王成　涂慶華　徐國祥

摘 要：一卡通作為高校重要的應(yīng)用系統(tǒng)，每天產(chǎn)生大量的刷卡消費、圈存等金融交易行為，同時面臨著各類攻擊風(fēng)險，通過應(yīng)用IATF的安全模型，從宏觀角度對一卡通系統(tǒng)安全體系進(jìn)行整體設(shè)計，按照IATF模型的焦點域、縱深防御、安全強健性等規(guī)范，對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境等進(jìn)行防護(hù)，從整體上達(dá)到降低被攻擊風(fēng)險的目的。

關(guān)鍵詞：IATF；一卡通安全；安全體系設(shè)計

中圖分類號：TP311.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2016）21-0085-05

一、安全體系模型的選取

當(dāng)前存在多種信息安全體系，主要有以下幾類：

（1）P2DR模型是最先發(fā)展起來的一個動態(tài)安全模型[1]。P2DR模型主要包括安全策略（Policy）、防護(hù)（Protection）、檢測（Detection）和響應(yīng)（Response）四個主要組成部分。

（2）美國國防部提出了信息安全保障體系，即PDR2模型[2]，其內(nèi)容涵蓋了涉及安全的各個環(huán)節(jié)，即 防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）和恢復(fù)（Restore）。

（3）葛方斌提出動態(tài)的可適應(yīng)性安全模型ANSM（Adaptive Network Security Model），即P2DR2模型，是在P2DR和PDR2模型中綜合建立起來的，它綜合了從核心的“安全策略”到“恢復(fù)”的閉環(huán)控制動態(tài)安全體系模型，全方位地保護(hù)了數(shù)據(jù)信息和網(wǎng)絡(luò)資源的安全性[3]。

（4）方濱興所在“一二三四五國家信息安全保障體系”所提到的：積極防御、綜合防范等多個原則，完善信息安全等級保護(hù)制度；加強信息安全風(fēng)險評估工作、完善信息安全監(jiān)控體系建設(shè)、高度重視應(yīng)急處理工作、重視災(zāi)備建設(shè)[4]。

（5）信息保障技術(shù)框架模型（Information Assurance Technical Framework 簡稱IATF模型），IATF模型由美國國家安全局制定，用以描述信息保障的指導(dǎo)性文件。我國國家973“信息與網(wǎng)絡(luò)安全體系研究”課題組于2002年將IATF3.0版首次引入國內(nèi)，IATF對我國信息安全工作和信息安全保障體系建設(shè)起著重要的指導(dǎo)和參考作用[5]。

2002年9月出版了IATF3.1版，擴展了“縱深防御”概念，強調(diào)信息保障戰(zhàn)略的重要性，補充了語音安全的內(nèi)容。由于信息技術(shù)快速發(fā)展，新問題不斷涌現(xiàn)，IATF深度和廣度也處在不斷完善之中。

一卡通管理系統(tǒng)之所以選擇IATF模型作為信息安全的指導(dǎo)，因為IATF經(jīng)過了多方驗證證明其有效性，另外IATF系統(tǒng)提出的邊界防御、縱深防御等思想耳目一新，比較契合一卡通信息安全的安全需求，能夠按照規(guī)范制定出較為細(xì)致的安全技術(shù)防范方案。

二、IATF的內(nèi)容框架

IATF將信息保障劃分為四個技術(shù)框架焦點域：（1）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；（2）區(qū)域邊界；（3）計算環(huán)境；（4）支撐性基礎(chǔ)設(shè)施。在每個焦點域中，IATF描述了安全需求和可供選擇的技術(shù)措施[6]。這四個框架域可以讓人理解系統(tǒng)安全的不同重要方面，通過全面剖析安全需求，再制定合理的安全防御機制。

縱深防御（Defense in Depth）是IATF的核心思想之一。即采用多層次、有縱深安全措施來保障系統(tǒng)安全。其中人、技術(shù)和操作是三個主要核心因素。系統(tǒng)安全不可能僅靠幾種技術(shù)或者設(shè)備能實現(xiàn)，通過在各層次、各框架焦點域中實施保障，有利于最大限度降低風(fēng)險。

此外，IATF高度重視“人”這一要素的重要性，技術(shù)是安全手段和基礎(chǔ)，而管理是安全的靈魂，在重視安全技術(shù)的同時，也須加強安全管理。

IATF提出的信息安全原則，對指導(dǎo)建立信息安全體系具有重要意義：

1.保護(hù)基礎(chǔ)設(shè)施、計算環(huán)境、區(qū)域邊界等重要位置

僅僅在信息重要部位設(shè)置保護(hù)是不夠的，系統(tǒng)的整體性決定了任何一個漏洞都有可能招致嚴(yán)重的后果，所以在系統(tǒng)各位置盡可能設(shè)置有防御，才能有效降低風(fēng)險。

2.分層防御

即縱向防御，是縱深防御思想的一個具體實現(xiàn)。分層防御在攻擊者和攻擊目標(biāo)之間部署有多層防御，每層防御都為攻擊者設(shè)置了屏障。分層防御還包括保護(hù)、檢測、反擊措施，用于定位攻擊者并采取相應(yīng)的反擊措施，這些手段使得攻擊者權(quán)衡可能攻擊多帶來的代價。

3.安全強健性

信息對不同組織具有不同的價值，信息被破壞、被竊取影響后果不同。有必要對信息相關(guān)安全組件具備健壯性，健壯性越高成本也高，需要在設(shè)計安全體系時，考慮好信息價值和保護(hù)成本關(guān)系問題。

三、IATF安全模型在一卡通系統(tǒng)中的應(yīng)用

雖然IATF是在軍事需求的推動下由NSA組織開發(fā)，但如今的IATF已經(jīng)可以廣泛應(yīng)用于各行業(yè)的信息安全工作，它所包含的內(nèi)容和思想可以給信息安全工作提供指導(dǎo)和啟示作用。

圍繞IATF的核心思想，展開一卡通信息安全框架設(shè)計工作。一卡通應(yīng)用功能龐雜，并與中國銀行、交通銀行及南京市民卡公司存在圈存等合作關(guān)系，同時與校園網(wǎng)等存在數(shù)據(jù)交換，根據(jù)一卡通業(yè)務(wù)現(xiàn)狀設(shè)計出關(guān)系結(jié)構(gòu)如圖1所示。

1.四個技術(shù)框架焦點域

IATF所定義的四個技術(shù)框架焦點域，包含四個方面：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境和支撐性基礎(chǔ)設(shè)施。一卡通系統(tǒng)環(huán)境較為復(fù)雜，涉及焦點域內(nèi)容較多，通過梳理可以明確需要重點防范的區(qū)域，以及系統(tǒng)可能存在的薄弱點。一卡通的相關(guān)焦點域情況總結(jié)如下：

（1）焦點域1：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。涉及有一卡通專網(wǎng)、校園網(wǎng)；銀行專線；市民卡專線；數(shù)據(jù)庫 Oracle RAC；對于基礎(chǔ)設(shè)施的管理；一卡通相關(guān)應(yīng)用。

（2）焦點域2：區(qū)域邊界。包括：

1）一卡通專網(wǎng)邊界：與校園網(wǎng)的邊界、與市民卡、與銀行之間的邊界；

2）一卡通校園網(wǎng)DMZ區(qū)邊界：與校內(nèi)外邊界；

3）校園網(wǎng)DMZ區(qū)內(nèi)部邊界劃分；

4）一卡通專網(wǎng)內(nèi)部邊界。

（3）焦點域3：計算環(huán)境。包括：

1）服務(wù)器類；

2）一卡通相關(guān)應(yīng)用軟件；

3）OS類；

4）Web服務(wù)；

5）目錄服務(wù)；

6）打印服務(wù)；

7）電子業(yè)務(wù)；

8）數(shù)據(jù)庫訪問。

（4）焦點域4：支撐性基礎(chǔ)設(shè)施。包括：

1）密鑰管理基礎(chǔ)設(shè)施 KMI；

2）檢測與響應(yīng)： 設(shè)備檢測與服務(wù)監(jiān)控平臺。

2.縱深防御

縱深防御保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境等多個重要位置。并且按照系統(tǒng)層次性對每層都定義了防范規(guī)范和策略，把分散的局部安全策略進(jìn)行整體規(guī)劃，是IATF安全規(guī)范的核心組成部分。

（1）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防護(hù)

一卡通專網(wǎng)和校園網(wǎng)物理設(shè)備的保護(hù)：1）校園網(wǎng)和一卡通專網(wǎng)屬于三層的網(wǎng)絡(luò)架構(gòu)，核心層和匯聚層都部署在校園網(wǎng)絡(luò)核心交換機房，有充分的安全管理機制和防護(hù)保障設(shè)備，如動力監(jiān)控系統(tǒng)，設(shè)備監(jiān)控系統(tǒng)，視頻監(jiān)控系統(tǒng)等。2）對于接入層交換機的控制，接入到校園網(wǎng)或者一卡通專網(wǎng)都有專門的授權(quán)保護(hù)體系，防止非法的設(shè)備接入到網(wǎng)絡(luò)體系中來。

數(shù)據(jù)庫的防護(hù)：數(shù)據(jù)庫采用了Oracle RAC機制，雙機能一定程度上提升系統(tǒng)的服務(wù)可靠性； 基于AIX平臺的權(quán)限管理和Oracle的權(quán)限管理體系， 包括表空間管理、日志管理、端口管理等。

存儲設(shè)備的防護(hù)：加密和認(rèn)證是安全存儲的基礎(chǔ)， 首先通過接入管理，對數(shù)據(jù)的讀寫訪問權(quán)限進(jìn)行認(rèn)證；其次，對敏感關(guān)鍵數(shù)據(jù)進(jìn)行加密；在具體入口管理上有控制器管理，業(yè)務(wù)通訊管理。數(shù)據(jù)是信息系統(tǒng)的核心資產(chǎn)，存儲系統(tǒng)數(shù)據(jù)保護(hù)的重要防線；隨著存儲系統(tǒng)向著網(wǎng)絡(luò)化和分布式的方向發(fā)展，并被特定服務(wù)器共享，使存儲系統(tǒng)存在受到攻擊的可能性大大增加。存儲安全變得至關(guān)重要，安全存儲主要包括存儲安全技術(shù)、重復(fù)數(shù)據(jù)刪除技術(shù)、數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)等[7]。

存儲控制器管理：控制器是存儲設(shè)備的重要設(shè)備，存儲控制器具有邏輯構(gòu)成有I/O處理器、硬盤接口控制器、內(nèi)外連接接口等安全模塊。存儲控制器軟件實現(xiàn)如下三個重要功能：傳送I/O操作進(jìn)/出磁盤、管理和控制磁盤集合（陣列）、使用校驗值恢復(fù)丟失的數(shù)據(jù)和為數(shù)據(jù)冗余計算校驗值[8]。存儲控制器設(shè)定業(yè)務(wù)數(shù)據(jù)訪問的通道，管理目標(biāo)磁盤及LUN，設(shè)定對應(yīng)關(guān)系，對訪問的源地址/MAC進(jìn)行控制。

存儲設(shè)備的數(shù)據(jù)加密功能。如EMCVNX 靜態(tài)數(shù)據(jù)加密功能，對敏感信息進(jìn)行控制，防止未授權(quán)數(shù)據(jù)訪問事故。VNX靜態(tài)數(shù)據(jù)加密用保護(hù)寫入磁盤的數(shù)據(jù)，并防止非法拆卸硬盤中獲取數(shù)據(jù)。VNX靜態(tài)數(shù)據(jù)加密基于控制器的加密技術(shù)，支持常見各類型的硬盤[9]。

（2）區(qū)域邊界防護(hù)

一卡通系統(tǒng)基于對外部環(huán)境不信任原則進(jìn)行設(shè)計，通過梳理區(qū)域邊界關(guān)系，并進(jìn)行邊界防護(hù)策略的設(shè)計，是一卡通安全的重要環(huán)節(jié)，整體邊界防護(hù)如圖2所示。

1）一卡通專網(wǎng)邊界：與校園網(wǎng)的邊界，一卡通專網(wǎng)與市民卡，與銀行之間的邊界。配備有防火墻進(jìn)行一卡通專網(wǎng)和校園網(wǎng)的邏輯隔離。同時配備有網(wǎng)閘設(shè)備進(jìn)行一卡通專網(wǎng)和校園網(wǎng)的硬件隔離。

2）一卡通校園網(wǎng)DMZ區(qū)邊界：定義一卡通專網(wǎng)去與校內(nèi)外邊界關(guān)系。

（3）計算環(huán)境防護(hù)

計算環(huán)境包含種類很多，重點圍繞下面幾項展開說明：

1）服務(wù)器類防護(hù)：對IBM P650小型機、刀片服務(wù)器等服務(wù)器啟用自帶安全模塊，合理配置安全策略，防范對服務(wù)器硬件的攻擊。

2）OS類防護(hù)：Windows Server系列，Aix，Linux，通過合理授權(quán)，啟用安全策略和審計功能防范對于操作系統(tǒng)的攻擊。

3）一卡通相關(guān)應(yīng)用軟件防護(hù)：采取嚴(yán)格的授權(quán)體系，同時結(jié)合防火墻等防范對一卡通結(jié)算平臺，短信平臺等應(yīng)用層的攻擊。

4）Web服務(wù)防護(hù)：一卡通Web提供各類查詢類服務(wù)，由于直接暴露在校園網(wǎng)上，通過最小開放原則，并啟用Web防火墻抵御常見的攻擊行為。

5）數(shù)據(jù)交換服務(wù)防護(hù)：與數(shù)據(jù)中心、銀行、市民卡之間的數(shù)據(jù)交換采用專線連接，并用防火墻進(jìn)行業(yè)務(wù)隔離；與校園網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)交換采用通用數(shù)據(jù)交換接口類服務(wù)等，并啟用授權(quán)可信IP接入訪問等原則。并盡可能采取數(shù)據(jù)上傳下發(fā)數(shù)據(jù)管道分離，防范不當(dāng)獲取數(shù)據(jù)。

（4）分層防御：對于外部攻擊和入侵，具有鮮明的層次性，由外而內(nèi)，可分為Internet攻擊、校園攻擊、一卡通專網(wǎng)攻擊。

1）來自于Internet攻擊： 由于一卡通只對校內(nèi)開放服務(wù)，關(guān)閉所有對外網(wǎng)的入口。

2）來自于校園網(wǎng)攻擊： 設(shè)置防火墻，開放制定的80端口等服務(wù)；并設(shè)置Web防火墻，防護(hù)常見的服務(wù)端口；設(shè)置網(wǎng)閘從邏輯上隔離校園網(wǎng)與一卡通專網(wǎng)，網(wǎng)閘業(yè)務(wù)控制設(shè)計如圖3所示。一卡通專網(wǎng)內(nèi)數(shù)據(jù)通過網(wǎng)閘單向傳到數(shù)據(jù)交換中心。

3）一卡通專網(wǎng)的防護(hù)： 由于一卡通內(nèi)網(wǎng)在校園內(nèi)鋪設(shè)廣，為防止惡意物理介入一卡通專網(wǎng)，內(nèi)部劃分了多個Vlan，不同Vlan之間不能進(jìn)行相互通訊，涉及相互的通訊通過指定安全策略來實現(xiàn)。

Vlan類劃分為3大類。多媒體機類：只能訪問中間層應(yīng)用對應(yīng)的Ip地址，DCOM應(yīng)用；商務(wù)網(wǎng)關(guān)類：只能訪問中間層應(yīng)用的對應(yīng)的Ip地址，DCOM應(yīng)用。商務(wù)網(wǎng)關(guān)之間不直接進(jìn)行數(shù)據(jù)通訊；管理機類：只能訪問中間層應(yīng)用對應(yīng)的IP地址，DCOM應(yīng)用。

DCOM服務(wù)器具有服務(wù)之間的負(fù)載均衡，及業(yè)務(wù)自動接管服務(wù)。

配合對于終端設(shè)備的認(rèn)證管理，實現(xiàn)了對于非法設(shè)備接入進(jìn)行了認(rèn)證，拒絕服務(wù)，即便欺騙了認(rèn)證，也只能在指定的區(qū)域訪問不能介入其他的Vlan區(qū)域，更不能與核心數(shù)據(jù)庫發(fā)生直接關(guān)聯(lián)，保障了賬務(wù)和交易的安全。

4）一卡通與銀行/市民卡服務(wù)器的安全防護(hù)：在一卡通核心服務(wù)器不與市民卡及銀行直接通訊，中間采用一卡通前置服務(wù)器與之通訊，并且在中間設(shè)置有防火墻，對制定端口和源IP，及目標(biāo)IP進(jìn)行相關(guān)策略限制。關(guān)閉所有其他無關(guān)服務(wù)。由于銀行和和市民卡前置機本身具有相當(dāng)?shù)陌踩紤]，總體評估一卡通與之對接安全型較高，銀行專網(wǎng)邊界設(shè)計如圖4所示。

3.安全強健性

一卡通信息涉及用戶的個人消費行為，消費能力等信息，某種程度上涉及到個人隱私，在利益驅(qū)動下，出現(xiàn)針對敏感數(shù)據(jù)的非法竊取行為，甚至篡改數(shù)據(jù)方式變相盜取現(xiàn)金、直接導(dǎo)致一卡通系統(tǒng)收支虧損。另外，數(shù)據(jù)中心承載大量重要業(yè)務(wù)數(shù)據(jù)和用戶個人信息，新型網(wǎng)絡(luò)威脅的技術(shù)復(fù)雜性和隱蔽性越來越高，數(shù)據(jù)泄露危害范圍不斷擴大[10]。

一卡通的安全的健壯性。IATF為安全機制的強度提出三個強健度等級（SML），并對信息價值分為5個等級，威脅環(huán)境按強弱分為7個等級，并以矩陣表的形式列出了35種情況下可選擇的強健度等級。可根據(jù)其信息價值、面臨的威脅環(huán)境、需要的安保強健度等級進(jìn)行選擇。

一卡通針對用戶的個人信息，消費信息，圈存信息作為保護(hù)的內(nèi)容，進(jìn)行針對性的防護(hù)，分三個層次：

（1）服務(wù)器難攻破

通過最小化權(quán)限原則，對防火墻設(shè)置，Web防火墻，服務(wù)器安全設(shè)置，OS安全設(shè)置。使得對外公布的服務(wù)接口小，并且對訪問源進(jìn)行技術(shù)控制，以減少受攻擊的可能性；同時利用防火墻、Web防火墻對典型的攻擊行為進(jìn)行攔截。通過服務(wù)器本身設(shè)計登錄和訪問控制策略，進(jìn)一步提高服務(wù)器的安全性，達(dá)到攻不破的效果。

（2）數(shù)據(jù)難竊取

1）防止遠(yuǎn)程下載數(shù)據(jù)庫文件。避免將數(shù)據(jù)庫文件直接放到了Web目錄下，而Web目錄是沒有權(quán)限控制的，黑客會利用掃描工具很容易被找到，從而被黑客下載到本地。

2）防止利用Web應(yīng)用漏洞拖庫。各種Web應(yīng)用本身存在問題，黑客們對其進(jìn)行深入的分析和研究，當(dāng)高危的零日漏洞發(fā)現(xiàn)時，這些Web應(yīng)用就會遭到拖庫的危險。

3）防止利用Web服務(wù)器（Apache，IIS，Tomcat等）漏洞拖庫。Web安全實際上是Web應(yīng)用和Web服務(wù)器安全的結(jié)合體；而Web服務(wù)器的安全則是由Web容器和系統(tǒng)安全兩部分組成，系統(tǒng)安全通常會通過外加防火墻和屏蔽對外服務(wù)端口進(jìn)行處理，但Web容器卻是必須對外開發(fā)，因此如果Web容器爆出漏洞的時候，網(wǎng)站也會遭到拖庫的危險。

4）規(guī)范數(shù)據(jù)庫Schema的權(quán)限設(shè)置，合理設(shè)計表空間管理，對于防止數(shù)據(jù)竊取也非常重要。

（3）敏感數(shù)據(jù)難打開

對敏感數(shù)據(jù)進(jìn)行加密，由于進(jìn)行硬件和軟件層面的數(shù)據(jù)加密，即便獲取數(shù)據(jù)也無法打開。又分為卡數(shù)據(jù)加密、Pos機讀卡器加密、交易數(shù)據(jù)傳輸加密、數(shù)據(jù)庫敏感信息加密。

（4）業(yè)務(wù)數(shù)據(jù)難篡改

對于業(yè)務(wù)層面篡改數(shù)據(jù)保護(hù)（不同于容災(zāi)），又稱作“業(yè)務(wù)數(shù)據(jù)保護(hù)”。傳統(tǒng)數(shù)據(jù)備份方法無法解決非法的刪改數(shù)據(jù)問題。通過CDP（Continuous Data Protection）數(shù)據(jù)安全保護(hù)技術(shù)來實現(xiàn)。CDP是一種連續(xù)時間點的數(shù)據(jù)保護(hù)技術(shù)，能在故障瞬間完成任意時間點的數(shù)據(jù)故障恢復(fù)，達(dá)到業(yè)務(wù)系統(tǒng)的快速連續(xù)運行的作用，具體CDP數(shù)據(jù)保護(hù)功能如圖5所示。

為了應(yīng)對數(shù)據(jù)纂改而未被及時發(fā)現(xiàn)的情況，采取每天進(jìn)行數(shù)據(jù)備份并進(jìn)行歷史存檔的辦法，并保存6個月以上，通過腳本自動備份方式實現(xiàn)。

以上形成立體的數(shù)據(jù)保護(hù)方案，使得攻擊者難度太大而放棄，或者時間精力等代價太大而放棄。

四、小結(jié)

目前一卡通系統(tǒng)在實際運行中面臨各種風(fēng)險，通過引入IATF安全模型，梳理出需要保護(hù)的資源及防范薄弱點，明確需要重點防范的焦點區(qū)域。通過應(yīng)用縱深防御技術(shù)手段、合理制定安全強健性可以較好地抵御各類網(wǎng)絡(luò)層面、應(yīng)用層面的攻擊；通過各種技術(shù)手段監(jiān)控、較好地防范了數(shù)據(jù)泄露與篡改行為[11]。從實踐效果來看，較好地保證了一卡通核心應(yīng)用的信息安全和穩(wěn)定運行。

另外，IATF提供了較為完備信息安全評估與防范的技術(shù)規(guī)范，整個規(guī)范涉及面較為廣泛，接下來還需要進(jìn)一步研究IATF模型并應(yīng)用于一卡通安全的指導(dǎo)工作，以更好地提升一卡通系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]孟學(xué)軍，石崗.基于P2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].計算機工程，2005（4）.

[2]張建東，陳金鷹，朱軍.PDRR 網(wǎng)絡(luò)安全模型[J].四川省通信學(xué)會二零零四年學(xué)術(shù)年會論文集（2），2004.

[3]Zhaoyang Qu，Jia Yan. The Design of the Network Security Model of Active Defense[J]. Wireless Communications，Networking and Mobile Computing.2008.10.

[4]http：//www.miit.gov.cn/n11293472/n11295344/n11297007/12425553.html.

[5]趙戰(zhàn)生.美國信息保障技術(shù)框架——IATF簡介（一）[J].信息網(wǎng)絡(luò)安全，2003（4）.

[6]IATF3.1中文版（IATF Release 3.1）[S].2003（9）：52.

[7]http：//baike.baidu.com/link？url=7W4lGgowOfl-ZzzoibFSjKtBrBwZNS6E98tKwWv3Xys28ZhDNCZIyz-9AFkjV17b0wr1-Exjd-2cjEhnB_N4BwSa.

[8]http：//tech.watchstor.com/storage-systems-114257.htm.

[9]http：//storage.it168.com/a2014/0504/1619/000001619413.shtm.

[10]http：//tech.xinmin.cn/2015/06/25/27958435.html.

[11]http：//tech.sina.com.cn/t/2014-06-27/10469463198.shtml.

（編輯：楊馥紅）