日前,2022年国家网络安全宣传周在安徽合肥启动,加上本月媒体报道的西北工业大学遭美国国家安全局NSA网络攻击一事,国内的网络信息安全问题再度引发关注。
而在中国的铁路领域,网络信息安全也存在着诸多隐患,甚至在一定条件下会构成潜在的威胁,这不得不将是我们面临的严峻挑战。本期推文,我们请到了云宏信息科技股份有限公司的专业人士,为大家分享有关中国铁路网络信息安全所面临的挑战,以及应对的思路与解决方案:
据了解,目前铁路信息系统大多运行在国外虚拟化软件(如VMware、IBM)构建的x86或者小型机服务器的虚拟机上,即采用本地存储+云存储、本地计算+云计算相结合的方式。由于中国铁路行业的后发优势,我们已经率先实现了云存储、云计算等先进技术的应用,跳过或者部分跳过了国外铁路行业集中使用物理服务器的技术阶段,但随之而来的隐患,也丝毫不容小觑。
大到列车运行,小到售票的个人信息,铁路信息化安全其实与我们每个人息息相关
根据统计,目前中国铁路使用的x86服务器的虚拟机上,采用虚拟化软件VMware的占比较高。VMware这套软件虽然有着功能强大、技术成熟、运行稳定等诸多优点,但由于其核心技术归属于美国公司,故而存在严峻的技术管制风险,而且外国软件对于国产芯片生态环境、铁路设备乃至人员使用习惯,又有着水土不服等问题。
VMware的总部,位于美国加州(Via:维基百科 BrokenSphere 摄 )
其实,中国铁路信息系统现阶段面临的挑战,与早年间我们引进动车组所面临的问题有很多相似之处:核心的技术尚未被深度国产化、不同平台之间无法互联互通、与本土的应用环境不够契合。所以,就像从生产统型动车组,再到研发“复兴号”中国标准动车组一样,中国铁路的信息系统,势必也应该在统型化、国产化、先进性上有所突破,才能适应未来的发展。
现在回过头看,研发生产“复兴号”中国标准动车组的决策绝对称得上高瞻远瞩也是在今年5月,国铁集团正式印发《“十四五”铁路网络安全和信息化规划》,提出力争在“十四五”期间完成全路信息系统统型工作,实现信息系统数量大幅缩减,应用软件自主可控,信息系统研发效率和运维质量全面提升。《规划》的发布实施,对规范和指导未来铁路信息化建设具有重要指导意义,同时也说明,铁路解决信息系统的诸多问题,将加速提上日程。
今年5月,国铁集团正式印发《“十四五”铁路网络安全和信息化规划》
解决问题的关键,在于对进口VMware软件的替换,这不仅是整个挑战“破局”的关键所在,同时也是全面国产化解决网络安全风险的必由之路。而对于如何实现对进口VMware软件的替换,根据核心架构思路的不同,目前共有五条不同的技术路线:
1.物理裸机服务器替换
推荐指数:★★
核心架构思路是采用物理裸机服务器,替代进口VMware软件的虚拟化云存储云计算功能,即所有业务下云,重回本地处理的旧模式。虽然这种办法安全性较高,但存在服务器宕机业务中断,资源利用率低等缺点,且这种模式属于开历史倒车,无法适应未来发展的思路。
2.容器云平台替换
推荐指数:★★★
核心架构思路是采用轻量级的容器云,替代进口VMware软件的虚拟化云计算部分,即本地存储,运算上云。容器云具备简单易用、更灵活敏捷的优点,但替换过程应用系统需要改造,且改造代价过高,此外还有隔离性差,安全性有待提高等缺点。
容器云虽然简单易用,灵活便捷,但应用系统需要改造,且改造代价过高采用公有云、私有云等云平台,替换进口VMware软件的虚拟化架构,即全体业务全部上云。这一核心架构思路具备生态开源、负载均衡等优点,但替换过程建设规模成本较大,对原有的存储、网络适应难度大,且架构复杂,会大大增加运维压力。
多路线上云方向选择
4.超融合替换
推荐指数:★★★★
采用超融合的核心架构思路,替换进口VMware软件虚拟化+集中存储的架构思路,即从根源上改变传统架构模式,打造国产虚拟化软件+分布式存储的融合部署架构系统。该方案的优点是计算、网络、存储一体化,具备一站式运维管理。但缺点也很明显,如替换过程中现有的存储资源无法利旧,建设成本的投入过高,未来运行性能和资源损耗较大等。
超融合技术路线解决方案示例
这一方案的核心架构的思路,是采用与进口VMware软件功能相同的国产虚拟化软件进行同位替换,通过V2V工具,将原有进口VMware软件构建的虚拟资源池,整体平移到国产软件构建出的新平台上。这一方案的优点是无需引入新技术,可实现平滑替换,且不仅兼容国产服务器生态系统,还能保障整体安全可控。最优路线详解:
如上所述,通过国产虚拟化软件进行同位替换的思路,是比较可靠务实的技术路线。而通过在其他领域的实践,也证明了这一技术路线是客户较为容易接受的选项。具体来说,这一技术路线具备以下六点核心优势:
1.信息系统更安全。
该技术路线下,核心软件均采用国产产品,整体技术可控,不受国外的技术管制。搭配国产的服务器等硬件设备,应对攻击和泄密的风险也较低。
四川省及下属地市州密码管理局、保密机要局有关领导在中国智慧产业国际博览会上了解国产虚拟化解决方案技术路线的保密加密技术2.前期采购成本更经济。
该技术路线前期试点投入不高,且能够边尝试,边推行,分步骤投资,有助于减轻财务压力。同时现有的服务器、存储资源能有效利旧,减少升级过程的投入。此外国产软件性价比更高,同等质量下软件授权费用更低。
3.替换过程更平滑。
通过国产虚拟化软件进行同位替换,能够保留现有架构的各项功能不变。且迁移过程相对简单,整个过程中业务也不会中断,降低软件替换对日常运输业务的影响。
架构相同,实现平滑替代
4.运营成本更低。
国产虚拟化软件在实现进口VMware软件所有功能的同时,整体的功能不做大的调整,现有人员经过简单培训即可适应。同时国产虚拟化软件更符合国人的使用习惯,界面更友好易用,培训新进人员的学时更短。加上国产虚拟化软件售后服务网络广、响应速度快的本土优势,更可有效减低运营成本。
相比其他技术路线,通过国产虚拟化软件进行同位替换能够更好的适用中国铁路现有的顶层架构、使用环境、硬件系统;能够在现有的条件下,将目前数量繁多的信息系统进行统型;通过对中国铁路的“按需定制”,实现“一套系统,服务全路”的目标。
6.未来更具发展空间。
在这一技术路线下,采用“中国心”的信息系统具备很强的发展空间,能够为未来的业务云化、数字化转型奠定基础。在未来时机成熟之时,可以更简单便捷的过渡到云管理、云服务及云运营的新阶段,实现铁路信息技术的再升级。
云宏是国内最早致力于国产化云计算基础软件的国家专精特新企业,目前已为金融、政府、军工等有超高安全要求的客户提供稳定的产品服务十余年。在虚拟化软件领域,云宏更是堪称国内的领航企业,企业研发的有着“中国人自己的VMware”之称的云宏CNware WinSphere软件,已经具备全面替代进口VMware软件的实力,并已经为服务中国铁路做好了准备。
云宏服务的各行业标杆案例
云宏CNware WinSphere软件,与进口VMware软件的整体功能对标度达92%,且100%覆盖铁路行业企业的常用功能。经过spec cpu/fio等工具压力测试,在x86运行环境下,性能非常接近于进口VMware软件的水平。
云宏CNware WinSphere软件易于使用,部署十分便捷。在以往的工程实践中,最快20分钟即可完成虚拟化引擎部署,0.5天即可完成交付。云宏CNware WinSphere采用一套介质适配异构芯片,一套管理界面实现资源池统一。能够实现软件产品统型化、使用运维统型化、数据汇总统型化、服务售后统型化,完美契合中国铁路这种集中管理、大联动的现有体制。
云宏CNware WinSphere在实现统型化的同时,还能以开放架构实现异构兼容性强的特性,支持主流国产处理器、服务器硬件。客户在利用现有设备的基础上,对未来的硬件的替换增添等采购不设技术门槛,有效帮助客户比选不同的供应商以降低采购成本。云宏CNware WinSphere可适配国内外多种芯片作为中国人自己的软件企业,云宏CNware系列产品已在诸多客户生产环境稳定运行十年以上,且各项功能支持国密算法,满足不同等级的保密需要。同时,还拥有在多个重要领域以国产化软件替代进口软件的诸多实践经验。铁路是国之重器,而铁路的网络安全与信息化安全更是不容忽视的要害领域。居安思危,警钟长鸣,希望对于面临的潜在威胁,能够提起大家足够的重视。未来,云宏信息科技股份有限公司愿意与各界同仁们一道,共同为中国铁路的网络安全和信息化安全贡献自己的力量!
PS:欲了解云宏信息科技股份有限公司的更多信息,或洽谈业务合作,可联系公司服务热线400-6300-003。
编辑:吕彪
新书推介罗春晓老师的新书《中国高铁动车组巡览》摩点众筹圆满成功!本书称得上是广大关注铁路发展的公众们了解中国高铁发展的首选入门级科普图书,也是广大铁路从业人士和铁路爱好者们向亲朋好友介绍自己工作或爱好时绝佳的推荐读物。除了此次摩点众筹外,在不久之后,这本新书也将上架铁道工坊的淘宝官方网店进行销售,敬请期待!
↓ 欢迎点击下图,了解新书的更多信息 ↓
关于众筹何时发货、淘宝何时开售等最新情况,我们将在“铁道视界”微信公众号中随时同步公布,敬请关注!如果您有相关问题,也欢迎随时给我们留言!
编辑:吕彪
另有多款精美文创热卖进行中,欢迎选购!
好评热销中!淘宝店铺: 淘宝搜索店铺“铁道工坊”即可。
【精彩回顾】
觉得好看就点一下呗~