互聯(lián)網(wǎng)環(huán)境下鐵路信息安全等級保護設(shè)計方案研究

姚洪磊，史 宏

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

互聯(lián)網(wǎng)環(huán)境下鐵路信息安全等級保護設(shè)計方案研究

姚洪磊，史 宏

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

信息安全是鐵路信息系統(tǒng)建設(shè)的一個重要問題，目前我國鐵路缺少統(tǒng)一、標準化的信息安全等級保護解決方案，伴隨互聯(lián)網(wǎng)發(fā)展，鐵路出現(xiàn)一批面向互聯(lián)網(wǎng)提供服務的信息系統(tǒng)，該類信息系統(tǒng)的上線應用，生產(chǎn)系統(tǒng)不可避免與外網(wǎng)互聯(lián)，信息安全受到威脅日益加大。本文提出了互聯(lián)網(wǎng)接入管理中心支持下的安全計算環(huán)境子系統(tǒng)、安全區(qū)域邊界子系統(tǒng)、安全通信網(wǎng)絡子系統(tǒng)保護三重防護技術(shù)體系結(jié)構(gòu)，形成縱深防御體系。基于該體系并結(jié)合互聯(lián)網(wǎng)信息系統(tǒng)的特點，對安全方案設(shè)計開展了研究，可為相關(guān)部門采取相應的防護技術(shù)和管理措施提供理論依據(jù)和參考。

互聯(lián)網(wǎng)信息系統(tǒng)；信息安全等級保護；設(shè)計方案

經(jīng)過幾十年的發(fā)展，鐵路信息系統(tǒng)現(xiàn)已成為涵蓋各專業(yè)不同業(yè)務的龐大信息系統(tǒng)體系，該體系中除運行于鐵路內(nèi)部網(wǎng)絡的信息系統(tǒng)外，部分信息系統(tǒng)由于業(yè)務需要，需面向互聯(lián)網(wǎng)提供服務，如鐵路互聯(lián)網(wǎng)售票系統(tǒng)[1]、鐵路電子商務系統(tǒng)[2]、大客戶服務系統(tǒng)[3]等，由于實現(xiàn)與外網(wǎng)的互聯(lián)，信息系統(tǒng)存在各種類型的安全隱患和潛在的危險，黑客及懷有惡意的人員將可能利用這些安全隱患對內(nèi)部網(wǎng)絡進行攻擊，造成嚴重后果。

自我國開展信息安全等級保護工作以來，相關(guān)學者已經(jīng)對各類信息系統(tǒng)信息安全等級保護體系的設(shè)計開展了大量的研究[4~7]。針對鐵路行業(yè)特點，本文提出互聯(lián)網(wǎng)接入管理中心支持下的安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡子系統(tǒng)為主要防護手段的三重防護技術(shù)體系結(jié)構(gòu)，形成縱深防御體系，同時基于該體系并結(jié)合面向互聯(lián)網(wǎng)提供服務信息系統(tǒng)的特點，對安全設(shè)計方案開展了研究。

1 安全風險分析

1.1 非法訪問

互聯(lián)網(wǎng)用戶或其他網(wǎng)絡區(qū)域用戶試圖訪問鐵路總公司或各鐵路局客服中心網(wǎng)站所開放服務之外的信息和服務，導致網(wǎng)站面臨非法內(nèi)聯(lián)和外聯(lián)的安全威脅，特別面臨著惡意攻擊導致系統(tǒng)癱瘓的安全風險。

1.2 外部非法入侵和攻擊

鐵路部分應用系統(tǒng)外部終端可以通過ADSL撥號、無線網(wǎng)實現(xiàn)訪問。但隨著接入點的不斷增多，系統(tǒng)極易遭受來自外部和內(nèi)部的非法入侵和攻擊。

1.3 計算機病毒、蠕蟲及惡意代碼的攻擊

鐵路通信網(wǎng)未與互聯(lián)網(wǎng)連接前，所面臨的惡意代碼攻擊主要來自光盤、軟盤、移動存儲終端等外部介質(zhì)的惡意代碼，與互聯(lián)網(wǎng)連接后，通過E-mail、文件下載、網(wǎng)頁瀏覽等方式，計算機病毒可以直接經(jīng)外網(wǎng)、無線網(wǎng)入侵鐵路內(nèi)部信息系統(tǒng)。

1.4 高峰期巨大訪問量的安全風險

鐵路部分信息系統(tǒng)如鐵路客戶服務中心等面向大量用戶的服務網(wǎng)站，均面臨高峰期巨大訪問量，造成系統(tǒng)滿負荷而拒絕響應和網(wǎng)絡癱瘓，軟件可靠性問題導致的系統(tǒng)癱瘓等安全問題。

圖1 安全系統(tǒng)總體框架

2 安全需求分析

（1）鐵路客戶服務中心、鐵路電子支付平臺等與互聯(lián)網(wǎng)直接連接的服務網(wǎng)站，需要強化身份鑒別、自主和強制訪問控制，防止非法內(nèi)聯(lián)和非法外聯(lián)，特別需要防范惡意攻擊導致系統(tǒng)癱瘓的安全風險。

（2）當鐵路內(nèi)部網(wǎng)與外部網(wǎng)進行信息交換時，需要在系統(tǒng)邊界處實現(xiàn)系統(tǒng)間有效地隔離并嚴格控制信息的出入。

（3）針對需要通過互聯(lián)網(wǎng)實現(xiàn)交易的交易平臺，需要強化內(nèi)部安全和交易的真實性，需要防范內(nèi)部使用人員有意或無意非法授權(quán)訪問和越權(quán)操作，防止用戶對交易行為的否認，造成交易的真實性無法確認。

（4）針對基于互聯(lián)網(wǎng)面向社會的客戶服務類網(wǎng)站，需要強化主機系統(tǒng)的可用性，在采用總公司、地區(qū)中心設(shè)置數(shù)據(jù)庫服務器，車站不設(shè)置數(shù)據(jù)庫服務器后，特別需要防范高峰期增加的巨大訪問量引起的系統(tǒng)超負荷運行，該問題導致系統(tǒng)拒絕響應和網(wǎng)絡癱瘓。

3 設(shè)計方案

3.1 總體技術(shù)框架

以一個網(wǎng)絡結(jié)構(gòu)分為鐵路總公司、地區(qū)和車站三層結(jié)構(gòu)并面向互聯(lián)網(wǎng)提供服務的信息系統(tǒng)為例，其邏輯結(jié)構(gòu)可以分為鐵路總公司級安全域、地區(qū)級安全域和車站級安全域，3個級別的安全域安全目標一致，其安全保護的重點和強度有所不同。地區(qū)中心為例的安全系統(tǒng)技術(shù)框架如圖1所示。

3.2 安全管理中心

安全管理平臺實現(xiàn)對鐵路信息安全系統(tǒng)進行統(tǒng)一、集中的監(jiān)管，保障系統(tǒng)運行安全，監(jiān)控和保護信息處理過程的安全。安全管理平臺對分布在網(wǎng)絡環(huán)境的各種安全機制和服務進行集中管理與控制，是安全策略部署和控制中心，其部署的安全策略是各安全部件和各安全保障層面的紐帶，安全管理中心組成結(jié)構(gòu)圖如圖2所示。

3.3 安全計算環(huán)境

3.3.1 用戶身份鑒別增強

針對一個面向互聯(lián)網(wǎng)提供服務的Web系統(tǒng)，所有互聯(lián)網(wǎng)客戶均可以訪問，客戶服務中心外網(wǎng)的用戶主要包括互聯(lián)網(wǎng)客戶及相關(guān)管理員。對這兩種用戶在應采用不同的認證機制，身份鑒別均可通過既有鐵路PKI/CA認證中心實現(xiàn)，系統(tǒng)管理員認證需提供專有認證插件。

圖2 安全管理中心組成結(jié)構(gòu)圖

3.3.2 訪問控制增強

基于互聯(lián)網(wǎng)的服務客戶服務網(wǎng)站（以下簡稱服務網(wǎng)站）應與安全管理中心緊密配合，實現(xiàn)統(tǒng)一的安全訪問控制策略。安全管理中心為服務網(wǎng)站提供統(tǒng)一的認證、授權(quán)、安全目錄、用戶管理等服務，并與安全代理系統(tǒng)緊密整合，為網(wǎng)站的內(nèi)、外網(wǎng)信息交換提供代理證書認證、權(quán)限檢查、代理安全訪問等服務。

3.3.3 應用層安全審計增強

基于互聯(lián)網(wǎng)信息系統(tǒng)應用層的審計主要是服務網(wǎng)站外網(wǎng)及內(nèi)網(wǎng)應用，對應用層的審計主要通過審計接口實現(xiàn)，應用層的審計機制如圖3所示。

圖3 應用層安全審計機制圖

3.3.4 Web應用安全掃描

由于面向互聯(lián)網(wǎng)提供服務的信息系統(tǒng)是一個Web應用，將通過Web應用安全掃描技術(shù)實現(xiàn)Web應用的可信執(zhí)行。Web 應用安全掃描系統(tǒng)通過黑盒和白盒掃描相結(jié)合的方法。

3.3.5 主機綜合入侵防護

在核心服務器上部署主機綜合防護系統(tǒng)，提供數(shù)據(jù)庫服務的可信執(zhí)行保護。采用多種檢測防護手段，如入侵防范與阻斷、基于控制臺的網(wǎng)絡攻擊防范等。

3.3.6 網(wǎng)頁防篡改及防盜鏈

客戶服務中心外網(wǎng)Web服務器需要有效的防篡改、防盜鏈機制，通過網(wǎng)頁防篡改、防盜鏈系統(tǒng)實現(xiàn)。

3.3.7 CDN方式對高峰期訪問分流

針對面向互聯(lián)網(wǎng)提供服務的信息系統(tǒng)，在高峰期可采用內(nèi)容分發(fā)網(wǎng)絡（CDN，Content Distribution Network）方式進行訪問分流。CDN分流策略可以避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母?、更穩(wěn)定。

3.4 安全區(qū)域邊界

3.4.1 數(shù)據(jù)隔離和控制操作

（1）確保物理和邏輯邊界接口得到充分保護，禁止非法外聯(lián)和非法接入，確保合法信息能進出邊界和接口。（2）確保在邊界和通過遠程VPN訪問進行數(shù)據(jù)交換的數(shù)據(jù)得到保護，確保受保護邊界內(nèi)的系統(tǒng)和網(wǎng)絡維持可用性。（3）保護邊界內(nèi)的系統(tǒng)和數(shù)據(jù)，防止外部攻擊或破壞。（4）為通過邊界發(fā)送和接收信息提供強認證訪問控制，基于邊界控制策略，有選擇地允許重要信息跨邊界流動。

3.4.2 安全加固

外網(wǎng)接入邊界的安全防護由外網(wǎng)安全互聯(lián)平臺實現(xiàn)，由安全接入設(shè)備、安全隔離與信息交換設(shè)備、互聯(lián)網(wǎng)接入安全管理中心組成，實現(xiàn)保密性檢查和完整性檢查。檢查所有由內(nèi)網(wǎng)流向外網(wǎng)的信息，禁止破壞系統(tǒng)完整性的信息進入，該平臺可邏輯擴展，遠程安全終端可通過VPN實現(xiàn)可信接入，安全平臺體系結(jié)構(gòu)如圖4所示。

3.4.2.1 邊界訪問控制

主要由安全接入設(shè)備完成，采用基于PKI身份證書驗證的接入控制，實現(xiàn)基于端口的網(wǎng)絡可信接入控制。

圖4 安全互聯(lián)平臺體系結(jié)構(gòu)圖

（1）身份和標識鑒別：a.對接入用戶實現(xiàn)認證；b.對管理員實現(xiàn)認證，c.對接入服務器和終端進行標識和安全認證。（2）對訪問內(nèi)網(wǎng)的用戶設(shè)備進行鑒權(quán)。

3.4.2.2 邊界內(nèi)容深度過濾

主要由安全隔離和信息交換設(shè)備完成，采用強制訪問控制和深度過濾策略，包含采用ISO七層強制訪問控制的安全隔離設(shè)備，對內(nèi)網(wǎng)中標記允許傳輸?shù)酵饩W(wǎng)的數(shù)據(jù)進行強制訪問控制策略過濾，對外網(wǎng)傳輸?shù)絻?nèi)網(wǎng)的數(shù)據(jù)進行內(nèi)容過濾和完整性檢查，包含：

（1）通道隔離：外網(wǎng)與內(nèi)網(wǎng)兩個網(wǎng)絡之間的鏈路層連接，通信層連接、網(wǎng)絡層連接和應用層連接的安全隔離。（2）協(xié)議凈化：以TCP/IP剝離技術(shù)來完成數(shù)據(jù)的交換，并根據(jù)有外網(wǎng)信息系統(tǒng)業(yè)務的特定協(xié)議實現(xiàn)強制訪問控制。（3）數(shù)據(jù)內(nèi)容：數(shù)據(jù)采用加密，簽字等安全機制進行安全通信。

3.4.2.3 外部邊界強制訪問控制

（1）外部交易服務器與外網(wǎng)安全互聯(lián)平臺進行安全認證，通過后，才允許下一步操作；（2）所有訪問的交易數(shù)據(jù)通過節(jié)點認證設(shè)備的簽字，并加上安全標簽；（3）安全互聯(lián)平臺收到交易數(shù)據(jù)，進行驗簽，不通過則阻斷；（4）安全互聯(lián)平臺進行安全檢查，解析交易數(shù)據(jù)的標記信息，安全隔離與信息交換設(shè)備，驗證通過，則允許通過，否則，阻斷該交易。

3.4.2.4 邊界安全審計和完整性保護

由安全接入設(shè)備，安全隔離與信息交換設(shè)備、安全審計部件等在安全管理中心管控下共同完成。

（1）對內(nèi)網(wǎng)傳出的信息進行保密性檢查、并對訪問內(nèi)網(wǎng)的用戶進行完整性檢查；（2）對互聯(lián)網(wǎng)傳入的信息進行完整性檢查，建立外部接入系統(tǒng)的白名單機制，可以實時檢測出絕大多數(shù)攻擊，并采取相應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）；（3）安全審計組件，通過采集網(wǎng)絡設(shè)施的性能、故障、運行狀態(tài)信息、業(yè)務應用的運行狀態(tài)信息（如日志、運行事件等）和安全狀態(tài)信息，并執(zhí)行關(guān)聯(lián)分析，事件分析和綜合分析，發(fā)現(xiàn)異常的行為，包含未授權(quán)的身份、登錄密碼的多次錯誤和隱蔽信道等。

3.5 安全通信網(wǎng)絡

通信網(wǎng)絡安全主要包括鐵路總公司中心到鐵路局中心、鐵路局中心到車站不同區(qū)域之間的通信路徑的安全可靠。不同的安全域之間部署安全通信網(wǎng)絡系統(tǒng)并實現(xiàn)安全通道的相應功能；區(qū)域系統(tǒng)內(nèi)部不同系統(tǒng)之間部署強隔離系統(tǒng)，保障數(shù)據(jù)的完整性、機密性。針對與互聯(lián)網(wǎng)連接的信息系統(tǒng)，通信網(wǎng)絡安全包含互聯(lián)網(wǎng)安全互聯(lián)和內(nèi)網(wǎng)安全互聯(lián)，其中與互聯(lián)網(wǎng)的安全互聯(lián)是本節(jié)著重討論的內(nèi)容。

3.5.1 互聯(lián)網(wǎng)安全互聯(lián)

互聯(lián)網(wǎng)安全互聯(lián)是以各系統(tǒng)自身安全防護為基礎(chǔ)，輔以相關(guān)網(wǎng)絡安全互聯(lián)機制，包含VPN、安全通信等，為不同安全等級系統(tǒng)之間的數(shù)據(jù)傳輸與交換提供安全保障，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性、抗抵賴性和可追溯性?；ヂ?lián)網(wǎng)安全互聯(lián)邏輯結(jié)構(gòu)圖如圖5所示。

3.5.1.1 安全接入

通過接入設(shè)備的安全互聯(lián)部件實現(xiàn)，基于IP等級標記信息實施網(wǎng)絡訪問控制，IP等級標記包含指明等級級別的ID、發(fā)起連接主體標記等相關(guān)信息。

互聯(lián)網(wǎng)接入：解析外部連接IP等級標記信息并分析主體信息，與外部邊界的安全管理中心聯(lián)動確定能否接入。如可接入，需要分配接入主體訪問內(nèi)網(wǎng)的權(quán)限和訪問控制規(guī)則。

安全互聯(lián)/外部安全管理：包含接入、接出通信網(wǎng)絡訪問控制策略，基于等級標記的安全互聯(lián)協(xié)議配置，安全管理員的認證等。

3.5.1.2 安全接出

通過安全隔離設(shè)備，解析內(nèi)部連接IP等級標記信息并分析主體信息，與安全管理中心聯(lián)動確定能否接出。

圖5 互聯(lián)網(wǎng)安全互聯(lián)邏輯結(jié)構(gòu)

3.5.1.3 安全互聯(lián)通信與安全互聯(lián)協(xié)議

符合安全等級要求，避免不同等級信息系統(tǒng)間信息交互時高敏感度信息流向低敏感度實體、低完整性保護系統(tǒng)中的主體操作高完整性保護系統(tǒng)中的客體，實現(xiàn)安全互聯(lián)。

3.5.2 外網(wǎng)終端接入

3.5.2.1 遠程訪問虛擬網(wǎng)

Access VPN 適用于鐵路內(nèi)部出差人員遠程移動辦公的情況。鐵路管理層利用Access VPN 可以隨時隨地接入內(nèi)部資源，訪問業(yè)務系統(tǒng)，了解生產(chǎn)運營信息，進行審批和指揮調(diào)度；技術(shù)人員可以遠程移動辦理業(yè)務和處理工作流，進行遠程維護；列車中的乘務人員可以與地面進行無線信息交互，應對突發(fā)事件，查詢客運信息，維護乘車秩序。

3.5.2.2 企業(yè)內(nèi)部虛擬網(wǎng)

Intranet VPN 利用Internet 線路保證網(wǎng)絡的互聯(lián)性，而利用隧道、加密等VPN 特性保證信息在Intranet VPN 上安全傳輸。鐵路行業(yè)機構(gòu)龐大，辦公環(huán)境復雜，有些辦公地點不適合鋪設(shè)永久性的電纜，在這種情況，Intranet VPN 可以作為一種建設(shè)成本低并且應用安全的組網(wǎng)方案。

3.5.2.3 企業(yè)擴展虛擬網(wǎng)

Extranet VPN 通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、合作伙伴連接到鐵路內(nèi)部網(wǎng)。Extranet VPN 結(jié)構(gòu)的主要好處是，能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN 相同的架構(gòu)和協(xié)議進行部署。Extranet VPN 可用于在鐵路與大客戶之間通過特定的加密隧道建立互聯(lián)網(wǎng)絡，由于無需特別的專線租用，成本可大幅降低。

4 結(jié)束語

本文結(jié)合信息安全技術(shù)和鐵路信息系統(tǒng)網(wǎng)絡的特點，在對互聯(lián)網(wǎng)安全風險進行分析的基礎(chǔ)上，提出了互聯(lián)網(wǎng)接入管理中心支持下的三重防護設(shè)計方案。其中，安全管理中心統(tǒng)一對各安全防護子系統(tǒng)進行管理；安全計算環(huán)境子系統(tǒng)為互聯(lián)網(wǎng)信息系統(tǒng)提供安全運行的計算環(huán)境；安全區(qū)域邊界子系統(tǒng)針對外網(wǎng)對信息系統(tǒng)可能造成的威脅、內(nèi)部網(wǎng)絡間的數(shù)據(jù)交換產(chǎn)生的安全威脅進行防護；安全通信網(wǎng)絡子系統(tǒng)對數(shù)據(jù)傳輸?shù)臋C密性和完整性進行保護。對鐵路行業(yè)面向互聯(lián)網(wǎng)提供服務的信息系統(tǒng)的建設(shè)和改造提供一定參考。

[1] 王明哲, 張振利,徐 彥，等.鐵路互聯(lián)網(wǎng)售票系統(tǒng)的研究與實現(xiàn)[J]. 電力信息化, 2012，21（4）：23-25.

[2] 郭大亮, 范清芬. 電子商務的信息安全技術(shù)與管理研究[J].信息安全與通信保密，2012（4）：70-75.

[3] 郭玉華,陳治亞. 基于客戶生命周期的鐵路大客戶細分與發(fā)展模型[J].鐵道科學與工程學報，2011，8（2）：86-91.

[4] 沈昌祥.高安全級信息系統(tǒng)等級保護建設(shè)整改技術(shù)框架[J].中國人民公安大學學報：自然科學版，2009（1）：1-4.

[5] 姚洪磊,張 彥,祝詠升,等. 鐵路信息安全體系的提出及在互聯(lián)網(wǎng)售票系統(tǒng)中的應用[J]. 北京交通大學學報，2012，36（5）：105-111.

[6] 孫祥鵬,廖華春.水利網(wǎng)絡與信息安全防護體系研究[J].甘肅水利水電技術(shù)，2011，47（1）：35- 37.

[7] 王令朝. 創(chuàng)建鐵路信息安全管理及其標準體系的探討[J] .鐵道技術(shù)監(jiān)督, 2010，38（7）：1- 5.

責任編輯 徐侃春

Proposal of railway information security level protection on Internet

YAO Honglei, SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

Information security was an important issue for the construction of Railway Information System. There was a lack of standardized solutions for information security level protection in railway industry. With the development of Internet, a number of service-oriented information systems on the Internet were developed, manufacturing system was connected with internet inescapability and the security threat was increased. Treble Defense-in-depth System supported by security management center was proposed in the paper which was consisted of safe compute environment, border protection and communication network protection. Combined with the characteristics of Information Systems on Internet, security program was designed in this paper. The proposed program could provide references for relevant departments.

Information System on Internet; information security level protection; design proposal

U29-39

A

1005-8451（2015）02-0033-05

2014-10-08

姚洪磊，助理研究員；史 宏，研究員。