安全資訊

摘要：從信息系統安全等級保護的概念與分類(lèi)入手，對合肥地鐵AFC系統信息及網(wǎng)絡(luò )存在的安全風(fēng)險進(jìn)行了分析，探討地鐵票務(wù)系統信息安全等級保護的建設方案。全面介紹設計思路及設計規劃，從技術(shù)上基于云安全能力建設信息安全防護系統，構建地鐵票務(wù)系統信息安全體系，實(shí)現信息安全等級保護要求。

關(guān)鍵詞：自動(dòng)售檢票系統；信息安全；等級保護；防護體系

隨著(zhù)“互聯(lián)網(wǎng)＋”和智慧城市的建設發(fā)展，國內地鐵自動(dòng)售檢票系統（AutoFareCollection，AFC）新技術(shù)發(fā)展迅速，相繼出現基于互聯(lián)網(wǎng)的新型票務(wù)系統，同時(shí)也將系統信息安全提到戰略性高度，由原來(lái)不定級或二級向三級要求升格，如何構建互聯(lián)網(wǎng)票務(wù)系統信息安全等級保護提上了管理日程。

1信息系統安全等級保護的概念與分類(lèi)

信息系統安全等級保護是對信息和信息載體按照重要性等級分級別進(jìn)行保護?！缎畔踩燃壉Ｗo管理辦法》規定國家信息安全等級保護實(shí)行定級保護。根據《計算機信息系統安全保護等級劃分準則》建立等級保護制度，信息系統的安全保護等級分為五級（表1）。

2安全風(fēng)險分析

合肥地鐵AFC系統信息及網(wǎng)絡(luò )存在的安全風(fēng)險主要包括物理、網(wǎng)絡(luò )、主機、應用、數據、管理等方面風(fēng)險[1]。

2.1物理風(fēng)險

物理安全主要是指機房物理環(huán)境的安全，包括機房的選址、配電、安防、監控、報警、消防以及機房管理等。機房物理環(huán)境的設計、施工、運維直接影響機房?jì)瘸休d的信息系統及網(wǎng)絡(luò )運行的安全性。

2.2網(wǎng)絡(luò )風(fēng)險

為保證應用系統及數據的穩定性與安全性，網(wǎng)絡(luò )邊界、重要資產(chǎn)安全區域要設必要的安全防護措施?；A網(wǎng)絡(luò )設計不合理、網(wǎng)絡(luò )安全區域劃分不合理、網(wǎng)絡(luò )冗余設計不合理，都會(huì )影響信息系統及數據傳輸的安全性、穩定性。

2.3主機風(fēng)險

主機系統存在弱口令、安全漏洞、病毒等風(fēng)險，將直接影響主機系統的運行安全，以及一些默認開(kāi)放的權限與服務(wù)，也會(huì )給主機系統帶來(lái)不同程度的安全隱患。

2.4應用風(fēng)險

應用系統自身存在安全漏洞、用戶(hù)權限管理以及弱口令等風(fēng)險。尤其是基于Web方式的服務(wù)，更加容易被攻擊和入侵，直接影響Web應用服務(wù)運行的安全性，這是應用服務(wù)常見(jiàn)的高風(fēng)險。

2.5數據風(fēng)險

核心數據一旦被竊取或者破壞直接影響上層應用服務(wù)，或者給用戶(hù)帶來(lái)重大損失。數據系統存在安全漏洞、安全權限設置與使用的不規范等隱患，導致數據庫被入侵、非法訪(fǎng)問(wèn)、篡改與刪減等重大安全事件。

2.6管理風(fēng)險

建立健全安全防護體系，其中，安全風(fēng)險比重最高的是人的安全管理與安全運維。人員的安全意識不強、操作不規范，以及內部人員受某種利益驅使主觀(guān)地竊取數據、破壞系統，將會(huì )給信息系統帶來(lái)重大的損失，故健全安全管理體系，建立科學(xué)合理的安全管理架構，制定科學(xué)的管理流程、操作規范等管理制度，在信息安全防護體系建設中顯得尤為重要。

3等級保護的總體設計

基于信息安全空間模型的總體設計，包括安全機制、OSI（OpenSystemInterconnect，開(kāi)放式系統互聯(lián)）網(wǎng)絡(luò )參考模型、安全服務(wù)為正角形成的三維空間[2]，達到認證、權限、完整、加密和不可否認的五大要素。其中，安全機制包括基礎設施、平臺、數據、通信、應用、運行、管理、授權和審計、安全防護體系；OSI網(wǎng)絡(luò )參考模型即網(wǎng)絡(luò )七層架構；安全服務(wù)包括對等實(shí)體認證、訪(fǎng)問(wèn)控制、數據保密及完整性、數據源點(diǎn)認證、禁止否認、提供犯罪證據服務(wù)。

3.1設計依據與設計思路

合肥地鐵AFC信息安全等級保護設計與建設，遵照我國法律法規及國家相關(guān)標準規范要求，法律法規類(lèi)有：《國家網(wǎng)絡(luò )安全法》《計算機信息系統安全保護條例》《信息安全等級保護管理辦法》等；標準規范類(lèi)有《信息安全技術(shù)信息系統安全等級保護基本要求》等。設計思路以合規為重點(diǎn)，滿(mǎn)足信息安全等級保護三級要求，并具有實(shí)用性、前瞻性，有效實(shí)現信息安全綜合防御能力，提升信息安全集中管控能力。

3.2構建信息安全防護體系

3.2.1安全防護體系概述以合肥地鐵票務(wù)移動(dòng)支付平臺及3號線(xiàn)AFC系統與移動(dòng)支付平臺信息安全建設為例，同時(shí)借鑒同行在相同或相關(guān)領(lǐng)域的設計研究及做法基礎上[3-4]，按照國家信息安全等級保護要求，以三級等保要求構建的信息系統安全管理體系，分別由技術(shù)體系與管理體系構成。3.2.2安全防護體系設計規劃[5]系統設計按照“傳統架構+互聯(lián)網(wǎng)”私有云架構，硬件設計考慮了功能模塊化布置需求，具備堆砌式擴展能力?；ヂ?lián)網(wǎng)支付平臺網(wǎng)絡(luò )拓撲分為互聯(lián)網(wǎng)接入區、AFC系統網(wǎng)絡(luò )接入區、云平臺服務(wù)器區、安全運維管理區4個(gè)區域；3號線(xiàn)AFC系統網(wǎng)絡(luò )拓撲分為外部系統接入區、服務(wù)器區、安全管理區、安全運維中心區、線(xiàn)路車(chē)站區等5個(gè)區域。具體拓撲圖如圖1所示。系統建設重點(diǎn)：一是主動(dòng)安全能力，從關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制網(wǎng)絡(luò )攻擊，特別是新型網(wǎng)絡(luò )攻擊，采用可信驗證機制免受惡意代碼攻擊，并檢測、恢復其完整性；故障時(shí)，自動(dòng)保存易失性數據和狀態(tài)。二是全網(wǎng)態(tài)勢感知，從各分散在設備上的審計數據匯總、分析，集中管理安全策略、惡意代碼、補丁升級等事項，對網(wǎng)絡(luò )中的各類(lèi)安全事件識別、分析和報警，集中監測網(wǎng)絡(luò )鏈路、安全設備、網(wǎng)絡(luò )設備和服務(wù)器等運行狀況。三是用戶(hù)獨立的安全擴展能力，根據云服務(wù)客戶(hù)需求自主設置安全策略，包括定義訪(fǎng)問(wèn)路徑、選擇安全組件、配置安全策略，提供開(kāi)放接口或服務(wù)，接入第三方安全產(chǎn)品和服務(wù)，在云服務(wù)上實(shí)現各自虛擬化監測、告警控制。3.2.3邊界安全防護設計主要從邊界訪(fǎng)問(wèn)控制、邊界入侵防范、抗DDOS（DistributedDenialofService，分布式拒絕服務(wù)）防御系統、實(shí)現鏈路高可用性、內外網(wǎng)安全隔離等5個(gè)方面進(jìn)行設計。（1）邊界訪(fǎng)問(wèn)控制：部署防火墻，對所有流經(jīng)防火墻的數據包按照嚴格的安全規則進(jìn)行過(guò)濾，起到網(wǎng)絡(luò )安全的基礎屏障，對網(wǎng)絡(luò )存取和訪(fǎng)問(wèn)進(jìn)行監控審計，防止信息外泄。（2）邊界入侵防范：部署入侵防御、入侵檢測系統，實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò )數據流，在防火墻阻斷攻擊失敗時(shí)，可以最大限度地減少損失。采取基于特征和行為網(wǎng)絡(luò )檢測策略，分析數據包的特征、防范風(fēng)險、定期升級等抗攻擊策略。（3）全面拒絕服務(wù)防御：部署抗DDOS防御系統，NGTOS作為基礎軟件平臺，統一地高速處理數據報文的解析、識別、檢測、清洗、統計等，具有在線(xiàn)串接、旁路檢測和旁路清洗3種工作模式，能夠檢測與防御DOS、流量型和應用型DDOS、非法協(xié)議攻擊。（4）實(shí)現鏈路高可用性：部署負載均衡設備，包括鏈路負載均衡和服務(wù)器負載均衡等。支持直連、單臂透明及反向、三角等組網(wǎng)模式。通過(guò)壓縮、緩存、SSL卸載、HTTP優(yōu)化等技術(shù)加速應用處理，用戶(hù)能實(shí)時(shí)了解應用運行狀態(tài)，為應用安全保駕護航。（5）內外網(wǎng)安全隔離：設計有“2+1”系統網(wǎng)閘產(chǎn)品架構，由內端機、外端機、數據遷移控制單元3部分組成。內外端機具有獨立的總線(xiàn)、存儲和運算單元。內外端機之間通過(guò)具有互斥效果的數據遷移控制單元進(jìn)行連接（圖2）。3.2.4數據安全防護設計對內部用戶(hù)，防范利用內網(wǎng)各種通信協(xié)議進(jìn)行刺探、獲取、刪除或篡改重要的數據和信息。對外部非授權人員（如黑客），防范對多數據庫進(jìn)行惡意入侵、獲取或刪除數據庫中的數據，為核心數據庫提供全方位、實(shí)時(shí)的、細粒度的安全防護與審計。3.2.5應用安全防護設計應用安全防護設計分為應用高可用性、Web流量防護2個(gè)方面：一是利用負載均衡技術(shù)，將多臺服務(wù)器組建成一個(gè)服務(wù)器集群，提供單個(gè)或多個(gè)應用服務(wù)，將用戶(hù)流量通過(guò)負載均衡算法分發(fā)到各個(gè)真實(shí)的服務(wù)器；二是Web應用防火墻保護信息安全和準確性，防止Web應用層面受到攻擊。保護靜態(tài)網(wǎng)頁(yè)、網(wǎng)站腳本和后端數據庫；主動(dòng)防御已知和未知惡意代碼；防跨站攻擊，防SQL注入，抗網(wǎng)絡(luò )攻擊能力等功能，全面防止黑客入侵，篡改網(wǎng)站。3.2.6主機安全防護設計終端威脅檢測防御系統實(shí)現全網(wǎng)惡意代碼防護，在身份鑒別上實(shí)現2種或2種以上組合鑒別技術(shù)鑒別用戶(hù)，具備警示功能，對與重要主機相連的服務(wù)器、終端進(jìn)行身份標識和鑒別。具備自主訪(fǎng)問(wèn)控制、強制訪(fǎng)問(wèn)控制、安全審計的要求。3.2.7運維可視化安全設計設計上搭建安全運維審計平臺，實(shí)現集中日志審計、內網(wǎng)訪(fǎng)問(wèn)行為審計、全網(wǎng)漏洞感知能力。以運維堡壘機為核心搭建安全運維審計平臺，對內部核心服務(wù)器、網(wǎng)絡(luò )設備和應用進(jìn)行保護，監控和審計對此類(lèi)資產(chǎn)的常用訪(fǎng)問(wèn)。通過(guò)日志審計系統實(shí)現集中日志審計；通過(guò)安全管理中心系統對網(wǎng)絡(luò )資產(chǎn)集中管理和安全設備信息告警；通過(guò)網(wǎng)絡(luò )審計實(shí)現內網(wǎng)訪(fǎng)問(wèn)行為審計；通過(guò)漏洞掃描實(shí)現全網(wǎng)漏洞感知能力。同時(shí)，基于云計算安全能力構建安全框架，從云計算的SaaS-PaaS-IaaS三層架構，搭建安全運維平臺的辨識分析、安全資源、網(wǎng)絡(luò )探針與主機探針4個(gè)層次，構建地鐵票務(wù)系統安全大腦，實(shí)現三級等保要求。

4安全管理體系

主要從建立安全管理機構，健全安全管理制度，強化人員安全管理，加強系統建設管理，規范系統運維管理等五個(gè)方面開(kāi)展等級保護工作。5結語(yǔ)本文主要從定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個(gè)階段來(lái)開(kāi)展信息安全等級保護工作，從設計、實(shí)施到運維3個(gè)階段，從技術(shù)和管理兩方面，在設計思想上基于信息安全等級保護三級要求建立安全防護體系、安全管理體系，并提出安全應對策略，從攻擊、威脅和流量態(tài)勢，到合規、行為、運維態(tài)勢上，構建地鐵票務(wù)系統信息安全體系。

參考文獻

［1］中國城市地鐵協(xié)會(huì ).城市地鐵新建互聯(lián)網(wǎng)票務(wù)平臺建設指南［Z］.2018.

［2］譚志彬，柳純錄.信息系統項目管理師教程（第3版）［M］.北京：清華大學(xué)出版社，2017.

［3］劉晨陽(yáng).城市軌道交通信號系統信息安全等級保護建設方案分析［J］.中國新通信，2018，20（13）：168.

［4］張新豪，郭喜建，宋朝.網(wǎng)絡(luò )信息安全及信息安全性等級研究［J］.軟件導刊，2011，10（12）：145-146.

［5］合肥市地鐵3號線(xiàn)工程自動(dòng)售檢票系統集成與安裝技術(shù)規格書(shū)［Z］.2018.