西安地铁线网云平台网络安全
运营中心最佳实践
1.建设背景
西安地铁在遵循《城市轨道交通云平台构建技术规范》和《城市轨道交通云平台网络安全技术规范》的体系架构的基础上,结合西安市地铁建设现状和近、远期建设规划,聚焦资源共享、数据积累、网络安全、智慧服务等多个方面,于2022年开展西安市地铁线网云平台项目建设。项目采用三网三域建设模式,满足西安地铁三期8、10、15号线运营和运维需求,同时为后期线路的提供灵活的扩容能力。
线网云平台安全体系建设是西安地铁集团整个网络安全体系建设中极为重要的一部分,其同时承载了生产业务和管理业务,因此网络架构更加复杂、安全威胁更加严峻,网络安全防护要求更高。
2.建设目标及实施原则
2.1建设目标
通过建设网络安全运营中心,实现主动发现、全面防御、高效处置、动态调整的闭环安全管理体系。
具体包括:
满足国家信息系统和网络安全检查要求;
满足《信息系统安全等级保护基本要求》,并通过等保测评;
建立网络安全运营中心,实现网络安全闭环响应策略;将云上各业务系统网络安全防护纳入到整体网络安全管理中,切实保障西安地铁线网云平台网络安全;
将网络安全运营中心与西安地铁组织架构深度融合,确保公司组织架构及人员储备能满足日益复杂的网络安全态势。
2.2实施原则
在城轨协“1352” 标准规范和“平台统保、系统自保、边界防护、等保达标、安全确保”二十字方针的基础上,基于前期行业内研究成果,充分借鉴和融合已有的成功经验建立满足西安地铁发展的网络安全运营中心。
合规原则:满足国家网络安全等保要求,遵循城市轨道交通协会行业标准和规范。
合理原则:结合厦门、武汉、太原等城市轨道交通系统的实践经验,确保方案在实际应用中更具可行性和合理性。
体系原则:利用行业内最新技术,建立“主动发现、全面防御、高效处置、动态调整”的闭环防御体系,以应对不断演变的网络威胁。
统筹原则:统筹考虑集团公司整体安全、云平台安全、云上业务安全、云上云下接口安全等各个层级的网络安全风险和防范措施,而非单一平台的网络安全。
管理融合原则:结合管理制度、组织架构、人员技能,建立相应的安全运营中心,让管理与系统相互融合与匹配,提高管理效能,以应对复杂的线网级云平台运营需求。
3.建设风险及挑战
3.1 网络安全风险高
线网云平台满足多条线路专业系统接入能力,是城市轨道交通数据互联互通的枢纽,多个专业系统网络安全设备在控制中心与各个车站分布散列部署。传统方式下各个专业网络安全态势监测自成体系,云平台难以监控与管理全网的网络安全风险,部分业务系统网络安全风险容易被忽略,导致被当做跳板进而对其他生产系统造成严重的网络安全攻击。
3.2 运维管理难度大
线网云平台以及新建线路的各个业务系统网络安全设备分散独立部署,在控制中心管理类设备种类与数量众多,不同种类的网络安全设备与系统之间的接口较多,配置与安全策略不尽相同。在云平台系统更新升级、线路延长或接入时,多个网络安全设备策略更新调优需要协调多个部门参与并介入,且网络安全数据相对割裂,系统运营人员专业能力不足,导致运营管理人员运维难度较大。
3.3 安全知识储备不足
信息安全涉及面包括业务系统、中间件、数据库、服务器、虚拟机、传输、管理终端等,相关网络安全人员安全知识储备不足,无论是运维团队对网络安全设备的专业维护能力,还是职能人员的网络安全意识都处于相对薄弱的状态。另一方面,云平台上业务系统的安全能力建设情况各不相同,安全运维人员对于云上承载的业务系统遭受的攻击和安全状况无法做到及时掌握。
3.4 威胁处置效率低
多线路、多专业网络安全设备处置流程割裂,形成的单点网络信息安全孤岛无法检测与处置安全攻击风险,车站、停车场、车辆段等位置遭受网络安全攻击难以处置,造成安全风险迅速蔓延到其他站点或网络,造成大量系统被攻击或数据泄露风险。
4.建设方案
4.1方案设计
4.1.1云内云外一体化安全防护方案
基于对西安线网云平台安全建设整体需求,在应用云化改造过程中建立网络安全运营中心,从合规、技术、管理层面出发,为云资源池提供网络和通信、设备和计算、应用和数据等领域的全面安全防护,并为日常安全运营管理提供有效技术支撑。
针对于云平台上的业务提供安全资源池防护能力,安全资源池能够灵活提供多种安全能力,包括堡垒机、日志审计、下一代防火墙、web应用防护、主机安全等。业务访问流量经过安全资源池进行流量清洗后再进行数据方案和请求交互,确保云内业务的访问具有安全性。
4.1.2云内业务系统安全精细化防护
为满足“系统自保”的要求,运营中心采用全流量保护策略,保护各个业务系统之间的东西向流量,阻止攻击在城规云平台业务系统内部横向蔓延,采用最小授权原则配置访问控制和数据传输策略。
各个业务系统进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,各个业务系统边界由安全资源池提供的虚拟防火墙安全组件实现边界防护,及时发现并阻断安全攻击流量优化安全策略。
4.1.3云外“全面可视可控”的整体防护
网络安全运营中心下建立统一的态势感知平台,采集网络流量、计算环境、业务应用、资产、审计日志、运行状况、脆弱性、安全事件和威胁情报等数据,利用大数据和AI技术,分析整个网络当前状态和变化趋势,获取、理解、回溯、显示能够引起网络态势变化的安全要素,预测网络安全态势发展趋势。
4.1.4人机共智、安全运维走向安全运营
结合公司安全管理方式和能力,在业务系统初始化部署时,全面了解业务互访和安全属性。根据业务系统特点灵活调整访问控制关系和安全策略。定期采用信息安全风险评估的方法,对信息系统进行全面的资产、脆弱性、威胁和业务风险等方面系统化的测评分析,发现基于业务的安全风险问题,将差距分析结果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并充分保障业务安全的建设管理制度。
4.2技术难点及创新
1、网络安全运营中心通过 SysLog、WebService、RESTful API、WMI等多种方式获取网络流量、中间件数据、第三方设备日志与数据,在安全生产网、内部管理网、外部服务网核心交换机侧部核心探针抓取各网内核心流量与数据;将源数据进行预处理,包括数据清洗、数据归并、数据富化并短暂存储;平台调用预处理的数据结合情报特征库、业务访问行为分析模型、南北向流控模型、异常攻击行为关联分析、异常数据特征关联分析、人工智能引擎等技术,实现对全网的流量攻击和潜在威胁可视化展示。基于专业系统、线路两个维度灵活展示网络安全态势,结合组织架构及时消除网络安全风险。
2、在三网内部署安全资源池,采用管理与业务分离架构,管理界面提供对安全功能的资源和性能分配,包括安全设备吞吐量、并发连接数、新建连接数等资源配比,以及数据分析所占用的存储空间划分独立的硬盘域,确保数据存储的安全性。业务界面提供对安全设备的策略配置,包括设备版本迭代、病毒特征库升级更新、安全策略配置与优化等。
3、在三网、运维管理网、车站之间根据实际情况选择满足性能要求的不同配置的边界防火墙,对攻击行为进行检测与防护,缩小安全事件的影响范围,保护核心平台的安全性,对于业务侧来回的流量请求进行病毒防护和流量清洗等,实现基于应用协议和应用内容的访问控制。
4、在各网各区所涉及端侧安全防护的位置部署终端安全管理系统插件,实现对于终端、主机、容器安全的集中管理,构建终端安全防护体系,打通终端安全得最后一公里;清除终端环境上存在的病毒;微隔离技术基于业务维度让主机流量可视可控。
5、安全管理能力对接西安地铁云综合运管平台,实现安全一体化可视和集中运维;基于线网采集和汇聚全网及各线路网络安全威胁数据,进行全网大数据分析和威胁研判。在云综合运管平台上以安全事件、漏洞管理等维度作为日常运营工作主线,简化运维管理,精准还原安全事件故事线,快速溯源,满足运维管理架构,降低运维难度。
4.3主要产品清单
序号 | 类别 | 基本性能 | 部署位置 |
1 | 高端防火墙 | 吞吐量150G,基本防火墙功能、ACL控制、应用识别与流控、入侵防御、僵尸网络检测、防病毒等功能 | 网络/区域边界,如运维管理区边界、数据中心互联边界等 |
2 | 中端防火墙 | 吞吐量50G,功能同上 | 网络/区域边界,如车站上云业务边界、非上云业务边界等 |
3 | 低端防火墙 | 吞吐量10G,功能同上 | 网络/区域边界,如测试中心边界、车站边界等 |
4 | 态势感知 | 以大数据分析为核心,结合威胁情报、UEBA、机器学习、失陷主机检测、关联分析、流量分析等 | 运维管理区 |
5 | 安全资源池 | 单套使用3台机架式设备组建集群,支持虚拟化下一代防火墙、IPS、WAF、上网行为管理、SSL VPN、数据库审计等 | 运维管理区及安全生产网、内部管理网、外部服务网核心交换处 |
6 | 主机安全 | 由管理平台与客户端组成,提供统一的PC端、主机端、容器端的安全能力 | PC/云桌面/虚拟机/容器等 |
5.实施过程
针对上述方案设计,网络安全运营中心通过以下技术来解决相关问题。
5.1分层数据处理确保云内外一体化安全防护
作为整个线网云平台的安全大脑,网络整体采用分层的数据处理结构设计,负责从日志数据采集到最终呈现全过程。层次划分如下:
1)数据采集层
采集包括终端数据、流量采集、中间件数据、第三方设备日志、威胁情报对接。该层提供多种接口进行流量、日志数据的采集和对接,支持SysLog、WebService、RESTful API、WMI等方式采集。
2)数据预处理层
整体数据处理流程如下:
探针产生的元数据信息通过ETL工具进入平台,第三方设备的安全数据通过Logstash采集处理进入平台,所有安全数据通过Kafka消息队列缓存在平台中。而后通过调用 FLINK 计算引擎对探针和设备传回的日志和流量等原始数据进行分析,分析后的结果将会存入MongoDB中;日志检索使用类Kibana,根据查询条件从ES(ElasticSearch)拉取检索后的日志数据进行展示。
3)大数据分析层
将预处理后的数据进行离线计算或读取ES数据进行实时机算,结合威胁情报、行为分析、智能分析等技术,发现安全威胁现状,并通过内置的多条安全关联规则将数据进行归并告警。
4)数据存储层
分析数据和结果存储在ES引擎中,可提供快速的检索能力。同时,对用于近期需要快速呈现的统计结果数据存放到MongoDB,可快速读取,相比ES引擎无需渲染和消耗内存。
5)数据服务层
整个数据可视化的展示,从数据存储层获取数据的接口,读取展示数据,提供各种数据的安全可视服务及对外接口服务。
5.2智能语义分析技术实现业务系统精细化防护
线网云平台的各网络区域之间的边界安全使用防火墙进行防护,下一代防火墙可应对各种高级和新型Web应用攻击入侵,运用WISE智能语义分析引擎技术通过对访问流量脚本文件进行语法分析,并提取相应的语义特征,例如危险函数调用、类声明等信息,运用语法树提高特征提取的精确度,使特征提取不受注释的干扰,有效降低误报漏报,并具备未知漏洞利用攻击的防御能力。该引擎在现有语义分析的基础上,具备更强大、更智能的检测能力,工作流程如下:
1、通过深入分析漏洞原理,WISE智能语义引擎使用了高效的字符串匹配算法,过滤掉大量正常流量;
2、WISE智能语义引擎利用内置的多种Web语言的轻量级编译器,对进入的流量进行词法分析及语法分析,如果不符合设定语言的词法或者语法描述,则无需再进行下一步处理。
3、利用语义分析技术,提取可疑的攻击特征。若存在可疑特征,则继续进行虚拟执行;
4、自底向上遍历语法树,执行可疑的操作,还原攻击者刻意构造隐藏的恶意代码。
5.3人工智能引擎技术确保文件安全
线网云平台上的端点及主机安全防护采用SAVE人工智能恶意文件检测引擎的技术,利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识,最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。
上图描述了 SAVE 的本地检测框架。首先,SAVE 会从文件的头、节、资源和签名等多个部分提取信息,作为判别输入。对于原始二进制文件,SAVE 通过多种方法(词向量嵌入,主成分分析,深度神经网络等)提取出信息量丰富、类间界限明显,稳定可靠的的高层次向量化特征。基于特征向量,SAVE 利用集成学习,综合多种分类算法(随机森林,神经网络,支持向量机等)进行鉴定。最后,综合评分系统整合各模型检测结果,综合判断文件黑白属性。最终实现强大的泛化能力,甚至能够做到在不更新模型的情况下识别新出现的未知病毒,对勒索病毒检测达到领先的检出率,包括影响广泛的 WannaCry、BadRabbit 等病毒。
5.4 通过软件定义安全实现实时动态流量清洗
线网云平台采用SDN(软件定义网络)创新性的网络架构,建立高度可扩展的弹性网络,同时安全方案也采用了更加灵活的网络安全防护方法—软件定义安全(Software Defined-Security),对复杂网络的安全防护上表现出更强的适应性。
本次线网云平台上的安全能力需要根据不同业务的安全需求按需编排,而安全资源池通过SDN技术实现的安全服务链,能够使得数据报文在安全资源中传递时,基于SDN交换机、SDN控制器以及OpenFlow协议,实现用户身份、业务应用类型对网络流量进行按需防护,根据业务类型、安全保护的等级要求,按需经过各种各样的安全服务节点编排形成安全服务链,这些安全服务节点包括熟知的防火墙、入侵检测、负载均衡等。网络流量需要按照业务逻辑所要求的既定顺序,穿过这些安全服务节点,进行“流量清洗”,在应用生命周期内为应用提供安全服务,达到安全防护的目的。
6.建设成效
6.1技术效益
本项目充分调研全国各城市网络安全体系建设现状与研究报告,将安全资源池、安全态势感知平台等技术充分应用于线网云平台网络安全体系建设,其中引进分层数据处理、智能语义分析、人工智能引擎、服务链编排技术等先进的网络安全技术提升安全防护效果。具体指标如下所示:
序号 | 安全技术 | 量化指标 | 实践成果 |
1 | 分层数据处理 | 检测与告警效率 | 相对于传统架构检测机制效率提高50% |
2 | 智能语音分析 | 未知威胁检出效率 | 相对于传统特征库对比分析技术60% |
3 | 人工智能引擎 | 勒索病毒检测率 | 检出率98% |
4 | 服务链编排 | 安全组件上线效率 | 网络安全组件与业务关联上线效率提升80% |
6.2经济效益
本次网络安全体系采用安全资源池、安全态势感知平台等核心产品提高运营效率,降低网络安全管理与运营成本。
6.3社会效益
本项目一方面构建线网云平台网络安全体系建设的全流程项目管理文档,为行业网络安全体系输出丰富的经验总结,另一方面归纳总结业务架构特点输出安全资源配比报告,提供业务系统安全能力画像,为轨道交通业务系统安全能力标准提供有力的数据支撑,加速推动业务系统厂商与安全厂商的耦合度,共同构建行业业务安全大模型。
7.经验总结
西安地铁网络安全运营中心以协会1352体系为基础,充分吸纳厦门、武汉等地铁公司研究成果,从公司整体安全体系出发,统筹考虑云上云下安全,形成了主动发现、全面防御、高效处置、动态调整的闭环防御体系。这种全面的安全体系建设不仅确保了云平台的安全性,也降低了安全人员运维难度。另一方面,通过在云平台中引入网络安全运营中心的概念,实现了安全设备资源共享,在提高运维效率的同时又有效降低了成本,这一方案为城轨行业内云平台网络安全建设提供了有益的借鉴。
来源:城市轨道信息化
往期回顾
◆2023中国智慧轨道交通学术论坛(合肥) G50圆满闭幕!
长按识别二维码
联系管理员
加入我们的人脉圈