Web
山石网科行业解决方案
Image is not available

城轨云平台整体安全解决方案

方案概述

《国家网络安全法》将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度2.0的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。根据国家标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239规定的信息系统安全保护等级第3级要求,基于“一个中心三重防护”的整体解决方案思路,以保护信息系统与关键信息基础设施为核心。参考《T/CAMET11005-2020城市轨道交通云平台网络安全技术规范》进行建设。
随着国家智能制造战略的不断推进,云计算与传统产业的融合已成为推动经济转型升级的重要力量,以云计算、物联网、大数据、移动互联、工业控制等为代表的信息技术,正在逐步改变我们身边的各行各业,智慧城轨的建设发展蓝图中,云计算平台被定义成基础底座,云计算平台的超大规模、虚拟化、高可靠性、通用性、高可伸缩性、按需服务等特点,驱动业务能力实现快速复制部署、灵活扩展、简单通用、颠覆了传统IT服务提供方式,城市轨道交通线网化、大规模、高速建设与开通,以致城轨网络建设运营的难度指数增加,解决城轨ICT基础设施、运维管理、创新应用面临的巨大挑战,云计算技术是最佳选择,更有益于数据打通、数据交互、多专业融合应用、数据传递快速响应,更有益于全局感知、大数据开发、人工智能应用,为线网多专业的智慧运维、线网运营指挥中心、线网智慧建造平台等建设提供更有利的基础底座。

行业需求与挑战

相比传统IT架构,云计算部署模式具备低成本、弹性、易用、高可靠性、按需服务等优点,但是云计算平台以虚拟化技术打破了传统的服务器及实体物理边界、专网专维的特点,将各专业各系统进行了融合上云部署,因此在业务上云前需要解决云计算安全带来的网络融合、平台融合、跨专业大数据融合等带来的安全挑战。
城轨云建设最大的三个安全挑战,首先是安全管理上的挑战,来自于业主运营单位的职责划分,服务技能上的挑战。其次是安全技术上的挑战,上云之后打破传统业务系统的组网架构、物理架构所天然设置的边界。云平台与云安全异构融合的统一门户统一资源服务化的安全建设挑战。

(1)如何云网安解耦、并实现异构融合部署
目前,数据中心已走过了大集中、计算虚拟化、计算网络虚拟化的时代,朝着智能自动化的云网安融合时代迈进。云计算+SDN+安全的融合可以应对新技术、新概念的需求,为用户打造更简单、便捷、安全的数据中心,而在IT领域,网络安全属于特殊的领域,对网络安全的建设与理解不单单是资源能力的提供,而是如何构建出对业务系统切实的安全能力,因此在国内众多的IT系统建设过程中,网络安全往往会交给更专业的提供方,从多方角度共同检验云平台建设综合能力,才能暴露出在各期建设出的问题,让云不在是一个抽象的黑盒。
那如果需要云平台侧构建安全能力,且希望安全保障效果更优,异构安全能力往往是最优解,但是在异构的模式下,云平台提供上云网安如何解耦,并实现异构融合的部署这是当前城轨云网络安全建设的第一大技术挑战。
(2)如何保障各个专业VPC逻辑网络的独立性

传统非云城轨系统建设,AFC/ISCS/SIG/CS等各个子系统中央级与站段场级均物理独立组网,各个系统等保安全建设与测评均包含在各个专业系统标段,无需拆分,因此天然构建的物理化安全边界做边界隔离防护非常清晰。业务综合上云以后,传统的物理边界消失,带来了云内抽象的黑盒访问关系,所带来了不可知的全局安全风险,因此如何在上云之后让业务的网络流量回归有序,使之界面清晰这也是城轨云安全建设挑战之一。
统一的云平台建设使得各专业系统建设不再物理独立;管理责任和具体运维的责任发生了部分界面模糊,例如云上各专业系统的软件系统安全保障、安全运行保障、网络健康保障的问题难以区分。
根据《城市轨道交通云平台网络安全技术规范》TCAMET 11005-2020,7.4 节云用户安全服务:“7.4.1 应划分云平台和各应用系统之间的安全责任边界,各自承担对应的安全责任,保障城轨云业务整体安全运行。”、“7.4.2 云用户安全服务是指面向云平台上承载的应用系统提供的安全服务。”、“7.4.3 各应用系统根据自身安全防护需求采取合适的安全防护措施,可使用云平台统一提供的安全服务,也可使用传统的安全防护。”的要求,云平台除本身具备安全能力符合等保三级要求以外,云用户应用系统需要满足云计算安全扩展要求,能够符合等级保护相关等级的备案、测评,除了复用一部分云平台本身安全能力外,对于云用户应用系统,需要独立配置虚拟化防火墙、虚拟化入侵防御、虚拟化防病毒、虚拟化WEB应用防护、日志审计、漏洞扫描、堡垒机、数据库审计等虚拟化安全能力以达到相关等保测评要求;
(3)跨多专业、多线路情况下如何实现异构安全产品的集中纳管
伴随着云平台的建设,业务的集中部署,云上云下的各个专业、各条线路的网络安全软硬件需要与统一安全管理,共同构建安全运营与协同的防护体系,全方位提升业务系统的网络安全能力,而来自于地铁长期以来招标建设模式和各个系统独立建设的特点,因此无法保障地铁行业的安全设备能够统一品牌或者少量的品牌,甚至是同一时期的版本,因此在做跨多线路、多专业的云上云下的异构安全产品的集中纳管也是城轨云的一大挑战。

解决方案与思考

山石网科为城轨云提供从云边界安全、云用户安全、安全管理中心等一体化整体安全防护解决方案。

  • 在云边界安全建设方面

山石网科能够提供大边界、小边界、微边界层层纵深的安全防御体系,让上云业务的模糊边界重新回归有序,能够从网原生、云原生、异构融合等方面实现与云平台融合部署,解决异构融合部署问题;其中山石网科数据中心级防火墙是最具符合城轨云未来扩容的防火墙,其丰富的10G/40G/100G接口组网和T级吞吐高性能可扩容的架构,能够长期为城轨云进行安全保障,且安全能力经过国际权威机构Gartner连续9年的认可。

  • 在云用户安全建设方面

山石网科为城轨云提供一体化云安全资源池解决方案,支持云外自动化引流部署、云内API深度对接部署、云内API界面集成部署、云内镜像租户自主申请部署等多种部署方案,为城轨云平台针对不同云平台厂商提供最佳解决方案;其中支持主流云平台厂商的云内部署方案,无需云外引流,做到流量不出云,安全更放心。

  • 在安全管理中心建设方面

山石网科为城轨用户构建智能安全运营中心,能够为城轨云平台及各线路专业提供安全设备日志与流量采集→威胁关联分析→大数据分析-态势呈现与动态预警→事件响应→联动处置;实现城轨云全网网络安全态势可管、可视、可控的闭环。其中山石网科全面致力于在城轨行业网络安全采集、处置接口API接口标准化,OPen XDR的平台与行业内众多品牌均有对接案例,全面开放对接不同品牌/种类安全设备的三方日志;预设解析配置模板、开发自定义解析配置,解析规则包括Grok解析、Key-Value解析、JSON解析。帮助用户实现云上云下异构安全统管、可视。

方案价值与总结

山石网科以“安全解耦,异构兼容”为设计思路,以“安全、合规、稳定”为实现目标,提升科学实用的体系化安全防护能力,规范化安全管理能力,综合化安全运维能力,实现全网安全态势敏锐感知,安全威胁快速检测与处置确保全程可知可控,可管可查,变静态为动态,变被动为主动,为线网云建设保驾护航。

产品试用

姓名

单位

所属地区

手机号码

Email 地址

留言

如您需要帮助,可立即与我们联系:400-693-0555转 1 / 400-828-6655 转 1

微信扫码   在线咨询