周澤巖，史 宏，張 彥

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

安全測(cè)評(píng)

鐵路客票安全系統(tǒng)聯(lián)調(diào)聯(lián)試技術(shù)的研究

周澤巖，史 宏，張 彥

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

隨著國(guó)家對(duì)信息安全的重視不斷提高，高速鐵路客運(yùn)服務(wù)系統(tǒng)聯(lián)調(diào)聯(lián)試亟需增加對(duì)客票安全系統(tǒng)的測(cè)試。本文從保護(hù)客票系統(tǒng)業(yè)務(wù)安全的角度出發(fā)，提出了一套信息安全聯(lián)調(diào)聯(lián)試方案，闡述了測(cè)試場(chǎng)景、測(cè)試內(nèi)容、測(cè)試流程和測(cè)試方法等，并創(chuàng)新性的提出采用配置核查工具，開發(fā)基于正則表達(dá)式的測(cè)試腳本，實(shí)現(xiàn)對(duì)安全策略的配置核查功能。

聯(lián)調(diào)聯(lián)試；信息安全；客票安全系統(tǒng)

在新建高速鐵路開通運(yùn)營(yíng)前，為確保高速鐵路工程達(dá)到建設(shè)目標(biāo)，滿足系統(tǒng)整體性功能驗(yàn)證需求，將所有系統(tǒng)及接口匹配關(guān)系進(jìn)行測(cè)試、檢驗(yàn)、調(diào)試，以優(yōu)化各系統(tǒng)的狀態(tài)和整體系統(tǒng)性能，從而提高中國(guó)鐵路工程建造技術(shù)水平，為高速鐵路順利開通提供科學(xué)依據(jù)[1]，這一系列的過程稱為“高速鐵路聯(lián)調(diào)聯(lián)試”。

鐵路客票安全系統(tǒng)，實(shí)現(xiàn)了信息系統(tǒng)安全的結(jié)構(gòu)化保護(hù)，杜絕未經(jīng)授權(quán)的訪問和蓄意攻擊，為鐵路客票系統(tǒng)提供了信息安全保障。面對(duì)各種源于內(nèi)外的安全威脅與風(fēng)險(xiǎn)，鐵路客票安全系統(tǒng)在投入運(yùn)營(yíng)生產(chǎn)之前，應(yīng)與其他信息系統(tǒng)一樣，需要通過聯(lián)調(diào)聯(lián)試技術(shù)手段，驗(yàn)證鐵路客票安全系統(tǒng)的各項(xiàng)保障功能是否能正常生效。

1 鐵路客票安全系統(tǒng)

鐵路客票安全系統(tǒng)的安全方案，是按照GB17859 -1999《信息安全技術(shù)—計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和GB/T25070-2010《信息安全技術(shù)—信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)和規(guī)范的要求，建立的一個(gè)明確定義的形式化安全策略模型，將自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體與客體，輔以其它方面的信息安全技術(shù)，將客票系統(tǒng)的安全保護(hù)環(huán)境實(shí)現(xiàn)結(jié)構(gòu)化，達(dá)到信息安全等級(jí)保護(hù)四級(jí)要求，確?？推毙畔⑾到y(tǒng)安全。

根據(jù)網(wǎng)絡(luò)層次結(jié)構(gòu)，將鐵路客票安全系統(tǒng)劃分為三級(jí)：鐵路總公司中心、地區(qū)中心和車站。鐵路總公司中心的安全職能是監(jiān)控客票系統(tǒng)的整體安全運(yùn)行狀況，行使身份認(rèn)證中心（CA系統(tǒng)信任根節(jié)點(diǎn)）的功能，并保障鐵路客票系統(tǒng)自身的信息系統(tǒng)安全，達(dá)到等級(jí)保護(hù)四級(jí)要求；地區(qū)中心的安全職能是監(jiān)控本區(qū)域的客票系統(tǒng)的安全運(yùn)行狀況，本區(qū)域身份認(rèn)證中心（CA系統(tǒng)信任子節(jié)點(diǎn)），采用網(wǎng)絡(luò)管控器、CA認(rèn)證服務(wù)器、安全通信系統(tǒng)、配置管理系統(tǒng)和安全審計(jì)系統(tǒng)等技術(shù)手段，保障地區(qū)中心客票系統(tǒng)的信息系統(tǒng)安全，要求達(dá)到信息安全等級(jí)保護(hù)四級(jí)要求；車站的安全職能是保護(hù)客票系統(tǒng)終端安全，包括對(duì)客票終端、交換機(jī)、路由器等設(shè)備的實(shí)時(shí)監(jiān)控，并采用網(wǎng)絡(luò)管控器、安全通信系統(tǒng)和配置管理器等技術(shù)手段，保障車站客票系統(tǒng)的信息系統(tǒng)安全，采用安全隔離與信息交換系統(tǒng)（網(wǎng)閘）進(jìn)行安全隔離，保障與旅客服務(wù)系統(tǒng)的數(shù)據(jù)安全交互，要求達(dá)到保護(hù)等級(jí)3級(jí)要求。鐵路客票安全系統(tǒng)部署示意圖如圖1所示。

圖1 鐵路客票安全系統(tǒng)部署示意圖

2 場(chǎng)景設(shè)計(jì)

由于高速鐵路聯(lián)調(diào)聯(lián)試的實(shí)施范圍都是在車站層面，故本文只對(duì)車站客票安全系統(tǒng)的聯(lián)調(diào)聯(lián)試方案展開探討。針對(duì)車站鐵路客票安全系統(tǒng)的網(wǎng)絡(luò)部署結(jié)構(gòu)，和所采用的安全設(shè)備，從對(duì)客票系統(tǒng)業(yè)務(wù)防護(hù)的角度，設(shè)計(jì)7個(gè)測(cè)試場(chǎng)景，詳細(xì)的測(cè)試場(chǎng)景內(nèi)容如下。

2.1 測(cè)試環(huán)境檢查

在開展聯(lián)調(diào)聯(lián)試工作前，需要在現(xiàn)場(chǎng)對(duì)系統(tǒng)的準(zhǔn)備情況進(jìn)行全面檢查，檢查的重點(diǎn)是安全系統(tǒng)的硬件安裝情況，軟件調(diào)試情況和運(yùn)行數(shù)據(jù)的配置情況，包括：硬件是否部署并調(diào)試完成，軟件是否完成安裝并初始化，網(wǎng)絡(luò)是否暢通等測(cè)試環(huán)境檢查。

2.2 安全配置核查

采用配置核查工具，設(shè)計(jì)基于正則表達(dá)式設(shè)計(jì)配置核查腳本，對(duì)各項(xiàng)安全設(shè)備的安全策略實(shí)施配置核查。

2.3 身份鑒別場(chǎng)景

將車站客票安全系統(tǒng)提煉出3個(gè)核心的身份鑒別過程，即對(duì)安全代理登錄過程、安全設(shè)備登錄過程、安全管理系統(tǒng)登錄過程進(jìn)行身份鑒別測(cè)試。

2.4 訪問控制場(chǎng)景

將車站客票安全系統(tǒng)提煉出兩個(gè)重要的訪問控制層面，即對(duì)窗口售票終端訪問客票服務(wù)器、網(wǎng)絡(luò)邊界設(shè)備進(jìn)行訪問控制測(cè)試。

2.5 安全管理場(chǎng)景

從保護(hù)車站客票系統(tǒng)業(yè)務(wù)的角度，設(shè)計(jì)出安全管理層面的測(cè)試內(nèi)容，即對(duì)節(jié)點(diǎn)管理、用戶管理、USB-Key管理進(jìn)行安全管理測(cè)試。

2.6 集中監(jiān)控場(chǎng)景

依據(jù)安全監(jiān)控的層面，提出集中監(jiān)控的測(cè)試內(nèi)容，即對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全代理、安全設(shè)備進(jìn)行集中監(jiān)控測(cè)試。

2.7 安全審計(jì)場(chǎng)景

從系統(tǒng)日志、安全事件兩個(gè)層面對(duì)安全設(shè)備展開審計(jì)測(cè)試。

3 測(cè)試內(nèi)容

3.1 測(cè)試環(huán)境檢查

3.1.1 硬件測(cè)試環(huán)境檢查

網(wǎng)絡(luò)管控器、安全通信系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)（網(wǎng)閘）等安全設(shè)備、配置管理系統(tǒng)服務(wù)器等是否部署和調(diào)試完成。

3.1.2 軟件測(cè)試環(huán)境檢查

配置管理系統(tǒng)和安全代理系統(tǒng)等是否安裝并初始化完成。

3.1.3 網(wǎng)絡(luò)環(huán)境檢查

客票廣域網(wǎng)、車站客票局域網(wǎng)、車站旅客服務(wù)系統(tǒng)局域網(wǎng)是否暢通。

3.1.4 相關(guān)系統(tǒng)環(huán)境檢查

窗口售票系統(tǒng)、旅客服務(wù)系統(tǒng)、客票系統(tǒng)與旅客服務(wù)系統(tǒng)的接口服務(wù)器是否安裝并調(diào)試完成。

3.2 安全配置核查

3.2.1 系統(tǒng)配置核查

檢查安全設(shè)備的相關(guān)系統(tǒng)配置是否正確配置完成，保障設(shè)備的正常運(yùn)轉(zhuǎn)，內(nèi)容包括：配置管理系統(tǒng)、安全代理系統(tǒng)、安全通信系統(tǒng)、防火墻、網(wǎng)絡(luò)管控器、安全隔離與信息交換系統(tǒng)等安全設(shè)備等。

3.2.2 安全策略核查

檢查安全設(shè)備的相關(guān)安全策略是否正確配置完成，保障設(shè)備的安全功能正常配置，內(nèi)容包括：配置管理系統(tǒng)、安全代理系統(tǒng)、網(wǎng)絡(luò)管控器、防火墻、安全隔離與信息交換系統(tǒng)等安全設(shè)備等。

3.3 身份鑒別場(chǎng)景

檢查各項(xiàng)安全系統(tǒng)或安全設(shè)備的用戶登錄身份鑒別功能是否正常生效，內(nèi)容包括：安全代理系統(tǒng)、配置管理系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)等。

3.4 訪問控制場(chǎng)景

3.4.1 售票終端訪問控制測(cè)試

售票終端主要依靠安全代理系統(tǒng)實(shí)現(xiàn)對(duì)客票服務(wù)器的訪問控制，主要測(cè)試安全代理系統(tǒng)正常登錄及異常登錄的各種情況，以及不同的用戶登錄后，具有不同的訪問控制權(quán)限等。

3.4.2 網(wǎng)絡(luò)邊界訪問控制測(cè)試

負(fù)責(zé)網(wǎng)絡(luò)邊界的訪問控制，主要是依靠?jī)蓚€(gè)安全設(shè)備：防火墻和安全隔離與信息交換系統(tǒng)，主要測(cè)試防火墻的包過濾功能和其他靜態(tài)規(guī)則是否正常生效，測(cè)試安全隔離與信息交換系統(tǒng)的安全策略是否正常生效。

3.5 安全管理場(chǎng)景

配置管理系統(tǒng)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全策略等內(nèi)容的管理功能，驗(yàn)證安全管理功能是否正常生效，測(cè)試內(nèi)容包括：節(jié)點(diǎn)管理、USB-Key管理、用戶管理和安全策略管理等。

3.6 集中監(jiān)控場(chǎng)景

配置管理系統(tǒng)可以對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備等實(shí)現(xiàn)集中監(jiān)控的功能，驗(yàn)證集中監(jiān)控功能是否正常生效，測(cè)試內(nèi)容包括：對(duì)路由器、交換機(jī)、售票終端、防火墻、網(wǎng)閘、網(wǎng)絡(luò)管控器、安全隔離與信息交換系統(tǒng)等設(shè)備的安全監(jiān)控功能。

3.7 安全審計(jì)場(chǎng)景

當(dāng)出現(xiàn)系統(tǒng)入侵等安全事件時(shí)，安全審計(jì)是進(jìn)行事件追蹤的重要依據(jù)，本場(chǎng)景主要測(cè)試各項(xiàng)安全設(shè)備的安全審計(jì)功能是否正常生效，檢查內(nèi)容包括系統(tǒng)日志和安全事件，被測(cè)設(shè)備包括：配置管理系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)等。

4 測(cè)試流程

鐵路車站客票安全系統(tǒng)的聯(lián)調(diào)聯(lián)試工作大致分6個(gè)過程，如圖2所示。

（1）根據(jù)高速鐵路工程需要，成立信息安全聯(lián)調(diào)聯(lián)試項(xiàng)目小組，明確分工，落實(shí)職責(zé)；

（2）根據(jù)高速鐵路工程實(shí)際情況，編制聯(lián)調(diào)聯(lián)試大綱，提交鐵路總公司、鐵路局、客專公司審查，明確測(cè)試目的、范圍和內(nèi)容；

（3）與集成商交流系統(tǒng)概況和功能，編制測(cè)試用例，明確工作內(nèi)容；

（4）開展現(xiàn)場(chǎng)聯(lián)調(diào)聯(lián)試工作；

（5）整理測(cè)試結(jié)果，認(rèn)真分析試驗(yàn)數(shù)據(jù)，準(zhǔn)備編制檢測(cè)報(bào)告的編寫；

（6）完成動(dòng)態(tài)檢測(cè)、聯(lián)調(diào)聯(lián)試等報(bào)告的編制和修改工作。

圖2 鐵路客票安全系統(tǒng)聯(lián)調(diào)聯(lián)試測(cè)試流程

5 測(cè)試方法

鐵路客票安全系統(tǒng)保障功能的聯(lián)調(diào)聯(lián)試，依據(jù)鐵路行業(yè)標(biāo)準(zhǔn)、鐵路客票安全系統(tǒng)的設(shè)計(jì)方案、國(guó)家信息安全相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)，采用專業(yè)的安全測(cè)評(píng)工具，運(yùn)用科學(xué)的方法和手段，驗(yàn)證信息安全保障的各項(xiàng)功能是否能正常生效。

5.1 檢查

通過直接訪問配置管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，檢查安全保障策略是否合理，是否配置完成。

5.2 手工檢測(cè)

使用專業(yè)的測(cè)試方法，直接操作SOC管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，執(zhí)行有效的操作指令，根據(jù)測(cè)試結(jié)果分析安全保障功能是否正常生效。

5.3 工具檢測(cè)

借助配置核查等安全檢測(cè)工具，對(duì)被測(cè)設(shè)備發(fā)送相關(guān)指令，根據(jù)正則表達(dá)式篩選返回結(jié)果，與期望結(jié)果值進(jìn)行對(duì)比，檢測(cè)測(cè)試結(jié)果是否與期望值一致。

部分檢測(cè)項(xiàng)不能在圖形界面上操作，不能獲取測(cè)試結(jié)果，需要借助專業(yè)的測(cè)試工具進(jìn)行檢測(cè)。本方案采用配置核查設(shè)備，通過自主開發(fā)測(cè)試腳本，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)管控器、網(wǎng)閘、安全通信平臺(tái)和主機(jī)管控器的配置核查操作。配置核查設(shè)備工作原理：通過配置核查設(shè)備，將操作指令發(fā)送給安全設(shè)備，設(shè)備返回結(jié)果數(shù)據(jù)信息，測(cè)試腳本利用正則表達(dá)式對(duì)結(jié)果進(jìn)行篩選，提取出需要的數(shù)據(jù)，與預(yù)先設(shè)定的期望返回值進(jìn)行對(duì)比，檢測(cè)測(cè)試結(jié)果是否與期望值一致。

圖3 配置核查工作原理示意圖

6 結(jié)束語

本文針對(duì)鐵路客票安全系統(tǒng)的保障功能提出了測(cè)試方案，從保護(hù)客票系統(tǒng)業(yè)務(wù)安全的角度，提出7個(gè)測(cè)試場(chǎng)景，內(nèi)容包括環(huán)境檢查、配置核查、身份鑒別、訪問控制、安全管理、集中監(jiān)控和安全審計(jì)。針對(duì)部分安全設(shè)備的安全策略不易在圖形界面上進(jìn)行檢測(cè)，提出采用配置核查工具，設(shè)計(jì)了基于正則表達(dá)式的測(cè)試腳本，實(shí)現(xiàn)對(duì)安全策略的配置核查功能，且能夠正確輸出測(cè)試結(jié)果。本方案還有不完善之處，在未來的聯(lián)調(diào)聯(lián)試工作實(shí)踐中不斷修正和改進(jìn)。

[1] 康 熊.高速鐵路聯(lián)調(diào)聯(lián)試技術(shù)[J].中國(guó)鐵路，2010（12）.

[2] 崔德山，張 彥，劉育欣.高速鐵路客運(yùn)服務(wù)系統(tǒng)聯(lián)調(diào)聯(lián)試技術(shù)研究[J].鐵路計(jì)算應(yīng)用，2010，9（11） .

[3] 朱建生，單杏花，周亮瑾，劉春煌，劉 強(qiáng).中國(guó)鐵路客票發(fā)售和預(yù)定系統(tǒng)5.0版的研究與實(shí)現(xiàn)[J].中國(guó)鐵道科學(xué)，2006（11）.

責(zé)任編輯 徐侃春

Technologies of Test on Completion for Railway Ticketing and Reservation Security System

ZHOU Zeyan, SHI Hong, ZHANG Yan
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

With the increasing of national attention to information security, Test on Completion(TOC) for high speed railway was needed to the Railway Ticketing and Reservation System. Starting from the protection of service security point of view for the System, this paper put forward a set of test plan, including test scenarios, test content, test process and test methods. The conf i guration verif i cation tool was used to develop the test script based on regular expression, implement the conf i guration verif i cation function to the security policy.

Test on Completion(TOC); information security; Railway Ticketing and Reservation Security System

U29-39

A

1005-8451（2015）02-0055-04

2014-10-08

周澤巖，工程師；史 宏，研究員。