随着城市轨道交通信息化高速发展，智慧城市轨道云平台建设已经成为必然趋势，各项业务系统上云，对轨道交通行业的数据安全保障工作提出了新的挑战，企业面临着云环境网络边界模糊、细粒度管控需求难以实现等难题，针对上述行业用户痛点，发布本期牛品推荐：天琴科技——基于标记的强制访问行为控制体系（简称标记强访控制体系），该体系通过主客代理模块对数据和用户进行标记，并与服务资源代理、安全隔离网关、集中配置模块和可视化集中展示模块协同联动，实现了对云应用相关数据安全流转的保障。

牛品推荐第四十期：基于标记的强制访问行为控制体系

标签

精细化管控，高适配度，数字化管控，标记性管控，可视化管控

用户痛点

随着云计算和关基建设的要求，城市轨道交通行业着力打造“智慧城轨云”，城轨相关业务上云，业务数据流的环境发生巨大的变化，不再在传统的网络中进行，原有的针对网络层的防护“老三样”——防火墙、入侵检测和防病毒由于其被动防御的特征和防御对象的局限性，对城轨云整个网络环境中数据流的保护力度减弱，而针对云环境的恶意攻击手段在不断的演进，使得城轨云环境中的数据安全防护面临着更多的风险：

1、隐蔽通道和越权访问

虚拟化技术是云计算平台的核心，虚拟化技术提供了大量的共享资源，数据资源流向开放，催生了隐蔽通道和越权访问的各种条件，云内的非正常操作和各种攻击的隐蔽性更强，更难发现；

2、恶意访问高速传播

由于云环境内边界模糊，一旦产生恶意访问，恶意代码的横向传播速度极快，轻则消耗云内计算资源，重则对业务应用造成影响，导致业务停滞甚至瘫痪，恢复难度大、成本高；

3、数据管控粒度粗

现有监测手段对云环境内数据交换过程的管控力度不足，无法对各个组成模块下的业务运行状态和通信过程进行细粒度把控，发生异常时，难以觉察，一旦发现，可能已经造成较大的损失。

解决方案

智慧城轨云在建设时，结合城轨业务需求及应用特征，将云环境划分为外部服务网、内部管理网、安全生产网和运维管理网四个独立的安全区域，不同安全域的安全级别不同，部署对应安全级别的业务或者管理系统。相同安全域内的访问和跨安全域的数据交互，构成了整个城轨云业务应用系统的数字运行体系，成为城市轨道交通业务运行的重要基础设施。

智慧城轨云的计算环境及业务运行产生的数据呈现出明显的多源异构的特征：不同系统应用遵循的业务逻辑不同，进行安全管控的策略也有较大差异，这增大了全网安全策略统一实施和控制的难度，传统防护手段对数据访问控制的粒度较粗，无法深入应用内部，云内数据面临较大的安全隐患。

标记强访控制体系将所有应用系统间抽象的业务数据流细化为具体的访问行为，并作为基础的控制单元，对访问行为的主体（通常指用户，或者进程）和客体（通常指由用户启动的进程，或者各类业务数据）进行伴随其整个生命周期的标记，记录它们的安全属性、应用属性、访问行为等相关信息，并以此为基础，将城轨云环境内的所有访问行为转换为相同的格式进行描述，在访问行为发生时，对主客体标记进行分析，与安全策略进行对比，放行正常访问的报文，截弃非正常访问的报文，记录非正常访问行为，从而实现对云环境内各应用系统运行和云内数据传输过程进行细粒度的监测及管控。

面向智慧城轨云的标记强访体系架构，通过主客体保护模块、服务资源代理、安全隔离网关、集中配置模块和可视化集中展示五大模块覆盖至城轨云环境中，协同作用形成完整的数据流安全控制体系，保障了智慧城轨云应用系统在云内的安全运行。

1、主客体保护模块

城轨云环境下，通常采用虚拟主机部署各类应用。在虚拟主机（或主机）上部署主客体保护模块，实现对主机计算环境内部I/O访问和网络访问的管控，从而对系统内的主客体完整性进行保护，也为计算环境内的客体资源提供额外的加解密保护手段。

2、服务资源代理

城轨云环境下，业务应用系统部署于多个安全区域内，服务资源代理实现不同应用之间的数据流转及跨应用访问。服务资源代理提供标准接口服务，弥补不同应用系统数据的格式差异，并通过标记强访为不同应用系统间的数据交换提供便利、安全的总线。

3、安全隔离网关

城轨云环境下，用户的跨域访问，或者数据的跨域传输，都需要对请求报文进行处理以确保安全。安全隔离网关部署在不同安全区域的边界，通过识别请求报文中的会话信息，对其传输路径、安全级别和是否符合安全策略进行判断，不符合安全策略的报文进行丢弃，对正确的报文进行安全属性的重新匹配，并确保该报文传输到目标地址所在的受保护区域的资源代理或者操作系统。

4、集中配置模块

为应对不同规模、形式的云平台建设需求，标记强访控制体系提供了丰富的落地方案，通过集中配置模块对全局安全策略进行统一配置，实现对云内业务数据的分级、分类及多场景多模式的管理，充分满足安全管理的不同层次的需求：

面对阻断需求，能够直接截断云内的非正常访问并进行详细记录便于审计；面对云内安全监测的需求，能够通过标记相关日志对所有访问行为进行详细记录，对非正常访问进行预警并依安全策略进行干预；面对更高层次的溯源、主动防御需求，能够提供仿真环境及异常访问引导，捕获更多数据以深入分析进行入侵溯源。

5、可视化集中展示

城轨云环境内，标记强访控制体系的部署对普通业务用户来说是无感的，安全策略在云环境内的部署也是透明的，符合安全策略的正常应用可以按照既定的路径进行数据交互和业务访问，而没有按照既定路径进行访问的数据报文经过安全模块、资源代理、安全网关的时候会根据安全策略的要求被处理，达到系统防护的目标，并通过可视化集中展示模块为安全管理人员提供直观的预警、查询、处理、调度界面，协同其他网络安全防护措施对云环境内的安全问题进行及时响应和处理。

上述五个模块在智慧城轨云环境内的部署如下图所示：

标记强访控制体系的部署，相当于在云环境内建立了一整套数据访问通道白名单的立体网络，正确的访问行为才能够通过层层通道完成数据交互，而未经授权的访问和恶意的程序、代码在云内的扩展和传播则能够得到有效的杜绝。

标记强访控制体系对计算环境I/O的管控，基本阻断了云内非正常应用的进行，对网络的监测能够对云内应用的故障进行快速定位，在云内透明的运行机制保障了业务之间交互和数据流转的高性能，综合来看，标记强访控制体系充分提升了云平台用户对云环境网络安全的控制能力。

智慧城轨云内复杂多样的业务应用系统，通过标记强访体系，实现了所有交互通信都按照统一格式、遵循相同的安全管控策略进行，这样一来，覆盖于网络范围的安全策略，通过标记渗透到计算环境和应用当中，不仅简化了多源异构环境下繁复的安全策略逻辑，更解决了城轨云环境中全局安全策略穿透性弱的问题，确保整个网络内应用运行及访问行为的安全进行。

用户反馈

天琴科技的标记强访控制体系在合法合规的基础上，精准的屏蔽了云环境中的异常访问行为，并提供了详细的屏蔽记录，使蠕虫、矿机等恶意代码和恶意程序的非法访问被快速识别，此外，该体系对我司云系统的联调联试助力很大，解决了不同人员误操作时造成业务停滞的问题。

——某地铁用户设备部门负责人

城轨建设公司业务上云后的合规性建设十分重要，同时需要先进的技术支持。在对天琴科技标记强访控制体系的配置测试阶段，我们发现该体系在保证业务运行效率的基础上实现了多方对接联调，这进一步提升了我们对后续建设方案中加入标记强访问方案的信心。

——某城轨建设公司技术负责人

《城市轨道交通云平台构建技术规范T/CAMET 11002-2020》和等保在网络安全方面都提出了使用标记强访控制，该体系在我司与天琴科技共建的试点项目中发挥了重要作用，标记强访控制体系让业务系统更加透明化，实现了安全策略和应用系统匹配过程的精细化管理，其对异常行为的精准阻断、告警能力加强了对系统的安全防护水平，异常行为记录可查、可追溯，有效解决了应用上云数据丢失包定位等关键问题。

——某地铁应用开发公司技术负责人

安全牛评

工业互联网应用的特殊性和复杂性，使其访问控制安全的重要性比企业级的远程访问重要和复杂得多，适用于工业环境的安全防护框架具有很高的挑战。天琴科技在本方案中基于ABAC的“安全标记”在城轨工业网络中打造了集网络、主机、业务及管理中心的系统化访问控制体系，符合信息系统“一个中心三层防护”的合规设计理念。

在该合规框架基础上可以构建弹性的增强防护以满足不同安全等级要求的工业控制环境，能为其它工业场景的安全建设提供很好的借鉴。