文/刘晓溪，深圳市地铁集团有限公司

2020年3月，中国城市轨道交通协会发布了《中国城市轨道交通智慧城轨发展纲要》，对我国智慧城轨提出了2035年的发展目标，未来我国城市轨道交通将进入到智慧城轨时代。随着5G、城轨云、大数据、物联网、移动互联网逐步覆盖城市轨道交通行业设备运维和乘客服务业务，数字化、智能化、智慧化已成为城市轨道交通发展的大趋势，与此相伴国际网络安全形势日趋复杂严峻，新技术与传统系统融合过程亦会产生新的风险。因此，构建一套适用于城市轨道交通行业业务特点且能有效保障系统完整性、可靠性、可用性的网络安全体系迫在眉睫。深圳地铁集团在信息安全的顶层设计、建设实施、常态化运行等方面进行了探索，并取得了一定成效。

一、强化顶层设计，构建“安全一张网”

深圳地铁集团在城轨云安全方面已进行了多年的实践，为进一步提升安全防护能力，在全面摸清基本情况的基础上，2020年初结合现状进行差距分析，从横向到边，纵向到底，构建了“安全一张网”的信息安全顶层设计蓝图。

（一）横向：根据应用、管理及安全防护等级的不同，信息安全整体框架划分为安全生产网、内部管理网、外部网。

安全生产网主要用于安全生产及管控、运输指挥、应急指挥调度业务相关系统的数据通信及数据共享。与行车安全密切相关信号系统安全网可设置独立专网。

内部管理网主要用于企业管理、运营管理、建设管理、资源管理等企业信息化相关业务系统的数据通信及数据共享。

外部网主要用于门户网站等面向外部或公众业务的数据通信及数据共享。

图1：横向信息安全整体框架

（二）纵向：构建了IaaS、PaaS、SaaS三层云安全防护体系。

IaaS层提供计算虚拟化、存储虚拟化和网络虚拟化，通过必要的服务使得资源能够以服务接口和资源抽象的方式提供给城轨云用户使用。深圳地铁云的IaaS层安全包括了网络安全、平台虚拟化安全、主机安全、存储安全以及终端安全等几个方面。

PaaS层提供容器、数据库、大数据平台等资源，PaaS层安全主要涉及开放API安全、数据库安全、大数据平台安全、开发环境安全等。

SaaS层通过行业化研发形成应用云服务，SaaS层安全包括应用数据迁移安全、应用系统自身安全和内容安全。

图2：纵向信息安全整体框架

二、围绕业务实施建设纵深防御，为智慧地铁保驾护航

2020年初，根据信息安全顶层设计规划，深圳地铁历时3个月打造了集团级云数据中心，云安全设备部署方案如下：

图3：深圳地铁集团云数据中心安全方案

（一）安全管理中心：部署网络安全态势感知、资产管理、运维、审计系统，收集网络设备、安全设备、云平台等的日志、告警、舆情数据，实现泛化和关联分析，为网络安全应急指挥提供隐患的可视化展现和决策支持。

（二）安全通信网络：部署链路负载均衡、网络准入、防火墙、VPN等设备，对网络中的异常通信、流量、行为进行事中告警阻断、事后审计。

（三）安全区域边界：在安全生产网与内部服务网之间部署网闸，南北向部署边界网关、WAF、沙箱、APT、上网行为、防病毒、堡垒机等设备，在东西向部署虚拟防火墙和安全组，实现有效边界防护。

（四）安全计算环境：部署主机加固、主机杀毒、漏扫设备、IAM、防垃圾邮件、数据脱敏等设备，保证计算环境的安全可靠。

（五）安全防护服务：为云数据中心提供应急响应、攻防演练、等保测评等服务，部署网站云监测和网站云防护，7X24小时对被监控网站进行连续、全面、系统、动态的检查，以保障被监测网站的可用性、完整性、可靠性。

三、建立常态化信息安全运行机制，确保有效运行

深圳地铁集团围绕建立常态化信息安全运行机制，开展了三个方面的工作：

（一）建立制度

深圳地铁集团下属单位众多，信息安全管理难度较大，为保证告警信息及时上传下达，建立了《深圳市地铁集团有限公司信息安全管理办法》，并于2021年补充发布了《深圳市地铁集团有限公司网络安全事件应急预案》，固化了信息安全领导小组和执行小组。

（二）常态化运行机制

摸清家底：全面梳理集团本部及17家分子单位的互联网出口、数据中心、业务系统、服务器、网络设备、安全设备、终端、显示屏，建立了资产台账。

日常巡检：加强日常巡检监测，由专人负责信息系统与网络安全巡检，对巡检项进行详细记录，对系统状态、网络状态等进行全方位监测。

全面检查：定期开展全集团网络安全检查和整改工作，2021年共计发现并清除漏洞隐患2007处。对需要互联网访问的业务系统进行前后端分离部署，管理后台不对互联网开放；对一些互联网使用需求不高的系统关闭互联网服务。

补足短板：对缺乏网络防护的薄弱位置及时补充防火墙设备，为有需要的外部网站部署网站云防护。

优化策略：根据信息安全风险评估情况，针对现有网络安全情况提升整体安全级别，优化安全设备规则及策略。

提高能力：在深圳地铁云学院上线《网络安全意识培训》系列课程，要求全集团学习并增强网络安全意识，同时，部署上线了攻防演练系统，面向集团及下属单位信息安全负责人提供攻防培训系统。

图4：深圳地铁攻防演练系统

（三）攻防演练

根据网络安全攻防演练工作方案，编制攻防演练脚本，开展了从攻击——监控——讨论定级——应急处置——应急结束——总结评估的闭环攻防演练工作。

四、取得的成效

深圳地铁信息安全保障体系已在日常运行中发挥了重要的防御作用，在2021年7月特护期间，我司各下属单位信息安全责任人严格落实值班值守，24小时值班巡检，调整WAF、防火墙、堡垒机等安全策略，利用安全态势感知系统及网站云监测自动化实时监控网络入侵情况，封堵高风险IP共计2000余条，有效的保证了深圳地铁官网等核心业务系统不中断运行。

图5：深圳地铁安全态势感知

下一步，将借助深圳地铁NOCC二期云数据中心的建设，进一步打造安全运营中心，建立符合自身需求的一套可行性高、实操性强、注重实效的数字化系统生命周期安全管理体系，通过将信息安全的要求、标准和实践融入到系统生命周期的各个阶段，主动防御外部威胁、有效的管理漏洞，实现经济、合理、快速管理安全风险的目标。