楊華嚴(yán)凱

（1.華藍(lán)設(shè)計（集團(tuán)）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系建設(shè)的應(yīng)用研究

楊華1嚴(yán)凱2

（1.華藍(lán)設(shè)計（集團(tuán)）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的應(yīng)用是全國交通一卡通互聯(lián)互通的一項重要工作，是保障交通一卡通平臺穩(wěn)定運行的有效手段，對我們國家和百姓的個人隱私都具有十分重要的現(xiàn)實意義。本文從立足于廣西泛北部灣經(jīng)濟(jì)區(qū)交通運輸信息化實踐，結(jié)合廣西泛北部灣經(jīng)濟(jì)區(qū)交通運輸信息化現(xiàn)狀，對廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的建設(shè)設(shè)想進(jìn)行系統(tǒng)的研究，進(jìn)一步探索廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通互聯(lián)互通環(huán)境下的安全體系的應(yīng)用，以期對開展工作有所裨益。

交通；一卡通；安全體系

引言

飛速發(fā)展的互聯(lián)網(wǎng)業(yè)在給社會創(chuàng)造了巨大的效益，給公眾帶來方便。與此同時，互聯(lián)網(wǎng)的高度開放性也對社會經(jīng)濟(jì)發(fā)展以及人民的生活帶來了不利的影響，病毒侵襲、網(wǎng)絡(luò)欺詐、信息污染、黑客攻擊等問題更是給我們帶來困擾和危害。面對如此嚴(yán)峻的互聯(lián)網(wǎng)環(huán)境，廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺在建設(shè)前，必須要做好規(guī)劃，否則，平臺一旦遭到破壞后，業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)信息將遭到入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會對社會秩序和公共利益造成嚴(yán)重?fù)p害，將極大影響應(yīng)用系統(tǒng)的正常運行，導(dǎo)致業(yè)務(wù)能力下降和結(jié)論出錯，嚴(yán)重侵害的客體將是社會秩序和公共利益。本文從立足于廣西泛北部灣經(jīng)濟(jì)區(qū)交通運輸信息化實踐，結(jié)合廣西泛北部灣經(jīng)濟(jì)區(qū)交通運輸信息化現(xiàn)狀，對廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的建設(shè)設(shè)想進(jìn)行系統(tǒng)的研究，進(jìn)一步探索廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通互聯(lián)互通環(huán)境下的安全體系的應(yīng)用，以期對開展工作有所裨益。

1 研究背景

2015年5月，交通運輸部辦公廳發(fā)布了《交通運輸部關(guān)于促進(jìn)交通一卡通健康發(fā)展加快實現(xiàn)互聯(lián)互通的指導(dǎo)意見》，全面推廣普及交通一卡通，逐步實現(xiàn)跨區(qū)（市）域、跨交通方式互聯(lián)互通。2015年12月，廣西壯族自治區(qū)人民政府辦公廳根據(jù)發(fā)布了《廣西交通運輸廳全區(qū)交通一卡通工作實施方案》，以廣西北部灣經(jīng)濟(jì)區(qū)四市（南寧、北海、防城港、欽州市）同城化為契機(jī)，廣西北部灣經(jīng)濟(jì)區(qū)四市率先建立公交、地鐵、出租車、高速公路ETC及其他客運交通工具的交通一卡通系統(tǒng)，逐步實現(xiàn)全區(qū)交通一卡通互聯(lián)互通。由此可見，在廣西泛北部灣經(jīng)濟(jì)區(qū)構(gòu)建交通一卡通平臺勢在必行。

綜觀國內(nèi)一卡通平臺的運營管理工作，平臺的信息系統(tǒng)穩(wěn)定安全運行是平臺運維護(hù)重中之重。然而，在信息系統(tǒng)等級保護(hù)方面，我國的工作起步較晚。1999年9月，國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了第一個國家標(biāo)準(zhǔn)-GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[1]，是實行計算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。2008年6月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T22240-2008）[2]，從信息系統(tǒng)所承載的業(yè)務(wù)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要作用和業(yè)務(wù)對信息系統(tǒng)的依賴程度兩個方面，規(guī)定了信息系統(tǒng)安全等級保護(hù)的定級方法。根據(jù)信息系統(tǒng)安全等級保護(hù)的定級方法，廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺的信息安全等級屬于三級，平臺一旦遭到破壞后，業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)信息將遭到入侵、修改、增加、刪除等不明侵害，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，將極大影響應(yīng)用系統(tǒng)的正常運行，導(dǎo)致業(yè)務(wù)能力下降和結(jié)論出錯，嚴(yán)重侵害的客體將是社會秩序和公共利益。因此，廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的建設(shè)尤為重要。

2 現(xiàn)實意義

此項工作的順利推進(jìn)，能極大提高廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺的安全系數(shù)，保障用戶的信息安全和廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通互聯(lián)互通大平臺的穩(wěn)定運行，同時帶動廣西泛北部灣經(jīng)濟(jì)區(qū)交通運輸產(chǎn)業(yè)的發(fā)展和進(jìn)步，更為全國交通一卡通互聯(lián)互通事業(yè)的發(fā)展打下一個良好的基礎(chǔ)。這一點，對我們國家和百姓的個人隱私都具有十分重要的現(xiàn)實意義。

3 建設(shè)思路

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺的信息安全等級屬于三級，需對平臺全網(wǎng)進(jìn)行合理的安全域劃分，以實效和應(yīng)用為主導(dǎo)，管理與技術(shù)并重，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理等方面，保障平臺的安全，形成集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的整體安全保障體系。廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺的安全體系總體架構(gòu)如圖1。

圖1 安全體系總體架構(gòu)圖

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺的安全體系建設(shè)，筆者認(rèn)為應(yīng)該從管理和技術(shù)兩方面入手，管理措施包括管理體系，管理制度、安全運維和法律保障；技術(shù)措施，它是利用計算機(jī)網(wǎng)絡(luò)產(chǎn)品和技術(shù)服務(wù)實現(xiàn)的，包括技術(shù)規(guī)范、技術(shù)方案、技術(shù)實施以及物理安全防范等內(nèi)容。

3.1 安全體系框架設(shè)計思路

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全保障體系將通過建設(shè)平臺安全技術(shù)體系、安全管理體系以及應(yīng)急響應(yīng)支援體系，形成集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，從而實現(xiàn)實體安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用安全（包括信息交換）、安全管理，以滿足平臺全方位的安全需求。安全保障體系，實質(zhì)上就是一個安全管理的體系，其中包括組織管理、技術(shù)管理和操作管理等多個方面[3]。圖2為廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全保障框架。

圖2 安全保障框架圖

3.1.1 安全技術(shù)體系

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全技術(shù)體系主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)五個方面。上述所提及的五個方并不僅以防護(hù)為主的靜態(tài)體系，而是涵括防護(hù)、檢測、響應(yīng)、恢復(fù)并重的動態(tài)技術(shù)體系[4]。

（1）物理安全：具體包括物理位置的確定、物理訪問控制、防盜竊、防雷擊、防破壞、防火、防水、防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個控制點。

（2）網(wǎng)絡(luò)安全：具體的控制點包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界檢查、病毒代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點。

（3）主機(jī)安全：涉及的控制點包括身份識別、標(biāo)記、進(jìn)入控制、安全審計、剩余信息保護(hù)、病毒代碼防范和資源控制等八個控制點。

（4）應(yīng)用安全：涉及的安全控制點包括身份鑒別、訪問控制、安全審計、抗抵賴、軟件容錯、資源控制、用卡環(huán)境安全等七個控制點。

（5）數(shù)據(jù)安全及存儲備份：對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。保證數(shù)據(jù)安全和備份恢復(fù)主要從數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點考慮。

3.1.2 安全管理體系

廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全管理體系主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面：

（1）安全管理制度主要包括：管理制度、制定和發(fā)布、評審和修訂三個控制點。

（2）安全管理機(jī)構(gòu)主要包括：崗位設(shè)置、人員配備、審批、合作和溝通以及檢查和審核等五個控制點。

（3）人員安全管理：具體包括人員錄用、人員離崗、人員考核、安全培訓(xùn)和外部人員訪問控制等五個控制點。

（4）系統(tǒng)建設(shè)管理：具體包括系統(tǒng)定級、安全功能設(shè)計、產(chǎn)品采購與使用、自主軟件開發(fā)及外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇等十一個控制點。

（5）系統(tǒng)運維管理：主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、病毒代碼防范管理、密碼管理、變更管理、備份管理、安全事件處置、應(yīng)急預(yù)案管理等十三個控制點。

3.1.3 安全防護(hù)策略及設(shè)備部署

結(jié)合目前運行于互聯(lián)網(wǎng)信息系統(tǒng)安全現(xiàn)狀，廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全防護(hù)有可能面臨的安全威脅主要包括：

（1）平臺業(yè)務(wù)外網(wǎng)承載的系統(tǒng)大部分是基于B/S模式的，網(wǎng)絡(luò)入侵者容易利用Web服務(wù)器的漏洞，對系統(tǒng)進(jìn)行控制。

（2）平臺業(yè)務(wù)外網(wǎng)承載的應(yīng)用一般為windows服務(wù)器版操作系統(tǒng)，自身也存在較多安全漏洞。同時，應(yīng)用系統(tǒng)本身也可能存在安全隱患。

在應(yīng)用安全上綜合建議采用以下安全策略：

（1）在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非制授權(quán)訪問[5]。

（2）通過開啟系統(tǒng)審計功能及部署硬件級別的審計系統(tǒng)，實現(xiàn)全方位的安全審計。

（3）通過VPN技術(shù)實現(xiàn)通信安全。

（4）在程序開發(fā)過程中全面考慮代碼安全，應(yīng)用系統(tǒng)投入使用后定期進(jìn)行應(yīng)用系統(tǒng)的安全掃描，滿足代碼安全要求。

（5）應(yīng)用系統(tǒng)部署的網(wǎng)絡(luò)環(huán)境達(dá)到三級等級保護(hù)安全，可利用相關(guān)設(shè)備進(jìn)行安全防護(hù)。

目前，廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的建設(shè)尚處在探索、研究階段，課題思路還存在許多不完善方面。此外，將其落實、應(yīng)用也還存在一定的困難，要實現(xiàn)廣西泛北部灣經(jīng)濟(jì)區(qū)交通一卡通平臺安全體系的建設(shè)目標(biāo)與愿望除了借助“外腦”配合之外，還需要繼續(xù)創(chuàng)新思維，大膽探索，不斷在實踐中總結(jié)，在運用中完善。

[1]國家質(zhì)量技術(shù)監(jiān)督局.《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）[S].北京：中國標(biāo)準(zhǔn)出版社，1999.

[2]信息安全等級保護(hù)評估中心.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T22240-2008）[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[3]蘇駿.信息系統(tǒng)安全體系構(gòu)建研究[D].武漢理工大學(xué)，2008.

[4]劉怡，張截.基于Internet的管理信息系統(tǒng)研究[J].計算機(jī)應(yīng)用與軟件，2005（08）.

[5]高朝勤.《息系統(tǒng)等級保護(hù)中的多級安全技術(shù)研究[D].北京工業(yè)大學(xué)，2012.

F512.7

A

1004-7344（2016）18-0154-02

2016-5-10

楊 華（1984-），男，城市規(guī)劃師，本科，從事城市交通規(guī)劃與設(shè)計方面研究工作。

嚴(yán) 凱（1978-），男，工程師，本科，從事城市交通運輸信息化方面研究工作。