山石网科城轨云平台安全防护方案
04.12 -- 2022

山石网科城轨云平台安全防护方案


城轨云平台安全防护需求:

截至2020年6月30日,我国内地41个城市投运城轨交通线路6917.62公里,稳居世界首位。随着云计算发展,城市轨道交通系统也逐步迁移到云计算平台,城市轨道交通建设进入城轨云方向。

城轨云信息化系统建设除具有传统环境下的所有风险之外,同时也具备云计算技术下衍生出的安全问题。城轨云平台安全建设需要考虑如下几个问题:

  1. 城轨云平台框架中有众多业务边界,需要考虑众多边界之间防护。

  2. 城轨云平台中业务系统VPC之间以及虚拟机之间需要考虑安全隔离。

  3. 根据等级保护的要求,需要建设安全管理中心实现安全监测以及安全运维。

  4. 城轨云业务系统如何开展全生命周期的安全服务工作,保障业务安全稳定运行。

城轨云平台安全防护方案:

根据《智慧城市轨道交通信息技术架构及网络安全规范》城轨云平台划分为:安全生产云、内部管理云、外部服务云。城轨云平台安全建设以等保为基线,建立纵深安全防护体系。

图:城轨云安全架构

  • 城轨云边界安全防护

对外服务网与内部管理网之间物理隔离,内部生产网与安全生产网边界、车站接入边界、终端接入边界采用逻辑隔离。隔离策略采用最小化配置原则,默认为拒绝以及开启入侵检测和防病毒。

外部服务网对互联网通过访问控制、入侵防御、防病毒、带宽优化、链路优化、防DDOS攻击进行防护,并且对WEB应用提供反爬虫、防SQL注入、防篡改等安全防护。

  • 城轨云虚拟网络安全防护:

城轨云平台中不同业务VPC之间采用山石虚拟防火墙进行访问控制、入侵防御、恶意代码防范。虚拟机之间采用山石云·格实现虚拟网络内深度隔离监控、虚机间东西向流量监控、应用异常行为、网络病毒识别的安全防护。

  • 城轨云安全管理中心:

安全管理中心一般部署在运维管理网络中。除了传统的网管平台之外,增加三权分立的安全运维系统、资产策略管理的安全管理系统、针对城轨云的全日志审计等安全系统,并且构建“监测、预警、响应”体系的态势感知系统。

  • 城轨云安全服务:

基于PPDR(预测、防御、监控、回溯)构建全生命周期安全服务是城轨云建设重点。安全服务负责城轨云业务系统全生命周期的安全服务工作,包括业务系统上线前规划、业务系统建设核查以及运行中整个信息化系统的持续性安全服务。

方案价值

山石网科的城轨云解决方案实现多级防护、安全合规、整合联动的三大需求:

  1. 遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则,形成对城轨云的全方位的防护。

  2. 方案符合等保0合规政策,满足安全监管和检查。

  3. 通过安全管理中心以及日常安全服务,对分散在多个节点的安全事件进行关联分析,对城轨云潜在发生的安全事件做到有效定位,准确分析、快速响应。


Copyright©2010北京凯天捷通科技有限公司 Beijing Kaitianjietong Technology Co. , Ltd. 京ICP备10019139号-3   博乐虎提供网站建设