第三章 新兴技术在智慧地铁建设中的应用




             通过加锁、视频监控、人脸识别以及人员管理等保证物理环境安全，遵循通用安
             全中的物理环境安全设计要求。同时通过如下的安全措施保障服务器或主机的安
             全。服务器开启防盗防拆、恶意断电、设备重启及网络端口的告警禁用硬件服务

             器的本地串口、本地调试口、USB 接口等本地维护端口，防止恶意攻击者的接
             入和破坏；服务器的 I/O 开启访问控制，并采用 IEEE802.1X 协议，对连接的物
             理设备进行认证，防止不安全的、非法的或者伪装的网络设备接入边缘计算网络
             中。在虚拟基础设施安全方面，通过对 HostOS、虚拟化软件、GuestOS 进行安

             全加固，防止镜像被篡改，同时加强虚拟机之间的隔离，对不安全的设备进行严
             格隔离，防止用户流量流入恶意虚拟机中。
                 3. 平台安全
                 通过 MEC 平台提供了移动边缘应用（室内高精度定位）部署和运行涉及的

             环境和服务，包括边缘应用发现、通告、消费和提供边缘服务的环境。在传输链
             路没有物理保护的情况下，MEC 平台与外部网元之间的接口启用安全隧道，对
             其传输的数据进行加密和完整性保护，通信双方进行双向验证。MEC 平台对来
             自边缘 APP 的访问开启认证和授权，对数据进行机密性、完整性、防重放保护。

             MEC 平台本身通过漏洞及端口扫描以确认是否关闭不必要的端口和服务。
                 4. 业务与应用安全
                 网络虚拟化后，MEC 应用（MEApp）以虚拟化网络功能 VNF 的方式运行
             在 NFV 基础设施上。通过对 App 使用的资源进行隔离，对 App 镜像和镜像仓库

             具有完整性和机密性、访问控制保护。MEC 系统对 MEApp 提供包括身份安全、
             镜像安全、终止安全其生命周期的安全防护。
                 5. 管理与运维安全
                 通过用户管理和权限管理提供了控制如何安全地管理和访问系统机制，使不

             同类别的操作员具有不同的操作权限。这限制了未经授权的和错误的操作，增加
             了系统安全性，并确保了用户数据的完整性。MEC 具有日志维护功能，用来详
             细记录系统运行状态和操作员的操作行为，使系统易于维护和管理。


                 三、端到端数据安全保护

                 智慧地铁应用数据在传输、存储过程中存在被窃听、篡改、泄露等安全威胁。
             为降低 5G+ 智慧地铁应用中数据安全风险，通过多种终端类型双向接入认证、



                                                                                  ·87·