肖世龍

（廣州地鐵設計研究院股份有限公司，廣東 廣州 510000）

0 引言

基于大數(shù)據(jù)新技術與成熟的人工智能技術，人臉識別檢票過閘系統(tǒng)在國內多個城市地鐵上線，而人臉識別作業(yè)系統(tǒng)作為人臉識別業(yè)務的支撐平臺[1-2]，它的網絡安全等級保護至關重要。該文基于人臉識別技術在某地鐵的應用實踐，介紹了相關人臉識別作業(yè)系統(tǒng)的網絡安全等級保護設計經驗，為國內城市地鐵人臉識別技術的應用提供了重要的參考。

1 人臉識別作業(yè)系統(tǒng)構成

人臉識別作業(yè)系統(tǒng)是該市地鐵自動售檢票系統(tǒng)實現(xiàn)人臉識別檢票過閘的支撐平臺，人臉識別作業(yè)系統(tǒng)與已有的AFC系統(tǒng)共同組成了完整的自動售檢票系統(tǒng)。已有的AFC系統(tǒng)包括清分中心系統(tǒng)（ACC）、數(shù)字票務平臺系統(tǒng)、1號線 AFC系統(tǒng)以及2號線 AFC系統(tǒng)等?？紤]到業(yè)務的統(tǒng)一性，該市地鐵人臉識別作業(yè)系統(tǒng)與數(shù)字票務平臺系統(tǒng)統(tǒng)籌進行網絡安全等級保護設計。

人臉識別作業(yè)系統(tǒng)由業(yè)務服務數(shù)據(jù)庫、業(yè)務服務器群、核心交換區(qū)、數(shù)據(jù)備份區(qū)以及外部接口區(qū)等組成。其主要功能是實現(xiàn)地鐵人臉識別乘車的核心應用能力，其中包括用戶管理、密鑰管理、人臉行程管理、人臉行程匹配、人臉訂單管理、配置管理平臺以及實現(xiàn)對人臉識別服務器的管理和配置等功能。

2 系統(tǒng)網絡安全等級定級

根據(jù)GA/T 1389—2017《信息安全技術 網絡安全等級保護定級指南》，人臉識別系統(tǒng)信息遭到破壞后，社會秩序和公共利益會受到嚴重侵害；因此，系統(tǒng)信息安全保護等級屬于三級。

信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級中較高者所決定的。因此，人臉識別作業(yè)系統(tǒng)的安全保護等級界定為第三級。

3 系統(tǒng)網絡安全設計方案

3.1 安全域劃分

安全域劃分的目的是將網絡安全問題細化，實現(xiàn)針對性的安全防護部署[3]，從而更好地控制網絡安全風險，降低系統(tǒng)風險。

系統(tǒng)平臺總體分為核心交換區(qū)、外部接口區(qū)、安全管理區(qū)、業(yè)務承載區(qū)以及內部接口區(qū)等功能區(qū)域。

核心交換區(qū)主要負責整個的核心網絡的數(shù)據(jù)交換；網絡采用2層架構即分為核心層和接入（匯聚）層，核心層負責整體網絡的集中控制轉發(fā)，需要核心設備具備高性能、高可靠的特性，核心交換機連接外部接口區(qū)、內部接口區(qū)、人臉識別業(yè)務承載區(qū)以及綜合安全管理中心等。2臺核心交換機間部署雙機虛擬化，將2臺設備虛擬為1臺，保證業(yè)務的高可靠性。

智網（外部）接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負責專網和公網間的連接。

安全管理區(qū)是計劃部署以業(yè)務為核心，集網絡安全、應用安全以及業(yè)務安全為一體的安全管理系統(tǒng)，它具備防火墻、防入侵、應用控制、審計以及主機防護等安全功能，同時還具備可視化管理等功能。

業(yè)務承載區(qū)，通過服務器集群技術構建計算資源池和存儲資源池，為人臉識別提供計算存儲等服務。

內部接口區(qū)主要負責互聯(lián)網票務平臺及人臉識別與地鐵內部其他業(yè)務系統(tǒng)的連接。

3.2 安全建設方案設計

3.2.1 建設目標

安全方案應該嚴格根據(jù)技術與管理要求進行設計。根據(jù)《信息系統(tǒng)等級保護安全設計技術要求》并結合管理要求設計本級系統(tǒng)保護環(huán)境模型。

3.2.2 業(yè)務承載區(qū)

業(yè)務承載區(qū)承擔著互聯(lián)網票務與人臉識別系統(tǒng)的基礎業(yè)務負載，各負載設備通過2臺匯聚交換機進行連接，2臺交換機要保證業(yè)務的可靠性和穩(wěn)定性，因此需要選擇高性能的匯聚交換機，在2臺交換機之間部署雙機虛擬化功能，將2臺設備虛擬為1臺設備，當1臺設備出現(xiàn)DOWN機事件時，不會影響到系統(tǒng)的正常使用，從而保證業(yè)務的高可靠性。2臺交換機采用雙鏈路冗余的方式連接業(yè)務服務數(shù)據(jù)庫、業(yè)務服務器群、業(yè)務存儲設備等設備，并對用戶行為、用戶事件及系統(tǒng)狀態(tài)進行審計，全面記錄數(shù)據(jù)庫的訪問行為，識別越權操作等行為。通過匯聚交換機盤掛1臺數(shù)據(jù)庫審計，實現(xiàn)對敏感數(shù)據(jù)訪問行為軌跡的跟蹤，防止敏感數(shù)據(jù)泄漏，并提供相應的建議。業(yè)務承載區(qū)（如圖1所示）通過2臺防火墻和入侵防御系統(tǒng)（IPS）連接到地鐵通信的骨干網上，進行邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計。

圖1 業(yè)務承載區(qū)網絡拓撲圖

3.2.3 外部接口區(qū)

外部接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負責專網和公網網絡的連接。考慮到等級保護建設要求，應該在區(qū)域邊界的出口串聯(lián)防火墻設備和IPS設備，其中IPS設備可以對內網和外網的存取應用進行管理[4]，如圖2所示。

圖2 外部接口區(qū)網絡拓撲圖

3.2.4 安全管理區(qū)

安全管理中心的主要功能是監(jiān)控系統(tǒng)的運行狀態(tài)和設備的運行情況，同時實現(xiàn)統(tǒng)一的安全策略部署，如圖3所示。

在控制中心部署運維審計堡壘機，實現(xiàn)運維管控及審計。運維人員通過運維審計堡壘機的審計認證后才能進行業(yè)務操作且可以對所有操作過程進行回溯。

部署漏洞掃描系統(tǒng)可以定期掃描漏洞，及早規(guī)避、發(fā)現(xiàn)可能出現(xiàn)的問題[5]。

部署主機服務器安全加固系統(tǒng)，其具備組網內資產清點、風險分析、入侵檢測、病毒查殺以及安全日志等功能。

設置終端殺毒系統(tǒng)，利用防病毒服務器實現(xiàn)終端主機防病毒策略的制定，及時獲得最新的病毒特征庫，并同步更新到數(shù)據(jù)中心節(jié)點的各個終端，同時接受各個終端上報的病毒威脅和事件監(jiān)控以及審計日志等必要的信息。

部署日志審計系統(tǒng)對進行系統(tǒng)檢測，并對日志進行關聯(lián)分析，生成關系圖譜，保證系統(tǒng)的安全。

1個標準的安全防護體系在標準的安全體系里需要讓各節(jié)點進行聯(lián)動，建設帶有預警機制的安全防護體系。

在該方案的安全體系中，安全預警機制是工作人員發(fā)現(xiàn)目標的重要手段。整套安全體系不再是被動防護的機制，因為有了預警機制，所以可以通過多點聯(lián)動防護的模式，主動阻斷惡意行為。

聯(lián)動防護機制可以在預警分析判斷為惡意行為后，通知防火墻設備阻斷其外鏈的IP地址，記錄文件指紋更新安全防護策略，隔離惡意文件。

安全管理中心的部署實現(xiàn)了安全設備的統(tǒng)一分析和管理，使系統(tǒng)能從整體的角度結合各類安全設備日志進行分析，并能對各類安全設備做到統(tǒng)一管理和統(tǒng)一的配置下發(fā)。

圖3 安全管理區(qū)網絡拓撲圖

3.2.5 總架構

系統(tǒng)采用分區(qū)分域的形式進行規(guī)劃設計，按使用功能進行區(qū)域劃分，并在不同的邊界部署相應的安全防護，形成了安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心的全面保護，該架構滿足安全保護等級第三級的相關要求。安全網絡總架構圖如圖4所示。

4 人臉識別作業(yè)系統(tǒng)網絡安全保護效果

該方案滿足安全保護等級第三級的相關要求，并具有以下4個特點：1）遵循標準化。該方案的制定參照并遵循了國家頒發(fā)的一系列信息安全標準。2）重復利用與整體化。信息安全建設從系統(tǒng)整體的角度去分析安全風險，本著需求、風險和代價相平衡的思想，提出解決方案，避免了重復建設。3）易操作與低資源占用率。該方案容易操作；不會降低或占用系統(tǒng)本身的性能。滿足易操作與低資源占用率的原則。4） 可擴展性。該安全方案能夠適應網絡規(guī)模的擴展以及安全需求的變化，并能夠實現(xiàn)統(tǒng)一的安全升級。

圖4 安全網絡總架構圖

5 結語

人臉識別作業(yè)系統(tǒng)存儲數(shù)據(jù)的敏感性決定了其網絡安全等級保護的重要性。

該文介紹了人臉識別作業(yè)系統(tǒng)的網絡安全等級保護在某市地鐵的應用實踐情況，詳細描述了針對網絡信息安全功能及硬件需求而提供的全套解決方案，滿足國家 GB/T 22239—2019《信息安全技術 網絡安全等級保護基本需求》等相關規(guī)范的規(guī)定，可以為后續(xù)城市地鐵應用人臉識別技術提供參考。