǒng)的聯(lián)調(diào)聯(lián)試助力很大，解決了不同人員誤操作時造成業(yè)務停滯的問題。

　　——某地鐵用戶設備部門負責人

　　城軌建設公司業(yè)務上云后的合規(guī)性建設十分重要，同時需要先進的技術支持。在對天琴科技標記強訪控制體系的配置測試階段，我們發(fā)現(xiàn)該體系在保證業(yè)務運行效率的基礎上實現(xiàn)了多方對接聯(lián)調(diào)，這進一步提升了我們對后續(xù)建設方案中加入標記強訪問方案的信心。

　　——某城軌建設公司技術負責人

　　《城市軌道交通云平臺構建技術規(guī)范T/CAMET 11002-2020》和等保在網(wǎng)絡安全方面都提出了使用標記強訪控制，該體系在我司與天琴科技共建的試點項目中發(fā)揮了重要作用，標記強訪控制體系讓業(yè)務系統(tǒng)更加透明化，實現(xiàn)了安全策略和應用系統(tǒng)匹配過程的精細化管理，其對異常行為的精準阻斷、告警能力加強了對系統(tǒng)的安全防護水平，異常行為記錄可查、可追溯，有效解決了應用上云數(shù)據(jù)丟失包定位等關鍵問題。

　　——某地鐵應用開發(fā)公司技術負責人

　　安全牛評

　　工業(yè)互聯(lián)網(wǎng)應用的特殊性和復雜性，使其訪問控制安全的重要性比企業(yè)級的遠程訪問重要和復雜得多，適用于工業(yè)環(huán)境的安全防護框架具有很高的挑戰(zhàn)。天琴科技在本方案中基于ABAC的“安全標記”在城軌工業(yè)網(wǎng)絡中打造了集網(wǎng)絡、主機、業(yè)務及管理中心的系統(tǒng)化訪問控制體系，符合信息系統(tǒng)“一個中心三層防護”的合規(guī)設計理念。

　　在該合規(guī)框架基礎上可以構建彈性的增強防護以滿足不同安全等級要求的工業(yè)控制環(huán)境，能為其它工業(yè)場景的安全建設提供很好的借鑒。