鐵路貨票系統(tǒng)Winhp3.0安全體系設(shè)計(jì)與應(yīng)用

鄭慶華

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

鐵路貨票系統(tǒng)Winhp3.0安全體系設(shè)計(jì)與應(yīng)用

鄭慶華

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

本文簡(jiǎn)述貨票系統(tǒng)安全保障的重要性，從網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用、運(yùn)用管理幾個(gè)方面橫向分析貨票系統(tǒng)的安全性保障，并結(jié)合哈爾濱鐵路局Winhp3.0系統(tǒng)運(yùn)行情況，結(jié)合貨票系統(tǒng)實(shí)施中具體操作，從鐵路局端到車站端縱向剖析系統(tǒng)運(yùn)行中安全保障的措施，最大限度地保證系統(tǒng)安全運(yùn)行。

貨票系統(tǒng)；Winhp3.0 ；Radware ；Weblogic ；安全策略 ；負(fù)載均衡

鐵路貨票是鐵路運(yùn)營(yíng)的主要票據(jù)之一，隨著鐵路信息化建設(shè)推進(jìn)，目前，貨票系統(tǒng)已升級(jí)為3.0版本，即Winhp3。貨票系統(tǒng)能夠正常運(yùn)行的關(guān)鍵是安全保障。

貨票系統(tǒng)的安全建設(shè)目標(biāo)，是依據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和規(guī)范，建立完整的安全保障體系，有效地保障貨票相關(guān)業(yè)務(wù)的正常開展，保護(hù)核算收費(fèi)依據(jù)和收費(fèi)結(jié)果數(shù)據(jù)等敏感數(shù)據(jù)信息的安全。貨票系統(tǒng)安全性能達(dá)到GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的第3級(jí)。

1 Winhp3.0安全體系設(shè)計(jì)

貨票系統(tǒng)主要由網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)（重要的中間件服務(wù)器及Web應(yīng)用服務(wù)器）及存儲(chǔ)等的高可用性構(gòu)成。網(wǎng)絡(luò)系統(tǒng)核心設(shè)備和關(guān)鍵鏈路采用雙鏈路冗余連接保障網(wǎng)絡(luò)聯(lián)通的高可用性。主機(jī)采用集群或負(fù)載均衡方式實(shí)現(xiàn)高可用性。

1.1 網(wǎng)絡(luò)安全設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)遵照“鐵道總公司計(jì)算機(jī)網(wǎng)絡(luò)安全總體方案”，采用符合國(guó)家法規(guī)與業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)訪問控制技術(shù)、用戶身份強(qiáng)認(rèn)證/授權(quán)技術(shù)、內(nèi)容過(guò)濾技術(shù)和日志審計(jì)技術(shù)，實(shí)現(xiàn)多層次的縱深防御，遏制網(wǎng)絡(luò)病毒和攻擊，提升網(wǎng)絡(luò)的可靠性。

安全保障方案在設(shè)計(jì)上，基于鐵路信息系統(tǒng)的縱深防御框架，使用鐵路安全生產(chǎn)網(wǎng)統(tǒng)一傳輸平臺(tái)進(jìn)行數(shù)據(jù)交換，出現(xiàn)異常時(shí)啟動(dòng)專用FTP軟件作為備用傳輸。

通過(guò)對(duì)網(wǎng)絡(luò)通信的主體、客體進(jìn)行綜合的認(rèn)證，確保通信安全可靠，從而實(shí)現(xiàn)在保證網(wǎng)絡(luò)相互隔離的基礎(chǔ)上進(jìn)行適度的、可靠的數(shù)據(jù)交換。

對(duì)于系統(tǒng)提交的訪問請(qǐng)求進(jìn)行身份鑒別，只有合法請(qǐng)求才能訪問相關(guān)信息。

1.2 主機(jī)系統(tǒng)安全設(shè)計(jì)

（1）用戶身份列表：包括所有可以在該服務(wù)器使用的用戶信息；（2）訪問控制策略：設(shè)定為管理人員的權(quán)限，確保管理人員只能執(zhí)行權(quán)限范圍內(nèi)的行為；（3）審計(jì)策略：設(shè)定系統(tǒng)在一定時(shí)間段內(nèi)，需要對(duì)什么樣的時(shí)間進(jìn)行審計(jì)；（4）根據(jù)不同工作角色：賦予不同權(quán)限，這個(gè)系統(tǒng)中主要的客體是數(shù)據(jù)報(bào)文、數(shù)據(jù)處理結(jié)果和表單處理；（5）數(shù)據(jù)備份與恢復(fù)：為了保障數(shù)據(jù)存儲(chǔ)安全性，采用FC SAN存儲(chǔ)架構(gòu)的存儲(chǔ)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)；（6）高可用性與可靠性：數(shù)據(jù)庫(kù)和存儲(chǔ)采用雙機(jī)、雙存儲(chǔ)，SAN結(jié)構(gòu)冗余配置。應(yīng)用服務(wù)器等重點(diǎn)設(shè)備現(xiàn)場(chǎng)保留備件，硬件故障做到快速修改。

2 Winhp3.0應(yīng)用安全設(shè)計(jì)

應(yīng)用安全設(shè)計(jì)包括應(yīng)用基礎(chǔ)平臺(tái)、應(yīng)用訪問控制和安全連接3部分。應(yīng)用訪問控制主要針對(duì)部、局級(jí)系統(tǒng)的訪問控制，對(duì)權(quán)限、角色進(jìn)行授權(quán)管理。（1）用戶身份鑒別：保證操作系統(tǒng)和數(shù)據(jù)庫(kù)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；并且應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；（2）訪問控制：系統(tǒng)要求嚴(yán)格限制非法人員的使用，保證只有經(jīng)過(guò)授權(quán)的人員可以訪問應(yīng)用系統(tǒng)；（3）強(qiáng)化口令管理：在每次用戶登錄系統(tǒng)時(shí)，采用強(qiáng)化管理的口令進(jìn)行用戶身份鑒別；（4）業(yè)務(wù)數(shù)據(jù)完整性和保密性保護(hù)：對(duì)數(shù)據(jù)的存儲(chǔ)、傳輸進(jìn)行加密，預(yù)防數(shù)據(jù)泄露，對(duì)共享的數(shù)據(jù)按照共享格式通過(guò)安全渠道進(jìn)行共享；（5）對(duì)用戶輸入的數(shù)據(jù)，系統(tǒng)要進(jìn)行嚴(yán)格的數(shù)據(jù)校驗(yàn)；（6）系統(tǒng)模擬與仿真：建立仿真系統(tǒng)，可對(duì)修改內(nèi)容進(jìn)行回歸模擬，保證軟件的強(qiáng)壯性、正確性；（7）日志跟蹤。

3 Winhp3.0安全運(yùn)用管理

3.1 安全管理制度

（1）日常管理制度；（2）物理環(huán)境與設(shè)施管理制度（環(huán)境與安全設(shè)施管理制度，機(jī)房及設(shè)備間管理制度）；（3）設(shè)備與介質(zhì)管理制度（信息系統(tǒng)設(shè)備管理制度，介質(zhì)管理制度）；（4）運(yùn)行與開發(fā)管理制度（運(yùn)行開發(fā)安全管理制度，辦公人員使用IT設(shè)備管理制度，授權(quán)與訪問控制及口令管理制度，計(jì)算機(jī)病毒防治管理制度，監(jiān)控與審計(jì)管理制度）；（5）應(yīng)急響應(yīng)管理制度。

3.2 安全運(yùn)維

實(shí)行鐵路總公司、鐵路局、貨運(yùn)站3級(jí)管理模式，按照專業(yè)管理、分工負(fù)責(zé)的原則，逐級(jí)做好貨票系統(tǒng)的建設(shè)、應(yīng)用管理、技術(shù)維護(hù)等工作。信息部門指定專人負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)管理。確保應(yīng)用軟件根據(jù)需要按照鐵路總公司的部署進(jìn)行統(tǒng)一發(fā)布和更新。

3.2.1數(shù)據(jù)資料安全管理

制定完善的數(shù)據(jù)資料保密管理辦法，明確存取權(quán)限、存取方式和審批手續(xù)；不擅自向其他系統(tǒng)提供信息，也不得利用系統(tǒng)的軟件、數(shù)據(jù)等從事其他活動(dòng)。

3.2.2服務(wù)器安全管理

建立完整的服務(wù)器運(yùn)行日志、操作記錄及其它與安全有關(guān)的資料，專人負(fù)責(zé)保管；定期檢查服務(wù)器運(yùn)行狀態(tài)，確保其處于正常工作狀態(tài)；建立并嚴(yán)格執(zhí)行服務(wù)器安全管理制度，無(wú)關(guān)人員未經(jīng)安全責(zé)任人批準(zhǔn)嚴(yán)禁登錄系統(tǒng)服務(wù)器、安裝與貨票系統(tǒng)無(wú)關(guān)的軟件。

3.2.3操作安全管理

采取嚴(yán)密的安全措施防止無(wú)關(guān)用戶進(jìn)入系統(tǒng)；服務(wù)器操作系統(tǒng)口令、數(shù)據(jù)庫(kù)管理系統(tǒng)的口令必須由專人掌管，并定期更換；各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置，并定期檢查操作員的權(quán)限；及時(shí)清除不安全隱患。

3.2.4計(jì)算機(jī)病毒防范

指定專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作，定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理并報(bào)告；系統(tǒng)安裝使用的介質(zhì)在使用前應(yīng)進(jìn)行病毒例行檢測(cè)，禁止運(yùn)行未經(jīng)病毒檢測(cè)的軟件和文件；采用鐵路總公司信息主管部門許可的正版防病毒軟件并及時(shí)更新軟件版本。

3.2.5應(yīng)急管理

對(duì)系統(tǒng)可能發(fā)生的突發(fā)事件要制定應(yīng)急處理預(yù)案；對(duì)執(zhí)行應(yīng)急預(yù)案的全體人員應(yīng)進(jìn)行專項(xiàng)培訓(xùn)，定期進(jìn)行檢查、測(cè)試和演練；根據(jù)測(cè)試和演練結(jié)果，不斷完善應(yīng)急預(yù)案。

4 哈爾濱鐵路局Winhp3.0安全保障實(shí)踐

哈爾濱鐵路局（簡(jiǎn)稱：哈局）維護(hù)組在貨票系統(tǒng)實(shí)施中增加運(yùn)行環(huán)境監(jiān)控職責(zé)，貨票系統(tǒng)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)和信息安全等納入鐵路統(tǒng)一的監(jiān)控管理體系，由各級(jí)生產(chǎn)運(yùn)維單位負(fù)責(zé)系統(tǒng)環(huán)境的運(yùn)維。

作為哈局維護(hù)組認(rèn)真做好貨票系統(tǒng)運(yùn)營(yíng)工作，結(jié)合哈局實(shí)際運(yùn)行情況，對(duì)貨票系統(tǒng)日常安全保障從路局端到車站端細(xì)化安全維護(hù)任務(wù)。

4.1 哈局端維護(hù)

哈局端Winhp3.0系統(tǒng)構(gòu)架主要分為3個(gè)部分：負(fù)載均衡，應(yīng)用服務(wù)器，Weblogic中間件。

4.1.1負(fù)載均衡

負(fù)載均衡主要是將貨票客戶端的業(yè)務(wù)數(shù)據(jù)鏈接分配到相對(duì)應(yīng)的應(yīng)用服務(wù)器上。負(fù)載均衡采用2臺(tái)Radware雙機(jī)熱備。當(dāng)其中1臺(tái)出現(xiàn)故障時(shí)不會(huì)影響系統(tǒng)運(yùn)行，會(huì)自動(dòng)切換到另1臺(tái)正常的Radware上。當(dāng)2臺(tái)同時(shí)出現(xiàn)故障時(shí)，可以將備份的負(fù)載均衡配置文件載入到其他系統(tǒng)Radware負(fù)載均衡上。

4.1.2應(yīng)用服務(wù)器

應(yīng)用服務(wù)器采用Weblogic中間件提供相應(yīng)的應(yīng)用服務(wù)，當(dāng)某臺(tái)應(yīng)用服務(wù)器出現(xiàn)故障時(shí)，可在短時(shí)間內(nèi)實(shí)現(xiàn)重新部署上線。

4.1.2.1負(fù)載均衡關(guān)閉及啟動(dòng)流程

Winhp3.0系統(tǒng)各應(yīng)用部署時(shí)，為防止車站在升級(jí)期間登錄程序進(jìn)行制票，首先應(yīng)將負(fù)載均衡從網(wǎng)絡(luò)上斷開，部署完成后在將負(fù)載均衡連接到網(wǎng)絡(luò)上。

4.1.2.2系統(tǒng)應(yīng)用部署方法

所有部署前必須申請(qǐng)停機(jī)維護(hù)天窗，將負(fù)載均衡網(wǎng)線拔出。順序?yàn)橄劝蝹洌蟀沃鳌＝又鴮?duì)應(yīng)的服務(wù)停止，并做好備份工作。查看服務(wù)狀態(tài)是否為活動(dòng)，健康狀態(tài)是否顯示OK。部署完成后，將負(fù)載均衡網(wǎng)線插回，順序?yàn)橄戎骱髠洹?/p>

TRANSPORT：登錄時(shí)的參數(shù)傳輸，各類數(shù)據(jù)庫(kù)字典更新都需要修改重啟TRANSPORT服務(wù)更新前要查看更新包內(nèi)是否有數(shù)據(jù)庫(kù)配置文件。如果有要將數(shù)據(jù)庫(kù)文件刪除后再覆蓋。修改數(shù)據(jù)庫(kù)配置文件后需要?jiǎng)h除重新部署。

JCSJ：基礎(chǔ)數(shù)據(jù)網(wǎng)頁(yè)發(fā)布程序。

HPTAX：增值稅數(shù)據(jù)傳輸服務(wù)。

HPPIZ：聯(lián)機(jī)制票服務(wù)器（暫未上線）。

HPEPAY：電子支付服務(wù)器。

HPAPP：貨票應(yīng)用服務(wù)器。

后臺(tái)數(shù)據(jù)庫(kù)建立在機(jī)房的大存儲(chǔ)中，是雙機(jī)熱備，其中一臺(tái)出現(xiàn)故障不影響使用。

4.1.3 Weblogic中間件

應(yīng)用服務(wù)器采用Weblogic中間件提供相應(yīng)的應(yīng)用服務(wù)，當(dāng)某臺(tái)應(yīng)用服務(wù)器出現(xiàn)故障時(shí)，可在短時(shí)間內(nèi)實(shí)現(xiàn)重新部署上線。Weblogic集群部署分布在10.16.6. *49、10.16.6. *50和10.16.6. *66這3臺(tái)機(jī)器上。負(fù)載均衡健康檢查：在Health Monitoring中的Check Table中查看所有server的狀態(tài) 。

4.2 車站端維護(hù)

4.2.1終端授權(quán)管理功能

對(duì)鐵路營(yíng)業(yè)廳制票機(jī)、信息采集點(diǎn)、信息應(yīng)用點(diǎn)、監(jiān)控終端等進(jìn)行序列號(hào)、制票卡、訪問地址等進(jìn)行登記和授權(quán)。

4.2.1.1序列號(hào)管理

制票軟件序列號(hào)生成、登記、發(fā)放、銷毀，只有有效的序列號(hào)才能聯(lián)入貨票系統(tǒng)進(jìn)行貨票、雜費(fèi)票據(jù)填制，以及采集上報(bào)信息。

4.2.1.2制票卡管理

制票卡申領(lǐng)、發(fā)放、維護(hù)、報(bào)廢登記等生命周期管理，每臺(tái)制票機(jī)、信息采集機(jī)配置一塊制票卡，配合軟件序列號(hào)進(jìn)行生產(chǎn)授權(quán)。

4.2.1.3地址管理

對(duì)鐵路總公司貨票系統(tǒng)數(shù)據(jù)服務(wù)相聯(lián)的下級(jí)服務(wù)器的IP、應(yīng)用用戶Web訪問的IP地址進(jìn)行登記，根據(jù)用途進(jìn)行不同的授權(quán)。

4.2.2各種問題流程閉環(huán)

對(duì)故障進(jìn)行分類：軟件問題、使用系統(tǒng)問題、更新升級(jí)問題、硬件問題、貨規(guī)與貨票不符問題、打印故障、傳輸故障、增值稅問題。對(duì)不同類有不同處理流程，對(duì)應(yīng)不同的處理方法，并核實(shí)是否解決問題，確保制票過(guò)程暢通。

5 結(jié)束語(yǔ)

以上針對(duì)Winhp3.0從上層安全性設(shè)計(jì)部署，安全保障的體系建立，到鐵路局層具體應(yīng)用的實(shí)施。安全保障措施的應(yīng)用具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。最大限度保證貨票系統(tǒng)安全正常的運(yùn)行，保證貨運(yùn)運(yùn)輸不在貨票的環(huán)節(jié)正常、準(zhǔn)確運(yùn)營(yíng)。

[1] 朱 彤.淺論貨票信息管理系統(tǒng)的優(yōu)勢(shì)[J]. 管理研究，2009（7）.

[2] 鐵路信息技術(shù)中心貨票維護(hù)組.貨票系統(tǒng)升級(jí)初步方案[Z].北京：鐵路信息技術(shù)中心貨票維護(hù)組, 2013.

[3] 哈爾濱鐵路局信息所貨票維護(hù)組 .哈局貨票系統(tǒng)應(yīng)急預(yù)案及操作手冊(cè)[S]. 哈爾濱：哈爾濱鐵路局信息所貨票維護(hù)組，2014.

責(zé)任編輯 徐侃春

Security system of Winhp3.0 Freight Invoice System

ZHANG Qinghua
( Institute of Information Technology, Haerbin Railway Administration, Haerbin 150006, China )

This article brief l y described the security importance of the Freight Invoice System, analyzed the security guarantee of the System from the network, the host system, the application management. Combined with the running conditions of Winhp3.0 System in Haerbin Railway Administration and concrete operation in the Freight Invoice System, from the railway administration to the station, the article analyzed the security measures of the System to ensure the safe operation in detail.

Freight Invoice System; Winhp3.0; Radware; Weblogic; security policy; load balancing

U294.1∶TP39

A

1005-8451（2015）12-0035-04

2015-04-22

鄭慶華，工程師。