智慧地铁建设实践与创新研究
                    Research on the Practice and Innovation of Smart Metro Construction


            着特定的地铁应用，彼此相互隔离，可在网络层面实现精细化管理。首先通过细
            分基础网络，构建不同粒度的切片域，显著缩小被保护目标的攻击面。其次能够
            按照切片实施更细粒度、更严格的安全策略和更有针对性的管理手段，按需提供

            不同等级的安全服务。最后切片之间采用严格的隔离措施，一方面能够防范威胁
            向其他切片扩散，控制威胁的影响范围；另一方面也能够控制故障和异常的影响
            范围。
                5G 端到端切片需在无线、承载和核心网分别实现并完成子切片对接，贯通

            整个业务流程。5G 网络包括 eMBB、uRLLC、mMTC 三种类型的业务，但在目
            前仅 eMBB 有标准支持，uRLLC 和 mMTC 暂时都还没有完整的标准。目前带宽
            需求主要以上行为主，因此大部分业务以 eMBB 类型的切片就可以满足业务需求。
            后续 uRLLC 标准完善后，可以将列车控制相关对时延要求较高的业务以 uRLLC

            类型切片进行保障，将业务的 SLA 从 150ms 级别提升到几十甚至十几毫秒级别，
            提升列车控制业务的保障标准。mMTC 适用于物联网传感器检测，可以在站厅
            及区间布设物联网传感器，监控隧道环境变化，降低人工巡检成本提升巡检效率。
                （二）多元化边缘计算（MEC）安全

                MEC 将云数据中心的计算能力下沉到了网络边缘，与云中心相比，边缘设
            施的资源和能力相对有限，在 MEC 的总体架构中，为了实现各个层次的互操作
            性（CT 能力、MEC 平台、边缘应用），使得 MEC 面临更多的安全风险。针对
            MEC 的安全风险，突出基于分层的 MEC 安全架构，从基础网络、基础设施、
            虚拟化层、MEC 平台、UPF、MECAPP 生命周期、管理安全等多维度应对 MEC

            面临的安全挑战。
                1. 网络安全
                与传统的组网安全原则相同，包含三平面的安全隔离、安全域的划分和安全

            隔离。在网络部署时，将管理面、数据业务面以及带外管理进行物理隔离，并通
            过不同的物理交换机进行汇聚或通过划分不同的 VLAN/VXLAN 进行隔离 MEC
            内部划分不同的资源池，对资源池进行安全域划分并执行不同安全等级的安全域
            之间的隔离以及边界防护，通过部署 vFW 或者硬件防火墙实现不同安全域之间

            的安全隔离，保证安全风险不在业务、数据和管理面之间、安全域之间扩散。
                2. 基础设施安全
                针对基础设施的安全威胁，在物理基础设施安全方面，边缘计算部署的机房



            ·86·