為進一步落實國家“雙碳”戰略部署，日前，中國城市軌道交通協會發布了《中國城市軌道交通綠色城軌發展行動方案》（以下簡稱《綠色城軌行動方案》）。《綠色城軌行動方案》作為《智慧城軌發展綱要》的姐妹篇，意味著綠色城軌將與正在施行中的智慧城軌相互呼應、融合發展，共同開啟綠色城軌和智慧城軌協同建設新征程。

(資料圖片僅供參考)

網絡安全防護體系建設是綠色智慧城軌“必修課”

對智慧城軌發展而言,統一的城軌云和大數據平臺建設是“1-8-1-1”智慧城軌體系的重要基礎，而網絡安全則是守護智慧城軌健康發展不可或缺的基石。智慧城軌網絡安全建設重點在于落實推進中國城市軌道交通協會提出的網絡安全建設“系統自保、平臺統保、邊界防護等保達標、安全確保”二十字方針，構建基于“云-邊-端”網絡安全縱深防護體系。綠色城軌的總體思路是“以綠色轉型為主線，清潔能源為方向，節能降碳為重點，智慧賦能，創新驅動，開展六大行動，實現碳達峰碳中和，建成綠色城軌”，而網絡安全如何在“低碳排”、“高效能”中發揮一份價值，為“大運量”城軌安全出行保駕護航，最終達成“人悅其行，人享其行”的終極目標，任重而道遠。綜上所述，網絡安全縱深防護體系建設不再是無足輕重的“選擇題”，而是關乎生存和長遠發展的“必修課”。

比亞迪云巴系統與深信服安全云聯合打造的“更安全的云巴系統”，是綠色和智慧的創新結合。該系統基于“云巴系統”的創新方案秉承著安全可靠、運維便捷、高性價比、技術可生長的原則進行構建。小而美的超融合架構承載“比亞迪云巴系統”，融合容器安全及應用開發安全，在等保合規基礎上進一步強化安全防護效果，構建一整套網絡安全縱深防護體系。

首先，構建初步的安全能力，打造云化基礎設施安全防護，將安全能力適配云化環境，做好云平臺及云上系統的基礎防護。其次，持續加強安全能力建設，集成容器安全、應用開發安全、安全運營中心等能力，打造云上業務全流程安全防護，完善系統開發、測試、發布、運行全流程安全防護能力，并且完善云安全管理與云安全運營。

這套創新解決方案在物理空間占用、能耗成本、運維管理等維度均有很大的提升和優化，非常契合綠色智慧城軌的建設要求。

擁抱云化和服務化，構建網絡安全縱深防護體系

伴隨著城軌云平臺建設得如火如荼，構建縱深防護體系的安全能力交付形態也在發生變化，從原先的機架式盒子逐步轉向云化和服務化。

按照《城市軌道交通信息化工程設計規范》第10章要求：安全資源池宜將安全能力平臺化、服務化、自動化交付；安全資源池應在安全生產網、內部管理網、外部服務網中分別部署；安全資源池宜由獨立設置的安全組件組成，安全組件可采用X86服務器、虛擬機或一體機形態部署。城軌云平臺建設中諸多地鐵業主也在主動考慮軟件定義安全的“安全資源池”，通過服務化的形式，為云平臺提供所需的安全能力。

以西安市地鐵線網云平臺為例，西安線網云平臺包括主用中心、備份中心、測試中心。主用中心包括三張網，業務都在主用中心運行；備份中心安全生產網與主用中心做雙活，內部管理網和外部服務網做數據熱備；測試中心和三張網互聯互通，用于在業務上線前模擬測試。基于上述的網絡架構和業務需求，主用中心的安全生產網、內部管理網、外部服務網內系統自保均設計獨立的安全資源池。備份中心單獨部署一套安全資源池，與主中心安全生產網一致。在測試中心部署一套安全資源池為測試業務提供安全組件服務；在運維管理網為云平臺提供合規類審計產品服務。安全資源池支持經過測算，一套安全資源池可以承載幾十到上百個安全組件，在硬件資源上共享一套計算、存儲和網絡，極大提升了資源利用率，降低了整體能耗成本，所有設備的運維管理界面統一Web展現，無需像以往逐個安全設備登錄配置，日常運維著實也“提質增效”。

“四個融合”，助力網絡安全縱深防護目標實現

構建城軌行業網絡安全縱深防護體系，是踐行“智綠融合網絡安全”的必經之路。深信服認為，為達到縱深防護的體系化目標，在網絡安全建設的過程中要遵循“四個融合”：

規劃融合：設計單位為城軌業主規劃城軌云平臺安全時，要從城軌云的整體架構出發，考慮中心云平臺、站段云節點、專業系統等保、物聯網終端及其它涉及到數據安全、信息安全的網絡及資產。業主也要遵循網絡安全與機電設備、弱電系統“同步規劃、同步建設、同步使用”的原則，確保重要系統和設施安全有序運行。

技術融合：城軌行業正在積極擁抱互聯網化、智慧化、云化、國產化的新趨勢，加之網絡安全的外部態勢日益嚴峻，這都要求整個行業主動擁抱新技術以解決不斷涌現的新問題。城軌行業應用新技術的步伐既不能一蹴而就，也不能裹足不前。俗話說，不管黑貓白貓，抓住老鼠就好貓，針對已在市場普遍應用的技術要大膽引入和實踐；針對前沿全新的技術，行業協會或業主也可以通過創新課題、技術研討、共建實驗室等方式為行業孵化新技術的落地場景，引領行業新技術的應用趨勢。

交付融合：網絡安全不是孤立存在的，網絡安全與信息化的關系是相輔相成、相伴共生的。當前城軌行業普遍邁入城軌云建設時代，網絡安全作為業務系統的重要保障體系尤為重要。安全品類涵蓋面廣、涉及維度多的特點也需要適配城軌行業靈活擴展、穩定高效、安全可靠的需求。同時為了實現城軌行業“1-8-1-1”智慧城軌藍圖和“1-6-6-1-N”綠色城軌發展“一張藍圖”，也需要將安全體系與云平臺進行融合。云計算的核心理念是軟件定義，那么軟件定義安全技術是融合的前提，以此脫離傳統硬件的束縛，實現在獨立的安全資源池中以組件化的形式按需部署，最大化提升云上業務系統安全防護能力，為城軌用戶提供真正的“交鑰匙”的安全方案及服務。

管理融合：網絡安全設備及服務的采購及部署不是最難的，最難的是中長期的網絡安全管理及運維。由于城軌行業的安全建設起步晚、底子薄，作為城軌行業網絡安全的實際踐行者，一定要從管理上倡導“融合”，讓整個行業對于網絡安全管理體系加大重視和投入，扭轉“重建設輕管理”的觀念。管理組織要融合，建立獨立的組織機構和人員；管理流程要融合，戰時和平時結合，打造一套“經得起、防得住”的網絡安全管理流程和制度；管理界面要融合，打造一個統一的運維管理界面，實現統一監視、統一預警、統一響應和統一處置。

“不謀萬世者，不足以謀一時；不謀全局者，不足以謀一域”。構建縱深防護網絡安全體系是夯實“智綠城軌融合發展”的基石。零信任、物聯網安全、數據安全、安全資源池、安全運營中心、容器安全、供應鏈安全等網絡安全創新技術的研究和應用，將極大助力城軌行業安全防護體系的建立與運營，節省大量的人力、物力資源，使得安全技術體系、管理體系與運營體系相輔相成，搭乘“智慧+綠色”的東風，真正做到降本增效。

（作者：馬濤 深信服科技股份有限公司交通事業部技術總監）