随着轨道交通数字化带来的变更趋势,云计算技术逐渐应用于轨道交通运营和生产系统中,实现对轨道交通业务的统一部署承载,资源动态分配,统一开发运营部署运行环境;在云平台基础上构建大数据共享平台,解决共享数据的采集、分析和处理工作,实现轨道交通信息化、智能化发展。在轨交领域,上云的业务系统除了企业内部管理、外部服务的系统,还包括了运营生产的系统,如信号自动监控系统、综合监控系统、乘客信息系统等。
在运营生产系统中,信号系统作为最高安全完整性等级SIL4要求的安全关键系统(safety critical system),一直以来都是以嵌入式系统技术为主的专用硬件平台来构建。如将云计算与安全关键系统相结合,实现一个基于云计算技术的安全平台,这样可以利用云平台的强大计算能力,最大程度上利用商业现货组件(COTS)而非专用的硬件,并能够将应用层、中间件和硬件层进行解耦,不失为安全系统中的一种创新。
云计算是一种通过网络将可伸缩,弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。资源包括服务器、操作系统、网络、软件、应用程序等。按照云计算服务提供的资源所在层次,分为IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)。
云计算技术具有以下特点:
虚拟化:用于消除软件和硬件之间的相互依赖,硬件在一个虚拟环境而取代了物理机上的操作系统,HW和虚拟化的组合提供了虚拟化资源。
按需部署:云计算平台能够根据用户需求快速配备计算能力及资源,能够实现存储、网络、操作系统和软硬件开发等资源的虚拟化分配和管理;
可靠性高:单点服务器出现故障可以通过虚拟化技术将分布在不同物理服务器上的应用进行恢复,或者利用动态扩展功能部署新的服务器,不影响应用的正常运行。
业务动态可扩展:将应用软件快速部署以便更高效快捷地将自身所需的新业务进行扩展。
应用云计算实现SIL2或更高完整性等级SIL4的功能,不同于现有的信号系统是依赖于专用的特殊硬件实现安全关键应用,而是使用标准化的COTS设备,将安全应用在一个集中的服务器中心运行,以下是一类系统的分层架构示例。
在控制中心,云计算基础设施有硬件,如服务器、存储、网络;虚拟机为位于物理机和操作系统之间的软件,允许多个操作系统共享同一套基础硬件,虚拟化层可以对主机的物理硬件资源(包括物理CPU、内存、磁盘、网卡、显卡等)进行封装和隔离,将其抽象为另一种形式的逻辑资源,然后提供给虚拟机使用;操作系统层:支持应用软件运行的软件,也有单独的运行时环境作为应用软件和操作系统之间通信的平台,提供翻译和协调的作用。
在云基础设施之上实现安全的控制,增加安全管理层是用来实现安全关键应用所需的各项基础安全服务,有安全表决功能、在线检测和诊断功能、安全通信协议、冗余管理等,提供安全应用的标准化API接口和托管服务。
在安全管理层之上为各类不同的安全应用,应用是实现轨道交通各种业务逻辑的软件,如联锁、ATP等应用。不同应用之间应彼此隔离,通过独立的硬件或专用软件实现,实现互不干扰,能够独立地创建、运行和管理。
控制中心与现场设备之间通过非受信的通信网络连接,这被认为是EN50159中所定义的黑色通道,为了考虑传输过程出现的错误、重复、删除、插入、重排序、延迟和伪装七类传输网络故障类型,两者之间采用符合EN50159的安全通信协议,并支持端到端的加密。
现场设备指位于轨道沿线的信号基础设备,有信号机、转辙机、计轴等,它们通过全电子化的目标控制器进行控制,目标控制器受控制中心的安全关键应用的控制。
虽然在嵌入式系统领域,如何设计SIL4的系统已经有成熟的方法体系,但当安全关键系统与云计算技术相结合,会出现一些新的挑战:
不同生命周期系统的集成:不同于以往的安全系统是基于完整的安全生命周期模型进行开发的,在云平台系统中,存在来自于不同领域和厂家的设备,如硬件、虚拟化、操作系统、中间件,这些硬件或软件不是按照安全关键系统的V模型进行开发,存在差异。因此,在基于云平台构建的安全系统中,需要实现对不同生命周期产品集成的支持,定义一个明确的系统结构和它们之间的接口,定义一个持续集成的流程,并确定系统内变化部分(比如增加新的硬件、信息安全软件、更新的软件或数据)的集成和确认流程。
系统安全架构:在系统架构的安全性设计方面,基本的安全设计原则有计算单元的独立性、冗余、表决、异构、固有安全设计等几类,这些安全设计方法在云计算领域不完全适用,需要采用不同方法的组合或者变通。图中的安全管理层包含了安全云计算中核心的平台层安全管理功能,实现应用数据的表决、安全数据分发、安全时钟同步、本地和异地的冗余管理等功能,但这些技术的实现与云计算技术结合密切,涉及到云基础设施、操作系统厂商、中间件厂商等不同领域厂商的核心技术,仅依赖于应用系统的开发厂商无法形成最优的方案。
实时响应性能:在安全关键系统中,要求系统的输出是具有确定性的时序要求,即系统接收到其输入的信息后,需要在确定性的时间内给出输出的指令,使用嵌入式系统构建的安全系统,其实时性能是保证的。而云计算技术虽然其硬件基础设施的算力远强于嵌入式系统,但由于中间不同层级软件增加的开销,从控制中心到现场设备经过中间节点多,存在不同计算节点引起的时间抖动和网络延迟,能否可以达到现有信号系统的周期运行时间和故障反应时间的性能要求,还有待验证。
故障诊断要求:对于SIL4级应用,整个系统的安全功能危险失效率需要小于10E-8,符合EN50128和EN50129中SIL4级的定性要求和随机失效的定量要求,对于导向危险侧的单点失效需要通过技术方法进行防护。在专用硬件中,通过对硬件专有的自检技术,可以实现对危险失效的在线诊断。而对于云计算的硬件资源处理器、存储、网络,不存在满足高诊断覆盖率要求的专有服务器存在,对其内部的寄存器、RAM、指令解码和执行、程序计数器等硬件故障模式进行诊断。要解决这个问题,一种可行的方法是采用系统性设计的原则,在硬件基础设施的上层实现数据的安全封装,或者增加额外的安全硬件实现编码校验。
开发工具链要求:对于安全关键系统的开发工具链,在EN50128安全相关软件标准中将其分类为T1、T2、T3,并规定了不同类别工具链要求,在云计算领域中,存在已有的开源的或者专用的开发工具链,这些工具不具备满足安全标准要求的完善生命周期过程记录和标准化的接口,并且跟随技术的发展在不断迭代。当将其作为安全云计算的开发工具时,由于工具引起的执行指令或数据错误存在失效可能,形成安全云计算的工具链,是安全系统开发中的一项工作。
网络安全要求:
数据安全和网络安全是构建数据中心的一项基本要求,作为云计算提供的一项平台服务,实现身份验证和访问管理、资产管理、入侵检测安全管理、安全事件管理等功能。目前业内首先需要满足等保2.0系列标准的合规性要求,另外,在云平台上构建安全系统,需要在系统层面进行信息安全风险评估,威胁及安全措施识别,从信号系统威胁入侵的可能性,需考虑信息安全威胁和内在脆弱性带来的业务可用性、完整性问题,其对信号系统行车安全性的影响。
以上是笔者对云计算技术应用于安全关键系统的一些思考,面临的挑战也不止这些,后续将继续跟踪分享。
原文始发于微信公众号(薄说安全):云计算构建安全系统的思考(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论