智慧城轨云安全解决方案

解决方案概述

网络安全形势日趋严峻，网络与信息安全已被提升为国家战略，国家网络安全等级保护制度进入2.0时代，随着国家强力推进“互联网+城市轨道交通”战略，云计算、大数据等信息技术在城市轨道交通行业的应用日益广泛。
结合智能城轨云安全运行的现状及目标，天琴推出了以安全标记为核心技术的智慧城轨云安全解决方案，通过态势感知和监测平台、标记管理和强制访问控制、云边界安全数据交换和基于标记的安全数据总线四大平台实现城轨云安全纵深防御架构的建设，基于标记实现区域边界保护、强制访问控制、云平台网络安全防护、虚拟主机安全防护和数据安全防护的目标。

态势感知和监测

态势感知和监测系统概述

云态势感知平台通过收集城轨云运行过程中的各类安全日志，实时监控网络流量，利用大数据实时分析技术，采取主动的安全分析和实时态势感知，快速发现威胁，控制威胁。结合资产和业务的脆弱性，对云环境中的安全事件进行监控，实现综合预警及可视化展示，并为调查取证和威胁分析提供原始事件的查询与攻击过程追溯。

态势感知和监测系统特色

全面的数据收集

◆ 多种异构数据全面采集
◆ 数据流量实时深入监测
◆ 事件行为信息全面收集
◆ 资产自动识别分级监控

多维可视管理界面

◆ 业务视角态势全景呈现
◆ 事件分类描绘统一展示
◆ 安全威胁事件智能告警
◆ 告警管理布局灵活配置

多维深度智能分析

◆ 标记和细粒度报文分析
◆ 预置丰富关联分析规则
◆ 超大规模并行推理引擎
◆ 多维交叉关联分析挖掘

威胁溯源智能处置

◆ 攻击过程行为溯源取证
◆ 日志还原完整攻击链条
◆ 多种安全态势预测技术
◆ 主动响应智能快速恢复

标记管理和强制访问控制

标记管理和强访控制概述

标记管理和强制访问控制系统是以安全标记技术为核心的安全管理模块，可部署于城轨云安全管理平台中，通过对城轨云系统内所有主客体进行标记，设定安全属性及相关安全策略，并能结合平台安全管理策略对标记及标记策略进行管理，实现云环境内的强制访问控制。

标记管理和强访控制系统特色

主体客体标记管理

◆ 标记策略的自定义与管理
◆ 针对主体客体标记的管理
◆ 基于标记的行为监测分析

强制访问控制管理

◆ 基于标记的访问控制管理
◆ 基于系统层面的访问控制
◆ 强访控制实现主客体保护

全方位智能分析检测

◆ 内核驱动级的操作介入技术
◆ 集成威胁诱捕主动防御模块
◆ 弹性灵活易维护的部署模式

云边界安全数据交换

云边界安全数据交换概述

在城轨云不同网域边界处部署安全数据交换系统，实现跨域的强制访问控制策略的应用，确保云中心与安全生产网、运维管理网及信号专网等特殊网域之间的安全隔离，实现等级保护以及云计算安全等相关标准的功能要求。

云边界安全数据交换特色

特有安全硬件结构设计

◆ “2+1”架构确保双向隔离
◆ 内外网主机系统分连不同域
◆ 隔离交换模块实现交换验证

关键技术支撑高效处理

◆ 高性能多核并行处理技术
◆ 软件可支持私有协议检测
◆ 转换机制支持多端口任务

基于标记的安全数据总线

安全数据总线概述

基于标记的安全数据总线能够在不影响既有业务系统的前提下，作为协同工作的平台，提供协议转换功能，打通城轨云不同网络域之间的沟通壁垒，在安全、高效、可控的前提下实现数据在网络域间的共享，确保数据的完整性。

基于标记的安全数据总线特色

数据接口服务一体化

◆ 标准、规范化的数据字典、类型及格式
◆ 统一了数据共享交换的协议和接口集
◆ 通过服务提供数据采集等交换出入口

鉴权和标记强访

◆ 安全数据总线系统支持多种用户身份鉴权模式
◆ 安全标记代理功能提供标记强制访问控制功能

标准化维护服务

可为客户提供硬件维保，对故障硬件进行维修、替换。对处于维保期内的设备可提供软件在线升级服务和离线升级包的下载权限，并能提供远程支持服务，对客户的使用问题或设备故障问题进行解答和处理。

产品安装服务

可为采购安装服务的客户提供现场设备安装服务，服务包括设备的现网上线，license安装，现场简单使用培训。

现场支持服务

可为采购上门支持服务的客户提供人员现场支持，对客户的系统使用故障等问题进行处理。

备机支持服务

采购备机支持服务的客户可以在设备硬件故障后的3天内获得相关备机支持，相关备机可以持续使用至硬件维保完成。

远程支持服务

可通过电话、语音、远程协助为客户提供人员远程支持，对客户的系统使用故障等问题进行处理。

系统培训服务

可以通过远程或者现场方式为客户提供系统操作培训服务，让客户更快更流畅的使用系统带来的优质服务。

模拟演练服务

可以为客户系统的真实环境根据实际网络威胁情况作出模拟演练，让客户发现系统的处理情况。

更多服务

关于我们

北京天琴合创技术有限公司（简称天琴科技）2017年成立于北京，成立之初就致力于下一代网络安全技术的研究。公司以新计算安全和智能分析为主营业务，目前已经形成“Lyra”系列边界和流量收集类产品；“Bootes”系列云环境内计算安全类产品；“Pegasus”系列人工智能分析类产品构成的完整的覆盖云计算环境“端-管-云”的安全产品体系。

企业荣誉

国家高新技术企业
北京市重点软件企业

核心技术

基于流量的网络安全监测分析技术
基于零信任模型的安全防护技术

广泛合作

互联网应急中心应急服务支撑单位
参与多项网络安全保障工作

常见问题

在使用之前可以在这里了解一些使用中可能会遇到的各种问题，并且有对应的解决方式。如果有未能解决的请联系我们的工程师！

安装部署问题

是否支持安装在虚拟机上
系统已经提供对虚拟机的支持，可以在虚拟机上安装。

升级问题

终端不能上外网是否可以升级
如果控制中心可以上外网，终端会通过控制中心到外网升级，如果控制中心已经有更新数据，就会直接在控制中心下拉。

网络相关问题

隔离网工具下载失败
隔离网工具下载失败一般由于网络原因，目前已知的某些通讯运营商的光纤会做url劫持，导致下载失败。碰到该种情况，建议找一个其他网络环境进行下载。

通讯相关问题

终端如何与控制台进行通讯
终端连接升级服务器需要打开升级服务器端口（默认为80），可以在安装服务器，打开“开始->所有程序->控制中心->服务器配置向导”第二步来进行改变。

操作使用问题

控制台密码忘记了怎么办
在安装的服务器，通过开始->所有程序->控制中心->服务器配置向导中的第一步修改登录密码。

其它问题

是不是一旦服务器崩溃了，整个系统就会面临危险？
即便因断电、硬件故障等引起服务器崩溃，终端电脑可以依赖本地特征库和安全策略抵挡病毒攻击，保证用户正常办公。