隨著城市軌道交通信息化高速發(fā)展，智慧城市軌道云平臺建設(shè)已經(jīng)成為必然趨勢，各項業(yè)務(wù)系統(tǒng)上云，對軌道交通行業(yè)的數(shù)據(jù)安全保障工作提出了新的挑戰(zhàn)，企業(yè)面臨著云環(huán)境網(wǎng)絡(luò)邊界模糊、細(xì)粒度管控需求難以實現(xiàn)等難題，針對上述行業(yè)用戶痛點，發(fā)布本期牛品推薦：天琴科技——基于標(biāo)記的強制訪問行為控制體系（簡稱標(biāo)記強訪控制體系），該體系通過主客代理模塊對數(shù)據(jù)和用戶進行標(biāo)記，并與服務(wù)資源代理、安全隔離網(wǎng)關(guān)、集中配置模塊和可視化集中展示模塊協(xié)同聯(lián)動，實現(xiàn)了對云應(yīng)用相關(guān)數(shù)據(jù)安全流轉(zhuǎn)的保障。

　　標(biāo)簽

　　01

　　精細(xì)化管控，高適配度，數(shù)字化管控，標(biāo)記性管控，可視化管控

　　用戶痛點

　　02

　　隨著云計算和關(guān)基建設(shè)的要求，城市軌道交通行業(yè)著力打造“智慧城軌云”，城軌相關(guān)業(yè)務(wù)上云，業(yè)務(wù)數(shù)據(jù)流的環(huán)境發(fā)生巨大的變化，不再在傳統(tǒng)的網(wǎng)絡(luò)中進行，原有的針對網(wǎng)絡(luò)層的防護“老三樣”——防火墻、入侵檢測和防病毒由于其被動防御的特征和防御對象的局限性，對城軌云整個網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流的保護力度減弱，而針對云環(huán)境的惡意攻擊手段在不斷的演進，使得城軌云環(huán)境中的數(shù)據(jù)安全防護面臨著更多的風(fēng)險：

　　1、隱蔽通道和越權(quán)訪問

　　虛擬化技術(shù)是云計算平臺的核心，虛擬化技術(shù)提供了大量的共享資源，數(shù)據(jù)資源流向開放，催生了隱蔽通道和越權(quán)訪問的各種條件，云內(nèi)的非正常操作和各種攻擊的隱蔽性更強，更難發(fā)現(xiàn)；

　　2、惡意訪問高速傳播

　　由于云環(huán)境內(nèi)邊界模糊，一旦產(chǎn)生惡意訪問，惡意代碼的橫向傳播速度極快，輕則消耗云內(nèi)計算資源，重則對業(yè)務(wù)應(yīng)用造成影響，導(dǎo)致業(yè)務(wù)停滯甚至癱瘓，恢復(fù)難度大、成本高；

　　3、數(shù)據(jù)管控粒度粗

　　現(xiàn)有監(jiān)測手段對云環(huán)境內(nèi)數(shù)據(jù)交換過程的管控力度不足，無法對各個組成模塊下的業(yè)務(wù)運行狀態(tài)和通信過程進行細(xì)粒度把控，發(fā)生異常時，難以覺察，一旦發(fā)現(xiàn)，可能已經(jīng)造成較大的損失。

　　解決方案

　　03

　　智慧城軌云在建設(shè)時，結(jié)合城軌業(yè)務(wù)需求及應(yīng)用特征，將云環(huán)境劃分為外部服務(wù)網(wǎng)、內(nèi)部管理網(wǎng)、安全生產(chǎn)網(wǎng)和運維管理網(wǎng)四個獨立的安全區(qū)域，不同安全域的安全級別不同，部署對應(yīng)安全級別的業(yè)務(wù)或者管理系統(tǒng)。相同安全域內(nèi)的訪問和跨安全域的數(shù)據(jù)交互，構(gòu)成了整個城軌云業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)字運行體系，成為城市軌道交通業(yè)務(wù)運行的重要基礎(chǔ)設(shè)施。

　　智慧城軌云的計算環(huán)境及業(yè)務(wù)運行產(chǎn)生的數(shù)據(jù)呈現(xiàn)出明顯的多源異構(gòu)的特征：不同系統(tǒng)應(yīng)用遵循的業(yè)務(wù)邏輯不同，進行安全管控的策略也有較大差異，這增大了全網(wǎng)安全策略統(tǒng)一實施和控制的難度，傳統(tǒng)防護手段對數(shù)據(jù)訪問控制的粒度較粗，無法深入應(yīng)用內(nèi)部，云內(nèi)數(shù)據(jù)面臨較大的安全隱患。

　　標(biāo)記強訪控制體系將所有應(yīng)用系統(tǒng)間抽象的業(yè)務(wù)數(shù)據(jù)流細(xì)化為具體的訪問行為，并作為基礎(chǔ)的控制單元，對訪問行為的主體（通常指用戶，或者進程）和客體（通常指由用戶啟動的進程，或者各類業(yè)務(wù)數(shù)據(jù)）進行伴隨其整個生命周期的標(biāo)記，記錄它們的安全屬性、應(yīng)用屬性、訪問行為等相關(guān)信息，并以此為基礎(chǔ)，將城軌云環(huán)境內(nèi)的所有訪問行為轉(zhuǎn)換為相同的格式進行描述，在訪問行為發(fā)生時，對主客體標(biāo)記進行分析，與安全策略進行對比，放行正常訪問的報文，截棄非正常訪問的報文，記錄非正常訪問行為，從而實現(xiàn)對云環(huán)境內(nèi)各應(yīng)用系統(tǒng)運行和云內(nèi)數(shù)據(jù)傳輸過程進行細(xì)粒度的監(jiān)測及管控。

　　面向智慧城軌云的標(biāo)記強訪體系架構(gòu)，通過主客體保護模塊、服務(wù)資源代理、安全隔離網(wǎng)關(guān)、集中配置模塊和可視化集中展示五大模塊覆蓋至城軌云環(huán)境中，協(xié)同作用形成完整的數(shù)據(jù)流安全控制體系，保障了智慧城軌云應(yīng)用系統(tǒng)在云內(nèi)的安全運行。

　　1、主客體保護模塊

　　城軌云環(huán)境下，通常采用虛擬主機部署各類應(yīng)用。在虛擬主機（或主機）上部署主客體保護模塊，實現(xiàn)對主機計算環(huán)境內(nèi)部I/O訪問和網(wǎng)絡(luò)訪問的管控，從而對系統(tǒng)內(nèi)的主客體完整性進行保護，也為計算環(huán)境內(nèi)的客體資源提供額外的加解密保護手段。

　　2、服務(wù)資源代理

　　城軌云環(huán)境下，業(yè)務(wù)應(yīng)用系統(tǒng)部署于多個安全區(qū)域內(nèi)，服務(wù)資源代理實現(xiàn)不同應(yīng)用之間的數(shù)據(jù)流轉(zhuǎn)及跨應(yīng)用訪問。服務(wù)資源代理提供標(biāo)準(zhǔn)接口服務(wù)，彌補不同應(yīng)用系統(tǒng)數(shù)據(jù)的格式差異，并通過標(biāo)記強訪為不同應(yīng)用系統(tǒng)間的數(shù)據(jù)交換提供便利、安全的總線。

　　3、安全隔離網(wǎng)關(guān)

　　城軌云環(huán)境下，用戶的跨域訪問，或者數(shù)據(jù)的跨域傳輸，都需要對請求報文進行處理以確保安全。安全隔離網(wǎng)關(guān)部署在不同安全區(qū)域的邊界，通過識別請求報文中的會話信息，對其傳輸路徑、安全級別和是否符合安全策略進行判斷，不符合安全策略的報文進行丟棄，對正確的報文進行安全屬性的重新匹配，并確保該報文傳輸?shù)侥繕?biāo)地址所在的受保護區(qū)域的資源代理或者操作系統(tǒng)。

　　4、集中配置模塊

　　為應(yīng)對不同規(guī)模、形式的云平臺建設(shè)需求，標(biāo)記強訪控制體系提供了豐富的落地方案，通過集中配置模塊對全局安全策略進行統(tǒng)一配置，實現(xiàn)對云內(nèi)業(yè)務(wù)數(shù)據(jù)的分級、分類及多場景多模式的管理，充分滿足安全管理的不同層次的需求：

　　面對阻斷需求，能夠直接截斷云內(nèi)的非正常訪問并進行詳細(xì)記錄便于審計；面對云內(nèi)安全監(jiān)測的需求，能夠通過標(biāo)記相關(guān)日志對所有訪問行為進行詳細(xì)記錄，對非正常訪問進行預(yù)警并依安全策略進行干預(yù)；面對更高層次的溯源、主動防御需求，能夠提供仿真環(huán)境及異常訪問引導(dǎo)，捕獲更多數(shù)據(jù)以深入分析進行入侵溯源。

　　5、可視化集中展示

　　城軌云環(huán)境內(nèi)，標(biāo)記強訪控制體系的部署對普通業(yè)務(wù)用戶來說是無感的，安全策略在云環(huán)境內(nèi)的部署也是透明的，符合安全策略的正常應(yīng)用可以按照既定的路徑進行數(shù)據(jù)交互和業(yè)務(wù)訪問，而沒有按照既定路徑進行訪問的數(shù)據(jù)報文經(jīng)過安全模塊、資源代理、安全網(wǎng)關(guān)的時候會根據(jù)安全策略的要求被處理，達到系統(tǒng)防護的目標(biāo)，并通過可視化集中展示模塊為安全管理人員提供直觀的預(yù)警、查詢、處理、調(diào)度界面，協(xié)同其他網(wǎng)絡(luò)安全防護措施對云環(huán)境內(nèi)的安全問題進行及時響應(yīng)和處理。

　　標(biāo)記強訪控制體系的部署，相當(dāng)于在云環(huán)境內(nèi)建立了一整套數(shù)據(jù)訪問通道白名單的立體網(wǎng)絡(luò)，正確的訪問行為才能夠通過層層通道完成數(shù)據(jù)交互，而未經(jīng)授權(quán)的訪問和惡意的程序、代碼在云內(nèi)的擴展和傳播則能夠得到有效的杜絕。

　　標(biāo)記強訪控制體系對計算環(huán)境I/O的管控，基本阻斷了云內(nèi)非正常應(yīng)用的進行，對網(wǎng)絡(luò)的監(jiān)測能夠?qū)υ苾?nèi)應(yīng)用的故障進行快速定位，在云內(nèi)透明的運行機制保障了業(yè)務(wù)之間交互和數(shù)據(jù)流轉(zhuǎn)的高性能，綜合來看，標(biāo)記強訪控制體系充分提升了云平臺用戶對云環(huán)境網(wǎng)絡(luò)安全的控制能力。

　　智慧城軌云內(nèi)復(fù)雜多樣的業(yè)務(wù)應(yīng)用系統(tǒng)，通過標(biāo)記強訪體系，實現(xiàn)了所有交互通信都按照統(tǒng)一格式、遵循相同的安全管控策略進行，這樣一來，覆蓋于網(wǎng)絡(luò)范圍的安全策略，通過標(biāo)記滲透到計算環(huán)境和應(yīng)用當(dāng)中，不僅簡化了多源異構(gòu)環(huán)境下繁復(fù)的安全策略邏輯，更解決了城軌云環(huán)境中全局安全策略穿透性弱的問題，確保整個網(wǎng)絡(luò)內(nèi)應(yīng)用運行及訪問行為的安全進行。

　　用戶反饋

　　04

　　天琴科技的標(biāo)記強訪控制體系在合法合規(guī)的基礎(chǔ)上，精準(zhǔn)的屏蔽了云環(huán)境中的異常訪問行為，并提供了詳細(xì)的屏蔽記錄，使蠕蟲、礦機等惡意代碼和惡意程序的非法訪問被快速識別，此外，該體系對我司云系統(tǒng)的聯(lián)調(diào)聯(lián)試助力很大，解決了不同人員誤操作時造成業(yè)務(wù)停滯的問題。

　　——某地鐵用戶設(shè)備部門負(fù)責(zé)人

　　城軌建設(shè)公司業(yè)務(wù)上云后的合規(guī)性建設(shè)十分重要，同時需要先進的技術(shù)支持。在對天琴科技標(biāo)記強訪控制體系的配置測試階段，我們發(fā)現(xiàn)該體系在保證業(yè)務(wù)運行效率的基礎(chǔ)上實現(xiàn)了多方對接聯(lián)調(diào)，這進一步提升了我們對后續(xù)建設(shè)方案中加入標(biāo)記強訪問方案的信心。

　　——某城軌建設(shè)公司技術(shù)負(fù)責(zé)人

　　《城市軌道交通云平臺構(gòu)建技術(shù)規(guī)范T/CAMET 11002-2020》和等保在網(wǎng)絡(luò)安全方面都提出了使用標(biāo)記強訪控制，該體系在我司與天琴科技共建的試點項目中發(fā)揮了重要作用，標(biāo)記強訪控制體系讓業(yè)務(wù)系統(tǒng)更加透明化，實現(xiàn)了安全策略和應(yīng)用系統(tǒng)匹配過程的精細(xì)化管理，其對異常行為的精準(zhǔn)阻斷、告警能力加強了對系統(tǒng)的安全防護水平，異常行為記錄可查、可追溯，有效解決了應(yīng)用上云數(shù)據(jù)丟失包定位等關(guān)鍵問題。

　　——某地鐵應(yīng)用開發(fā)公司技術(shù)負(fù)責(zé)人

　　安全牛評

　　工業(yè)互聯(lián)網(wǎng)應(yīng)用的特殊性和復(fù)雜性，使其訪問控制安全的重要性比企業(yè)級的遠(yuǎn)程訪問重要和復(fù)雜得多，適用于工業(yè)環(huán)境的安全防護框架具有很高的挑戰(zhàn)。天琴科技在本方案中基于ABAC的“安全標(biāo)記”在城軌工業(yè)網(wǎng)絡(luò)中打造了集網(wǎng)絡(luò)、主機、業(yè)務(wù)及管理中心的系統(tǒng)化訪問控制體系，符合信息系統(tǒng)“一個中心三層防護”的合規(guī)設(shè)計理念。

　　在該合規(guī)框架基礎(chǔ)上可以構(gòu)建彈性的增強防護以滿足不同安全等級要求的工業(yè)控制環(huán)境，能為其它工業(yè)場景的安全建設(shè)提供很好的借鑒。