鐵路信息系統(tǒng)安全體系研究

張 彥

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

基礎(chǔ)研究

鐵路信息系統(tǒng)安全體系研究

張 彥

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

分析中國(guó)鐵路信息系統(tǒng)的安全現(xiàn)狀和面臨的信息安全威脅，提出鐵路信息安全系統(tǒng)的頂層建設(shè)構(gòu)思，構(gòu)建基于鐵路安全管理中心和PKI/CA認(rèn)證中心支持下的安全應(yīng)用環(huán)境子系統(tǒng)、區(qū)域邊界防護(hù)子系統(tǒng)、通信網(wǎng)絡(luò)防護(hù)子系統(tǒng)三重防護(hù)技術(shù)體系，以客票系統(tǒng)為例檢驗(yàn)該體系的適用性。

信息系統(tǒng)；安全體系；適用性

中國(guó)鐵路信息系統(tǒng)按照《鐵路信息化總體規(guī)劃》思路建設(shè)。根據(jù)該規(guī)劃，鐵路信息系統(tǒng)分為運(yùn)輸組織、客貨營(yíng)銷和經(jīng)營(yíng)管理3大應(yīng)用領(lǐng)域[1]，其中，按照四級(jí)安全等級(jí)保護(hù)建設(shè)的重大信息系統(tǒng)集中在運(yùn)輸組織和客貨營(yíng)銷，其他重要信息系統(tǒng)按三級(jí)安全等級(jí)保護(hù)建設(shè)，次要的信息系統(tǒng)按二級(jí)安全等級(jí)保護(hù)建設(shè)。如何按照信息安全等級(jí)保護(hù)思路構(gòu)建鐵路信息系統(tǒng)安全體系，是本文的論述重點(diǎn)。

1 鐵路信息系統(tǒng)安全現(xiàn)狀分析

1.1 鐵路信息系統(tǒng)分類

由于中國(guó)鐵路設(shè)置了鐵路總公司、鐵路局、站段3層機(jī)構(gòu)，鐵路總公司是宏觀管理機(jī)構(gòu)，鐵路局是業(yè)務(wù)管理機(jī)構(gòu)，站段是業(yè)務(wù)執(zhí)行機(jī)構(gòu)，應(yīng)用類信息系統(tǒng)需要考慮3層不同機(jī)構(gòu)之間的業(yè)務(wù)關(guān)聯(lián)關(guān)系。

就系統(tǒng)應(yīng)用寬泛程度而言，鐵路信息系統(tǒng)大致分為3類：第1類是全路性的大型應(yīng)用系統(tǒng)，部署在鐵路總公司、鐵路局、站段3級(jí)管理與業(yè)務(wù)部門中，鐵路行業(yè)使用的大多數(shù)信息系統(tǒng)屬于這一類應(yīng)用，如鐵路客票系統(tǒng)、列車調(diào)度與指揮系統(tǒng)等；第2類是局部的中型應(yīng)用系統(tǒng)，如鐵路運(yùn)輸清算系統(tǒng)，按業(yè)務(wù)要求部署在鐵道總公司和鐵路局兩級(jí)管理機(jī)構(gòu)中；第3類是獨(dú)立的應(yīng)用系統(tǒng)，如車號(hào)識(shí)別系統(tǒng)等只在編組站、分界站等處應(yīng)用。

1.2 安全措施

中國(guó)鐵路信息系統(tǒng)目前采用的信息安全措施大致有3種：（1）采用獨(dú)立的專用網(wǎng)絡(luò)，如客票網(wǎng)、調(diào)度網(wǎng)等，不同的網(wǎng)絡(luò)服務(wù)于不同的業(yè)務(wù)，網(wǎng)絡(luò)間提供信息交互服務(wù)；（2）部分系統(tǒng)建立了對(duì)外的統(tǒng)一信息安全支撐平臺(tái)，用于防患來(lái)自外部網(wǎng)絡(luò)的攻擊；（3）部分系統(tǒng)建立了內(nèi)部的安全保障平臺(tái)，在有信息交互的網(wǎng)絡(luò)邊界部署外部訪問(wèn)控制器、內(nèi)部訪問(wèn)控制器、隔離網(wǎng)閘、防火墻、入侵檢測(cè)等安全設(shè)備。

1.3 安全現(xiàn)狀

隨著社會(huì)的發(fā)展，鐵路的業(yè)務(wù)已突破封閉式專網(wǎng)運(yùn)營(yíng)模式，向互聯(lián)網(wǎng)方向滲透。如近年來(lái)客運(yùn)的互聯(lián)網(wǎng)售票服務(wù)，貨運(yùn)的大客戶服務(wù)等，無(wú)不需要通過(guò)互聯(lián)網(wǎng)這一便捷的網(wǎng)絡(luò)通道，使人們足不出戶就能購(gòu)買火車票、托運(yùn)貨物等，在給千家萬(wàn)戶帶來(lái)方便的同時(shí)，也給鐵路信息系統(tǒng)的安全帶來(lái)嚴(yán)重挑戰(zhàn)，鐵路靠傳統(tǒng)的專網(wǎng)抵擋外部入侵的措施已不能滿足信息系統(tǒng)安全形勢(shì)的發(fā)展需要，須要從頂層考慮，建立一套自頂向下的、完整的安全體系和策略，為各級(jí)各類應(yīng)用系統(tǒng)提供安全保障。

2 信息系統(tǒng)安全體系總體設(shè)計(jì)

2.1 信息安全體系的頂層構(gòu)思

從上述分析可知，鐵路信息系統(tǒng)量多且規(guī)模大，多網(wǎng)并建，各系統(tǒng)之間縱橫交錯(cuò)，因此，鐵路信息系統(tǒng)的安全體系建設(shè)不因只考慮單一系統(tǒng)、單一網(wǎng)絡(luò)的安全，也不因只涉及單一管理層面的安全，而應(yīng)自頂向下全盤統(tǒng)籌，貫穿鐵路信息系統(tǒng)的各個(gè)層面。具體的說(shuō)就是：按照GB/T22239-2008《信息安全技術(shù)–信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中提出的物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全及數(shù)據(jù)安全5個(gè)方面的技術(shù)要求，以“信息共享、設(shè)施共用、縱深防護(hù)、主動(dòng)防御、內(nèi)外兼防”為原則，構(gòu)建鐵路總公司、鐵路局、站段各級(jí)信息系統(tǒng)的“二個(gè)中心、三重防護(hù)”安全體系架構(gòu)，合理劃分安全域，強(qiáng)化網(wǎng)絡(luò)邊界和應(yīng)用環(huán)境安全。

2.2 安全體系總體設(shè)計(jì)思路

“兩個(gè)中心”是指覆蓋整個(gè)鐵路信息系統(tǒng)的安全管理中心和為鐵路信息系統(tǒng)進(jìn)行統(tǒng)一身份認(rèn)證的PKI/CA認(rèn)證中心，“三重防護(hù)”是指通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊界防護(hù)和安全應(yīng)用環(huán)境保護(hù)[2]。

“兩個(gè)中心支撐下的三重防護(hù)體系”是從系統(tǒng)的整體安全角度考慮，兼顧系統(tǒng)各安全區(qū)域間、各安全層面間的關(guān)聯(lián)性，形成以安全管理中心進(jìn)行統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、綜合分析的集中管理平臺(tái)，以PKI/CA認(rèn)證中心為鐵路行業(yè)統(tǒng)一身份認(rèn)證平臺(tái)，以通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊界防護(hù)和安全應(yīng)用環(huán)境保護(hù)三重協(xié)同防護(hù)的縱深防御體系。如圖1所示。

圖1 安全技術(shù)體系架構(gòu)圖

2.2.1 安全管理中心

安全管理中心是技術(shù)架構(gòu)的核心，實(shí)現(xiàn)對(duì)通信網(wǎng)絡(luò)防護(hù)子系統(tǒng)、區(qū)域邊界防護(hù)子系統(tǒng)和安全應(yīng)用環(huán)境子系統(tǒng)的統(tǒng)一管控。該中心是對(duì)三重防護(hù)體系的有效支撐，分別在鐵路總公司和鐵路局部署，各層次之間有數(shù)據(jù)交互。安全管理中心由系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計(jì)管理子系統(tǒng)組成，分別對(duì)應(yīng)“三權(quán)分立”模式的系統(tǒng)管理員、安全管理員和審計(jì)管理員。

2.2.2 鐵路PKI/CA認(rèn)證中心

鐵路PKI/CA認(rèn)證中心為鐵路行業(yè)統(tǒng)一的身份認(rèn)證系統(tǒng)，可以奠定鐵路行業(yè)網(wǎng)絡(luò)信任體系基礎(chǔ)，有效解決應(yīng)用系統(tǒng)的身份認(rèn)證問(wèn)題，使之具備高強(qiáng)度的身份認(rèn)證和責(zé)任認(rèn)定機(jī)制，為應(yīng)用系統(tǒng)的權(quán)限管理和單點(diǎn)登錄提供支撐平臺(tái)和服務(wù)。該系統(tǒng)分別部署于鐵路總公司和鐵路局，鐵路總公司PKI/CA認(rèn)證中心包括CA認(rèn)證中心、RA管理中心和交叉認(rèn)證中心，鐵路局根據(jù)實(shí)際情況可以考慮建設(shè)CA認(rèn)證中心和RA管理中心[3]。

2.2.3 通信網(wǎng)絡(luò)防護(hù)系統(tǒng)

網(wǎng)絡(luò)通信包括鐵路客票網(wǎng)、調(diào)度網(wǎng)、生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)等不同專網(wǎng)之間的通信，以及專網(wǎng)與互聯(lián)網(wǎng)之間的通信。不同的專網(wǎng)之間部署通信網(wǎng)絡(luò)防護(hù)系統(tǒng)并實(shí)現(xiàn)安全通道功能，專網(wǎng)與互聯(lián)網(wǎng)之間以及四級(jí)系統(tǒng)與其他系統(tǒng)之間部署強(qiáng)隔離系統(tǒng)和外部訪問(wèn)控制系統(tǒng)，其他網(wǎng)絡(luò)之間部署內(nèi)部網(wǎng)絡(luò)控制系統(tǒng)和防火墻等安全設(shè)備，防止內(nèi)部發(fā)生安全泄漏事件。

2.2.4 區(qū)域邊界防護(hù)系統(tǒng)

區(qū)域邊界防護(hù)分為縱向區(qū)域邊界防護(hù)和橫向區(qū)域邊界防護(hù)?？v向邊界是鐵路總公司中心對(duì)鐵路局中心、鐵路局中心對(duì)車站及相鄰鐵路局之間的邊界，在構(gòu)建縱向邊界防護(hù)策略時(shí)，主要考慮邊界完整性保護(hù)、外部非法接入、內(nèi)部用戶非法外聯(lián)、強(qiáng)制訪問(wèn)控制機(jī)制等。橫向邊界是指二、三、四級(jí)信息系統(tǒng)間的安全域邊界，按照 “二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)、四級(jí)系統(tǒng)獨(dú)立分域”的劃分原則構(gòu)建。

2.2.5 安全應(yīng)用環(huán)境子系統(tǒng)

安全應(yīng)用環(huán)境系統(tǒng)針對(duì)二、三、四級(jí)各類應(yīng)用系統(tǒng)部署服務(wù)器、終端等不同環(huán)境下的安全防護(hù)策略。服務(wù)器可采取的安全策略包括身份鑒別、標(biāo)記管理、強(qiáng)制訪問(wèn)控制、安全審計(jì)和系統(tǒng)可信安全機(jī)制等。終端的安全采用基于安全操作系統(tǒng)的安全防護(hù)機(jī)制，可采用訪問(wèn)控制軟件與終端軟件完整性檢查、操作系統(tǒng)安全加固等措施。

圖2 鐵路客票系統(tǒng)安全結(jié)構(gòu)圖

3 安全體系在鐵路客票系統(tǒng)中的應(yīng)用

3.1 需求分析

分析鐵路客票系統(tǒng)的整體架構(gòu)和網(wǎng)絡(luò)構(gòu)成，可以從以下幾方面給出客票系統(tǒng)的安全需求：

（1）設(shè)備安全需要：核心數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、接口服務(wù)器、交易前置服務(wù)器的安全，車站售票窗口、代理售票窗口、TVM、管理機(jī)等各類接入終端的安全；（2）網(wǎng)絡(luò)安全需求：客票網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)、互聯(lián)網(wǎng)的接入安全；（3）縱向邊界安全需求：鐵路總公司客票中心系統(tǒng)、地區(qū)客票中心系統(tǒng)、車站系統(tǒng)邊界的安全；（4）橫向邊界安全需求：客票核心系統(tǒng)、客戶服務(wù)中心網(wǎng)站、電子支付平臺(tái)、運(yùn)輸清算等系統(tǒng)、旅客服務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交換的安全；（5）數(shù)據(jù)安全需求：票庫(kù)、存根、常用客戶等重要數(shù)據(jù)的存儲(chǔ)和傳輸安全；（6）人員安全需求：內(nèi)部操作人員進(jìn)入系統(tǒng)的安全認(rèn)證、外部用戶通過(guò)互聯(lián)網(wǎng)進(jìn)入12306網(wǎng)站的安全認(rèn)證、系統(tǒng)管理員進(jìn)入后臺(tái)系統(tǒng)的安全認(rèn)證等。

3.2 安全風(fēng)險(xiǎn)分析

鐵路客票系統(tǒng)面臨的安全風(fēng)險(xiǎn)主要有：

（1）來(lái)自外部的安全威脅：通過(guò)互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)非法接入，對(duì)客票系統(tǒng)進(jìn)行惡意破壞、病毒擴(kuò)散、DDos攻擊、資源濫用等。（2）來(lái)自內(nèi)部的安全風(fēng)險(xiǎn)：內(nèi)部人員越權(quán)、跨區(qū)域登錄服務(wù)器或核心數(shù)據(jù)庫(kù)，篡改存根、財(cái)務(wù)統(tǒng)計(jì)數(shù)據(jù)、票庫(kù)等重要數(shù)據(jù)源，非法鎖定票源，插入有病毒的移動(dòng)介質(zhì)傳播病毒，對(duì)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員缺乏有效的監(jiān)督和審核措施等。（3）互聯(lián)系統(tǒng)間的接口安全：客票系統(tǒng)、12306網(wǎng)站、電子支付、旅客服務(wù)、運(yùn)輸清算等系統(tǒng)之間通過(guò)數(shù)據(jù)交換接口進(jìn)行非法操作，造成網(wǎng)絡(luò)擁堵，發(fā)布帶病毒的接口數(shù)據(jù)造成病毒傳播等。（4）斷電、斷網(wǎng)、空調(diào)失效、機(jī)房漏水等環(huán)境因素造成系統(tǒng)運(yùn)行中斷等。

3.3 安全方案

根據(jù)對(duì)鐵路客票系統(tǒng)安全需求及安全風(fēng)險(xiǎn)的分析，本方案擬以鐵路客票系統(tǒng)為中心，將與其有關(guān)聯(lián)關(guān)系的電子支付平臺(tái)、12306客戶服務(wù)網(wǎng)站、客運(yùn)清算系統(tǒng)、旅客服務(wù)系統(tǒng)等信息系統(tǒng)納入安全方案中進(jìn)行統(tǒng)籌考慮，并根據(jù)各系統(tǒng)在鐵路總公司、鐵路局、站段3級(jí)縱向系統(tǒng)中的安全性要求，參照本文第3.2節(jié)中的總體設(shè)計(jì)思路，建立圖2（見P7）所示的鐵路客票系統(tǒng)安全結(jié)構(gòu)總圖。

根據(jù)“兩個(gè)中心、三重防護(hù)”的設(shè)計(jì)理念，鐵路客票系統(tǒng)的安全管理由鐵路總公司安全管理中心統(tǒng)一處理，身份認(rèn)證及密鑰由鐵路總公司PKI/CA認(rèn)證中心統(tǒng)一分發(fā)。

鐵路客票系統(tǒng)在鐵路總公司、鐵路局和車站之間通過(guò)客票網(wǎng)相連，旅客服務(wù)系統(tǒng)在鐵路局與車站間通過(guò)旅服網(wǎng)相連，在鐵路總公司、鐵路局、站邊界處部署縱向區(qū)域邊界安全子系統(tǒng)。

鐵路總公司級(jí)客票核心系統(tǒng)、電子支付平臺(tái)、12306網(wǎng)站、運(yùn)輸清算系統(tǒng)之間建立橫向區(qū)域邊界安全防護(hù)子系統(tǒng)；客票網(wǎng)與內(nèi)部服務(wù)網(wǎng)之間部署內(nèi)網(wǎng)安全子系統(tǒng)，內(nèi)部服務(wù)網(wǎng)與外部服務(wù)網(wǎng)之間部署外網(wǎng)安全子系統(tǒng)，外部服務(wù)網(wǎng)與銀行網(wǎng)之間進(jìn)行交叉認(rèn)證，互聯(lián)網(wǎng)邊界部署外部訪問(wèn)控制系統(tǒng)，各系統(tǒng)內(nèi)部根據(jù)不同的安全等級(jí)要求部署相應(yīng)措施的安全應(yīng)用環(huán)境子系統(tǒng)。

鐵路局級(jí)客票核心系統(tǒng)、電話訂票系統(tǒng)、旅客服務(wù)集成管理平臺(tái)之間部署橫向邊界安全子系統(tǒng)，客票網(wǎng)和旅服網(wǎng)之間部署內(nèi)部網(wǎng)絡(luò)安全子系統(tǒng)，根據(jù)安全需要部署安全應(yīng)用環(huán)境子系統(tǒng)。

車站級(jí)系統(tǒng)主要是各類終端設(shè)備，安全防范重點(diǎn)是終端接入，可以根據(jù)各類設(shè)備所屬系統(tǒng)的安全等級(jí)，部署不同措施的安全應(yīng)用環(huán)境子系統(tǒng)。

4 結(jié)束語(yǔ)

本文論述的鐵路信息系統(tǒng)安全體系方案，是基于從上至下的一種設(shè)想，不論是對(duì)建立鐵路行業(yè)信息系統(tǒng)的整體安全體系，還是就某一個(gè)分布式跨地區(qū)的單一信息系統(tǒng)安全體系的建設(shè)，都具有借鑒意義。

[1] 鐵路信息化領(lǐng)導(dǎo)小組辦公室. 鐵路信息化總體規(guī)劃[Z]. 北京：鐵道部，2004，12：9-11。

[2] 沈昌祥. 構(gòu)造積極防御的安全保障框架[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003（11）.

[3] 劉永華. 網(wǎng)絡(luò)信息安全技術(shù)[M]. 北京：中國(guó)鐵道出版社，2011，7：96-99.

責(zé)任編輯 方 圓

Security system of China Railway Information System

ZHANG Yan
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

This article analyzed the security of China Railway Information System, proposed a top level concept for the construction of the Railway Information Security System, three-layered protection architecture which was consisted of the subsystem of secure application environment, the subsystem of boundary protection, and the subsystem of communication network protection. The System was based on the support of railway security management center and the PKI/CA(Public Key Infrastructure/Certif i cate Authority) certif i cate authority. The TRS(Ticketing and Reservation System) was taken as an example to test the applicability.

Information System; security system; applicability

U29-39

A

1005-8451（2015）02-0005-04

2014-10-08

張 彥，研究員。