1、双网融合下的高铁智慧出行服务一.公司简介国铁吉讯科技有限公司国铁吉讯科技有限公司由中国铁路投资有限公司与吉利、腾讯携手共同组建。铁路占股51%，吉利、腾讯占股49%。国铁吉讯科技有限公司的成立，是铁路部门深化国铁路部门深化国铁企业改革铁企业改革、积极发展混合所有制经济积极发展混合所有制经济、推动高铁推动高铁网网+互联网互联网“双网融合双网融合”取得的重要成果取得的重要成果。公司负责动车组动车组WiFiWiFi平台建设和经营平台建设和经营，将向旅客将向旅客提供站车一体化、线上线下协同的出行服务提供站车一体化、线上线下协同的出行服务，包括WiFi接入、行程服务、订票、订餐、休闲文化娱乐、新闻资讯、

2、特色电商、联程出行、智慧零售等。中国铁路官方WiFi入口、官方行程服务；高铁年客流量超过20亿人次，用户发展潜力巨大；高铁车站和列车封闭场景的全触点；预计到2020年，覆盖全国3000+动车组列车。定位与使命：智慧高铁服务商让服务联网 让出行智慧定位使命双网融合高铁网互联网，在技术和服务上进行双向融合，采用下一代新技术、新模式，为铁路生产运营的智能化、数字化升级做贡献。时空运营将出行空间场景演化成用户体验中心，有效规划用 户的时间、空间，以做好客运服务为宗旨，促进消 费升级，不断满足人们对美好出行生活的需要。产品版图出发服务出发服务线上线上/线下的在途服务线下的在途服务持续服务持续服务信息提醒

3、信息提醒预定信息/行程提醒共享出行网约车/租车/公共交通商旅服务商旅服务商品订购/旅游攻略/进站服务预约定制预约挂号/订票酒店/景区WiFiWiFi连接服务连接服务车载硬件：车载天线确保信号覆盖；车载离线服务器确保内容体验在线娱乐电商购物会员服务会员服务旅客服务旅客服务视频/音乐手机游戏新闻/资讯车上点买送货智能提货柜配送到站会员积分会员成长会员权益车、站内服务增值服务智能进出站共享出行共享出行网约车/租车/公共交通智慧零售智慧零售商品订购/到站到家配送定制服务定制服务地接/引导/旅游/求医/急救/上学/就业/业内服务票务信息需求预测内容推荐广告营销离场服务应用营销出发地需求出发地需求铁路上需

4、求铁路上需求目的地需求目的地需求出出行行意意向向互联网互联网+高铁网，为旅客提供门到门的一站式生活服务高铁网，为旅客提供门到门的一站式生活服务再再次次出出行行掌上高铁V2.0时代乐享3.5小时高铁时光行程管理高铁订餐极速打车站区生活铁路出行服务一站式出行服务高铁WiFiWiFi在途娱乐生活圈服务二.双网融合建设规划互联网+铁路智慧出行互联网+铁路客运服务互联网+铁路旅游020103050604旅游列车旅游列车自驾游自驾游国铁出行国铁出行旅游平台旅游平台铁路旅行社产品铁路旅行社产品第三方平台合作第三方平台合作自营特色主题产品自营特色主题产品电子导游电子导游翻译系统翻译系统安全助手安全助手游记攻略

5、游记攻略社交平台社交平台铁路酒店集团化管理铁路酒店集团化管理资源整合，建立会员体系资源整合，建立会员体系火车票火车票景点门票景点门票生活票务（电影、演出、展馆）生活票务（电影、演出、展馆）互联网+铁路餐饮互联网+铁路行业云三.双网融合安全思考国铁吉讯网络安全现状铁路内部服务网动车WiFi专线/VPN安全生产网安全防御隔离平台用户腾讯云互联网接入用户终端终端信任铁路内部服务网办公网信任铁路外部服务网图例：目前我们(行业)的网络安全架构存在的问题：攻击者一旦突破企业的网络安全边界进入内网，常常会如入无人之境攻击者一旦突破企业的网络安全边界进入内网，常常会如入无人之境默认内网安全，预设了对内网中的人

6、、设备和系统的信任，从而忽视内网安全措施的加强。默认内网安全，预设了对内网中的人、设备和系统的信任，从而忽视内网安全措施的加强。公有云、私有云、混合云，云计算，手机移动端等的快速发展导致传统的内外网边界模糊，很难找公有云、私有云、混合云，云计算，手机移动端等的快速发展导致传统的内外网边界模糊，很难找到物理上的安全边界。到物理上的安全边界。基于密码，基于密码，SSLSSL证书，证书，AES AES 密钥等静态认证，一旦密钥或者证书被泄露，黑客可以横行无忌，为所欲为密钥等静态认证，一旦密钥或者证书被泄露，黑客可以横行无忌，为所欲为机器学习机器学习零信任传统边界正在消失持续身份认证持续身份认证谷歌

7、Google BeyondCorp不影响生产不影响生产ZeroTrust Security以身份为中心以身份为中心动态访问控制动态访问控制智能身份分析智能身份分析自动化调整安全与易用平衡最小授权最小授权业务访问代理业务访问代理业务访问主体业务访问主体公有云混合云零信任IT办公网安全架构实践自动化学习变革与演进变革与演进去网络中心化去网络中心化持续检测时空变化时空变化解决方案设想无边界建设智能身份平台，业务访问主体和访问代理分别通过与智能身份安全平台交互，并协商数据平面配置参数，来完成信任的评估和授权过程持续身份认证持续身份认证以身份为中心以身份为中心动态访问控制动态访问控制蜜网雷区网络安全架构

8、从网络安全架构从“网络中心化网络中心化”走向走向“身份中心化身份中心化”零信任默认内网和外网一样充满风险，不再相信任何内部人和内部设备布置蜜网、雷区，通过蜜罐诱杀和洞察分析攻击者零信任架构认为一次性的身份认证无法确保身份的持续合法性，即便是采用了强度较高的多因子认证，也需要通过持续认证进行信任评估零信任架构下的访问控制基于持续度量的思想，是一种微观判定逻辑，通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定是否授权。蜜网安全生产网铁路内部服务网蜜罐实时监控零信任图例：蜜网雷区腾讯云零信任办公网互联网专线/VPNCRGT 0t Security ArchitectureCRGT 0t Security Architecture本零信任安全架构由国铁吉讯安全团队设计零信任安全架构设想零信任安全防御隔离平台铁路外部服务网蜜网实时监控雷区蜜罐感感 谢谢 聆聆 听听