為進一步落實國家“雙碳”戰(zhàn)略部署，日前，中國城市軌道交通協(xié)會發(fā)布了《中國城市軌道交通綠色城軌發(fā)展行動方案》（以下簡稱《綠色城軌行動方案》）。《綠色城軌行動方案》作為《智慧城軌發(fā)展綱要》的姐妹篇，意味著綠色城軌將與正在施行中的智慧城軌相互呼應(yīng)、融合發(fā)展，共同開啟綠色城軌和智慧城軌協(xié)同建設(shè)新征程。

網(wǎng)絡(luò)安全防護體系建設(shè)是綠色智慧城軌“必修課”

對智慧城軌發(fā)展而言,統(tǒng)一的城軌云和大數(shù)據(jù)平臺建設(shè)是“1-8-1-1”智慧城軌體系的重要基礎(chǔ)，而網(wǎng)絡(luò)安全則是守護智慧城軌健康發(fā)展不可或缺的基石。智慧城軌網(wǎng)絡(luò)安全建設(shè)重點在于落實推進中國城市軌道交通協(xié)會提出的網(wǎng)絡(luò)安全建設(shè)“系統(tǒng)自保、平臺統(tǒng)保、邊界防護等保達標(biāo)、安全確?！倍址结槪瑯?gòu)建基于“云-邊-端”網(wǎng)絡(luò)安全縱深防護體系。綠色城軌的總體思路是“以綠色轉(zhuǎn)型為主線，清潔能源為方向，節(jié)能降碳為重點，智慧賦能，創(chuàng)新驅(qū)動，開展六大行動，實現(xiàn)碳達峰碳中和，建成綠色城軌”，而網(wǎng)絡(luò)安全如何在“低碳排”、“高效能”中發(fā)揮一份價值，為“大運量”城軌安全出行保駕護航，最終達成“人悅其行，人享其行”的終極目標(biāo)，任重而道遠。綜上所述，網(wǎng)絡(luò)安全縱深防護體系建設(shè)不再是無足輕重的“選擇題”，而是關(guān)乎生存和長遠發(fā)展的“必修課”。

(相關(guān)資料圖)

比亞迪云巴系統(tǒng)與深信服安全云聯(lián)合打造的“更安全的云巴系統(tǒng)”，是綠色和智慧的創(chuàng)新結(jié)合。該系統(tǒng)基于“云巴系統(tǒng)”的創(chuàng)新方案秉承著安全可靠、運維便捷、高性價比、技術(shù)可生長的原則進行構(gòu)建。小而美的超融合架構(gòu)承載“比亞迪云巴系統(tǒng)”，融合容器安全及應(yīng)用開發(fā)安全，在等保合規(guī)基礎(chǔ)上進一步強化安全防護效果，構(gòu)建一整套網(wǎng)絡(luò)安全縱深防護體系。

首先，構(gòu)建初步的安全能力，打造云化基礎(chǔ)設(shè)施安全防護，將安全能力適配云化環(huán)境，做好云平臺及云上系統(tǒng)的基礎(chǔ)防護。其次，持續(xù)加強安全能力建設(shè)，集成容器安全、應(yīng)用開發(fā)安全、安全運營中心等能力，打造云上業(yè)務(wù)全流程安全防護，完善系統(tǒng)開發(fā)、測試、發(fā)布、運行全流程安全防護能力，并且完善云安全管理與云安全運營。

這套創(chuàng)新解決方案在物理空間占用、能耗成本、運維管理等維度均有很大的提升和優(yōu)化，非常契合綠色智慧城軌的建設(shè)要求。

擁抱云化和服務(wù)化，構(gòu)建網(wǎng)絡(luò)安全縱深防護體系

伴隨著城軌云平臺建設(shè)得如火如荼，構(gòu)建縱深防護體系的安全能力交付形態(tài)也在發(fā)生變化，從原先的機架式盒子逐步轉(zhuǎn)向云化和服務(wù)化。

按照《城市軌道交通信息化工程設(shè)計規(guī)范》第10章要求：安全資源池宜將安全能力平臺化、服務(wù)化、自動化交付；安全資源池應(yīng)在安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)中分別部署；安全資源池宜由獨立設(shè)置的安全組件組成，安全組件可采用X86服務(wù)器、虛擬機或一體機形態(tài)部署。城軌云平臺建設(shè)中諸多地鐵業(yè)主也在主動考慮軟件定義安全的“安全資源池”，通過服務(wù)化的形式，為云平臺提供所需的安全能力。

以西安市地鐵線網(wǎng)云平臺為例，西安線網(wǎng)云平臺包括主用中心、備份中心、測試中心。主用中心包括三張網(wǎng)，業(yè)務(wù)都在主用中心運行；備份中心安全生產(chǎn)網(wǎng)與主用中心做雙活，內(nèi)部管理網(wǎng)和外部服務(wù)網(wǎng)做數(shù)據(jù)熱備；測試中心和三張網(wǎng)互聯(lián)互通，用于在業(yè)務(wù)上線前模擬測試?；谏鲜龅木W(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)需求，主用中心的安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)內(nèi)系統(tǒng)自保均設(shè)計獨立的安全資源池。備份中心單獨部署一套安全資源池，與主中心安全生產(chǎn)網(wǎng)一致。在測試中心部署一套安全資源池為測試業(yè)務(wù)提供安全組件服務(wù)；在運維管理網(wǎng)為云平臺提供合規(guī)類審計產(chǎn)品服務(wù)。安全資源池支持經(jīng)過測算，一套安全資源池可以承載幾十到上百個安全組件，在硬件資源上共享一套計算、存儲和網(wǎng)絡(luò)，極大提升了資源利用率，降低了整體能耗成本，所有設(shè)備的運維管理界面統(tǒng)一Web展現(xiàn)，無需像以往逐個安全設(shè)備登錄配置，日常運維著實也“提質(zhì)增效”。

“四個融合”，助力網(wǎng)絡(luò)安全縱深防護目標(biāo)實現(xiàn)

構(gòu)建城軌行業(yè)網(wǎng)絡(luò)安全縱深防護體系，是踐行“智綠融合網(wǎng)絡(luò)安全”的必經(jīng)之路。深信服認為，為達到縱深防護的體系化目標(biāo)，在網(wǎng)絡(luò)安全建設(shè)的過程中要遵循“四個融合”：

規(guī)劃融合：設(shè)計單位為城軌業(yè)主規(guī)劃城軌云平臺安全時，要從城軌云的整體架構(gòu)出發(fā)，考慮中心云平臺、站段云節(jié)點、專業(yè)系統(tǒng)等保、物聯(lián)網(wǎng)終端及其它涉及到數(shù)據(jù)安全、信息安全的網(wǎng)絡(luò)及資產(chǎn)。業(yè)主也要遵循網(wǎng)絡(luò)安全與機電設(shè)備、弱電系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步使用”的原則，確保重要系統(tǒng)和設(shè)施安全有序運行。

技術(shù)融合：城軌行業(yè)正在積極擁抱互聯(lián)網(wǎng)化、智慧化、云化、國產(chǎn)化的新趨勢，加之網(wǎng)絡(luò)安全的外部態(tài)勢日益嚴峻，這都要求整個行業(yè)主動擁抱新技術(shù)以解決不斷涌現(xiàn)的新問題。城軌行業(yè)應(yīng)用新技術(shù)的步伐既不能一蹴而就，也不能裹足不前。俗話說，不管黑貓白貓，抓住老鼠就好貓，針對已在市場普遍應(yīng)用的技術(shù)要大膽引入和實踐；針對前沿全新的技術(shù)，行業(yè)協(xié)會或業(yè)主也可以通過創(chuàng)新課題、技術(shù)研討、共建實驗室等方式為行業(yè)孵化新技術(shù)的落地場景，引領(lǐng)行業(yè)新技術(shù)的應(yīng)用趨勢。

交付融合：網(wǎng)絡(luò)安全不是孤立存在的，網(wǎng)絡(luò)安全與信息化的關(guān)系是相輔相成、相伴共生的。當(dāng)前城軌行業(yè)普遍邁入城軌云建設(shè)時代，網(wǎng)絡(luò)安全作為業(yè)務(wù)系統(tǒng)的重要保障體系尤為重要。安全品類涵蓋面廣、涉及維度多的特點也需要適配城軌行業(yè)靈活擴展、穩(wěn)定高效、安全可靠的需求。同時為了實現(xiàn)城軌行業(yè)“1-8-1-1”智慧城軌藍圖和“1-6-6-1-N”綠色城軌發(fā)展“一張藍圖”，也需要將安全體系與云平臺進行融合。云計算的核心理念是軟件定義，那么軟件定義安全技術(shù)是融合的前提，以此脫離傳統(tǒng)硬件的束縛，實現(xiàn)在獨立的安全資源池中以組件化的形式按需部署，最大化提升云上業(yè)務(wù)系統(tǒng)安全防護能力，為城軌用戶提供真正的“交鑰匙”的安全方案及服務(wù)。

管理融合：網(wǎng)絡(luò)安全設(shè)備及服務(wù)的采購及部署不是最難的，最難的是中長期的網(wǎng)絡(luò)安全管理及運維。由于城軌行業(yè)的安全建設(shè)起步晚、底子薄，作為城軌行業(yè)網(wǎng)絡(luò)安全的實際踐行者，一定要從管理上倡導(dǎo)“融合”，讓整個行業(yè)對于網(wǎng)絡(luò)安全管理體系加大重視和投入，扭轉(zhuǎn)“重建設(shè)輕管理”的觀念。管理組織要融合，建立獨立的組織機構(gòu)和人員；管理流程要融合，戰(zhàn)時和平時結(jié)合，打造一套“經(jīng)得起、防得住”的網(wǎng)絡(luò)安全管理流程和制度；管理界面要融合，打造一個統(tǒng)一的運維管理界面，實現(xiàn)統(tǒng)一監(jiān)視、統(tǒng)一預(yù)警、統(tǒng)一響應(yīng)和統(tǒng)一處置。

“不謀萬世者，不足以謀一時；不謀全局者，不足以謀一域”。構(gòu)建縱深防護網(wǎng)絡(luò)安全體系是夯實“智綠城軌融合發(fā)展”的基石。零信任、物聯(lián)網(wǎng)安全、數(shù)據(jù)安全、安全資源池、安全運營中心、容器安全、供應(yīng)鏈安全等網(wǎng)絡(luò)安全創(chuàng)新技術(shù)的研究和應(yīng)用，將極大助力城軌行業(yè)安全防護體系的建立與運營，節(jié)省大量的人力、物力資源，使得安全技術(shù)體系、管理體系與運營體系相輔相成，搭乘“智慧+綠色”的東風(fēng)，真正做到降本增效。

（作者：馬濤 深信服科技股份有限公司交通事業(yè)部技術(shù)總監(jiān)）