鐵路客票代售點公網安全接入平臺專項驗收檢測內容研究

楊 文，秦 田

（1.中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2.中國鐵路西安局集團有限公司 客運部，西安 710054）

在新一代客票系統中，提出了在保障客票系統安全情況下的代售點公網安全接入方案，方案中心闡述了代理點使用專用安全設備連接公網，統一接入到配置有公網和安全接入平臺的中國國家鐵路集團有限公司（簡稱：國鐵集團）生產中心進行售票。減少了專線費用，方便移動售票。鐵路客票代售點（簡稱：代售點）方便老百姓隨處都可購買到火車票，同時也方便鐵路局集團有限公司（簡稱：鐵路局）對代售點的統一管理。另外，此平臺保障了客票內網免受通過公網的直接/間接滲透攻擊和通過公網的拒絕服務攻擊，為鐵路客票系統提供了網絡安全保障，安全接入平臺本身也面臨內部和外部威脅，同其它鐵路重要系統一樣，按照國鐵集團技術評審相關管理辦法要求和等級保護2.0相關標準要求[1-4]，系統在投入運行上線前需進行安全專項驗收測試，通過專業檢測技術手段，驗證該平臺各項安全功能是否正常有效。

1 代售點公網安全接入平臺概述

代售點公網安全接入平臺（簡稱：安全接入平臺）主要是在全國范圍內的代售點安裝專用的代售點安全接入設備，即互聯網接入管控器，從互聯網接入采用VPN通信通道，保證了鐵路重要售票數據的完整性和保密性要求，安全保障能力達到等級保護第四級的要求[5]。

為實現安全接入平臺的整體安全性，防止來自互聯網的黑客攻擊、拒絕服務等安全威脅。通過部署防火墻、網閘、網關、接入管控器等設備，將安全接入平臺劃分為客票專網區、安全接入認證區、互聯網接入區等多個安全域[6]，具體示意圖，如圖1所示。

圖1 安全接入平臺部署示意

（1）互聯網接入管控器主要實現互聯網邊界防護功能，提供可控、可信和安全的網絡環境，保證了代售終端節點可信接入及可信安全接入通信功能，可以防止非授權訪問，實現了授權訪問控制、內容過濾、安全監測、安全審計、與安全接入網關之間身份認證及授權業務通道的建立等業務功能。

（2）安全代理軟件主要部署在專用移動終端，實現專用移動終端安全防護，承擔節點的簽字、用戶身份鑒別，通過對原有USBKEY和安全代理進行升級改造實現上述功能。

（3）安全接入網關通過集群方式部署，主要包括邊界安全認證、訪問控制、可信接入和可信安全接入通信功能，建立了安全接入管控器與鐵路局中心間身份認證及授權業務通道，實現業務高可用性和高可靠性。

（4）網閘設備通過集群方式部署，實現外代理區的安全接入訪問控制、安全接入代理、網絡隔離、保密性、輸入完整性校驗、內容深度檢查、基于白名單的強制訪問控制措施功能，可以防范非法接入和非授權外聯。

（5）交易接入代理服務器通過負載均衡方式接入，實現了內代理區的訪問控制、代理功能，完成標準協議與專有協議的轉換，并實現與售票作業信息交互共享。

（6）安全管理中心主要由安全集中配置管理器、安全智能管理與控制平臺組成。實現了安全狀態監控、安全事件處理、安全策略統一管理、安全部件聯動管理等功能。

2 檢測內容研究

針對安全接入平臺的網絡部署結構及系統整體安全功能設計，包含3個部分：（1）跨區域邊界安全；（2）服務端安全接入平臺安全；（3）代售點客票終端安全。從對新一代客票系統代售點公網安全接入平臺安全防護的角度出發，設計了3個測試內容[7-10]。

2.1 跨域邊界安全檢測內容

2.1.1 強制訪問控制

主要是采用檢查和測試方法，檢查強制訪問控制機制實施與系統二維安全模型是否具有一致的安全策略，能夠控制進行對跨域文件訪問的所有操作；測試跨域訪問是否符合強制訪問控制策略，根據主體對跨域訪問中的文件、目錄和設備的訪問操作請求，模擬符合業務需求但又不破壞系統安全的訪問請求，查看系統是否允許操作進行；反之是否拒絕主體對資源的非授權訪問。

2.1.2 身份鑒別

訪談和檢查系統是否具有跨域訪問身份鑒別機制，提供基于安全管理策略配置的安全身份鑒別機制，控制允許跨邊界的機器及用戶；測試在允許訪問列表中的機器及用戶，是否認證通行；相反不允許的則終止非授權請求。

2.1.3 安全審計

檢查安全平臺是否能夠記錄跨域訪問行為中涉及到的一系列動作，包括用戶登錄/退出、對文件的打開添加刪除、上傳下載等操作；檢查審計記錄是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其它與審計相關的信息。

2.1.4 可信授權

檢查系統可信授權管理內容，驗證是否只接受可信授權的管理；檢查其安全策略的制定是否滿足最小特權原則。

2.1.5 可信接入

檢查其它區域邊界子系統（相對于保護的安全域來說也相當于其它的安全節點），是否需要滿足節點與節點之間的可信接入。

2.1.6 信息過濾

檢查系統是否能夠根據安全管理策略對信息進行一系列的安全過濾，如文件類型是否符合、關鍵字過濾等。

2.2 服務端安全接入平臺檢測內容

服務端安全接入平臺主要有客票交易接口服務系統和代售點安全接入平臺，代售點安全接入平臺由可控防火墻、安全接入網關、安全隔離與信息交換系統、認證審計及安全管理中心。

2.2.1 公網接入接口服務系統

檢查客票代售點業務交易是否成功接入代理服務；檢查移動代售點專有業務交易格式是否轉換為交易集成服務平臺協議格式。

2.2.2 可控防火墻

（1）檢查防火墻是否設置了訪問控制規則和策略，實現網絡層數據包過濾；

（2）檢查是否根據認證策略聯動機制，實現網絡第3層（TCP/IP協議的網絡層）的強制訪問控制；

（3）檢查是否阻止SYN洪水攻擊（SYN Flood）、UDP洪水攻擊（UDP Flood）、Ping洪水攻擊（Ping Flood）、局域網拒絕服務攻擊（Land DOS）等的拒絕服務攻擊（DOS攻擊）；

（4）檢查是否阻止業務服務端口直接暴露在互聯網上，業務端口是否對非授權用戶不開放；

（5）檢查針對不同互聯網運營商鏈路的自動添加尋址標記，防火墻后的業務服務是否在進行交易響應時自動區分運營商鏈路，確保在多鏈路狀態下，交易高效性，加快網絡效率，實現鏈路負載均衡功能；

（6）檢查是否實現了與客票安全管理控制平臺（簡稱：SOC）進行聯動、實現安全管理控制平臺服務接口（YD-SOMN）專用安全控制協議支持。

2.2.3 安全接入網關

（1）檢查是否實現移動代售點虛擬專用網絡（簡稱：VPN）通道建立的強制訪問控制功能；

（2）檢查是否實現移動代售點VPN接入服務功能，保障客票業務交易的機密性、完整性，并測試驗證；

（3）檢查是否實現傳輸層的客票交易業務鑒別驗簽功能；

（4）檢查是否實現對客戶接入端的路由自動添加功能，實現本地交易數據的路由功能；

（5）檢查是否實現對業務交易數據的自動壓縮功能，最大程度減少通信交易量，提高業務交易的效率和可用性；

（6）檢查是否實現與客票SOC進行聯動、實現YD-SOMN專用安全控制協議支持。

2.2.4 安全隔離與信息交換系統

（1）檢查是否實現協議剝離和協議轉換，針對TCP/IP協議自身的缺陷性，自網絡的TCP/IP協議數據報文，解析出應用層數據內容；

（2）檢查是否實現協議轉換，采用非TCP/IP的協議格式，對協議數據進行封裝，然后傳輸到對端；

（3）檢查是否實現了基于業務的安全標記鑒別；

（4）檢查是否實現基于內容過濾及根據強制訪問控制策略進行強制訪問控制；

（5）檢查是否使用Linux虛擬服務器（LVS，Linux Virtual Server）進行負載均衡，確保業務的高效性和可靠性；

（6）檢查實現與客票SOC進行聯動、實現YD-SOMN專用安全控制協議支持。

2.2.5 認證審計及安全管理中心

（1）檢查是否對互聯網接入管控器進行設備的認證；

（2）檢查是否對客票代售點進行用戶認證和客票終端設備認證；

（3）檢查是否實現了對互聯接入管控器設備的增、刪、查、改的管理功能；

（4）檢查是否實現設備認證及人員認證與防火墻系統進行聯動、進行網絡層動態訪問控制；

（5）檢查是否實現了通過客票安全系統中心證書認證系統（CA，Certificate Authority）和密鑰管理系統（KMC）及鐵路局的證書注冊（RA）系統和輕量目錄訪問（LDAP）系統，結合外網管理中心，對于代表客票終端、互聯網接入管控器設備和用戶，都發放證書，并進行證書的頒發、撤銷等的管理工作；

（6）檢查是否實現了對聯網終端、互聯網接入管控器、用戶的狀態進行管理；

（7）檢查是否實現了對防火墻、安全隔離系統、安全接入網關實施相應安全策略配置和管理；

（8）檢查是否實現了對防火墻、安全隔離系統、安全接入網關實施配置管理、運行管理等；

（9）檢查是否實現安全審計和業務審計，對于所有的交易內容和安全操作等都有完整的記錄，并根據安全需求和業務的要求進行相應審計。

2.3 代售點客票終端安全檢測內容

代售點客票終端包括安全接入管控器和代售點客票終端系統，安全接入管控器主要是指互聯網接入管控器，代售點客票終端系統主要是指客票移動代售點終端售票軟件、客票移動代售點終端安全代理和USB Key身份認證卡。

2.3.1 互聯網接入管控器

（1）檢查客票終端和客票用戶的鑒別機制；檢查接入強制訪問控制功能，是否設置了合理的訪問控制策略；

（2）檢查是否建立與中心代售點公網安全接入平臺安全網關的安全通信信道，并驗證數據通信完整性和抗抵賴性保護；

（3）檢查各類客票業務數據轉發控制、業務數據安全標記鑒別、業務數據的強制訪問控制功能是否實現，并驗證；

（4）檢查對業務交易審計和安全審計的內容及審計記錄保護措施；

（5）檢查非對稱數字用戶環路（A D S L，Asymmetric Digital Subscriber Line）、撥號、3G通信等的系統配置管理；

（6）檢查管控器本地安全策略及證書配置管理功能，驗證是否有效。

2.3.2 客票移動代售點終端售票軟件

檢查是否影響客票系統全部售票功能；檢查是否支持業務認證；檢查是否支持數字簽名。

2.3.3 客票移動代售點終端安全代理

（1）檢查終端桌面安全管理包括哪些功能，是否均實現；

（2）檢查終端設備和用戶之間是否進行了身份認證；

（3）檢查業務數據是否實現安全標記和強制訪問控制功能，驗證安全標記策略是否有效；

（4）檢查業務數據的機密性和完整性保護是否實現，驗證；

（5）檢查終端是否開啟了本機防火墻；

（6）檢查本地業務審計及安全審計功能是否開啟，記錄審計內容；

（7）檢查通信信道是否實現安全重用和程序可信執行保護。

2.3.4 USB Key身份認證卡

檢查是否每個操作員配置一個用戶USB Key身份卡；檢查是否每個終端設備配置一個設備USB Key節點卡。

3 結束語

本文針對代售點公網安全接入平臺安全功能的安全檢測內容開展了研究，重點目標是保障客票系統業務安全，提出3個檢測方面，包括跨域邊界、服務端安全接入平臺、代售點客票終端，共涉9類測評對象，涵蓋了身份鑒別、訪問控制、可信驗證、安全標記、安全審計等要求的檢測內容，為后續開展代售點公網安全接入平臺的安全專項驗收提供了測試依據。本文還有不完善之處，需進一步研究檢測流程、檢測方法、檢測依據等內容，梳理出具體的可實施的安全檢測方案，更好地開展現場檢測工作。