地铁的建设,已经成为了一座城市实力的象征。
南京市作为长三角特大城市和江苏省省会,交通区位优势明显,轨道交通已成为城市及都市圈出行的重要方式。据南京市政府办公厅发布数据,2021年南京全市累计实现地铁客运量8.79亿人次,公共交通分担率接近60%,在城市经济社会高质量发展中起着举足轻重的作用。从运营里程长短角度而言,截至2021年底,南京已跻身于全国地铁10大城市。
现阶段城轨交通正在进入由“建设为主”向“运营、经营并举”,由高速度发展迈向高质量发展的转换期,以新兴信息技术与城轨交通深度融合为主线,推进城轨信息化,发展智能系统,建设智慧城轨。持续探索如何以智慧手段加强城市交通的精细化管理,提升安全风险的监测和预警能力。
南京地铁的“前世今生”
南京轨道交通建设始于1989年。
2005年,首条地铁线(1号线)投入运营,标志着南京正式进入地铁时代。
2017年,S9宁高线的开通标志着南京成为全国第一个区县全部开通地铁的城市。
2020年,南京地铁已实现了5G全覆盖,成为全球地铁5G覆盖里程最长的城市。
目前南京地铁已开通运营线路共有11条,构成覆盖南京全市11个市辖区及句容市的地铁网络,并且已经具备多线路运营指挥、线网应急处置、乘客服务、辅助决策等多种线网功能,正式步入了"网络化运营"时代。
为了保证高效的分区管理从而优化整体业务推进效率,南京地铁在4个区域运营中心,建成并投入运营了自动售检票系统AFC(下文简称“AFC”)、区域线路中心ZLC(下文简称“ZLC”)。
随着信息化进程的不断推进,外部安全风险如黑客攻击、网络犯罪产业化等等问题也随之而来,此外国家也在不断加强网络安全的合规监管,这都对网络安全建设提出了更高的要求。在对外部环境与合规要求的双重考虑之下,南京地铁决定对以上系统的网络安全建设进行全面升级。
然而,地铁交通与南京市民的生活出行息息相关,这决定了在推进系统安全建设改造的过程绝不能影响业务系统运行。如何保障4个南京ZLC、清分中心ACC(下文简称“ACC”)相关系统在安全建设与改造过程中稳定运行,并满足等保2.0相关的合规要求,持续为系统安全保驾护航,成为了南京地铁的核心关注点。
业务不能中断,合规性和安全效果要统筹考虑
南京地铁作为南京人民生活的重要保障,在城市框架、地段平权、辐射经济等方面都起着不容忽视的塑造力和影响力。此次升级过程中,系统一旦出现问题,可谓“牵一发而动全身”,因此不容有任何闪失。在此情况下,南京地铁对本次安全改造提出了明确的要求。
1.一站式服务,提供等保全生命周期完整保障
南京地铁ZLC、ACC属于老系统等保整改,但其中关联了很多系统及设备都比较老旧,版本也较低,并且改动难度很大。因此,用户对前期调研和等保整改的牵头方提出了更高的要求,即需要一家专业的等保服务商,提供一站式省心省力的等保交付服务。
2.业务不中断,在改造过程中确保各系统稳固运行
ZLC、ACC属于地铁票务系统,是地铁公司最核心的业务系统之一,负责乘客进出站时刷卡过闸及线路票务的清算,对于系统运行的稳定性要求较高。一旦系统发生故障将直接影响地铁票务,甚至导致乘客无法正常在进出站时过闸机等一系列风险问题,这无疑会对人民安全出行、社会整体秩序造成重要影响。因此需要在保障系统稳定运行的前提下完成安全建设与改造。
3.提升安全防护效果,发挥安全建设价值
用户希望在满足等保合规的基础上实现自动售检票系统网络安全实时监测、通报预警等多种功能,提升整体安全运营效率,降低运维压力,最大程度发挥网络安全建设的价值。
深信服提供等保全流程“一站式”服务,助力快速合规
为了保证南京地铁自动售检票业务系统的稳定运营,深信服在项目前期就与测评单位进行了深入探讨,为用户打造了专属于南京地铁的解决方案。方案参照等保2.0建设框架,实现了从前期的规划、咨询、设计到后期的交付、实施、测评的等保改造全流程“一站式”服务。
具体包含:
- 在出口边界处网桥部署两台下一代防火墙(开通防病毒模块),以满足等保二级中安全区域边界的相关要求。
- 新增一台二层交换机连接核心,通过VLAN划分,独立出一个安全运维区域,并部署等保二级需求的堡垒机、日志审计、安全态势感知等安全运维审计设备。
- 在新增的二层交换机上旁路部署入侵防御设备,满足等保二级中安全区域边界的相关要求。
- 在安全运维区旁路部署终端防病毒服务器,在服务工作站等PC终端以及服务器终端上部署EDR防病毒软件,满足等保二级中安全计算环境相关要求。
- 通过在4个ZLC系统核心交换机上的镜像部署流量采集探针,通过中心端的安全态势感知平台实时对4个ZLC系统进行安全分析,并采集防火墙、EDR安全设备的安全日志进行实时分析,满足等保二级中对安全管理中心的要求。
持续保护,不止合规
此次安全建设在确保了用户业务系统的稳定运行的前提下,帮助南京地铁快速满足了等保合规要求,与此同时大幅提升了整体安全效果。
1.多线路多系统一站式快速交付,助力用户顺利通过等保测评
参照等保2.0标准要求,建立健全了符合南京地铁各业务系统安全要求的安全技术、管理体系,落实安全防护框架。对三号线、十号线的ZLC系统进行了初步的整改施工,对于需要参与等保测评的8个机房、70余个测评对象进行了等保整改,完成了多线路多系统的一站式快速交付。改造结束后,用户快速通过了等级保护二级测评,顺利拿到了等保二级测评证书。
2.深入了解用户业务,兼顾业务连续性与安全升级需求落地
深信服在前期设计阶段,多次与设计院共同研究南京地铁自动售检票系统运营特点,在前期为南京地铁提供大量咨询服务,并根据自动售检票系统全网结构定制了安全升级方案,最大限度维持业务系统网络逻辑不被修改。
在项目实施阶段,深信服全力保障交付。在夜间系统休息时间快速完成设备上架以及设备调通等工作,在不中断业务的情况下实现了全网改造。
3.合规之上,以实在的安全效果带来业务的持续守护
本次安全升级在满足等保要求的基础上,带来了安全防护能力的大幅提升。方案为南京地铁设计了安全态势感知平台,并在所有网络、终端中配置了流量日志采集探针。在实现与现有网络和安全设备的对接后,安全态势感知平台结合威胁情报、行为分析、UEBA、机器学习、大数据关联分析、可视化等技术,实现了对全网流量及业务的可视化和威胁感知,以及对各种潜伏威胁的全面定位。通过可视化技术的利用,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成了高维度可视化方案,最大化发挥了安全建设价值。真正做到了“安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”。
未来规划及展望
在不远的将来,南京地铁还将对整体安全体系进行全面升级,建设集全线网实时监测、通报预警、应急响应、重保指挥的安全运营中心。而本次南京地铁ZLC/ACC安全能力升级的成功,为南京地铁积累了丰富的网络安全建设经验,为未来的业务推进打下坚实基础,也为日后“南京都市圈”全线网安全运营中心建设做好了铺垫。
未来,深信服也将继续与南京地铁合作,提供解决方案与技术支撑,护航南京地铁全面驶入网络化运营时代,让出行更安全、运行更高效。