互聯網環境下鐵路信息安全等級保護設計方案研究

姚洪磊，史 宏

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

互聯網環境下鐵路信息安全等級保護設計方案研究

姚洪磊，史 宏

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

信息安全是鐵路信息系統建設的一個重要問題，目前我國鐵路缺少統一、標準化的信息安全等級保護解決方案，伴隨互聯網發展，鐵路出現一批面向互聯網提供服務的信息系統，該類信息系統的上線應用，生產系統不可避免與外網互聯，信息安全受到威脅日益加大。本文提出了互聯網接入管理中心支持下的安全計算環境子系統、安全區域邊界子系統、安全通信網絡子系統保護三重防護技術體系結構，形成縱深防御體系。基于該體系并結合互聯網信息系統的特點，對安全方案設計開展了研究，可為相關部門采取相應的防護技術和管理措施提供理論依據和參考。

互聯網信息系統；信息安全等級保護；設計方案

經過幾十年的發展，鐵路信息系統現已成為涵蓋各專業不同業務的龐大信息系統體系，該體系中除運行于鐵路內部網絡的信息系統外，部分信息系統由于業務需要，需面向互聯網提供服務，如鐵路互聯網售票系統[1]、鐵路電子商務系統[2]、大客戶服務系統[3]等，由于實現與外網的互聯，信息系統存在各種類型的安全隱患和潛在的危險，黑客及懷有惡意的人員將可能利用這些安全隱患對內部網絡進行攻擊，造成嚴重后果。

自我國開展信息安全等級保護工作以來，相關學者已經對各類信息系統信息安全等級保護體系的設計開展了大量的研究[4~7]。針對鐵路行業特點，本文提出互聯網接入管理中心支持下的安全計算環境、安全區域邊界和安全通信網絡子系統為主要防護手段的三重防護技術體系結構，形成縱深防御體系，同時基于該體系并結合面向互聯網提供服務信息系統的特點，對安全設計方案開展了研究。

1 安全風險分析

1.1 非法訪問

互聯網用戶或其他網絡區域用戶試圖訪問鐵路總公司或各鐵路局客服中心網站所開放服務之外的信息和服務，導致網站面臨非法內聯和外聯的安全威脅，特別面臨著惡意攻擊導致系統癱瘓的安全風險。

1.2 外部非法入侵和攻擊

鐵路部分應用系統外部終端可以通過ADSL撥號、無線網實現訪問。但隨著接入點的不斷增多，系統極易遭受來自外部和內部的非法入侵和攻擊。

1.3 計算機病毒、蠕蟲及惡意代碼的攻擊

鐵路通信網未與互聯網連接前，所面臨的惡意代碼攻擊主要來自光盤、軟盤、移動存儲終端等外部介質的惡意代碼，與互聯網連接后，通過E-mail、文件下載、網頁瀏覽等方式，計算機病毒可以直接經外網、無線網入侵鐵路內部信息系統。

1.4 高峰期巨大訪問量的安全風險

鐵路部分信息系統如鐵路客戶服務中心等面向大量用戶的服務網站，均面臨高峰期巨大訪問量，造成系統滿負荷而拒絕響應和網絡癱瘓，軟件可靠性問題導致的系統癱瘓等安全問題。

圖1 安全系統總體框架

2 安全需求分析

（1）鐵路客戶服務中心、鐵路電子支付平臺等與互聯網直接連接的服務網站，需要強化身份鑒別、自主和強制訪問控制，防止非法內聯和非法外聯，特別需要防范惡意攻擊導致系統癱瘓的安全風險。

（2）當鐵路內部網與外部網進行信息交換時，需要在系統邊界處實現系統間有效地隔離并嚴格控制信息的出入。

（3）針對需要通過互聯網實現交易的交易平臺，需要強化內部安全和交易的真實性，需要防范內部使用人員有意或無意非法授權訪問和越權操作，防止用戶對交易行為的否認，造成交易的真實性無法確認。

（4）針對基于互聯網面向社會的客戶服務類網站，需要強化主機系統的可用性，在采用總公司、地區中心設置數據庫服務器，車站不設置數據庫服務器后，特別需要防范高峰期增加的巨大訪問量引起的系統超負荷運行，該問題導致系統拒絕響應和網絡癱瘓。

3 設計方案

3.1 總體技術框架

以一個網絡結構分為鐵路總公司、地區和車站三層結構并面向互聯網提供服務的信息系統為例，其邏輯結構可以分為鐵路總公司級安全域、地區級安全域和車站級安全域，3個級別的安全域安全目標一致，其安全保護的重點和強度有所不同。地區中心為例的安全系統技術框架如圖1所示。

3.2 安全管理中心

安全管理平臺實現對鐵路信息安全系統進行統一、集中的監管，保障系統運行安全，監控和保護信息處理過程的安全。安全管理平臺對分布在網絡環境的各種安全機制和服務進行集中管理與控制，是安全策略部署和控制中心，其部署的安全策略是各安全部件和各安全保障層面的紐帶，安全管理中心組成結構圖如圖2所示。

3.3 安全計算環境

3.3.1 用戶身份鑒別增強

針對一個面向互聯網提供服務的Web系統，所有互聯網客戶均可以訪問，客戶服務中心外網的用戶主要包括互聯網客戶及相關管理員。對這兩種用戶在應采用不同的認證機制，身份鑒別均可通過既有鐵路PKI/CA認證中心實現，系統管理員認證需提供專有認證插件。

圖2 安全管理中心組成結構圖

3.3.2 訪問控制增強

基于互聯網的服務客戶服務網站（以下簡稱服務網站）應與安全管理中心緊密配合，實現統一的安全訪問控制策略。安全管理中心為服務網站提供統一的認證、授權、安全目錄、用戶管理等服務，并與安全代理系統緊密整合，為網站的內、外網信息交換提供代理證書認證、權限檢查、代理安全訪問等服務。

3.3.3 應用層安全審計增強

基于互聯網信息系統應用層的審計主要是服務網站外網及內網應用，對應用層的審計主要通過審計接口實現，應用層的審計機制如圖3所示。

圖3 應用層安全審計機制圖

3.3.4 Web應用安全掃描

由于面向互聯網提供服務的信息系統是一個Web應用，將通過Web應用安全掃描技術實現Web應用的可信執行。Web 應用安全掃描系統通過黑盒和白盒掃描相結合的方法。

3.3.5 主機綜合入侵防護

在核心服務器上部署主機綜合防護系統，提供數據庫服務的可信執行保護。采用多種檢測防護手段，如入侵防范與阻斷、基于控制臺的網絡攻擊防范等。

3.3.6 網頁防篡改及防盜鏈

客戶服務中心外網Web服務器需要有效的防篡改、防盜鏈機制，通過網頁防篡改、防盜鏈系統實現。

3.3.7 CDN方式對高峰期訪問分流

針對面向互聯網提供服務的信息系統，在高峰期可采用內容分發網絡（CDN，Content Distribution Network）方式進行訪問分流。CDN分流策略可以避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節，使內容傳輸的更快、更穩定。

3.4 安全區域邊界

3.4.1 數據隔離和控制操作

（1）確保物理和邏輯邊界接口得到充分保護，禁止非法外聯和非法接入，確保合法信息能進出邊界和接口。（2）確保在邊界和通過遠程VPN訪問進行數據交換的數據得到保護，確保受保護邊界內的系統和網絡維持可用性。（3）保護邊界內的系統和數據，防止外部攻擊或破壞。（4）為通過邊界發送和接收信息提供強認證訪問控制，基于邊界控制策略，有選擇地允許重要信息跨邊界流動。

3.4.2 安全加固

外網接入邊界的安全防護由外網安全互聯平臺實現，由安全接入設備、安全隔離與信息交換設備、互聯網接入安全管理中心組成，實現保密性檢查和完整性檢查。檢查所有由內網流向外網的信息，禁止破壞系統完整性的信息進入，該平臺可邏輯擴展，遠程安全終端可通過VPN實現可信接入，安全平臺體系結構如圖4所示。

3.4.2.1 邊界訪問控制

主要由安全接入設備完成，采用基于PKI身份證書驗證的接入控制，實現基于端口的網絡可信接入控制。

圖4 安全互聯平臺體系結構圖

（1）身份和標識鑒別：a.對接入用戶實現認證；b.對管理員實現認證，c.對接入服務器和終端進行標識和安全認證。（2）對訪問內網的用戶設備進行鑒權。

3.4.2.2 邊界內容深度過濾

主要由安全隔離和信息交換設備完成，采用強制訪問控制和深度過濾策略，包含采用ISO七層強制訪問控制的安全隔離設備，對內網中標記允許傳輸到外網的數據進行強制訪問控制策略過濾，對外網傳輸到內網的數據進行內容過濾和完整性檢查，包含：

（1）通道隔離：外網與內網兩個網絡之間的鏈路層連接，通信層連接、網絡層連接和應用層連接的安全隔離。（2）協議凈化：以TCP/IP剝離技術來完成數據的交換，并根據有外網信息系統業務的特定協議實現強制訪問控制。（3）數據內容：數據采用加密，簽字等安全機制進行安全通信。

3.4.2.3 外部邊界強制訪問控制

（1）外部交易服務器與外網安全互聯平臺進行安全認證，通過后，才允許下一步操作；（2）所有訪問的交易數據通過節點認證設備的簽字，并加上安全標簽；（3）安全互聯平臺收到交易數據，進行驗簽，不通過則阻斷；（4）安全互聯平臺進行安全檢查，解析交易數據的標記信息，安全隔離與信息交換設備，驗證通過，則允許通過，否則，阻斷該交易。

3.4.2.4 邊界安全審計和完整性保護

由安全接入設備，安全隔離與信息交換設備、安全審計部件等在安全管理中心管控下共同完成。

（1）對內網傳出的信息進行保密性檢查、并對訪問內網的用戶進行完整性檢查；（2）對互聯網傳入的信息進行完整性檢查，建立外部接入系統的白名單機制，可以實時檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）；（3）安全審計組件，通過采集網絡設施的性能、故障、運行狀態信息、業務應用的運行狀態信息（如日志、運行事件等）和安全狀態信息，并執行關聯分析，事件分析和綜合分析，發現異常的行為，包含未授權的身份、登錄密碼的多次錯誤和隱蔽信道等。

3.5 安全通信網絡

通信網絡安全主要包括鐵路總公司中心到鐵路局中心、鐵路局中心到車站不同區域之間的通信路徑的安全可靠。不同的安全域之間部署安全通信網絡系統并實現安全通道的相應功能；區域系統內部不同系統之間部署強隔離系統，保障數據的完整性、機密性。針對與互聯網連接的信息系統，通信網絡安全包含互聯網安全互聯和內網安全互聯，其中與互聯網的安全互聯是本節著重討論的內容。

3.5.1 互聯網安全互聯

互聯網安全互聯是以各系統自身安全防護為基礎，輔以相關網絡安全互聯機制，包含VPN、安全通信等，為不同安全等級系統之間的數據傳輸與交換提供安全保障，實現數據傳輸的機密性、完整性、抗抵賴性和可追溯性。互聯網安全互聯邏輯結構圖如圖5所示。

3.5.1.1 安全接入

通過接入設備的安全互聯部件實現，基于IP等級標記信息實施網絡訪問控制，IP等級標記包含指明等級級別的ID、發起連接主體標記等相關信息。

互聯網接入：解析外部連接IP等級標記信息并分析主體信息，與外部邊界的安全管理中心聯動確定能否接入。如可接入，需要分配接入主體訪問內網的權限和訪問控制規則。

安全互聯/外部安全管理：包含接入、接出通信網絡訪問控制策略，基于等級標記的安全互聯協議配置，安全管理員的認證等。

3.5.1.2 安全接出

通過安全隔離設備，解析內部連接IP等級標記信息并分析主體信息，與安全管理中心聯動確定能否接出。

圖5 互聯網安全互聯邏輯結構

3.5.1.3 安全互聯通信與安全互聯協議

符合安全等級要求，避免不同等級信息系統間信息交互時高敏感度信息流向低敏感度實體、低完整性保護系統中的主體操作高完整性保護系統中的客體，實現安全互聯。

3.5.2 外網終端接入

3.5.2.1 遠程訪問虛擬網

Access VPN 適用于鐵路內部出差人員遠程移動辦公的情況。鐵路管理層利用Access VPN 可以隨時隨地接入內部資源，訪問業務系統，了解生產運營信息，進行審批和指揮調度；技術人員可以遠程移動辦理業務和處理工作流，進行遠程維護；列車中的乘務人員可以與地面進行無線信息交互，應對突發事件，查詢客運信息，維護乘車秩序。

3.5.2.2 企業內部虛擬網

Intranet VPN 利用Internet 線路保證網絡的互聯性，而利用隧道、加密等VPN 特性保證信息在Intranet VPN 上安全傳輸。鐵路行業機構龐大，辦公環境復雜，有些辦公地點不適合鋪設永久性的電纜，在這種情況，Intranet VPN 可以作為一種建設成本低并且應用安全的組網方案。

3.5.2.3 企業擴展虛擬網

Extranet VPN 通過一個使用專用連接的共享基礎設施，將客戶、合作伙伴連接到鐵路內部網。Extranet VPN 結構的主要好處是，能容易地對外部網進行部署和管理，外部網的連接可以使用與部署內部網和遠端訪問VPN 相同的架構和協議進行部署。Extranet VPN 可用于在鐵路與大客戶之間通過特定的加密隧道建立互聯網絡，由于無需特別的專線租用，成本可大幅降低。

4 結束語

本文結合信息安全技術和鐵路信息系統網絡的特點，在對互聯網安全風險進行分析的基礎上，提出了互聯網接入管理中心支持下的三重防護設計方案。其中，安全管理中心統一對各安全防護子系統進行管理；安全計算環境子系統為互聯網信息系統提供安全運行的計算環境；安全區域邊界子系統針對外網對信息系統可能造成的威脅、內部網絡間的數據交換產生的安全威脅進行防護；安全通信網絡子系統對數據傳輸的機密性和完整性進行保護。對鐵路行業面向互聯網提供服務的信息系統的建設和改造提供一定參考。

[1] 王明哲, 張振利,徐 彥，等.鐵路互聯網售票系統的研究與實現[J]. 電力信息化, 2012，21（4）：23-25.

[2] 郭大亮, 范清芬. 電子商務的信息安全技術與管理研究[J].信息安全與通信保密，2012（4）：70-75.

[3] 郭玉華,陳治亞. 基于客戶生命周期的鐵路大客戶細分與發展模型[J].鐵道科學與工程學報，2011，8（2）：86-91.

[4] 沈昌祥.高安全級信息系統等級保護建設整改技術框架[J].中國人民公安大學學報：自然科學版，2009（1）：1-4.

[5] 姚洪磊,張 彥,祝詠升,等. 鐵路信息安全體系的提出及在互聯網售票系統中的應用[J]. 北京交通大學學報，2012，36（5）：105-111.

[6] 孫祥鵬,廖華春.水利網絡與信息安全防護體系研究[J].甘肅水利水電技術，2011，47（1）：35- 37.

[7] 王令朝. 創建鐵路信息安全管理及其標準體系的探討[J] .鐵道技術監督, 2010，38（7）：1- 5.

責任編輯 徐侃春

Proposal of railway information security level protection on Internet

YAO Honglei, SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

Information security was an important issue for the construction of Railway Information System. There was a lack of standardized solutions for information security level protection in railway industry. With the development of Internet, a number of service-oriented information systems on the Internet were developed, manufacturing system was connected with internet inescapability and the security threat was increased. Treble Defense-in-depth System supported by security management center was proposed in the paper which was consisted of safe compute environment, border protection and communication network protection. Combined with the characteristics of Information Systems on Internet, security program was designed in this paper. The proposed program could provide references for relevant departments.

Information System on Internet; information security level protection; design proposal

U29-39

A

1005-8451（2015）02-0033-05

2014-10-08

姚洪磊，助理研究員；史 宏，研究員。