云内云外融合网络安全 纵深防御体系研究

基于城轨行业网络安全建设现状和国内外网络安全行业新技术应用调研情况,分析城轨云的网络安全风 险,在遵循城轨协会各项技术规范和“平台统保、系统自保、边界防护、等保达标、安全确保”方针的基础上, 研究城轨云内云外融合网络安全纵深防御体系建设方法,提出安全能力分步建设步骤和区分网域差异化安全能力 构建理念,并探讨城轨云安全运维中心安全运营成熟度模型和各阶段目标,为后续城轨行业云平台安全规划建设 提供指导。通过对软件定义安全、零信任、云工作负载、安全运维中心等创新技术进行对比分析,测试验证了相 关技术在城轨云的创新应用场景,分析了创新技术所带来的技术效益。研究成果对于深化我国城轨云网络安全纵 深防御体系具有一定的参考意义。     

基于城轨云的网络安全纵深 防御体系研究

针对城轨云网络安全问题,对城轨云网络架构、业务承载和安全风险进行梳理分析,从城轨云网络安全 技术和网络安全运维两个体系进行研究和设计,将云平台及应用系统网络安全防护措施与企业管理相结合,提出 城轨云网络安全纵深防御体系建设思路和方案。研究结果表明,构建城轨云网络安全纵深防御体系可以在面对多 层面网络可疑攻击事件时,确保城轨云具备相适应的防护能力,限制恶意或意外破坏的行为,并最大限度地提高 快速识别潜在安全漏洞的能力,减少城轨行业的经济损失和生产活动的信息泄露。     

城市轨道交通云平台网络安全防护平台方案研究

通过对城市轨道交通网络安全现状及国家网络安全政策要求进行分析,从技术层面和管理层面对城轨云安全风险进行阐述,提出基于网络安全等级保护2.0的基本要求,构建城轨云网络安全防护平台,根据“一个中心”管理下的“三重保护”体系框架进行设计,构建安全机制和策略,形成定级系统的安全保护环境。     

城市轨道交通云平台网络安全访问控制技术研究

通过分析城市轨道交通云平台网络安全常见风险及应用实施需求,首先论述访问控制技术的适用性,提出以资源隔离为主,结合安全策略实施的解决方案;其次采取业务系统分区分域的策略对城轨云平台进行边界划分,形成保障系统安全的基础架构,并遵循风险检测与控制的安全标准体系,实现基于主动防御技术的城轨云安全态势感控平台;最后按照等级保护规范的要求,提出一套基于安全标记的强制访问控制技术模型,从安全级别和安全范畴2个维度进行安全标记设计,按照数据敏感度和完整性设定安全级别,按照业务类型和业务区域进行安全范畴的抽象和定义,从而有效支持城轨云平台达到所设计的网络安全标记等级。     

铁路通信骨干网云安全技术保障体系研究

通过分析铁路通信骨干网云基础设施可能存在的网络安全风险,提出了基于WPDR3模型,以弹性自适应云安全体系为核心理念的铁路通信云安全技术保障体系架构;在贯彻落实等保2.0基本要求和云计算安全扩展要求的基础上,结合铁路通信骨干网业务特点,研究了以安全管理中心及云安全资源池为核心的云安全防护技术方案。     

智慧城轨云平台和数据平台及 网络安全融合协同技术研究

通过调研国内外城轨领域云平台、数据平台、网络安全的现状,针对目前国外无参考案例以及国内云平 台、数据平台、网络安全建设融合协同性不足的问题,分析云架构下数据平台的实施需求,重点研究云数据库、 数据平台的技术栈比选、云平台与数据平台纳管等,分析城轨云平台网络安全的总体需求,深入研究云内统保和 系统自保、云平台和数据平台与网络安全资源池的协同,提出融合云平台、数据平台、网络安全、数据资源和系 统运维统一协同化的管理中心。研究表明,做好数据平台总体规划和选型,利用软件定义安全技术,可实现云平 台、数据平台、网络安全的融合协同,为城市轨道交通数字化转型及智慧化升级提供参考和借鉴。     

城市轨道交通系统迁移至云平台方案研究

分析了当前城市轨道交通（简称:城轨）云平台建设的各种模式，指出国内众多城轨线路各业务系统迫切上云需求，进而提出城轨业务系统统一逐步迁移至城轨云的渐进式方案。方案阐述了城轨业务系统迁移至云平台的方法、评估流程以及渐进策略；利用该策略举例说明基于业务与数据的渐进式城轨云迁移方案及架构实施，实现对城轨业务系统及数据的云迁移。     

城轨云架构下灾备方案研究

城轨云架构下,业务集中部署,资源可全面共享与整合。结合云计算技术特性,统筹目前城轨各业务系统应用现状,充分考虑建设成本和各业务系统功能需求、容灾的业务强相关性,旨在探索以实现底层存储双活、数据库双活、网络双活,甚至在实现计算层双活、应用双活的基础上,统筹考虑城轨云承载各业务系统应用的具体情况,制定适应本地基础的容灾架构与方案。以期通过对城轨云架构下灾备方案的研究,为城轨云容灾建设的科学性、可行性提供一定的借鉴。     

城轨云工程质量验收标准的研究

为规范城轨云工程质量验收内容,完善工程实施体系,根据城轨云网络架构及系统部署,详细阐述城轨云工程质量验收标准的主要内容.城轨云作为一个独立单位工程,包括系统管线、云平台与设备安装、系统调测、电源与接地等分部工程,重点论述云平台检测、大数据平台检测和业务系统资源检测等系统调测的内容,旨在对城轨云的建设起到指导作用.     

城市轨道交通生产系统网络安全设计方案研究

对城市轨道交通生产网存在的各种网络安全隐患和风险进行了分析总结。根据网络安全等级保护2.0系列标准,从“一个中心、三重防护”的安全技术体系角度深入剖析了城市轨道交通生产网各系统网络安全的主要控制项、应对措施和配套的安全设备。结合城市轨道交通生产网各系统的业务特点和主要控制项,给出了各系统的安全设备具体部署方案,可为城市轨道交通网络安全体系建设提供参考。     

铁路信创云平台解决方案

为实现铁路高质量发展和数字化转型,提出建设基于全栈信创体系的云计算平台,对实现科技创新、保障本质本体安全、降低信息化建设和运维成本具有重要意义。通过调研铁路行业云平台应用现状,分析存在云平台服务能力不足、建设标准不统一、自主可控程度较低的问题。结合铁路信息化特点,提出铁路信创云平台解决方案应遵从自主性、开放性、可扩展性、可靠性、安全性、前瞻性的设计原则。研究分析铁路信创云平台总体架构和技术架构,并从云平台安全和租户安全2个维度设计云安全方案,从分布式部署模式和单一数据中心部署架构2个层面设计云部署方案,完成信创云平台功能设计,经实验环境部署测试,平台可实现对IT基础设施的统一管理和运维,为上层业务系统提供有力支撑。     

超大线网标准城轨云及 共享数据平台研究

基于《中国城市轨道交通智慧城轨发展纲要》的“1811”布局以及《北京智慧轨道交通发展行动策划方 案》,研究城轨云与大数据的标准化、自主化、多云异构的安全可信云计算平台;构建城轨业务数据的综合承载、 共享、挖掘、治理、质量评估大数据平台体系,发挥城轨大数据要素的流转、互联、互通效能,推进城轨业务对 大数据要素的深化应用与数据价值提升;推动智慧城轨发展,建设“三张网”的标准化、协同化网络纵深防御技 术体系,采用其关键对称与非对称的密码应用技术,最大化地提升城轨云的安全能力;研究可复制的、高度可用 的云平台运维常态与应急管理体系与机制,保障城轨云的业务持续性、数据安全性,以及云平台基础设施运管的 集约化。     

应对供应链攻击的铁路企业网络SDP部署方案研究

在铁路企业信息系统日益开放、拓展互联的过程中,供应链攻击成为当前铁路企业网络安全面临的主要挑战之一。而云计算、移动互联的快速发展导致铁路企业网络的传统内外网边界模糊,传统网络安全防护模式越来越难以应对各种复杂多变的攻击手段。文章基于零信任理念,结合铁路企业网络攻防演练实践,探讨将软件定义边界（SDP,Software Defined Perimeter）模型应用于防范供应链攻击;SDP控制器部署在铁路网络安全管理中心区域,主要由流量检测模块、规则控制模块、流量时间特性分析模块构成;SDP控制器通过这3个模块协同工作,辅助统一日志管理平台完成对铁路信息系统与外部系统的细粒度动态访问控制,以有效应对供应链攻击,构建更加安全的铁路企业网络安全防护体系。     

网络安全传输平台通用代理服务设计与开发

针对网络环境愈发复杂、现有网络安全传输平台边界安全防护力薄弱、平台接口功能存在缺陷和重复开发部署、效率低下等问题，采用Golang语言、Socket加密传输方式及身份认证技术开发了网络安全传输平台通用代理服务，该代理服务具有穿越网络安全传输平台的正反向透明代理、内/外网的网络安全防护身份认证、访问控制、行为检测和安全管理等功能。作为铁路互联网和移动App项目中的传输桥梁，网络安全传输平台通用代理服务已在多个系统中应用，应用效果良好。     

铁路站车Wi-Fi运营服务系统安全防护方案

铁路站车Wi-Fi运营服务系统作为互联网应用,面临诸多网络安全风险。分析铁路站车Wi-Fi运营服务系统安全防护需求,结合系统部署环境特点和应用特点,对其进行安全防护设计。重点从网络安全、应用安全、数据安全等方面,提出铁路站车Wi-Fi运营服务系统安全防护方案,为旅客提供安全便捷的移动互联网服务,提高旅客出行的舒适度和满意度。     

以云平台为底座的城轨云架构研究

从目前城市轨道交通信息化发展趋势出发,阐述在线网运营转型中面临的问题与挑战。结合《智慧城市轨道交通信息技术架构及网络安全规范》的要求,探讨城轨云架构作为基础平台在促进城市轨道交通信息化发展中的作用;研究云平台、网络安全、数据共享以及智能运维4个主要构成模块的功能与要求;重点探讨云平台作为城轨云架构的关键技术,其功能要求与技术选择将直接影响行业信息化的建设与发展;在具体工程项目中,应重点关注云平台技术的安全性、可靠性、稳定性以及可扩展能力,以统一服务“线网全业务、城轨多制式”为目标,构建一个开放的信息化基础平台。     

铁路综合信息网区域边界风险及防护策略

针对铁路综合信息网内区域划分的复杂化及边界安全防护策略的多样化,文章从铁路综合信息网区域划分现状以及跨区域通信特点出发,依据网络安全等级保护2.0系列标准对区域边界的防护要求,提出了5种铁路信息网中典型的区域边界类型,并结合业内主流边界安全防护技术,为不同类型区域边界提供相应的安全防护措施建议。所提出的典型区域边界类型及防护措施将为铁路综合信息网日常运维工作提供模板化的参考,为安全防护体系建设提供参考。     

铁路物联网系统的安全挑战与对策研究

物联网作为互联网的进一步延伸，在现场大量部署监测控制设备或边缘计算节点，使得网络信息安全边界越发模糊，也对铁路物联网应用系统的安全防护策略提出了更高的要求。文章总结铁路物联网业务应用的安全特点，从设备、网络、数据和应用的维度分析铁路物联网的安全挑战，提出构建铁路物联网安全参考框架和全生命周期管理模式的安全对策，探讨保障铁路物联网安全的新技术。文章对铁路物联网系统安全开展的研究，可为完善和提升铁路网络安全和信息化体系提供参考。     

城轨信号系统信息安全技术方案研究

对城市轨道交通信号系统的信息安全技术方案进行了研究,从信号系统宜配置的安全防护等级出发,分析信息安全的设计要求;并针对城轨信号系统信息安全与互联网安全的本质区别,提出适用的安全防护设计原则,最后给出具体的信息安全设备部署方案。     

自主可控的城轨云与大数据平台 关键技术研究与应用

随着云计算、大数据、物联网、人工智能技术的演进,城市轨道交通由单线运营向网络化运营模式转 变,在新业务模式下建设城市轨道交通云平台与大数据平台,实施互联网战略,推进信息化与智能化,可有效实现 业务管理的标准化,提高运营生产及管理效率,提升运营服务水平,降低运营成本。以智慧城轨发展纲要为指引, 针对当前城轨云与大数据建设、运营实践过程中存在的设施自主可控、数据融合共享、运营安全高效等痛点问题, 深入开展城轨云与大数据云网安全体系、运维管理体系等方面的关键技术研究,形成了自主可控的城轨云与大数据 平台关键技术研究成果,为推动城市轨道交通数字化、智能化、智慧化的转型升级提供参考和借鉴。