鐵路信息系統安全體系研究

張 彥

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

基礎研究

鐵路信息系統安全體系研究

張 彥

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

分析中國鐵路信息系統的安全現狀和面臨的信息安全威脅，提出鐵路信息安全系統的頂層建設構思，構建基于鐵路安全管理中心和PKI/CA認證中心支持下的安全應用環境子系統、區域邊界防護子系統、通信網絡防護子系統三重防護技術體系，以客票系統為例檢驗該體系的適用性。

信息系統；安全體系；適用性

中國鐵路信息系統按照《鐵路信息化總體規劃》思路建設。根據該規劃，鐵路信息系統分為運輸組織、客貨營銷和經營管理3大應用領域[1]，其中，按照四級安全等級保護建設的重大信息系統集中在運輸組織和客貨營銷，其他重要信息系統按三級安全等級保護建設，次要的信息系統按二級安全等級保護建設。如何按照信息安全等級保護思路構建鐵路信息系統安全體系，是本文的論述重點。

1 鐵路信息系統安全現狀分析

1.1 鐵路信息系統分類

由于中國鐵路設置了鐵路總公司、鐵路局、站段3層機構，鐵路總公司是宏觀管理機構，鐵路局是業務管理機構，站段是業務執行機構，應用類信息系統需要考慮3層不同機構之間的業務關聯關系。

就系統應用寬泛程度而言，鐵路信息系統大致分為3類：第1類是全路性的大型應用系統，部署在鐵路總公司、鐵路局、站段3級管理與業務部門中，鐵路行業使用的大多數信息系統屬于這一類應用，如鐵路客票系統、列車調度與指揮系統等；第2類是局部的中型應用系統，如鐵路運輸清算系統，按業務要求部署在鐵道總公司和鐵路局兩級管理機構中；第3類是獨立的應用系統，如車號識別系統等只在編組站、分界站等處應用。

1.2 安全措施

中國鐵路信息系統目前采用的信息安全措施大致有3種：（1）采用獨立的專用網絡，如客票網、調度網等，不同的網絡服務于不同的業務，網絡間提供信息交互服務；（2）部分系統建立了對外的統一信息安全支撐平臺，用于防患來自外部網絡的攻擊；（3）部分系統建立了內部的安全保障平臺，在有信息交互的網絡邊界部署外部訪問控制器、內部訪問控制器、隔離網閘、防火墻、入侵檢測等安全設備。

1.3 安全現狀

隨著社會的發展，鐵路的業務已突破封閉式專網運營模式，向互聯網方向滲透。如近年來客運的互聯網售票服務，貨運的大客戶服務等，無不需要通過互聯網這一便捷的網絡通道，使人們足不出戶就能購買火車票、托運貨物等，在給千家萬戶帶來方便的同時，也給鐵路信息系統的安全帶來嚴重挑戰，鐵路靠傳統的專網抵擋外部入侵的措施已不能滿足信息系統安全形勢的發展需要，須要從頂層考慮，建立一套自頂向下的、完整的安全體系和策略，為各級各類應用系統提供安全保障。

2 信息系統安全體系總體設計

2.1 信息安全體系的頂層構思

從上述分析可知，鐵路信息系統量多且規模大，多網并建，各系統之間縱橫交錯，因此，鐵路信息系統的安全體系建設不因只考慮單一系統、單一網絡的安全，也不因只涉及單一管理層面的安全，而應自頂向下全盤統籌，貫穿鐵路信息系統的各個層面。具體的說就是：按照GB/T22239-2008《信息安全技術–信息系統安全等級保護基本要求》中提出的物理安全、主機安全、網絡安全、應用安全及數據安全5個方面的技術要求，以“信息共享、設施共用、縱深防護、主動防御、內外兼防”為原則，構建鐵路總公司、鐵路局、站段各級信息系統的“二個中心、三重防護”安全體系架構，合理劃分安全域，強化網絡邊界和應用環境安全。

2.2 安全體系總體設計思路

“兩個中心”是指覆蓋整個鐵路信息系統的安全管理中心和為鐵路信息系統進行統一身份認證的PKI/CA認證中心，“三重防護”是指通信網絡防護、區域邊界防護和安全應用環境保護[2]。

“兩個中心支撐下的三重防護體系”是從系統的整體安全角度考慮，兼顧系統各安全區域間、各安全層面間的關聯性，形成以安全管理中心進行統一管理、統一監控、統一審計、綜合分析的集中管理平臺，以PKI/CA認證中心為鐵路行業統一身份認證平臺，以通信網絡防護、區域邊界防護和安全應用環境保護三重協同防護的縱深防御體系。如圖1所示。

圖1 安全技術體系架構圖

2.2.1 安全管理中心

安全管理中心是技術架構的核心，實現對通信網絡防護子系統、區域邊界防護子系統和安全應用環境子系統的統一管控。該中心是對三重防護體系的有效支撐，分別在鐵路總公司和鐵路局部署，各層次之間有數據交互。安全管理中心由系統管理子系統、安全管理子系統和審計管理子系統組成，分別對應“三權分立”模式的系統管理員、安全管理員和審計管理員。

2.2.2 鐵路PKI/CA認證中心

鐵路PKI/CA認證中心為鐵路行業統一的身份認證系統，可以奠定鐵路行業網絡信任體系基礎，有效解決應用系統的身份認證問題，使之具備高強度的身份認證和責任認定機制，為應用系統的權限管理和單點登錄提供支撐平臺和服務。該系統分別部署于鐵路總公司和鐵路局，鐵路總公司PKI/CA認證中心包括CA認證中心、RA管理中心和交叉認證中心，鐵路局根據實際情況可以考慮建設CA認證中心和RA管理中心[3]。

2.2.3 通信網絡防護系統

網絡通信包括鐵路客票網、調度網、生產網、內部服務網、外部服務網等不同專網之間的通信，以及專網與互聯網之間的通信。不同的專網之間部署通信網絡防護系統并實現安全通道功能，專網與互聯網之間以及四級系統與其他系統之間部署強隔離系統和外部訪問控制系統，其他網絡之間部署內部網絡控制系統和防火墻等安全設備，防止內部發生安全泄漏事件。

2.2.4 區域邊界防護系統

區域邊界防護分為縱向區域邊界防護和橫向區域邊界防護。縱向邊界是鐵路總公司中心對鐵路局中心、鐵路局中心對車站及相鄰鐵路局之間的邊界，在構建縱向邊界防護策略時，主要考慮邊界完整性保護、外部非法接入、內部用戶非法外聯、強制訪問控制機制等。橫向邊界是指二、三、四級信息系統間的安全域邊界，按照 “二級系統統一成域，三級、四級系統獨立分域”的劃分原則構建。

2.2.5 安全應用環境子系統

安全應用環境系統針對二、三、四級各類應用系統部署服務器、終端等不同環境下的安全防護策略。服務器可采取的安全策略包括身份鑒別、標記管理、強制訪問控制、安全審計和系統可信安全機制等。終端的安全采用基于安全操作系統的安全防護機制，可采用訪問控制軟件與終端軟件完整性檢查、操作系統安全加固等措施。

圖2 鐵路客票系統安全結構圖

3 安全體系在鐵路客票系統中的應用

3.1 需求分析

分析鐵路客票系統的整體架構和網絡構成，可以從以下幾方面給出客票系統的安全需求：

（1）設備安全需要：核心數據庫服務器、應用服務器、接口服務器、交易前置服務器的安全，車站售票窗口、代理售票窗口、TVM、管理機等各類接入終端的安全；（2）網絡安全需求：客票網、內部服務網、外部服務網、互聯網的接入安全；（3）縱向邊界安全需求：鐵路總公司客票中心系統、地區客票中心系統、車站系統邊界的安全；（4）橫向邊界安全需求：客票核心系統、客戶服務中心網站、電子支付平臺、運輸清算等系統、旅客服務系統進行數據交換的安全；（5）數據安全需求：票庫、存根、常用客戶等重要數據的存儲和傳輸安全；（6）人員安全需求：內部操作人員進入系統的安全認證、外部用戶通過互聯網進入12306網站的安全認證、系統管理員進入后臺系統的安全認證等。

3.2 安全風險分析

鐵路客票系統面臨的安全風險主要有：

（1）來自外部的安全威脅：通過互聯網等外部網絡非法接入，對客票系統進行惡意破壞、病毒擴散、DDos攻擊、資源濫用等。（2）來自內部的安全風險：內部人員越權、跨區域登錄服務器或核心數據庫，篡改存根、財務統計數據、票庫等重要數據源，非法鎖定票源，插入有病毒的移動介質傳播病毒，對安全管理員、系統管理員、數據庫管理員缺乏有效的監督和審核措施等。（3）互聯系統間的接口安全：客票系統、12306網站、電子支付、旅客服務、運輸清算等系統之間通過數據交換接口進行非法操作，造成網絡擁堵，發布帶病毒的接口數據造成病毒傳播等。（4）斷電、斷網、空調失效、機房漏水等環境因素造成系統運行中斷等。

3.3 安全方案

根據對鐵路客票系統安全需求及安全風險的分析，本方案擬以鐵路客票系統為中心，將與其有關聯關系的電子支付平臺、12306客戶服務網站、客運清算系統、旅客服務系統等信息系統納入安全方案中進行統籌考慮，并根據各系統在鐵路總公司、鐵路局、站段3級縱向系統中的安全性要求，參照本文第3.2節中的總體設計思路，建立圖2（見P7）所示的鐵路客票系統安全結構總圖。

根據“兩個中心、三重防護”的設計理念，鐵路客票系統的安全管理由鐵路總公司安全管理中心統一處理，身份認證及密鑰由鐵路總公司PKI/CA認證中心統一分發。

鐵路客票系統在鐵路總公司、鐵路局和車站之間通過客票網相連，旅客服務系統在鐵路局與車站間通過旅服網相連，在鐵路總公司、鐵路局、站邊界處部署縱向區域邊界安全子系統。

鐵路總公司級客票核心系統、電子支付平臺、12306網站、運輸清算系統之間建立橫向區域邊界安全防護子系統；客票網與內部服務網之間部署內網安全子系統，內部服務網與外部服務網之間部署外網安全子系統，外部服務網與銀行網之間進行交叉認證，互聯網邊界部署外部訪問控制系統，各系統內部根據不同的安全等級要求部署相應措施的安全應用環境子系統。

鐵路局級客票核心系統、電話訂票系統、旅客服務集成管理平臺之間部署橫向邊界安全子系統，客票網和旅服網之間部署內部網絡安全子系統，根據安全需要部署安全應用環境子系統。

車站級系統主要是各類終端設備，安全防范重點是終端接入，可以根據各類設備所屬系統的安全等級，部署不同措施的安全應用環境子系統。

4 結束語

本文論述的鐵路信息系統安全體系方案，是基于從上至下的一種設想，不論是對建立鐵路行業信息系統的整體安全體系，還是就某一個分布式跨地區的單一信息系統安全體系的建設，都具有借鑒意義。

[1] 鐵路信息化領導小組辦公室. 鐵路信息化總體規劃[Z]. 北京：鐵道部，2004，12：9-11。

[2] 沈昌祥. 構造積極防御的安全保障框架[J]. 網絡安全技術與應用，2003（11）.

[3] 劉永華. 網絡信息安全技術[M]. 北京：中國鐵道出版社，2011，7：96-99.

責任編輯 方 圓

Security system of China Railway Information System

ZHANG Yan
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

This article analyzed the security of China Railway Information System, proposed a top level concept for the construction of the Railway Information Security System, three-layered protection architecture which was consisted of the subsystem of secure application environment, the subsystem of boundary protection, and the subsystem of communication network protection. The System was based on the support of railway security management center and the PKI/CA(Public Key Infrastructure/Certif i cate Authority) certif i cate authority. The TRS(Ticketing and Reservation System) was taken as an example to test the applicability.

Information System; security system; applicability

U29-39

A

1005-8451（2015）02-0005-04

2014-10-08

張 彥，研究員。