铁路通信骨干网云安全技术保障体系研究_陈丹晖.pdf

2023 年 2 月第 59 卷 第 2 期铁 道 通 信 信 号Railway Signalling&CommunicationFebruary 2023Vol.59 No.2铁路通信骨干网云安全技术保障体系研究陈丹晖，周耀胜摘 要：通过分析铁路通信骨干网云基础设施可能存在的网络安全风险，提出了基于WPDR3模型，以弹性自适应云安全体系为核心理念的铁路通信云安全技术保障体系架构；在贯彻落实等保2.0基本要求和云计算安全扩展要求的基础上，结合铁路通信骨干网业务特点，研究了以安全管理中心及云安全资源池为核心的云安全防护技术方案。关键词：铁路通信；云安全；安全资源池；按需服务；三重防护中图分类号：U285.8 文献标识码：A Research on Cloud Security Technical Guarantee System of Railway Communication Backbone NetworkCHEN Danhui,ZHOU YaoshengAbstract：By analyzing the possible network security risks in the cloud infrastructure of the railway communication backbone network,this paper proposes a railway communication cloud security technology guarantee system architecture based on WPDR3 model with elastic adaptive cloud security system as the core concept.On the basis of implementing the basic requirements of Classified Protection 2.0 and cloud computing security expansion,combined with the characteristics of railway communication backbone network services,the technical scheme of cloud security protection capability with security management center and cloud security resource pool as the core is studied.Key words：Railway communication；Cloud security；Security resource pool；On-demand services；Triple protection我国铁路经过持续多年的快速发展，目前在路网规模、运营质量、技术装备以及经营管理水平上均达到世界领先水平。在交通强国、智慧交通的国家战略背景下，在新时代高速铁路智能化需求和ICT技术发展的驱动下，铁路通信正在积极探索数字化转型。作为新基建方面的重要基础设施，通信系统云化已经成为通信行业发展的必然趋势。1云安全威胁在云计算中，非法入侵、恶意代码攻击、异常跳板等安全问题始终存在。与此同时，针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷，而且基于云服务便捷性高、扩陈丹晖：北京铁路通信技术中心 高级工程师 100038 北京周耀胜：北京铁路通信技术中心 高级工程师 100038 北京基金项目：中国国家铁路集团有限公司科技研究开发计划（N2020G013）收稿日期：2022-11-09DOI：10.13879/j.issn.1000-7458.2023-02.22362扫码浏览下载50Railway Signalling&Communication Vol.59 No.2 2023展性好的特点，利用云提供的服务或资源去攻击其他目标也成为一种新的安全问题1。经分析，铁路通信云发展面临的安全挑战有以下几方面。1.1传统威胁铁路通信云面临着从传统的病毒、木马、系统漏洞攻击，到新型的勒索软件、挖矿程序，以及各种针对Web应用的攻击。攻击手段不断增加，造成的危害也越发严重。1）服务器资产不清晰。服务器虚拟化后，业务系统硬件设备看不见、摸不着，传统依靠人工台账的方式统计虚拟资产，效率低、准确率差，对于服务器版本、应用、进程、端口等安全资产变化的掌控力弱，遭黑客攻击的范围大。2）资产风险不可知。诸如操作系统、应用等自身的漏洞，配置缺陷、危险端口暴露，以及缺乏安全意识导致的弱口令等安全问题难以排查，安全风险无法实时感知。3）对未知威胁缺乏防护能力。传统的防护策略依赖特征和安全规则，对于0 day漏洞和新型恶意代码没有防护能力。4）攻击溯源不精确。当安全事件发生后，无法准确判断黑客信息、入侵位置、攻击路径和攻击手段等。1.2云计算环境威胁由于是在云计算环境基础架构上引入新的技术元素，因此也带来了云环境下特定的安全问题。同时，因为业务信息化的快速增长，以及云计算技术易用性和便捷性的特点，造成云上业务不断扩张。而不同业务系统安全等级的差异，又使云平台内部的隔离性要求变得至关重要。因此应避免低安全等级业务系统成为攻击高安全等级业务系统的“跳板”，防止威胁泛滥。1.2.1云虚拟化层威胁云计算架构的核心是云操作系统，新的虚拟化层导致基础硬件架构比传统架构更复杂，使得攻击有机可乘。云虚拟化层威胁主要体现在以下几个方面2。1）云操作系统提权。黑客利用云操作系统漏洞，越权访问、监视宿主机，并横向攻击其他虚拟机，极大地威胁云上业务系统及数据安全。2）虚拟交换机流量不可见。云计算导致传统安全域划分不可用，云平台内部流量不可见。部分虚拟机之间的通信流量是基于云操作系统虚拟交换机，传统的安全手段无法获取相关信息，造成大量盲区。3）虚拟云主机安全策略跟随。云环境下，虚拟云主机在资源池内按需漂移，已设置的安全策略无法随之迁移，会造成大面积安全策略失效。1.2.2云运维模式威胁云计算运维模式与传统环境的差异，也是云计算受到威胁的主要成因。如某政务云因为运维疏忽，租户安全意识缺乏，没有修改虚拟机模板中的统一弱密码，造成黑客轻易获取云主机权限，使得大量虚拟机沦陷，社会影响恶劣。在当今云化后的IT基础设施构建方式发生根本变革后，云运维模式威胁主要来自以下几个方面。1）控制权变更。云平台资产的创建和管理由租户掌控，而云上漏洞、不当配置等信息，甚至资产信息本身完全黑盒。2）云克隆。为提升云基础架构的交付速度，云运维管理员会大量使用虚拟机模板快速创建云资源，而基于该方式创建的云主机往往使用相同的密码，存在相同的不当配置项目。3）批量漏洞。虚拟机大多从有限种类的几种镜像克隆而来，同一批次的虚拟主机在某个版本相同CVE ID的漏洞会大量产生，而批量补丁升级会对业务连续性造成影响。4）云监管运营困难。由于控制权的变更，云平台内部资产、流量、数据对于租户已经完全处于黑盒状态，云平台内部发生什么，存在什么风险，租户缺乏解决问题的抓手。5）安全审计问题。对云运维管理员和用户行为进行审计是难题之一，基于云计算的违规行为难以追查取证。1.3云安全管理和传统平台相比，云安全管理需要进行的监管范围更大、力度更强，不但需要识别和记录云平台中重要资产的安全状态，还需要对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、集中监控、协同防护，从而发挥安全机制的整体作用3。1）云管理员违规提权。云运维管理员因账户被盗或其他原因，导致云平台资源大量违规访问及数据窃取，造成恶劣的影响。2）缺乏统一的联动和管理机制。随着各类安全产品日志数量的不断增加、部署位置的分散且异51铁道通信信号 2023年第59卷第2期构，导致现有安全能力割裂，仅凭机械的日志收集无法看清安全事件全貌。3）补丁管理困难。云计算环境急需一套高效的虚拟机实体补丁管理系统，减轻批量漏洞的危害。同时，虚拟化、容器的镜像、动态迁移等机制，也给补丁管理带来挑战。针对云计算环境特性及安全需求分析，遵循等保2.0第三级安全要求，本文构建了一套基于WPDR3模型的铁路通信骨干网云安全技术保障体系架构，通过全面提升云计算安全以及运营水平，并具备自适应、弹性伸缩、敏捷性等管理优势，适应云计算动态变化的安全需求。2体系架构铁路通信骨干网云安全技术保障体系架构见图1。主要由WPDR3安全模型、保护对象和纵深防御技术保障3个层面构成。2.1WPDR3安全模型WPDR3模型源于铁路通信网网络安全关键研究课题，由告警、防护、检测、响应、恢复及更新6个环节组成，在充分分析各类安全告警后，综合运用防护手段，通过检测工具，了解和评估系统的安全状态，在适当的响应后，将系统风险调整为较低状态，并结合系统恢复和对各种安全威胁源的自我学习（更新），构成了一个完整的、动态的安全循环4。2.2保护对象云平台安全包括通信网络安全、区域边界安全、物理主机安全和云自身管理平台安全。而业务系统安全又包括虚拟网络安全、虚拟主机安全、数据安全及应用安全等。2.3纵深防御技术云平台及业务系统安全防护，依照等保2.0基本要求及云扩展要求设计，防护技术覆盖通信网络、区域边界、云安全资源池及安全管理中心，具体如下。1）通信网络：包含铁路通信骨干网云平台内外部通信过程中数据的机密性和完整性、通信网络的安全审计，以及通信网络的可用性等相关内容5。2）区域边界：指传统安全设备防护的物理边界。作为第一道防御，该边界应实现对云平台及云纵深防御技术保障虚拟网络安全虚拟主机安全数据安全应用安全云管平台安全物理主机安全物理网络及设备安全通信网络区域边界云安全资源池安全管理中心 IT资产集中监控、告警统一呈现、事件关联分析及趋势预警铁路通信骨干网云安全技术保障体系告警（Warm）防护（Protection）检测（Detection）响应（Response）恢复（Recovery）更新（Renew）云平台安全业务系统安全东西向防火墙、WAF、数据库审计等虚拟化安全组件防火墙、入侵检测、流量探针等传统安全设备防护物理边界通信过程数据安全、审计安全及可用性安全等图1 铁路通信骨干网云安全技术保障体系架构52Railway Signalling&Communication Vol.59 No.2 2023上业务系统至外部网络的安全区域隔离、入侵防范及网络恶意代码防范等功能。3）云安全资源池：为云上业务系统提供虚拟区域边界和计算环境的安全防护。采用软件定义安全的架构，按照云计算的理念，基于物理服务器、存储和网络设备，实现安全设备的资源池化 6。云安全资源池防护组件包括虚拟防火墙、虚拟入侵检测、虚拟Web应用防火墙、虚拟主机加固等多种虚拟安全网元，既可以通过系统业务逻辑，对各类安全组件进行组织编排和策略部署，实现统一的安全管理；还可以根据业务规模按需使用、弹性分配、平滑扩展，满足不同系统的安全需求，实现各系统在身份鉴别、访问控制、安全审计、入侵检测、恶意代码防范、数据及应用安全等方面的防护能力构建。4）安全管理中心：集安全要素获取、分析、处理、跟踪、预测为一体，结合机器学习、外部情报联动等技术，将各类资源的日志、事件、告警等进行汇集，并通过统一的管理界面，完成对网络安全的统一管理；优化安全管理的体系和流程，清晰界定管理人员之间的工作职责，实现对计算环境安全状况的全面掌控，从而提高对安全威胁的准确判断。3构建方案铁路通信骨干网云平台以弹性自适应云安全体系为理念，参照网络安全等级保护基本要求和云计算扩展要求（第3级），在“一个中心、三重防护”安全设计思路的指引下，构建以铁路通信骨干网安全管理中心及云安全资源池为核心，对云平台的通信网络、区域边界和计算环境进行安全防护，同时为云上业务系统提供安全能力。铁路通信骨干网云安全防护部署见图2。基于安全管理和业务需求，设立安全管理中心、云安全资源池及边界防护区。防护能力构建方案如下。3.1安全管理