城轨云平台建设方案 (城轨云平台白皮书)

6月23日19：30-21：30，由RT轨道交通推出的“约见轨道界”栏目开展了第二十四期话题直播互动讨论活动。本期话题以“下一代城轨云建设思考”为主题，特邀地铁业主单位及解决方案提供商的6名专家，以视频连线直播的方式，分别从各自不同的维度，探讨下一代城轨云建设和发展。

本期活动由中铁第四勘察设计院集团有限公司通号院副总工程师杨承东主持，邀请了深圳市地铁集团有限公司副总工程师孙波，北京市基础设施投资有限公司科技创新部总经理吴昊，太原轨道交通集团有限公司总经理助理、机电设备部部长郭建伟，无锡地铁集团有限公司信息管理中心经理马晓峰，新华三集团城轨云与安全技术总监张一琛嘉宾参与。

当晚的直播收获很高的热度， 截至6月24日上午10：30，本期累计观看量（PV）达到13586人次，观众来自全国34省区市。 现将演讲嘉宾的部分观点摘要如下：

深铁云技术发展

孙 波 深圳市地铁集团有限公司副总工程师

一、深铁集团数字化转型概况

深铁集团自2004年开通了首条线路，截至2022年3月底承担11条地铁线路、389公里的运营任务，安全运送乘客共3.0亿人次，公交分担率56.1% （2022年底预计将达到515公里共345座车站）。2025年，我们将开通18条线路，运营里程643公里，到2035年，将形成1335公里地铁线网。目前深铁在建线路21条、在建里程达到558.6公里、186座车站。

数字发展促进深铁集团在规划设计、工程建设、运营管理、商业管理、物业管理、置业开发等公共交通企业向外拓展模式转型并更加安全、高效、节能。联合了行业顶级咨询服务和云技术供应商参与到深铁集团城轨云技术规划建设,实现了包括NOCC、数字地铁和沃土数字平台（城轨IOC）等数字化转型项目的落地 。

二、深铁云建设现状和难点

1、深铁云阶段性建设

传统IT数据中心建设模式-烟囱式（深铁一、二期）：线网运营初期包含多个子系统，包括NCC（线网指挥中心云平台）、ACC（票务清分）、CLC （多线路售检票）多个小规模专用云落地。存在的问题包括管理割裂、孤岛式建设、IT资源无法灵活调度、IT资源利用率低等。

深铁云1.0-虚拟化（深铁三期6、10号线）：深圳地铁6号线及10号线引用云技术，将部分业务系统部署在线路级云平台上，通过虚拟化方式提供虚拟服务器、网络、存储等资源，实现资源共享、按需分配、快速部署。存在的问题包括完成硬件配置完成后、软件功能调试仍需要更长时间、软硬件交付不同期、网络及其安全需要人工设置。

深铁云2.0-云平台+虚拟化（深铁四期·NOCC二期）：NOCC共计容纳25条线路，既有线路已一次性完成线路接入规划，后续新建线路均可通过扩容纳入，并可以满足全自动运行的新线运行。NOCC土建工程一次完成/系统工程分期建设，完成1、2、3、4、5、7、9、11号线路的接入。预留后期线路的接入条件，未来实现所有线路生产业务上工控域。

深铁云管理域：正在建设的数字地铁项目，作为深铁集团各个运营环节和各类运营资源的整合中心及物理门户，全面实现智慧地铁运行的综合展示及监测、综合协调及决策支持，实现管理业务上管理域。

深铁云统一管理平台--“一云两域”：通过统一架构、统一数据湖，打破数据孤岛，实现跨部门的数据共享，现阶段融合形成了“一云两域”的格局，即深铁集团云平台和NOCC为代表的工控域与数字地铁的管理域。

三、深铁云面临问题及优化探讨

1、深铁云面临的问题

城市轨道交通线网化的背景下地铁业务软件与云平台结合过程中，因管理模式尚未跟上先进IT技术带来业务模式的改变、工控数据与管理信息共享存在边界防护安全问题、信息化水平的提升对安全管控体系提出了更高的要求。

2、深铁云优化方案

• 对策一：云架构优化

线网级云架构优化：分期次的建设使得新老线路形成了技术代差。根据建设期次不同，采取了分级和集中两种部署架构优化。老线分级部署的模式：运营生产的环境下即使上云后，仍然保持包括终端、车站、段场多级部署架构，保证地铁原有线路运行的可靠。新线集中部署模式：集中管理、集中交付。如视频分析、AI类的应用对硬件有特殊需求，在云平台统一提供GPU服务器资源池充分发挥其性能优势。

全面上云架构优化：后续线路部署提升和兼容的业务系统，通过在车站部署边缘云节点和云数据中心的联动，可以满足业务端到端全面上云的要求，节省了车站宝贵的地下空间。

• 对策二：建立健全深铁云安全保障体系

同城双活、网络隔离：目前深圳地铁设有深云NOCC（线网中心NOCC）和昂鹅（灾备中心BOCC）同城双中心，整体网络分为管理域和工控域并物理隔离，网络结构和安全设备方面实现了部分冗余配置。

完善云安全保障体系：深铁集团从物理基础设施、网络、数据等进行综合防护和并对组织、制度和培训上综合管理，围绕生产网、应用、数据和主机安全方面不断完善安全保障体系，梳理云安全需求主要分为以下4个方面：

• 全面满足等保2.0的要求：实分等级保护、突出重点、积极防御、综合防护的总体要求；
• 持续监控和分析的需求：在安全防护、云安全、应用安全和安全管理方面做到持续监控、持续分析、动态管控。
• 审计层面需求：网络安全法明确规定，国家实行网络安全等级保护制度。
• 管理层面需求：既能有效防护当前面临的各种安全风险，又不会成为制约业务灵活快速发展的瓶颈。

• 对策三：管理架构改革以适应新技术应用

管理架构改革前：职能与业务未顺应技术发展划分清晰界面，技术提升的同时大量的协调工作仍使得管理成本居高不下。

管理架构改革后：为适应包括智能巡视、数据分析和云技术等智慧运维时代，运营生产开展管理架构改革、理清技术与管理界面，为降本增效、可持续发展完善组织保障。

四、下一代深铁云建设需求及愿景

1、下一代深铁云建设需求

深铁集团将持续在设备老旧类、IT资源整合类和新IT技术/业务改造升级等方向上云提升，抹平技术代差，实现包括基础架构上云、容器化改造上云和应用改造上云。

深铁云将成为统一规划的大规模多级混合云，甚至可以考虑进一步引入更多的第三方合作伙伴，实现行业内跨企业大数据的分析和挖掘以及 IT 基础资源的共享。

2、全栈城轨云服务

支持多云统一管理：在尽量减小影响原有管理体系的前提下，对已经存在的多朵云和未来建设的云进行统一管理体系规划；

兼容异构云和异构资源：能够兼容异构云和异构的资源，保障深圳地铁的选择权；

支持私有云和公有云混合管理：地铁生产和内部管理通常使用私有云来支撑，对外服务业务则有使用公有云服务的需求

3、下一代深铁云建设愿景

深铁城轨云作为深铁集团乃至整个粤港澳大湾区轨道交通行业发展和数字化转型的IT能力共享平台、业务创新平台和行业拓展平台,对用户提供四个“统一”：统一云服务、统一云运营、统一云运维、统一云认证。

持续全面深化数字化转型、不断打磨智慧地铁、构建“轨道+”生态圈数字化平台，成为行业特色的云服务输出者。

“后云”时代 行稳致远

吴 昊 北京市基础设施投资有限公司科技创新部总经理

一、北京智慧轨道交通顶层规划

2019年，京投公司牵头编制了《北京智慧轨道交通发展行动策划方案》，依托冬奥支线工程已开通运行一个线路级的1.0版本的智慧地铁示范工程，通过多条线路的不断升级迭代，再向北京全网推广应用。

本次行动依托 “一个智慧轨道交通中心”、“一批示范工程”、“一套标准体系”，打造五类智慧地铁应用体系，最终建设具有一定自组织能力、判断能力、创新能力、持续进化的轨道交通，打造——倚“脸”出行，依“人”运营、以“云”支撑，一“脑”决策的首都“智慧化名片”。

京投公司和协同创新研究院，以“提需求、搭平台、促应用、定标准”为原则，打造“需求场景化、场景产品化、产品市场化”的基于行业全链条的协同创新体系，按照“需求引领+协同创新+场景搭建+试验验证+工程应用+咨询服务+产业孵化推广”的实施路径，开展工作。

二、北京轨道交通云平台建设

1、总体情况

2019年11月，京投公司编制了《北京地铁云平台总体规划方案》顶层规划。

北京轨道交通云平台，2021年3月启动，2021年12月底正式开通，为11号线、17号线、19号线运营生产各业务系统提供了统一计算、存储资源服务。完成计算、存储、网络等IaaS层基础资源搭建、实现了PaaS层技术服务，实现了24个专业系统入云。后续随建设实现新建线、在建线、改造线同步入云。

正在开展《北京轨道交通生产业务云平台建设及应用导则》的编制，为后续线路接入奠定基础。

2、物理/逻辑架构

北京超大规模城市轨道交通，网络化集中管理需求显著，通过构建“一片云”实现业务全承载。

3、整体架构

基于北京轨道交通“一片云”的整体规划和11号线建设工程，已完成北京轨道交通生产业务云平台的建设工作，具备了线路中心级系统和车站系统的入云条件，后续继续开展中心、站段云节点规划及建设任务。

近期在提供既有的IaaS层服务基础上，通过云平台建设导则等相关标准规范的编制，指导云平台的发展演进，在丰富IaaS层服务能力的基础上，开展PaaS平台和检测仿真平台的建设工作。

远期提供SaaS层的服务能力。

4、云安全

以《城市轨道交通云平台网络安全技术规范》为指导， 以网络安全等级保护为基础，构建横向到边、 纵向到底不漏项的安全系统架构，遵循“系统自保、 平台统保、边界防护、等保达标、安全确保”的策略， 建立安全纵深防御体系并形成完整的闭环处理，确保安全能力与城轨应用系统建设相融合。

5、云运维

北京轨道交通云平台，主要分为中心云平台以及车站云节点两大部分，涉及机房基础设施运维、硬件基础设施运维、IaaS层运维以及业务系统运维。

中心云平台运维分工：云平台运维单位负责机房基础设施、硬件及服务器操作系统以上，业务操作系统以下软硬件运维；线路运营企业负责业务系统及其他。

车站云节点运维分工：云平台运维单位负责机房基础设施以上，业务操作系统以下的软、硬件运维；线路运营企业负责机房基础设施及业务系统。

6、策略和路径

接入线路最多，接入专业最全，投资最少；采用搭积木建设方式，分步建设、按需扩展，发挥成本分期投资优势，同时避免多云异构带来的高昂定制成本及运维难度；“技术+业务+管理+运维”，从顶层规划到落地实施。

三、网络化关键设备系统集约化建设

传统线路设备系统大多采用“一线一中心”烟囱式的建设方案。

“云时代”建设模式：单专业多线路集群化建设——MVMS系统；单专业多线路集群化建设——MPIS系统

基于《北京轨道交通生产业务云平台建设应用导则》探索重构网络化关键设备系统技术标准及建设方案，如PIS、PA、CCTV、有线电话、时钟等，改变“一线一中心”模式，研究扁平化架构，实现全网设备集中管理、权限集中分配，虚化线路物理层，各条线路不再建设完整OCC系统，有效降低建设成本，实现系统网络化、集约化、“线路集群化”建设；提升信息共享能力，由业务系统灵活为各级使用方提供管理平台界面，统筹推送运营管理数据；对路网车站进行分组管理，业务组织模式灵活。

四、北京轨道交通高质量发展

“智能智慧化、装备自主化、绿色低碳化”三者是北京轨道交通高质量发展中具

有基础性、全局性的三个重大战略，相互之间密切相关、相辅相成，是高度融合发展的。

绿智融合，将从不同维度并肩创建新时代北京绿色化智能型的轨道交通，推动

北京轨道交通高质量发展，助力打造国际一流的和谐宜居之都。

新华三下一代城轨云建设思考

张一琛 新华三集团城轨云与安全技术总监

作为数字化解决方案领导者，新华三集团依托在各城市城轨云建设所积累的经验，从城轨数据中心、安全、业务的顶层规划设计出发，以“全域统一管理”作为立足点，通过综合运管平台实现资源一体化管理，重塑下一代城轨云的规划理念和建设范本。

一、IaaS底座，让创新与可靠合二为一

一座城市的城轨要为千百万乘客提供出行服务，其多样化的需求必然会造就更复杂的业务架构。新华三在城轨云的设计和建设上，十分重视可靠性。通过多云异构解决了技术绑定、风险集中等问题，复合式灾备架构在提升可用性的同时，避免数据和业务的“割裂”。在可扩展性上既保障计算、存储、网络的弹性调度和多线路接入，又以性能提升数倍的核心交换机和专业定制开发技术支撑起大规模线网云SDN组播的应用，提升了城轨云承载业务的整体效率和性能。

为了避免重复造轮子，新华三在城轨云的设计上也尤为注重基础设施的充分复用。特别是在SDN的利用上，PaaS平台可以复用SDN实现跨数据中心的大规模组网，云安全可以复用SDN网络对流量进行灵活编排，复用底层虚拟化延续高可用性。此外，新华三在车站边缘以瘦终端VDI适配控制中心，以胖终端IDV或VOI适配车站本地管理需求，并辅以“零信任”理念重新定义城轨云的接入和管理标准，让城轨云桌面走向“胖瘦终端皆为美”的新阶段。

二、推动“云数智”融合，以DaaS平台激活数据价值

新华三以沉淀多年的数据治理和开发能力整合云数平台，租户通过云门户自助申请、部署大数据资源，完成数据发布，云管理员高效灵活地对大数据资源进行审批调度，实现云数融合一体化。

新华三从数据标准、模型、指标等维度出发，全力推动城轨大数据治理服务的套件化，从完整的数据治理体系中提炼出随产品配套发布的安装包和技术文档，规范数据治理中的接口、标准等工作，降低数据治理的成本，把过去的经验化为生产力，让城轨大数据平台建设事半功倍。

三、以业务逻辑为导向，加速云原生理念落地

在PaaS平台的建设上，新华三坚持以业务逻辑为指导进行IT架构的规划布局，将新技术能否满足业务需求作为衡量PaaS平台价值的标准。例如在北京地铁，新华三构建的PaaS台立足高效灵活的容器云底座，引入Kafka中间件、DRDS分布式数据库等，以微服务架构应对潮汐流量的高并发、和业务敏捷开发的快速迭代场景，满足ITP等创新型业务的实际需求。

新华三整合过往经验推出了全流程维护手册，以高屋建瓴的设计避免了多厂商微服务“孤岛化”的复现。同时将“套件化”理念延伸到了PaaS平台，将建设过程中的资源评估原则、组件选择方法、应用服务发布方式沉淀为城轨PaaS行业套件，全面提速业务系统微服务改造的落地。

在新华三看来，伴随着数字化的加速创新以及与业务的深度融合，“厚中台、薄前台”将是未来城轨云潜在的发展趋势。在统一的IaaS平台基础上，由DaaS平台演化出的数据中台以及由PaaS平台演化出的业务中台，将为城轨云提供丰富的行业套件，通过与生态合作伙伴紧密配合，将业务服务、数据服务整合到云平台服务目录，打造城轨行业专属的云原生应用平台，进一步激活数据价值，赋能云原生应用的创新。

四、从安全、运维到运营，与城轨云变革相伴而行

在安全层面，新华三以“融汇平台统保，贯通系统自保”为基本理念，通过为城轨云打造一体化的安全体系来规避安全建设“各自为政”的混乱无序。同时，新华三针对城轨云三网不同的安全需求，提供数据安全、零信任、PaaS安全等多场景化安全能力，在满足等保合规的基础上，向着局部安全进行精耕细作。

在运维层面，新华三积极推动城轨云从技术运维向业务运维转型的建设理念，以业务为视角，实现故障的快速定位和处理，聚焦用户的真实体验，保障业务正常运转；在运维模式上，新华三尝试打破云运维和业务、设备运维之间的边界，实现运维逻辑的纵向贯通，确保每一项运维任务可跟踪、可管理。

在运营层面，新华三打造出智慧线网指挥中心、智慧车站、智慧防汛、智慧工地、智慧客服等一站式的场景化解决方案。例如智慧防汛，能通过对天气预报、雨情监测等数据的协同分析进行灾情推演，从而做到及时精准的告警，保障乘客的人身安全和地铁的运行安全。

太原地铁下一代城轨云建设思考

郭建伟 太原轨道交通集团有限公司总经理助理、机电设备部部长

一、太原地铁城轨云概况与现状

太原轨道交通云计算平台按照线网级标准建设，控制中心机房按照线网级进行统一规划，建设约3000平米机房空间，为太原线网8条线路预留机房条件。

城轨云计算平台由控制中心、灾备中心与站段级云平台组成。网络由安全生产网、内部管理网、外部服务网、运维管理网构成。

统一建设城轨大数据平台，接入安全生产网业务系统数据，制定数据标准，进行数据治理与数据服务。

• 太原地铁城轨云系统架构

• 构建“四张网络”：安全生产网、内部管理网、外部服务网、运维管理网；
• 划分“三维平面”：业务平面、存储平面、管理平面；
• 部署“四类资源”：计算资源、存储资源、网络资源、安全资源；
• 提供“三层服务”：基础设施即服务 (IaaS)、平台即服务(PaaS）、软件即服务 (SaaS)；
• 承载“一众业务”：运营生产业务、企业管理业务、乘客服务业务。

承载业务最完整、最全面的城轨云平台；首次构建了基于云平台的线网级视频云存储；首次提供容器等PaaS服务；首次提供CCTV、AFC等SaaS服务。首例基于GB 28181视频流直存的CCTV线网视频存储系统；首例承载PaaS服务构建的微服务架构ACC、ITP融合系统；国内首例承载全自动运行的城轨云平台；首次承载SIL2安全功能的城轨云平台。

二、太原地铁城轨云应用情况

• 业务部署

太原市城轨云平台按照业务类型，分为安全生产业务、内部管理业务、外部服务网系统，及云平台自身的运维管理业务。

安全生产业务主要承载IDCS（集成ATS）、PIS、ACS、AFC、集中告警、车辆智能运维业务；内部管理业务主要承载轨道公司信息平台业务；外部服务业务主要承载公务电话、CCTV、互联网售检票业务；运维管理业务包括云平台管理、网络管理、应用管理、安全管理。

太原市城轨云平台建设计算、存储、网络及安全四类资源池。

不同线路划分不同资源池，线网资源池独立、三网资源池独立、资源池内部根据专业划分VDC、VDC内部根据线路划分VPC；通过ACC容器化、微服务实践完成PaaS平台一期建设。

• 大数据平台方案

为了更好支持未来智慧业务的建设，在业务上云的基础上，建设了大数据平台，对业务系统的运营数据进行采集，从线路运营之初，建立数据资产管理机制，在线网逐步建设成型时，具备城轨数据的全生命周期管理能力。数据平台依据数据治理标准，通过接口适配、数据集成等一列加工、转换过程，形成线网统一标准的数据资产，实现对数据的长期积累，同时通过数据服务组件，实现数据的快速发布与共享。

• 城轨云当前资源情况、初步效益分析（IFMS）

太原地铁依托2号线（23.65公里）建设城轨云和大数据平台投资1.0997亿元，相应减少传统城轨通信、信号、综合监控和售检票等专业系统投入4293万元，品迭后净增投资6704万元。承载第2条线路时增建网络安全管理中心投资1000万元左右，增减品迭后净增投资减为3400万元左右；承载第3条线路后基本持平。

采用云计算技术，对各业务系统的计算、存储、网络资源统筹规划和合理分配，经初步测算可得出：物理服务器约140台／线、用电量节省少于40％以上、计算资源利用率平峰提高30％以上、存储资源利用率提高50％以上、网络资源利用率提高30％以上、安全设备利用率提高30％以上、设备采购和能耗成本大幅降低。

三、下一代城轨云需求与建议

优化线网资源规划：针对业务资源需求，对既有线网资源进行优化，兼顾利用率与管理便捷性；

加强安全业务服务能力：增加基于异构的面向业务系统的安全云服务能力；

PAAS、SAAS服务升级：随着技术的发展，越来越多的业务系统采用PaaS、SaaS服务；

提升数据平台能力：目前缺少数据资产服务目录和数据应用，推动太原轨道交通数字化转型；

整合运营管理：整合云管、安管、运管、网管、数管，提供运行、运营管理效能；

全类型测试中心：构建一云多芯，一专多能、兼容并蓄的全类型测试中心，促进城轨云生态融合发展；

实现多线路云平台架构搭建，对1、2号线以及后续线路进行整体规划和完善；实现五管合一平台建设综合运行管理平台；构建异构安全资源池提供多元化的系统安全服务。打造多功能测试中心，实现多项功能测试，构建异构资源池；提供多种服务的云平台，云平台提供灵活多样的资源服务能力；研究SIL2云平台安全认证，业内首次研究云平台的安全完成性达到Sil2级方案；支撑安全功能的虚拟化。

四、信息安全与网络安全建议

云安全资源池、安全运营中心、全流量安全、全域安全基线、零信任、数据安全、等保测评与密评。

城轨云建设思考

马晓峰 无锡地铁集团有限公司信息管理中心经理

一、无锡地铁信息化发展概况

1、无锡地铁云平台建设现状

一、二号线初试虚拟化：无锡地铁自2008年开始筹备，经过5年的建设，于2014年7月和12月相继开通无锡地铁一号线与二号线，成为国内首个首轮建设即在一年内开通两条地铁线的城市，在次期间，我们在IT基础架构方面做了服务器虚拟化尝试，整合了空闲服务器与存储资源并重新部署，提升了运作效率。

三号线建设内部管理云及外部服务云平台，四号线使用容器。无锡地铁三号线于2020年10月开通，建设了内部管理云及外部服务云，为无锡地铁内部服务及外部管理提供了计算、存储、网络、安全等IaaS层资源。无锡地铁四号线于2021年12月开通，在内部管理云的基础上建设了PaaS层，进行了容器化部署。

S1号线开启建设线路级生产云：锡澄城际轨道交通（S1号线）预计于2024年开通试运营，其运营生产系统的IT基础架构技术路线为线路级生产云，标志着无锡地铁正式进入城轨云时代。该工程是无锡市首条市域城际轨道交通线，是无锡市域南北走廊重要联系线路，对于快速沟通无锡主城区与江阴市区，强化无锡市域“一体两翼”基础设施互联互通，更深程度融入长江经济带、长三角区域一体化发展具有重要意义。

五号线开启全线路上云时代：无锡地铁五号线预计2027年开通运营，其运营生产系统的IT基础架构技术路线为线网级生产云，规划未来接入所有无锡地铁已开通的、未开通的地铁线路，标志着无锡地铁正式进入串线成网的城轨云时代。

2、地铁集团信息化规划

在地铁集团战略规划的指引下，在各项业务规划的基础上，形成了地铁集团整体的信息化规划体系，建设三个平台，其中，以对外服务为基础的服务辅助平台、以管理支撑为基础的管理辅助平台已建成，以业务支撑为基础的生产辅助平台待建设。

以对外服务为基础的服务辅助平台，也即服务云，整合了各线路AFC系统，提供基础网络环境和运行平台，同时集中部署各类对接互联网的应用系统和APP，包括码上行app、公共自行车等，通过专线对接交通局、大数据局、公安局等管理部门系统，不仅实现了对消费者的开放，也让政府侧能有力度通过无锡地铁进行一定监管。

以管理支撑为基础的管理辅助平台，也即管理云。通过多年的发展，管理云也在不断的完善，截止到无锡地铁四号线建完为止，无锡地铁管理云已形成了承载所有业务的主业务中心，提供关键业务容灾管理的容灾中心，提供重要数据备份的备份中心三大中心。三大中心通过裸纤相连，做到了数据的实时同步，定时备份。同时具备覆盖全系统的符合等保三级要求的安全体系，在纵向到底、横向到边的安全体系的防护下，能够做到内部的管理平台的安全可靠。

二、无锡地铁城轨云总体规划

无锡地铁城轨云平台建设安全生产平台，总体遵循面向业务需求的设计思路，基于城轨信息系统的业务特点，采用云计算资源池的设计方法，实现IT基础架构模块与业务模块松耦合、资源池的模块化交付横向扩展。通过云管理平台保证资源的快速交付和统一管理，支撑业务快速上线、融合运营、统一运维，实现统一管理、降低成本、数据共享等目的。

城轨云安全部署主要分四层，其中执行层主要由常规网络/安全设备组成：服务器、网络SDN、防火墙、IPS、WAF和负载均衡等，还包括了增强安全设备：网络防篡改、数据库审计、日志审计、态势感知等，执行层不仅只有硬件设备，还有软件，比如虚拟防火墙、虚拟IPS、虚拟数据库审计等等。

控制层：可以从编程侧，对网络和安全进行一些策略部署，比如用虚拟防火墙对业务进行一些逻辑隔离，可以通过编程，用代码去进行一些控制。

感知层：云计算平台是从北向的标准接口去感知常规网络/安全设备的状态和信息，比如能够感知到软硬件的状态，比如cpu使用率、内存使用率、用了多少进程、硬盘是否有故障这些。安全服务中心是通过API接口，对这些增强安全设备进行感知，比如这些硬件的状态，比如这些安全设备对应的软件是否在防护的过程中，有无出现一些异常。

赋能层：云安全运营中心能够通过感知层反馈信息，做运营功能，比如接收日志、性能监控、对软硬件配置进行管理等。

三、无锡地铁城轨云对未来网络安全的思考

从人工分析转为智能分析，能够做到云端智能、本地智能及边缘智能，能够将检测分析的检出率提高，完成分析的自进化。

从静态检测转为动态监测，能够做到单次检测多个事件，时间长，能够“无感”通过。

从单点防御转为全局防御，能够实现威胁的秒级闭环，能对威胁的攻击进行溯源，能根据自身安全能力自愈受到的攻击。

在没有城轨云出现时，地铁各专业进行各专业的系统保护，这其中又分为物理硬件及业务系统软件，均需各专业进行保护，属于“系统自保”。

在城轨云建设模式下，出现了平台统保的概念，各专业上云，由云平台对各物理硬件进行保护，各专业的业务系统软件仍需要业各专业对其进行保护，属于“平台统保、系统自保”。

我们希望在未来的城轨云平台上，能够做到统一防护，物理硬件及各专业业务系统软件均由云平台提供安全防护能力。这就是由“系统自保”向着“统一防护”演进。

四、无锡地铁城轨云发展展望

无锡地铁对城轨云的发展展望是全线路全业务上云+全能运维团队。五号线计划建设线网云平台，并计划纳管之前的1~4号线及未来的新建线路，实现全线路上云。

目前城轨云建设中，仍有部分业务无法上云，究其原因为这些专业系统的物理环境是基于工控环境，或仍有小机业务，而城轨云平台基于x86架构，期待未来城轨云能够将这些目前无法上云的专业全部上云，能够兼容各类架构，朝着全业务上云的方向发展。

目前的城轨云建设下，云平台需要一批人来维护，各个专业由于其专业性，需要各个专业的运维人员来维护。期待未来城轨云的统一运维，能够实现运维人员专业化大幅提高，进行人员复用，将两批人合一，做到一专多能，打造全能运维团队。