趙英明，張德棟，徐東平，李聚寶

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵道科學研究院集團有限公司 電子計算 技術研究所，北京 100081）

鐵路客票發(fā)售與預訂系統(tǒng)從1996 年 開 始 上 線V1.0 版本，實現(xiàn)手工售票向計算機售票的轉(zhuǎn)變，有著長達20 余年的技術與業(yè)務積淀[1]。目前，我國鐵路客票發(fā)售與預訂系統(tǒng)已經(jīng)能夠?qū)崿F(xiàn)多種服務，如互聯(lián)網(wǎng)售票、手機售票、電子支付等。自互聯(lián)網(wǎng)售票上線以來，注冊用戶數(shù)量以及訪問規(guī)?？焖僭鲩L。到目前為止，12306 平臺高峰日頁面瀏覽量已經(jīng)超過1 500 億次，最高日發(fā)售車票超過1 200 萬張，已經(jīng)占到總售票量的80%以上。隨著總售票量的不斷增加，鐵路客票發(fā)售與預訂系統(tǒng)的安全穩(wěn)定也成為日益重要的問題。因此，及時發(fā)現(xiàn)存在于鐵路客票發(fā)售與預訂系統(tǒng)的安全威脅，評估安全事件發(fā)生的風險，提出有針對性的防范措施，在維護系統(tǒng)安全穩(wěn)定運行和防范風險方面顯的尤為重要。

1 鐵路客票發(fā)售與預訂系統(tǒng)風險分析

1.1 總體架構(gòu)

鐵路客票發(fā)售與預訂系統(tǒng)是包括2 個主中心，18個地區(qū)中心，覆蓋2 000多個車站的云計算平臺。為了保證數(shù)據(jù)的安全性和一致性，主中心分為中國國家鐵路集團有限公司(以下簡稱“國鐵集團”)一中心和中國鐵道科學研究院集團有限公司(以下簡稱“鐵科院集團公司”)二中心，實現(xiàn)了雙中心雙向數(shù)據(jù)同步，即雙活架構(gòu)，對鐵路客票發(fā)售與預訂系統(tǒng)的安全性起積極作用，支持12306 互聯(lián)網(wǎng)售票業(yè)務。當任何一個中心發(fā)生故障時，另一中心可以完全接管對方的所有核心業(yè)務，做到實時保證系統(tǒng)安全穩(wěn)定運行[2]。鐵路客票發(fā)售與預訂系統(tǒng)總體架構(gòu)如圖1 所示。

鐵路客票發(fā)售與預訂系統(tǒng)的核心業(yè)務需要跨越不同地區(qū)，不同資源，實現(xiàn)異地的數(shù)據(jù)復制和計算，對數(shù)據(jù)同步性和穩(wěn)定性具有極高的要求。一中心和二中心內(nèi)部的核心路由與匯聚層交換機同樣都采用雙活冗余架構(gòu)，外部通過鐵路數(shù)據(jù)網(wǎng)以路由直連的方式進行互聯(lián)。各個鐵路局集團公司的地區(qū)數(shù)據(jù)中心通過鐵路數(shù)據(jù)網(wǎng)，直連至一、二中心核心交換機，各網(wǎng)絡設備和安全設備性能經(jīng)過多次升級，已經(jīng)滿足購票高峰期業(yè)務需求。在18 個地區(qū)數(shù)據(jù)中心，建立有中心席位平臺，提供核心票庫管理和交易能力，對售票進行全方位支持。各車站系統(tǒng)通過鐵路數(shù)據(jù)網(wǎng)或?qū)＞€與地區(qū)數(shù)據(jù)中心相連，在雙中心、地區(qū)數(shù)據(jù)中心和車站系統(tǒng)均部署有數(shù)據(jù)庫，實現(xiàn)了雙中心、地區(qū)數(shù)據(jù)中心、車站的3 級架構(gòu)。

圖1 鐵路客票發(fā)售與預訂系統(tǒng)總體架構(gòu)Fig.1 Overall structure of the railway ticketing system

1.2 風險分析

風險評估就是利用定量或定性的方法對系統(tǒng)潛在的風險進行評價和估計[3]，是發(fā)現(xiàn)網(wǎng)絡問題和缺陷、彌補系統(tǒng)漏洞、維護系統(tǒng)平穩(wěn)運行的重要手段。對于網(wǎng)絡系統(tǒng)的風險評估應該綜合考慮資產(chǎn)、威脅和脆弱性3 個要素[4]。資產(chǎn)是指信息系統(tǒng)所涵蓋的信息和資源，資產(chǎn)的價值就是其在所處的信息系統(tǒng)中的重要程度；威脅是指導致信息安全事件發(fā)生的起因；脆弱性是資產(chǎn)的固有屬性，是資產(chǎn)自身可以被威脅利用的薄弱環(huán)節(jié)。在對信息系統(tǒng)進行風險評估時，需要綜合考慮威脅利用脆弱性導致安全事件的可能性和安全事件的影響，及安全事件所作用的資產(chǎn)價值3 個元素，最終獲得系統(tǒng)合理的風險指數(shù)。鐵路客票發(fā)售與預訂系統(tǒng)架構(gòu)復雜，信息系統(tǒng)遍布全國各地，是一個復雜的大型系統(tǒng)，其系統(tǒng)中所面臨的安全威脅也涉及到方方面面，將鐵路客票發(fā)售與預訂系統(tǒng)所面臨的風險大致分類 如下。

（1）基礎環(huán)境運行的風險威脅。鐵路客票發(fā)售與預訂系統(tǒng)的基礎環(huán)境包括構(gòu)建信息系統(tǒng)的基本軟硬件設備和物理環(huán)境，包括：各種硬件設備(主機設備、網(wǎng)絡設備、存儲設備等)、各種軟件設備(業(yè)務軟件、操作系統(tǒng)、數(shù)據(jù)庫、中間件等)、系統(tǒng)的整體架構(gòu)搭建及機房環(huán)境(電力、場地、網(wǎng)絡等)[5]。由于系統(tǒng)基礎環(huán)境所造成的安全風險事件，往往都會對信息系統(tǒng)產(chǎn)生嚴重的影響，因而綜合考慮資產(chǎn)、威脅、脆弱性3 個要素，對鐵路客票發(fā)售與預訂系統(tǒng)的基礎環(huán)境運行的風險進行分析[6]。基礎環(huán)境風險分析表如表1 所示。

表1 基礎環(huán)境風險分析表Tab.1 Basic environmental risk analysis table

（2）外部的風險威脅。當前，我國網(wǎng)絡安全形勢較為嚴峻，網(wǎng)絡犯罪活動持續(xù)上升。來自外部的攻擊者利用資產(chǎn)本身的漏洞，通過技術手段對于系統(tǒng)進行攻擊很容易導致信息泄露、系統(tǒng)崩潰、業(yè)務暫停等一系列問題，對系統(tǒng)造成安全風險。根據(jù)攻擊者的攻擊手段不同，會對不同的資產(chǎn)范圍造成影響。外部攻擊的手段包括：網(wǎng)絡嗅探和信息采集、用戶身份欺騙和偽造、用戶和業(yè)務數(shù)據(jù)的竊取和破壞、拒絕服務攻擊、系統(tǒng)運行的控制和破壞以及利用社會工程學的線下攻擊手段等。但總的來說，外部的攻擊者對于系統(tǒng)所能帶來的安全威脅范圍可以涵蓋到系統(tǒng)的全部資產(chǎn)。在2016 年的鐵路客票發(fā)售與預訂系統(tǒng)等保測評、2019 年國家網(wǎng)信辦網(wǎng)絡安全專項檢查等工作中，對當前外部攻擊的安全形勢和鐵路客票發(fā)售與預訂系統(tǒng)脆弱環(huán)節(jié)進行了全面的分析。

（3）業(yè)務系統(tǒng)的風險威脅。當前，由于售票壓力巨大，鐵路客票發(fā)售與預訂系統(tǒng)對外采用分時段放票的方式，即8 點、10 點、12 點、15 點4 個時間節(jié)點放票。在售票高峰時段，鐵路客票發(fā)售與預訂系統(tǒng)的壓力和負載巨大，來自各方的業(yè)務流量對系統(tǒng)的壓力等同于大型的DDoS 攻擊，同時，來自市場的各種第三方軟件的反復刷票行為，更極大的增加了原本就龐大的業(yè)務流量。對于鐵路客票發(fā)售與預訂系統(tǒng)的可用性和安全性是巨大的考驗和 威脅。

（4）管理和人員的風險威脅。對于一個系統(tǒng)而言，內(nèi)部人員可能會比外部人員更容易成為一個“攻擊者”。管理和人員等問題都有可能為系統(tǒng)帶來安全風險。在對系統(tǒng)進行風險評估時，充分考慮管理和人員的風險對系統(tǒng)整體的影響十分重要。從管理角度看，安全管理落實不到位或無法落實，會對信息系統(tǒng)的正常有序運行帶來障礙，成為系統(tǒng)的脆弱點，管理問題所涵蓋的安全威脅包括：權責不明、管理制度和策略不完善或缺乏可操作性、監(jiān)督機制不健全等內(nèi)容。從人員的角度看，掌握重要信息和核心業(yè)務的人員，安全意識或技術能力不足，會成為系統(tǒng)的脆弱點，人員問題所涵蓋的安全威脅包括：維護錯誤、操作錯誤、不當泄露信息、違規(guī)處理等問題。

2 鐵路客票發(fā)售與預訂系統(tǒng)風險評估模型構(gòu)建與計算

對鐵路客票發(fā)售與預訂系統(tǒng)的風險評估需要掌握信息系統(tǒng)的整體，根據(jù)風險評估分析，設F為客票系統(tǒng)的所有安全風險因素集，定義為

式中：F1為來自系統(tǒng)自身的風險因素集，F(xiàn)2為來自外部威脅的風險因素集，F(xiàn)3為來自業(yè)務系統(tǒng)的風險因素集，F(xiàn)4為來自管理和人員問題的風險因素集合。

根據(jù)風險因素集F中的4 種不同的風險因素，即F1，F(xiàn)2，F(xiàn)3和F4，分別有針對性地采取不同算法，計算其風險指數(shù)Ri，構(gòu)建最終的風險評估模型。這樣的風險評估方式有助于有針對性地發(fā)現(xiàn)系統(tǒng)設計與維護中存在的薄弱環(huán)節(jié)，以便采取有針對性的措施進行改進。

（1）基礎環(huán)境運行風險指數(shù)。基礎環(huán)境運行風險指數(shù)R1定義為

式中：a1，a2，…，ai分別表示風險因素集F1中各個風險因素對應的基礎環(huán)境部分的重要程度，i表示F1中風險因素的數(shù)量，{a1，a2，…，ai} =A；p1，p2，…，pi表示在系統(tǒng)運行過程中，對應的a1，a2，…，ai部分發(fā)生的風險事件所占的百分比p1+p2+ … +pi= 1，{p1，p2，…，pi} =P1；E1= {e1，e2，…，ei}為風險矩陣，e1，e2，…，ei表示風險因素集F1中的風險因素可能引起安全事件的危害程度，其中ei∈ [0，10]；Nd表示鐵路客票發(fā)售與預訂系統(tǒng)的雙活架構(gòu)的健壯性程度，Nd∈ [0，10]，Nd的值越小，代表雙活架構(gòu)的健壯性越高。

根據(jù)對鐵路客票發(fā)售與預訂系統(tǒng)整體架構(gòu)進行分析的結(jié)果，確定i= 4，即來自系統(tǒng)自身的風險因素集F1= {f1，f2，f3，f4}。式中：f1表示由于系統(tǒng)硬件故障可能引起的安全風險；f2表示由于操作系統(tǒng)、數(shù)據(jù)庫、應用軟件等軟件問題可能引起的安全風險；f3表示由于系統(tǒng)架構(gòu)中可能存在的不合理設計導致的安全風險；f4表示系統(tǒng)的機房環(huán)境問題導致的可能引起斷電、火災、水患等等安全問題。由公式 ⑵ 可以得出，基礎環(huán)境運行的風險指數(shù)R1∈ [0，40]。

（2）外部威脅風險指數(shù)。來自系統(tǒng)外部攻擊者給系統(tǒng)帶來的風險，取決于攻擊者的技術水平和系統(tǒng)漏洞的危害程度、曝光范圍等要素。攻擊者帶給系統(tǒng)的風險矩陣K1j為

式中：Sk表示攻擊者的技術水平；Sk∈ [0，1]；B1表示攻擊者的意愿B1∈ [0，3]；B2表示當前環(huán)境給攻擊者創(chuàng)造的機會水平，B2∈ [0，4]；B3表示當前社會存在的攻擊者規(guī)模，B3∈ [0，3]。

系統(tǒng)安全漏洞帶給系統(tǒng)的風險矩陣Qi1為

式中：NIDS表示系統(tǒng)的入侵檢測系統(tǒng)的魯棒性，NIDS∈ [0，10]；C1表示漏洞的發(fā)現(xiàn)難易程度，C1∈ [0，3]；C2表示漏洞的利用難易程度，C2∈ [0，3]；C3表示漏洞的傳播度，C3∈ [0，4]。不難發(fā)現(xiàn)，攻擊者的水平越高，外部威脅的風險指數(shù)越大，系統(tǒng)入侵檢測系統(tǒng)的魯棒性越健壯，外部威脅的風險指數(shù)越小。故外部威脅風險指數(shù)為

由公式 ⑸ 可以得出，外部威脅風險指數(shù)R2∈ [0，100]。

（3）業(yè)務系統(tǒng)風險指數(shù)。對于鐵路客票發(fā)售與預訂系統(tǒng)本身，由于售票高峰時段的業(yè)務流量極大，會對系統(tǒng)造成巨大的壓力，對系統(tǒng)的穩(wěn)定運行是一個嚴峻的考驗，由于業(yè)務壓力所導致的風險指數(shù)為R3，R3是一個隨著時間t動態(tài)變化的函數(shù)。通過對以往業(yè)務數(shù)據(jù)的分析，構(gòu)造業(yè)務系統(tǒng)風險指數(shù)R3為

由式公式 ⑹ 可以得出，業(yè)務系統(tǒng)風險指R3∈ [0，100]。

（4）管理問題風險指數(shù)。管理失誤、安全意識和技術不足，導致發(fā)生安全事件的概率為PM為[7]

式中：M表示所存在的安全隱患；D表示由于安全隱患導致的安全問題；D—表示存在安全隱患但未發(fā)生安全問題的狀態(tài)。管理問題風險指數(shù)R4為

式中：Ci表示對應的安全事件對系統(tǒng)的危害程度，由上式可以看出，由于管理等問題導致的安全事件越多，風險指數(shù)R4越大。

（5）整體風險指數(shù)。系統(tǒng)整體的風險包括來自系統(tǒng)基礎環(huán)境的風險、外部威脅的風險、業(yè)務壓力的風險和管理問題的風險，整體的風險指數(shù)R[8]為

根據(jù)既往經(jīng)驗和數(shù)據(jù)分析，對該風險評估模型下得出的風險指數(shù)進行等級劃分，風險等級對照表如表2 所示。

表2 風險等級對照表Tab.2 Risk level comparison table

3 計算結(jié)果分析

為了驗證風險評估模型的有效性，以某鐵路局集團公司的鐵路客票發(fā)售與預訂系統(tǒng)為例，對風險評估模型進行測試和驗證。由于威脅對于鐵路客票發(fā)售與預訂系統(tǒng)的影響存在不固定性，風險計算具有一定的模糊性，因而根據(jù)專家知識和既有經(jīng)驗對系統(tǒng)各個部分的風險重要程度和風險值進行賦值[9]。

（1）基礎環(huán)境運行風險指數(shù)。此系統(tǒng)網(wǎng)絡和硬件、軟件、架構(gòu)設計、機房環(huán)境等各個部分的重要程度為A= {7，8，5，6}，各個部分的發(fā)生的風險事件所占的百分比賦值為P1= {0.5，0.2，0.1，0.1}，各個部分風險事件對系統(tǒng)造成的嚴重程度為E1= {3，6，2，6}，此系統(tǒng)的雙活架構(gòu)的健壯性程度Nd= 0.3，故系統(tǒng)基礎環(huán)境運行的風險指數(shù)R1= 7.41。

（2）外部威脅風險指數(shù)。根據(jù)目前社會發(fā)展的情況，確定攻擊者的普遍技術水平為Sk= 0.6，攻擊者的攻擊意愿為2，環(huán)境給攻擊者創(chuàng)造的機會為2，攻擊者的規(guī)模為3；該系統(tǒng)入侵檢測系統(tǒng)的魯棒性較強，可以賦值較小，賦值為2，漏洞發(fā)現(xiàn)難度為1，漏洞利用難度為2，漏洞傳播規(guī)模為3，故外部威脅風險指數(shù)R2= 18。

（3）業(yè)務系統(tǒng)風險指數(shù)。鐵路客票發(fā)售與預訂系統(tǒng)采用分時段放票的規(guī)則，選取售票高峰時段，即15 點為例，故業(yè)務壓力所導致的風險指數(shù)R3= 55。

（4）管理問題風險指數(shù)。針對由于管理失誤、安全意識和技術不足，導致發(fā)生安全事件的概率進行賦值[7]，得到安全事件概率矩陣Pmi和安全事件影響程度矩陣Ci，管理問題風險指數(shù)R4= 34。

（5）整體風險指數(shù)。該鐵路局集團公司的風險指數(shù)R= 114.41，風險指數(shù)小于150，安全性良好。

4 結(jié)束語

近年來，隨著網(wǎng)絡安全形勢的日益嚴峻，風險評估技術的應用對于維護信息系統(tǒng)的安全性日益重要。鐵路客票發(fā)售與預訂系統(tǒng)作為我國鐵路關鍵信息基礎，對安全性風險控制要求極高。因此，應針對鐵路客票發(fā)售與預訂系統(tǒng)自身特性，結(jié)合多種風險評估技術手段，進一步完善改進風險評估模型，深入研究網(wǎng)絡技術帶來的風險，為鐵路客票發(fā)售與預訂系統(tǒng)提供安全保障。