文／高玉斌

道路客運聯(lián)網(wǎng)售票安全系統(tǒng)設(shè)計淺析

文／高玉斌

道路客運聯(lián)網(wǎng)售票系統(tǒng)主要面向四類服務(wù)對象：出行公眾、汽車客運站、客運企業(yè)和行業(yè)主管部門。系統(tǒng)運行過程中存儲了大量的行業(yè)經(jīng)營數(shù)據(jù)和旅客身份信息，如何保障系統(tǒng)安全、可靠、連續(xù)及穩(wěn)定性運行是非常重要的，安全系統(tǒng)的建設(shè)在項目中不可或缺。

安全系統(tǒng)設(shè)計原則

根據(jù)國家信息安全等級保護相關(guān)要求，安全系統(tǒng)建設(shè)以基本滿足安全保護要求為原則。道路客運聯(lián)網(wǎng)售票安全系統(tǒng)設(shè)計應堅持以下原則:

1.嚴格執(zhí)行《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）、《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）、《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）等國家標準。

2.堅持安全區(qū)域邊界保護的原則。區(qū)域邊界是信息系統(tǒng)中計算環(huán)境之間以及計算環(huán)境與通信網(wǎng)絡(luò)之間完成聯(lián)接的部件，安全區(qū)域邊界是具有確定安全等級保護能力的區(qū)域邊界。聯(lián)網(wǎng)售票安全系統(tǒng)應根據(jù)信息系統(tǒng)組成結(jié)構(gòu)、訪問對象、保護監(jiān)控要求以及安全責任等元素進行合理的安全區(qū)域劃分，設(shè)計合理有效的區(qū)域邊界保護措施，實現(xiàn)安全區(qū)域之間的安全訪問控制。

3.堅持縱深防御的原則。縱深防御要在各個不同層面、不同方面實施安全方案，避免出現(xiàn)疏漏，不同安全方案之間需要相互配合，構(gòu)成一個整體。聯(lián)網(wǎng)售票安全系統(tǒng)應從通信網(wǎng)絡(luò)、局域網(wǎng)絡(luò)邊界、局域網(wǎng)絡(luò)內(nèi)部、各種業(yè)務(wù)應用平臺等各個層次落實安全措施，形成縱深防御體系。

4.堅持動態(tài)發(fā)展的原則。聯(lián)網(wǎng)售票安全系統(tǒng)不僅考慮滿足目前基本的、必須的安全需求，還應考慮隨著汽車站客流量的增加和網(wǎng)絡(luò)安全技術(shù)的發(fā)展，不斷調(diào)整安全策略，應對不斷變化的網(wǎng)絡(luò)安全環(huán)境。

安全系統(tǒng)技術(shù)設(shè)計

道路客運聯(lián)網(wǎng)售票安全系統(tǒng)技術(shù)方面應從物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全和數(shù)據(jù)安全等5個層面進行設(shè)計。

（一）物理安全設(shè)計

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體的有：

1.供配電系統(tǒng)

機房的供配電系統(tǒng)要求能保證對機房內(nèi)的主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應在任何情況下都不會間斷，要求兩路以上的市電供應，N+1冗余的自備發(fā)電機系統(tǒng)，并配備UPS系統(tǒng)，具有穩(wěn)壓器、過壓防護設(shè)備等，能夠保障電力的安全穩(wěn)定不間斷供應。

上圖：道路客運聯(lián)網(wǎng)售票安全系統(tǒng)關(guān)乎行業(yè)經(jīng)營數(shù)據(jù)和旅客身份信息等

下圖：道路客運聯(lián)網(wǎng)售票安全系統(tǒng)網(wǎng)絡(luò)拓撲圖

2.防火防水

機房應設(shè)置滅火設(shè)備和火災自動報警裝置，應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。

3.防雷擊

為了保證機房的各種設(shè)備安全，機房應設(shè)置避雷裝置、交流電源地線，要求機房設(shè)有四種接地形式，即計算機專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護地、防雷保護地。

4.門禁

機房應建立實用、高效的門禁系統(tǒng)，門禁系統(tǒng)需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結(jié)合。機房出入口應安排專人值守，控制、鑒別和記錄進入的人員，并對進入的人員審核批準。

5.保安監(jiān)控

機房的保安監(jiān)控包括閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)。

（二）網(wǎng)絡(luò)安全設(shè)計

聯(lián)網(wǎng)售票系統(tǒng)內(nèi)外網(wǎng)兩個部分，通過安全隔離網(wǎng)閘進行內(nèi)外網(wǎng)信息交換。網(wǎng)絡(luò)安全為聯(lián)網(wǎng)售票系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方面，確保在聯(lián)網(wǎng)售票業(yè)務(wù)網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。

網(wǎng)絡(luò)安全設(shè)計的重點包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括：結(jié)構(gòu)安全、訪問控制、安全審計、入侵防范等四個方面。

結(jié)構(gòu)安全。網(wǎng)絡(luò)規(guī)劃時應避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；采用IPS技術(shù)、防火墻技術(shù)，實現(xiàn)重要網(wǎng)段和其他網(wǎng)段的邏輯隔離；核心交換位置通過設(shè)備冗余保障業(yè)務(wù)；廣域網(wǎng)通過主備線路保障業(yè)務(wù)；通過帶寬保障技術(shù)保證重要主機能夠正常運行。

對于道路客運聯(lián)網(wǎng)售票系統(tǒng)信息安全建設(shè)，應當以適度風險為核心，以重點保護為原則，從業(yè)務(wù)的角度出發(fā)，保護重要的業(yè)務(wù)系統(tǒng)

訪問控制。通過防火墻技術(shù)，對用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等進行訪問控制；用戶終端接入網(wǎng)絡(luò)進行有效控制。

安全審計。通過安全審計系統(tǒng)，對網(wǎng)絡(luò)流量監(jiān)測以及對異常流量識別和報警、對網(wǎng)絡(luò)設(shè)備運行情況監(jiān)測，對用戶行為進行安全升級。通過對以上方面的記錄分析，形成報表，并在一定情況下發(fā)出報警、阻斷等動作。

入侵防范。通過入侵保護系統(tǒng)監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑數(shù)據(jù)包進行分析，如果數(shù)據(jù)包與內(nèi)置的規(guī)則吻合，入侵保護系統(tǒng)就會記錄事件的各種信息，并及時阻斷。

1.IP地址規(guī)則

根據(jù)聯(lián)網(wǎng)售票中心的網(wǎng)絡(luò)管理及應用需要，聯(lián)網(wǎng)售票中心的IP地址分為公網(wǎng)IP地址和私有IP地址兩部分。公網(wǎng)IP地址由聯(lián)網(wǎng)售票中心向ISP或NIC申請，在申請IP地址時應充分考慮其擴展性。私有IP地址由聯(lián)網(wǎng)售票中心自行設(shè)計，應該使用Internet保留的IP地址網(wǎng)段。

在進行數(shù)據(jù)中心的IP地址規(guī)劃時，應注意以下幾點：

（1）私有IP地址A類10.*.*.*，采用3000信息點以上的大型規(guī)模網(wǎng)絡(luò)。

（2）私有IP地址B類172.16.*.*-172.31.*.*，采用2000信息點以下的中型規(guī)模網(wǎng)絡(luò)。

（3）私有IP地址C類192.168.*.*，采用500信息點以下的小型規(guī)模網(wǎng)絡(luò)。

（4）loopback地址采用32位掩碼，奇數(shù)表示路由器，偶數(shù)表示交換機。

（5）網(wǎng)絡(luò)設(shè)備接口地址務(wù)采用30位掩碼的地址。核心設(shè)備，使用較小的一個地址（即：loopback地址較小的設(shè)備使用互聯(lián)地址中較小的一個）?；ヂ?lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。

2．內(nèi)部網(wǎng)絡(luò)設(shè)計

內(nèi)部網(wǎng)絡(luò)劃分為網(wǎng)絡(luò)出口、核心數(shù)據(jù)、綜合應用和運維管理等。網(wǎng)絡(luò)出口區(qū)域由核心路由器、接入路由器、核心交換機組成，其中核心交換機與核心路由器各兩臺進行雙機熱備。核心數(shù)據(jù)區(qū)域放置數(shù)據(jù)庫服務(wù)器，與核心交換機連接。綜合應用區(qū)域部署應用服務(wù)器，與核心交換機連接。運維管理區(qū)域放置防病毒服務(wù)器。

3．外部網(wǎng)絡(luò)設(shè)計

等級保護是國家信息安全建設(shè)的重要政策，其核心是對信息系統(tǒng)分等級、按標準進行建設(shè)、管理和監(jiān)督。對于道路客運聯(lián)網(wǎng)售票系統(tǒng)信息安全建設(shè)，應當以適度風險為核心，以重點保護為原則，從業(yè)務(wù)的角度出發(fā)，保護重要的業(yè)務(wù)系統(tǒng)。

4．網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理的目標是保證網(wǎng)絡(luò)的安全、暢通及負載均衡，以使網(wǎng)絡(luò)穩(wěn)定、高效地運行。

（三）主機安全設(shè)計

主機系統(tǒng)安全是包括服務(wù)器、終端等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全，是保護信息系統(tǒng)安全的中堅力量。其涉及的控制點包括：身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等七個控制點。

1．身份鑒別

聯(lián)網(wǎng)售票中心系統(tǒng)的重要信息都集中在WEB服務(wù)器、數(shù)據(jù)庫內(nèi)，對可訪問、操作這些服務(wù)器、數(shù)據(jù)庫的人員，進行的嚴格的限定，安全性較高。聯(lián)網(wǎng)售票中心采用數(shù)字證書USB KEY與口令相結(jié)合的方式來進行身份鑒別。

2．訪問控制

在聯(lián)網(wǎng)售票系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源（操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)）受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不得越權(quán)訪問。應限制默認賬戶的訪問權(quán)限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令。

3．安全審計

對主機進行安全審計，目的是為了保持對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。審計范圍應覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶，審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等。

4．剩余信息保護

為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，操作系統(tǒng)應對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，操作系統(tǒng)將其完全清除之后，才釋放或重新分配給其他用戶。

5．入侵防范

通過主機本身的安全審計功能、網(wǎng)絡(luò)防病毒系統(tǒng)的入侵防御模塊對主機進行入侵防范以及UTM的區(qū)域訪問控制等手段來加強主機入侵防范。

6．惡意代碼防范

定期對服務(wù)器、終端進行漏洞掃描、系統(tǒng)補丁安裝情況等安全評估及系統(tǒng)安全加固來預防惡意代碼的侵害。

7．資源控制

應通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；設(shè)置登錄終端的操作超時鎖定；監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

（四）應用安全設(shè)計

應用系統(tǒng)的安全和其自身的設(shè)計和實現(xiàn)技術(shù)密切相關(guān)，其存在的漏洞也會給系統(tǒng)的安全帶來嚴重的隱患，因此通過應用安全技術(shù)和應用系統(tǒng)相結(jié)合是防護應用層安全的重要手段。

在應用層面運行著聯(lián)網(wǎng)售票系統(tǒng)的基于網(wǎng)絡(luò)的應用以及特定業(yè)務(wù)應用。基于網(wǎng)絡(luò)的應用是形成其他應用的基礎(chǔ)，包括消息發(fā)送、web瀏覽等，對應用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務(wù)應用程序安全運行。

（五）數(shù)據(jù)安全設(shè)計

聯(lián)網(wǎng)售票系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞（泄漏、修改、毀壞），都會在不同程度上造成影響，從而危害到聯(lián)網(wǎng)售票系統(tǒng)的正常運行。由于聯(lián)網(wǎng)售票系統(tǒng)的各個層面（網(wǎng)絡(luò)、主機、應用等）都對各類數(shù)據(jù)進行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。

（作者單位：山西省道路運輸管理局）