軌道交通自動售檢票（AFC）系統(tǒng)信息安全分析

蔣堅迪

摘 要：傳統(tǒng)的AFC系統(tǒng)在信息安全領域存在一定的風險，包括網絡層、數據庫層、安全策略、病毒防護、信息安全管理制度等方面都需要進行升級和完善，以滿足日益嚴峻的信息安全風險。本文主要對AFC系統(tǒng)中的信息安全風險進行分析，充分討論信息安全的風險可能對AFC系統(tǒng)造成的后果，以此提升信息安全認識，完善AFC系統(tǒng)安全性。

關鍵詞：AFC系統(tǒng);信息安全;風險

1 行業(yè)背景

城市軌道交通系統(tǒng)是城市，特別是大型城市非常重要的關鍵基礎設施。城市軌道交通系統(tǒng)的運營安全、運行速度、運送能力和運行效率都與軌道交通各系統(tǒng)密切相關，軌道交通AFC系統(tǒng)的信息安全也逐漸開始受到軌道交通建設者和相關管理部門的高度重視。針對軌道交通AFC系統(tǒng)信息安全領域，目前還沒有一個系統(tǒng)性的成熟解決方案，應立即考慮切實開展這方面工作，盡早減緩和杜絕信息安全漏洞給AFC系統(tǒng)帶來的隱患，并結合具體項目研究最佳實踐方案。然而增加信息安全相關防護后，勢必對系統(tǒng)的運行效率、可用性、可維護性產生影響。AFC系統(tǒng)基于計算機、通信、網絡、自動控制等技術，以非接觸式IC卡等為介質，高度安全、可靠、保密的方式實現軌道交通售票、檢票、計費、收費、統(tǒng)計、管理功能。

2 設計目標

通過實施“軌道交通AFC系統(tǒng)檢測與防護設計”，從信息安全管理、運維和技術三個方面徹底根除系統(tǒng)連接可能帶來的信息安全隱患，保障軌道交通安全穩(wěn)定運行，防止發(fā)生信息安全事件。

（1）整體防護。應從整體上規(guī)劃實施軌道交通AFC系統(tǒng)信息安全防護，從管理、技術、運行所涉及的物理、網絡、主機、應用、數據安全等多角度、多層面防護，進而建立起具有綜合性、縱深性、先進性的軌道交通 AFC 系統(tǒng)信息安全保障體系。

（2）區(qū)域隔離。依據業(yè)務的重要性、類別、功能等因素對軌道交通 AFC 系統(tǒng)網絡進行劃分，按照“縱向分層，橫向分區(qū)”的原則實施，然后在不同系統(tǒng)、不同層和不同分區(qū)之間采用必要的安全隔離和防護措施對彼此之間的數據流和業(yè)務操作實施檢測、控制和保護。

（3）實時監(jiān)控。綜合性的信息安全體系離不開對信息安全狀態(tài)的實時掌控，貫徹“事前預防、事發(fā)控制、事后改進”是系統(tǒng)信息安全保障體系中核心內容之一。

（4）主機管控。對軌道交通 AFC 系統(tǒng)中中心控制部分的重要主機和終端實施集中的安全配置和監(jiān)控審計，將安全危害從源頭進行檢測和遏制。

（5）運維保障。系統(tǒng)信息安全政策、策略、制度、防護手段的落實依賴管理和技術措施的有效運轉，運行維護既是銜接管理與技術的關鍵活動，又是它們落實的有效支撐。

3 需求分析

3.1 安全技術需求分析

3.1.1 安全計算環(huán)境需求分析

計算環(huán)境的安全主要是物理、主機以及應用層面的安全風險與需求分析，包括：物理機房安全、身份鑒別、訪問控制、系統(tǒng)審計、入侵防范、惡意代碼防范、軟件容錯、數據完整性與保密性、備份與恢復、資源合理控制、剩余信息保護、抗抵賴等方面。

根據AFC系統(tǒng)自評估結果，線網清分中心系統(tǒng)和線路中央控制系統(tǒng)如要達到等級保護三級關于安全計算環(huán)境的要求，還需要改進以下幾點：

物理機房安全：AFC系統(tǒng)的物理安全涉及到整個系統(tǒng)的配套部件、設備和設施的安全性能、所處環(huán)境安全以及整個系統(tǒng)可靠運行等方面，是信息系統(tǒng)安全運行的基本保障。AFC系統(tǒng)的實際建設和運行中，物理安全方面對設備的電磁兼容、電磁屏蔽及接地方面的要求已經有成熟的解決方案，機房相關要求將由機房管理方來覆蓋，因此本方案對AFC系統(tǒng)部署的物理環(huán)境安全不做詳細設計。

數據庫審計：線網清分中心系統(tǒng)和線路中央系統(tǒng)都缺少針對數據的審計設備，不能很好的滿足主機安全審計的要求，需要部署專業(yè)的數據庫審計設備。

運維堡壘機：線網清分中心系統(tǒng)和線路中央系統(tǒng)都未實現管理員對網絡設備和服務器管理時的雙因素認證，計劃通過部署堡壘機來實現。

主機病毒防護：線網清分中心系統(tǒng)和線路中央系統(tǒng)缺少主機防病毒的相關安全策略，需要配置主機防病毒系統(tǒng)。

另外還需要對用戶名/口令的復雜度，訪問控制策略，操作系統(tǒng)、WEB和數據庫存在的各種安全漏洞，主機登陸條件限制、超時鎖定、用戶可用資源閾值設置等資源控制策略的合理性和存在的問題進行一一排查解決。

3.1.2 安全區(qū)域邊界需求分析

區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。

邊界訪問控制：需要優(yōu)化網絡結構，根據AFC業(yè)務情況合理劃分安全域，合理劃分網段和VLAN;對于重要的信息系統(tǒng)的網絡設施采取冗余措施;訪問控制需要在構建安全計算環(huán)境的基礎上，依托防火墻等安全設備進行訪問控制。線網需要在邊界部署下一代防火墻實現邊界訪問控制，在各個重點安全域部署下一代防火墻來實現各安全域的重點隔離防護。

邊界入侵防范：線網沒有實現邊界攻擊防護，需要新增入侵防御系統(tǒng)/或新增下一代防火墻IPS功能模塊。

惡意代碼防范：主機惡意代碼防護通過部署終端病毒查殺軟件實現，網絡邊界惡意代碼防護需要部署下一代防火墻，開啟AV防病毒功能，并且要求網絡層與主機的惡意代碼庫不同。

互聯網出口安全審計：線網未實現對網絡行為進行精細化識別和控制，需要部署上網行為管理產品來保障網絡關鍵應用和服務的帶寬，對網絡流量、用戶上網行為進行深入分析與全面的審計。

邊界完整性保護：邊界沒有實現非法外聯，需要部署終端安全管理設備。

3.1.3 安全通信網絡需求分析

通信網絡的安全主要包括：網絡結構安全、網絡安全審計、網絡設備防護、通信完整性與保密性等方面。

網絡結構：網絡結構是否合理直接影響著是否能夠有效的承載業(yè)務需要。因此網絡結構需要具備一定的冗余性;帶寬能夠滿足業(yè)務高峰時期數據交換需求;并合理的劃分網段和VLAN。線網核心交換需要實現雙機冗余部署，提高通信網絡高可用性。

通信完整性和保密性：由于網絡協(xié)議及文件格式均具有標準、開發(fā)、公開的特征，因此數據在網上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲過程中，必須要確保信息內容在發(fā)送、接收及保存的一致性;并在信息遭受篡改攻擊的情況下，應提供有效的察覺與發(fā)現機制，實現通信的完整性。而數據在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證數據的機密性，因此線網Internet出口需要部署具備VPN功能的安全設備。

網絡審計：如果有些管理用戶出現誤操作，將給信息系統(tǒng)帶來致命的破壞。沒有相應的審計記錄將給事后追溯帶來困難。有必要進行基于網絡行為的審計。同時可以震懾有惡意企圖的少部分用戶，利于規(guī)范正常的網絡應用行為。

3.1.4 安全管理中心需求分析

“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術措施外，安全管理是保障安全技術手段發(fā)揮具體作用的最有效手段，安全管理中心是實現安全管理的有力抓手。線網沒有一個能對整網安全事件、安全威脅進行分析響應處理的平臺，本期需要新增統(tǒng)一安全監(jiān)控管理平臺對信息系統(tǒng)涉及的設備使用情況和安全事件、系統(tǒng)健康程度等進行識別，要能進行統(tǒng)一的監(jiān)控和展現。通過對安全事件的告警，可以發(fā)現潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時的響應和處理。

3.2 安全管理需求分析

從等保思想出發(fā)，技術雖然重要，但人才是安全等級保護的重點，因此除了技術措施，AFC系統(tǒng)還需要運用現代安全管理原理、方法和手段，從技術上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設和安全運維管理的相關管理要求，規(guī)范人員安全管理。

3.3 后果分析

AFC系統(tǒng)面臨信息安全威脅時，可能產生如下的后果。

3.3.1 系統(tǒng)部分或全部癱瘓

由于AFC系統(tǒng)通過種類和數量眾多的接口，與整個軌道交通的其他系統(tǒng)進行通信和數據交換，在軌道交通中的作用非常重要，黑客攻擊或惡意代碼造成的信息安全問題可能導致信息系統(tǒng)網絡的癱瘓，從而影響整個軌道交通系統(tǒng)部分或全部癱瘓，嚴重時甚至會造成安全事故的發(fā)生。

3.3.2 影響旅客正常購票與進站

信息安全問題可能會導致非預期控制命令的下發(fā)，從而導致旅客無法正常購票以及進站，影響軌道交通站點正常的秩序運行，導致站點人員的積壓，給人民群眾出行造成不便。

3.3.3 重要數據的泄露及遺失

信息安全問題也有可能導致AFC系統(tǒng)本身的設備及上面的軟件、數據等資產遭到破壞，配置數據、歷史數據、個人數據等機密泄露，都會給企業(yè)與個人造成一定的損失。

3.3.4 顯示信息錯誤

由于操作人員不當操作等原因導致的信息安全問題，部分顯示設備可能顯示錯誤的信息，可能會引起社會對于軌道交通非必要的關注。

4 小結

通過對目前AFC系統(tǒng)進行全面的分析后，可以看到AFC系統(tǒng)面臨了來自外部和內部的多種威脅;而受到這些信息安全威脅后，AFC系統(tǒng)將面臨嚴重的后果，可能導致巨大的安全事故和經濟損失。當前，AFC系統(tǒng)面臨的主要信息安全問題如下：

（1）信息安全管理體系不完善，信息安全職責不明確;

（2）不同區(qū)域之間的訪問控制和入侵防范機制不完善;

（3）系統(tǒng)內部缺少信息安全監(jiān)控技術;

（4）工作站和服務器缺乏安全配置和病毒防范;

（5）應用和數據層基本沒有信息安全防御能力;

（6）信息安全審計機制不完善。

因此，建設全方位的AFC系統(tǒng)信息安全防護體系勢在必行，一方面通過實施安全技術和產品，從網絡、主機、應用等多個層次保障系統(tǒng)信息安全，另一方面落實管理規(guī)定，增強系統(tǒng)自身安全可靠性。