『深信服』綠色智慧城軌網(wǎng)絡安全縱深防護體系建設的思考與見解

為進一步落實國家“雙碳”戰(zhàn)略部署，日前中國城市軌道交通協(xié)會發(fā)布了《中國城市軌道交通綠色城軌發(fā)展行動方案》（以下簡稱《綠色城軌行動方案》）?！毒G色城軌行動方案》作為《智慧城軌發(fā)展綱要》的姐妹篇，意味著綠色城軌將與正在施行中的智慧城軌相互呼應、融合發(fā)展，共同開啟綠色城軌和智慧城軌協(xié)同建設新征程。

一、網(wǎng)絡安全防護體系建設是綠色智慧城軌“必修課”

對智慧城軌發(fā)展而言,統(tǒng)一的城軌云和大數(shù)據(jù)平臺建設是“1-8-1-1”智慧城軌體系的重要基礎，而網(wǎng)絡安全則是守護智慧城軌健康發(fā)展不可或缺的基石。智慧城軌網(wǎng)絡安全建設重點在于落實推進中國城市軌道交通協(xié)會提出的網(wǎng)絡安全建設“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標、安全確?！倍址结?，構建基于“云-邊-端”網(wǎng)絡安全縱深防護體系。綠色城軌的總體思路是“以綠色轉型為主線，清潔能源為方向，節(jié)能降碳為重點，智慧賦能，創(chuàng)新驅動，開展六大行動，實現(xiàn)碳達峰碳中和，建成綠色城軌”，而網(wǎng)絡安全如何在“低碳排”、“高效能”中發(fā)揮一份價值，為“大運量”城軌安全出行保駕護航，最終達成“人悅其行，人享其行”的終極目標，任重而道遠。綜上所述，網(wǎng)絡安全縱深防護體系建設不再是無足輕重的“選擇題”，而是關乎生存和長遠發(fā)展的“必修課”。

比亞迪云巴系統(tǒng)與深信服安全云聯(lián)合打造的“更安全的云巴系統(tǒng)”，是綠色和智慧的創(chuàng)新結合。該系統(tǒng)基于“云巴系統(tǒng)”的創(chuàng)新方案秉承著安全可靠、運維便捷、高性價比、技術可生長的原則進行構建。小而美的超融合架構承載“比亞迪云巴系統(tǒng)”，融合容器安全及應用開發(fā)安全，在等保合規(guī)基礎上進一步強化安全防護效果，構建一整套網(wǎng)絡安全縱深防護體系。

首先，構建初步的安全能力，打造云化基礎設施安全防護，將安全能力適配云化環(huán)境，做好云平臺及云上系統(tǒng)的基礎防護。其次，持續(xù)加強安全能力建設，集成容器安全、應用開發(fā)安全、安全運營中心等能力，打造云上業(yè)務全流程安全防護，完善系統(tǒng)開發(fā)、測試、發(fā)布、運行全流程安全防護能力，并且完善云安全管理與云安全運營。

這套創(chuàng)新解決方案在物理空間占用、能耗成本、運維管理等維度均有很大的提升和優(yōu)化，非常契合綠色智慧城軌的建設要求。

二、擁抱云化和服務化，構建網(wǎng)絡安全縱深防護體系

伴隨著城軌云平臺建設的如火如荼，構建縱深防護體系的安全能力交付形態(tài)也在發(fā)生變化，從原先的機架式盒子逐步轉向云化和服務化。

按照《城市軌道交通信息化工程設計規(guī)范》第10章要求：安全資源池宜將安全能力平臺化、服務化、自動化交付；安全資源池應在安全生產網(wǎng)、內部管理網(wǎng)、外部服務網(wǎng)中分別部署；安全資源池宜由獨立設置的安全組件組成，安全組件可采用X86服務器、虛擬機或一體機形態(tài)部署。城軌云平臺建設中諸多地鐵業(yè)主也在主動考慮軟件定義安全的“安全資源池”，通過服務化的形式，為云平臺提供所需的安全能力。

以西安市地鐵線網(wǎng)云平臺為例，西安線網(wǎng)云平臺包括主用中心、備份中心、測試中心。主用中心包括三張網(wǎng)，業(yè)務都在主用中心運行；備份中心安全生產網(wǎng)與主用中心做雙活，內部管理網(wǎng)和外部服務網(wǎng)做數(shù)據(jù)熱備；測試中心和三張網(wǎng)互聯(lián)互通，用于在業(yè)務上線前模擬測試?；谏鲜龅木W(wǎng)絡架構和業(yè)務需求，主用中心的安全生產網(wǎng)、內部管理網(wǎng)、外部服務網(wǎng)內系統(tǒng)自保均設計獨立的安全資源池。備份中心單獨部署一套安全資源池，與主中心安全生產網(wǎng)一致。在測試中心部署一套安全資源池為測試業(yè)務提供安全組件服務；在運維管理網(wǎng)為云平臺提供合規(guī)類審計產品服務。經(jīng)過測算，一套安全資源池可以承載幾十到上百個安全組件，在硬件資源上共享一套計算、存儲和網(wǎng)絡，極大提升了資源利用率，降低了整體能耗成本，所有設備的運維管理界面統(tǒng)一Web展現(xiàn)，無需像以往逐個安全設備登錄配置，日常運維著實也“提質增效”。

三、“四個融合”，助力網(wǎng)絡安全縱深防護目標實現(xiàn)

構建城軌行業(yè)網(wǎng)絡安全縱深防護體系，是踐行“智綠融合網(wǎng)絡安全”的必經(jīng)之路。深信服認為，為達到縱深防護的體系化目標，在網(wǎng)絡安全建設的過程中要遵循“四個融合”：

1）規(guī)劃融合：設計單位為城軌業(yè)主規(guī)劃城軌云平臺安全時，要從城軌云的整體架構出發(fā)，考慮中心云平臺、站段云節(jié)點、專業(yè)系統(tǒng)等保、物聯(lián)網(wǎng)終端及其它涉及到數(shù)據(jù)安全、信息安全的網(wǎng)絡及資產。業(yè)主也要遵循網(wǎng)絡安全與機電設備、弱電系統(tǒng)“同步規(guī)劃、同步建設、同步使用”的原則，確保重要系統(tǒng)和設施安全有序運行。

2）技術融合：城軌行業(yè)正在積極擁抱互聯(lián)網(wǎng)化、智慧化、云化、國產化的新趨勢，加之網(wǎng)絡安全的外部態(tài)勢日益嚴峻，這都要求整個行業(yè)主動擁抱新技術以解決不斷涌現(xiàn)的新問題。城軌行業(yè)應用新技術的步伐既不能一蹴而就，也不能裹足不前。俗話說，不管黑貓白貓，抓住老鼠就好貓，針對已在市場普遍應用的技術要大膽引入和實踐；針對前沿全新的技術，行業(yè)協(xié)會或業(yè)主也可以通過創(chuàng)新課題、技術研討、共建實驗室等方式為行業(yè)孵化新技術的落地場景，引領行業(yè)新技術的應用趨勢。

3）交付融合：網(wǎng)絡安全不是孤立存在的，網(wǎng)絡安全與信息化的關系是相輔相成、相伴共生的。當前城軌行業(yè)普遍邁入城軌云建設時代，網(wǎng)絡安全作為業(yè)務系統(tǒng)的重要保障體系尤為重要。安全品類涵蓋面廣、涉及維度多的特點也需要適配城軌行業(yè)靈活擴展、穩(wěn)定高效、安全可靠的需求。同時為了實現(xiàn)城軌行業(yè)“1-8-1-1”智慧城軌藍圖和“1-6-6-1-N”綠色城軌發(fā)展“一張藍圖”，也需要將安全體系與云平臺進行融合。云計算的核心理念是軟件定義，那么軟件定義安全技術是融合的前提，以此脫離傳統(tǒng)硬件的束縛，實現(xiàn)在獨立的安全資源池中以組件化的形式按需部署，最大化提升云上業(yè)務系統(tǒng)安全防護能力，為城軌用戶提供真正的“交鑰匙”的安全方案及服務。

4）管理融合：網(wǎng)絡安全設備及服務的采購及部署不是最難的，最難的是中長期的網(wǎng)絡安全管理及運維。由于城軌行業(yè)的安全建設起步晚、底子薄，作為城軌行業(yè)網(wǎng)絡安全的實際踐行者，一定要從管理上倡導“融合”，讓整個行業(yè)對于網(wǎng)絡安全管理體系加大重視和投入，扭轉“重建設輕管理”的觀念。管理組織要融合，建立獨立的組織機構和人員；管理流程要融合，戰(zhàn)時和平時結合，打造一套“經(jīng)得起、防得住”的網(wǎng)絡安全管理流程和制度；管理界面要融合，打造一個統(tǒng)一的運維管理界面，實現(xiàn)統(tǒng)一監(jiān)視、統(tǒng)一預警、統(tǒng)一響應和統(tǒng)一處置。

“不謀萬世者，不足以謀一時；不謀全局者，不足以謀一域”。構建縱深防護網(wǎng)絡安全體系是夯實“智綠城軌融合發(fā)展”的基石。零信任、物聯(lián)網(wǎng)安全、數(shù)據(jù)安全、安全資源池、安全運營中心、容器安全、供應鏈安全等網(wǎng)絡安全創(chuàng)新技術的研究和應用，將極大助力城軌行業(yè)安全防護體系的建立與運營，節(jié)省大量的人力、物力資源，使得安全技術體系、管理體系與運營體系相輔相成，搭乘“智慧+綠色”的東風，真正做到降本增效！