李兆君，張 建，宋 宸

（1.合肥城市軌道交通有限公司，安徽合肥 230000；2.南京熊貓信息產(chǎn)業(yè)有限公司，江蘇南京 210000）

0 引言

隨著“互聯(lián)網(wǎng)＋”和智慧城市的建設發(fā)展，國內(nèi)地鐵自動售檢票系統(tǒng)（Auto Fare Collection，AFC）新技術發(fā)展迅速，相繼出現(xiàn)基于互聯(lián)網(wǎng)的新型票務系統(tǒng)，同時也將系統(tǒng)信息安全提到戰(zhàn)略性高度，由原來不定級或二級向三級要求升格，如何構建互聯(lián)網(wǎng)票務系統(tǒng)信息安全等級保護提上了管理日程。

1 信息系統(tǒng)安全等級保護的概念與分類

信息系統(tǒng)安全等級保護是對信息和信息載體按照重要性等級分級別進行保護。《信息安全等級保護管理辦法》規(guī)定國家信息安全等級保護實行定級保護。根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》建立等級保護制度，信息系統(tǒng)的安全保護等級分為五級（表1）。

表1 信息系統(tǒng)安全保護等級關系表

2 安全風險分析

合肥地鐵AFC 系統(tǒng)信息及網(wǎng)絡存在的安全風險主要包括物理、網(wǎng)絡、主機、應用、數(shù)據(jù)、管理等方面風險[1]。

2.1 物理風險

物理安全主要是指機房物理環(huán)境的安全，包括機房的選址、配電、安防、監(jiān)控、報警、消防以及機房管理等。機房物理環(huán)境的設計、施工、運維直接影響機房內(nèi)承載的信息系統(tǒng)及網(wǎng)絡運行的安全性。

2.2 網(wǎng)絡風險

為保證應用系統(tǒng)及數(shù)據(jù)的穩(wěn)定性與安全性，網(wǎng)絡邊界、重要資產(chǎn)安全區(qū)域要設必要的安全防護措施?；A網(wǎng)絡設計不合理、網(wǎng)絡安全區(qū)域劃分不合理、網(wǎng)絡冗余設計不合理，都會影響信息系統(tǒng)及數(shù)據(jù)傳輸?shù)陌踩浴⒎€(wěn)定性。

2.3 主機風險

主機系統(tǒng)存在弱口令、安全漏洞、病毒等風險，將直接影響主機系統(tǒng)的運行安全，以及一些默認開放的權限與服務，也會給主機系統(tǒng)帶來不同程度的安全隱患。

2.4 應用風險

應用系統(tǒng)自身存在安全漏洞、用戶權限管理以及弱口令等風險。尤其是基于Web 方式的服務，更加容易被攻擊和入侵，直接影響Web 應用服務運行的安全性，這是應用服務常見的高風險。

2.5 數(shù)據(jù)風險

核心數(shù)據(jù)一旦被竊取或者破壞直接影響上層應用服務，或者給用戶帶來重大損失。數(shù)據(jù)系統(tǒng)存在安全漏洞、安全權限設置與使用的不規(guī)范等隱患，導致數(shù)據(jù)庫被入侵、非法訪問、篡改與刪減等重大安全事件。

2.6 管理風險

建立健全安全防護體系，其中，安全風險比重最高的是人的安全管理與安全運維。人員的安全意識不強、操作不規(guī)范，以及內(nèi)部人員受某種利益驅(qū)使主觀地竊取數(shù)據(jù)、破壞系統(tǒng)，將會給信息系統(tǒng)帶來重大的損失，故健全安全管理體系，建立科學合理的安全管理架構，制定科學的管理流程、操作規(guī)范等管理制度，在信息安全防護體系建設中顯得尤為重要。

3 等級保護的總體設計

基于信息安全空間模型的總體設計，包括安全機制、OSI（Open System Interconnect，開放式系統(tǒng)互聯(lián)）網(wǎng)絡參考模型、安全服務為正角形成的三維空間[2]，達到認證、權限、完整、加密和不可否認的五大要素。其中，安全機制包括基礎設施、平臺、數(shù)據(jù)、通信、應用、運行、管理、授權和審計、安全防護體系；OSI 網(wǎng)絡參考模型即網(wǎng)絡七層架構；安全服務包括對等實體認證、訪問控制、數(shù)據(jù)保密及完整性、數(shù)據(jù)源點認證、禁止否認、提供犯罪證據(jù)服務。

3.1 設計依據(jù)與設計思路

合肥地鐵AFC 信息安全等級保護設計與建設，遵照我國法律法規(guī)及國家相關標準規(guī)范要求，法律法規(guī)類有：《國家網(wǎng)絡安全法》《計算機信息系統(tǒng)安全保護條例》《信息安全等級保護管理辦法》等；標準規(guī)范類有《信息安全技術信息系統(tǒng)安全等級保護基本要求》等。設計思路以合規(guī)為重點，滿足信息安全等級保護三級要求，并具有實用性、前瞻性，有效實現(xiàn)信息安全綜合防御能力，提升信息安全集中管控能力。

3.2 構建信息安全防護體系

3.2.1 安全防護體系概述

以合肥地鐵票務移動支付平臺及3 號線AFC 系統(tǒng)與移動支付平臺信息安全建設為例，同時借鑒同行在相同或相關領域的設計研究及做法基礎上[3-4]，按照國家信息安全等級保護要求，以三級等保要求構建的信息系統(tǒng)安全管理體系，分別由技術體系與管理體系構成。

3.2.2 安全防護體系設計規(guī)劃[5]

系統(tǒng)設計按照“傳統(tǒng)架構+互聯(lián)網(wǎng)”私有云架構，硬件設計考慮了功能模塊化布置需求，具備堆砌式擴展能力?；ヂ?lián)網(wǎng)支付平臺網(wǎng)絡拓撲分為互聯(lián)網(wǎng)接入?yún)^(qū)、AFC 系統(tǒng)網(wǎng)絡接入?yún)^(qū)、云平臺服務器區(qū)、安全運維管理區(qū)4 個區(qū)域；3 號線AFC系統(tǒng)網(wǎng)絡拓撲分為外部系統(tǒng)接入?yún)^(qū)、服務器區(qū)、安全管理區(qū)、安全運維中心區(qū)、線路車站區(qū)等5 個區(qū)域。具體拓撲圖如圖1所示。

圖1 合肥地鐵互聯(lián)網(wǎng)票務支付平臺及3 號線AFC 系統(tǒng)網(wǎng)絡拓撲

系統(tǒng)建設重點：一是主動安全能力，從關鍵網(wǎng)絡節(jié)點處檢測、防止或限制網(wǎng)絡攻擊，特別是新型網(wǎng)絡攻擊，采用可信驗證機制免受惡意代碼攻擊，并檢測、恢復其完整性；故障時，自動保存易失性數(shù)據(jù)和狀態(tài)。二是全網(wǎng)態(tài)勢感知，從各分散在設備上的審計數(shù)據(jù)匯總、分析，集中管理安全策略、惡意代碼、補丁升級等事項，對網(wǎng)絡中的各類安全事件識別、分析和報警，集中監(jiān)測網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等運行狀況。三是用戶獨立的安全擴展能力，根據(jù)云服務客戶需求自主設置安全策略，包括定義訪問路徑、選擇安全組件、配置安全策略，提供開放接口或服務，接入第三方安全產(chǎn)品和服務，在云服務上實現(xiàn)各自虛擬化監(jiān)測、告警控制。

3.2.3 邊界安全防護設計

主要從邊界訪問控制、邊界入侵防范、抗DDOS（Distributed Denial of Service，分布式拒絕服務）防御系統(tǒng)、實現(xiàn)鏈路高可用性、內(nèi)外網(wǎng)安全隔離等5 個方面進行設計。

（1）邊界訪問控制：部署防火墻，對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，起到網(wǎng)絡安全的基礎屏障，對網(wǎng)絡存取和訪問進行監(jiān)控審計，防止信息外泄。

（2）邊界入侵防范：部署入侵防御、入侵檢測系統(tǒng)，實時偵聽網(wǎng)絡數(shù)據(jù)流，在防火墻阻斷攻擊失敗時，可以最大限度地減少損失。采取基于特征和行為網(wǎng)絡檢測策略，分析數(shù)據(jù)包的特征、防范風險、定期升級等抗攻擊策略。

（3）全面拒絕服務防御：部署抗DDOS 防御系統(tǒng)，NGTOS作為基礎軟件平臺，統(tǒng)一地高速處理數(shù)據(jù)報文的解析、識別、檢測、清洗、統(tǒng)計等，具有在線串接、旁路檢測和旁路清洗3 種工作模式，能夠檢測與防御DOS、流量型和應用型DDOS、非法協(xié)議攻擊。

（4）實現(xiàn)鏈路高可用性：部署負載均衡設備，包括鏈路負載均衡和服務器負載均衡等。支持直連、單臂透明及反向、三角等組網(wǎng)模式。通過壓縮、緩存、SSL 卸載、HTTP 優(yōu)化等技術加速應用處理，用戶能實時了解應用運行狀態(tài)，為應用安全保駕護航。

（5）內(nèi)外網(wǎng)安全隔離：設計有“2+1”系統(tǒng)網(wǎng)閘產(chǎn)品架構，由內(nèi)端機、外端機、數(shù)據(jù)遷移控制單元3 部分組成。內(nèi)外端機具有獨立的總線、存儲和運算單元。內(nèi)外端機之間通過具有互斥效果的數(shù)據(jù)遷移控制單元進行連接（圖2）。

圖2 內(nèi)外網(wǎng)安全隔離結構

3.2.4 數(shù)據(jù)安全防護設計

對內(nèi)部用戶，防范利用內(nèi)網(wǎng)各種通信協(xié)議進行刺探、獲取、刪除或篡改重要的數(shù)據(jù)和信息。對外部非授權人員（如黑客），防范對多數(shù)據(jù)庫進行惡意入侵、獲取或刪除數(shù)據(jù)庫中的數(shù)據(jù)，為核心數(shù)據(jù)庫提供全方位、實時的、細粒度的安全防護與審計。

3.2.5 應用安全防護設計

應用安全防護設計分為應用高可用性、Web 流量防護2 個方面：一是利用負載均衡技術，將多臺服務器組建成一個服務器集群，提供單個或多個應用服務，將用戶流量通過負載均衡算法分發(fā)到各個真實的服務器；二是Web 應用防火墻保護信息安全和準確性，防止Web 應用層面受到攻擊。保護靜態(tài)網(wǎng)頁、網(wǎng)站腳本和后端數(shù)據(jù)庫；主動防御已知和未知惡意代碼；防跨站攻擊，防SQL 注入，抗網(wǎng)絡攻擊能力等功能，全面防止黑客入侵，篡改網(wǎng)站。

3.2.6 主機安全防護設計

終端威脅檢測防御系統(tǒng)實現(xiàn)全網(wǎng)惡意代碼防護，在身份鑒別上實現(xiàn)2 種或2 種以上組合鑒別技術鑒別用戶，具備警示功能，對與重要主機相連的服務器、終端進行身份標識和鑒別。具備自主訪問控制、強制訪問控制、安全審計的要求。

3.2.7 運維可視化安全設計

設計上搭建安全運維審計平臺，實現(xiàn)集中日志審計、內(nèi)網(wǎng)訪問行為審計、全網(wǎng)漏洞感知能力。以運維堡壘機為核心搭建安全運維審計平臺，對內(nèi)部核心服務器、網(wǎng)絡設備和應用進行保護，監(jiān)控和審計對此類資產(chǎn)的常用訪問。通過日志審計系統(tǒng)實現(xiàn)集中日志審計；通過安全管理中心系統(tǒng)對網(wǎng)絡資產(chǎn)集中管理和安全設備信息告警；通過網(wǎng)絡審計實現(xiàn)內(nèi)網(wǎng)訪問行為審計；通過漏洞掃描實現(xiàn)全網(wǎng)漏洞感知能力。

同時，基于云計算安全能力構建安全框架，從云計算的SaaS-PaaS-IaaS 三層架構，搭建安全運維平臺的辨識分析、安全資源、網(wǎng)絡探針與主機探針4 個層次，構建地鐵票務系統(tǒng)安全大腦，實現(xiàn)三級等保要求。

4 安全管理體系

主要從建立安全管理機構，健全安全管理制度，強化人員安全管理，加強系統(tǒng)建設管理，規(guī)范系統(tǒng)運維管理等五個方面開展等級保護工作。

5 結語

本文主要從定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5 個階段來開展信息安全等級保護工作，從設計、實施到運維3 個階段，從技術和管理兩方面，在設計思想上基于信息安全等級保護三級要求建立安全防護體系、安全管理體系，并提出安全應對策略，從攻擊、威脅和流量態(tài)勢，到合規(guī)、行為、運維態(tài)勢上，構建地鐵票務系統(tǒng)信息安全體系。