地鐵人臉識別作業(yè)系統(tǒng)的網(wǎng)絡安全等級保護設計

肖世龍

（廣州地鐵設計研究院股份有限公司，廣東 廣州 510000）

0 引言

基于大數(shù)據(jù)新技術與成熟的人工智能技術，人臉識別檢票過閘系統(tǒng)在國內多個城市地鐵上線，而人臉識別作業(yè)系統(tǒng)作為人臉識別業(yè)務的支撐平臺[1-2]，它的網(wǎng)絡安全等級保護至關重要。該文基于人臉識別技術在某地鐵的應用實踐，介紹了相關人臉識別作業(yè)系統(tǒng)的網(wǎng)絡安全等級保護設計經(jīng)驗，為國內城市地鐵人臉識別技術的應用提供了重要的參考。

1 人臉識別作業(yè)系統(tǒng)構成

人臉識別作業(yè)系統(tǒng)是該市地鐵自動售檢票系統(tǒng)實現(xiàn)人臉識別檢票過閘的支撐平臺，人臉識別作業(yè)系統(tǒng)與已有的AFC系統(tǒng)共同組成了完整的自動售檢票系統(tǒng)。已有的AFC系統(tǒng)包括清分中心系統(tǒng)（ACC）、數(shù)字票務平臺系統(tǒng)、1號線 AFC系統(tǒng)以及2號線 AFC系統(tǒng)等。考慮到業(yè)務的統(tǒng)一性，該市地鐵人臉識別作業(yè)系統(tǒng)與數(shù)字票務平臺系統(tǒng)統(tǒng)籌進行網(wǎng)絡安全等級保護設計。

人臉識別作業(yè)系統(tǒng)由業(yè)務服務數(shù)據(jù)庫、業(yè)務服務器群、核心交換區(qū)、數(shù)據(jù)備份區(qū)以及外部接口區(qū)等組成。其主要功能是實現(xiàn)地鐵人臉識別乘車的核心應用能力，其中包括用戶管理、密鑰管理、人臉行程管理、人臉行程匹配、人臉訂單管理、配置管理平臺以及實現(xiàn)對人臉識別服務器的管理和配置等功能。

2 系統(tǒng)網(wǎng)絡安全等級定級

根據(jù)GA/T 1389—2017《信息安全技術 網(wǎng)絡安全等級保護定級指南》，人臉識別系統(tǒng)信息遭到破壞后，社會秩序和公共利益會受到嚴重侵害；因此，系統(tǒng)信息安全保護等級屬于三級。

信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級中較高者所決定的。因此，人臉識別作業(yè)系統(tǒng)的安全保護等級界定為第三級。

3 系統(tǒng)網(wǎng)絡安全設計方案

3.1 安全域劃分

安全域劃分的目的是將網(wǎng)絡安全問題細化，實現(xiàn)針對性的安全防護部署[3]，從而更好地控制網(wǎng)絡安全風險，降低系統(tǒng)風險。

系統(tǒng)平臺總體分為核心交換區(qū)、外部接口區(qū)、安全管理區(qū)、業(yè)務承載區(qū)以及內部接口區(qū)等功能區(qū)域。

核心交換區(qū)主要負責整個的核心網(wǎng)絡的數(shù)據(jù)交換；網(wǎng)絡采用2層架構即分為核心層和接入（匯聚）層，核心層負責整體網(wǎng)絡的集中控制轉發(fā)，需要核心設備具備高性能、高可靠的特性，核心交換機連接外部接口區(qū)、內部接口區(qū)、人臉識別業(yè)務承載區(qū)以及綜合安全管理中心等。2臺核心交換機間部署雙機虛擬化，將2臺設備虛擬為1臺，保證業(yè)務的高可靠性。

智網(wǎng)（外部）接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負責專網(wǎng)和公網(wǎng)間的連接。

安全管理區(qū)是計劃部署以業(yè)務為核心，集網(wǎng)絡安全、應用安全以及業(yè)務安全為一體的安全管理系統(tǒng)，它具備防火墻、防入侵、應用控制、審計以及主機防護等安全功能，同時還具備可視化管理等功能。

業(yè)務承載區(qū)，通過服務器集群技術構建計算資源池和存儲資源池，為人臉識別提供計算存儲等服務。

內部接口區(qū)主要負責互聯(lián)網(wǎng)票務平臺及人臉識別與地鐵內部其他業(yè)務系統(tǒng)的連接。

3.2 安全建設方案設計

3.2.1 建設目標

安全方案應該嚴格根據(jù)技術與管理要求進行設計。根據(jù)《信息系統(tǒng)等級保護安全設計技術要求》并結合管理要求設計本級系統(tǒng)保護環(huán)境模型。

3.2.2 業(yè)務承載區(qū)

業(yè)務承載區(qū)承擔著互聯(lián)網(wǎng)票務與人臉識別系統(tǒng)的基礎業(yè)務負載，各負載設備通過2臺匯聚交換機進行連接，2臺交換機要保證業(yè)務的可靠性和穩(wěn)定性，因此需要選擇高性能的匯聚交換機，在2臺交換機之間部署雙機虛擬化功能，將2臺設備虛擬為1臺設備，當1臺設備出現(xiàn)DOWN機事件時，不會影響到系統(tǒng)的正常使用，從而保證業(yè)務的高可靠性。2臺交換機采用雙鏈路冗余的方式連接業(yè)務服務數(shù)據(jù)庫、業(yè)務服務器群、業(yè)務存儲設備等設備，并對用戶行為、用戶事件及系統(tǒng)狀態(tài)進行審計，全面記錄數(shù)據(jù)庫的訪問行為，識別越權操作等行為。通過匯聚交換機盤掛1臺數(shù)據(jù)庫審計，實現(xiàn)對敏感數(shù)據(jù)訪問行為軌跡的跟蹤，防止敏感數(shù)據(jù)泄漏，并提供相應的建議。業(yè)務承載區(qū)（如圖1所示）通過2臺防火墻和入侵防御系統(tǒng)（IPS）連接到地鐵通信的骨干網(wǎng)上，進行邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計。

圖1 業(yè)務承載區(qū)網(wǎng)絡拓撲圖

3.2.3 外部接口區(qū)

外部接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負責專網(wǎng)和公網(wǎng)網(wǎng)絡的連接。考慮到等級保護建設要求，應該在區(qū)域邊界的出口串聯(lián)防火墻設備和IPS設備，其中IPS設備可以對內網(wǎng)和外網(wǎng)的存取應用進行管理[4]，如圖2所示。

圖2 外部接口區(qū)網(wǎng)絡拓撲圖

3.2.4 安全管理區(qū)

安全管理中心的主要功能是監(jiān)控系統(tǒng)的運行狀態(tài)和設備的運行情況，同時實現(xiàn)統(tǒng)一的安全策略部署，如圖3所示。

在控制中心部署運維審計堡壘機，實現(xiàn)運維管控及審計。運維人員通過運維審計堡壘機的審計認證后才能進行業(yè)務操作且可以對所有操作過程進行回溯。

部署漏洞掃描系統(tǒng)可以定期掃描漏洞，及早規(guī)避、發(fā)現(xiàn)可能出現(xiàn)的問題[5]。

部署主機服務器安全加固系統(tǒng)，其具備組網(wǎng)內資產(chǎn)清點、風險分析、入侵檢測、病毒查殺以及安全日志等功能。

設置終端殺毒系統(tǒng)，利用防病毒服務器實現(xiàn)終端主機防病毒策略的制定，及時獲得最新的病毒特征庫，并同步更新到數(shù)據(jù)中心節(jié)點的各個終端，同時接受各個終端上報的病毒威脅和事件監(jiān)控以及審計日志等必要的信息。

部署日志審計系統(tǒng)對進行系統(tǒng)檢測，并對日志進行關聯(lián)分析，生成關系圖譜，保證系統(tǒng)的安全。

1個標準的安全防護體系在標準的安全體系里需要讓各節(jié)點進行聯(lián)動，建設帶有預警機制的安全防護體系。

在該方案的安全體系中，安全預警機制是工作人員發(fā)現(xiàn)目標的重要手段。整套安全體系不再是被動防護的機制，因為有了預警機制，所以可以通過多點聯(lián)動防護的模式，主動阻斷惡意行為。

聯(lián)動防護機制可以在預警分析判斷為惡意行為后，通知防火墻設備阻斷其外鏈的IP地址，記錄文件指紋更新安全防護策略，隔離惡意文件。

安全管理中心的部署實現(xiàn)了安全設備的統(tǒng)一分析和管理，使系統(tǒng)能從整體的角度結合各類安全設備日志進行分析，并能對各類安全設備做到統(tǒng)一管理和統(tǒng)一的配置下發(fā)。

圖3 安全管理區(qū)網(wǎng)絡拓撲圖

3.2.5 總架構

系統(tǒng)采用分區(qū)分域的形式進行規(guī)劃設計，按使用功能進行區(qū)域劃分，并在不同的邊界部署相應的安全防護，形成了安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心的全面保護，該架構滿足安全保護等級第三級的相關要求。安全網(wǎng)絡總架構圖如圖4所示。

4 人臉識別作業(yè)系統(tǒng)網(wǎng)絡安全保護效果

該方案滿足安全保護等級第三級的相關要求，并具有以下4個特點：1）遵循標準化。該方案的制定參照并遵循了國家頒發(fā)的一系列信息安全標準。2）重復利用與整體化。信息安全建設從系統(tǒng)整體的角度去分析安全風險，本著需求、風險和代價相平衡的思想，提出解決方案，避免了重復建設。3）易操作與低資源占用率。該方案容易操作；不會降低或占用系統(tǒng)本身的性能。滿足易操作與低資源占用率的原則。4） 可擴展性。該安全方案能夠適應網(wǎng)絡規(guī)模的擴展以及安全需求的變化，并能夠實現(xiàn)統(tǒng)一的安全升級。

圖4 安全網(wǎng)絡總架構圖

5 結語

人臉識別作業(yè)系統(tǒng)存儲數(shù)據(jù)的敏感性決定了其網(wǎng)絡安全等級保護的重要性。

該文介紹了人臉識別作業(yè)系統(tǒng)的網(wǎng)絡安全等級保護在某市地鐵的應用實踐情況，詳細描述了針對網(wǎng)絡信息安全功能及硬件需求而提供的全套解決方案，滿足國家 GB/T 22239—2019《信息安全技術 網(wǎng)絡安全等級保護基本需求》等相關規(guī)范的規(guī)定，可以為后續(xù)城市地鐵應用人臉識別技術提供參考。