鐵路客票系統(tǒng)信息安全技術方案設計*

祝詠升，丁 妍，張 彥

(1.中國鐵道科學研究院電子計算技術研究所，北京 100081;2.中國電力科學研究院配用電與農(nóng)電研究所，北京 100192)

中國鐵路客票系統(tǒng)已成為覆蓋全路的計算機售票網(wǎng)路，實現(xiàn)全國范圍內的聯(lián)網(wǎng)異地售票，實現(xiàn)客票銷售渠道網(wǎng)絡化、服務手段現(xiàn)代化、運營管理信息化的大型信息系統(tǒng)［1］。系統(tǒng)實時交易性強，要求系統(tǒng)具有很高的安全性和可靠性，該系統(tǒng)的安全運行涉及社會公共秩序和社會穩(wěn)定，被確定為國家信息安全等級保護第四級強制保護級系統(tǒng)，且支持多種售票渠道和多種支付方式，在通過客票數(shù)據(jù)共享平臺和交易服務集成平臺提高客票系統(tǒng)的開放性的同時，必須確保客票系統(tǒng)內部交易安全、售票電子支付安全、系統(tǒng)外部邊界安全及其鐵路客戶服務中心網(wǎng)站安全。按照我國信息系統(tǒng)等級保護四級信息安全防護體系的設計技術要求，本文從“一個中心支撐下的三重防護體系”層面提出鐵路客票系統(tǒng)信息安全防護技術設計方案［2－3］。

1 鐵路客票系統(tǒng)信息安全需求分析

隨著鐵路互聯(lián)網(wǎng)售票系統(tǒng)的推廣使用，鐵路客票系統(tǒng)逐步實現(xiàn)現(xiàn)代化、信息化的經(jīng)營模式，從鐵路企業(yè)網(wǎng)內部的經(jīng)濟活動，逐步被電子商務體系所涵蓋。與之相應，對鐵路客票系統(tǒng)信息的惡意攻擊和非惡意攻擊已經(jīng)成為不可避免的“日常安全事件”［4］。

鐵路客票系統(tǒng)的信息安全保障是一種特定系統(tǒng)的安全保障，從系統(tǒng)的采集處理、存儲、傳輸、分發(fā)和部署各個階段，結合中國鐵路客票系統(tǒng)的特點，以風險和策略為出發(fā)點和核心，確保信息的機密性、完整性和可用性特征，實現(xiàn)和貫徹組織機構策略并將風險降低到可接受的程度，達到保護信息和系統(tǒng)資產(chǎn)，從而實現(xiàn)鐵路客票系統(tǒng)信息安全保障的最終目的。

(1)計算環(huán)境要求:強化身份認證機制，要求可以防止惡意用戶非法進入系統(tǒng)實施破壞;加強可信接入控制，要求可以防止區(qū)域內外到業(yè)務系統(tǒng)的非法連接;加強系統(tǒng)級的強制訪問控制，能夠對每個用戶進行細粒度授權，防止內部用戶的越權訪問;加強審計功能，對各種操作行為進行記錄。

(2)區(qū)域邊界要求:加強鐵道部中心、地區(qū)中心和車站之間的區(qū)域邊界保護，交換信息時，需要在邊界處加強控制，對進入?yún)^(qū)域的信息實施強制訪問控制，同時需要對信息交換的行為進行嚴格的主體身份認證及行為審計，防止跨域的惡意攻擊行為。

(3)通信網(wǎng)絡安全要求:加強對業(yè)務數(shù)據(jù)流的完整性保護，確保惡意用戶不能偽造合法的業(yè)務數(shù)據(jù)信息，并確保業(yè)務數(shù)據(jù)在傳遞路徑上不會被篡改，保證在任一節(jié)點對業(yè)務數(shù)據(jù)的訪問都有審計信息產(chǎn)生。

(4)安全集中管理要求:加強安全管理中心建設，通過采用由安全管理中心統(tǒng)一管理的安全策略管理、安全審計管理等安全措施，對各層面的終端、服務器及網(wǎng)絡設備的集中統(tǒng)一的配置和監(jiān)控，統(tǒng)一制定整個系統(tǒng)的安全策略，實現(xiàn)系統(tǒng)運行狀態(tài)始終可控，以達到防內為主、內外兼防的目標。

2 鐵路客票系統(tǒng)信息安全防護體系的構建

鐵路客票系統(tǒng)信息安全防護體系設計采用四級客票安全保障平臺進行實現(xiàn)，是在安全密碼技術、系統(tǒng)安全和通信網(wǎng)絡安全為基礎的具有四級安全的信息安全機制和服務的支持下，實現(xiàn)四級安全計算環(huán)境、四級安全通信網(wǎng)絡、四級安全區(qū)域邊界防護和四級安全管理中心的設計。建立一個明確定義的形式化安全策略模型，將自主和強制訪問控制擴展到所有主體與客體，相應增強其他安全功能強度;將系統(tǒng)安全保護環(huán)境結構化為關鍵保護元素和非關鍵保護元素，以使系統(tǒng)具有抗?jié)B透的能力。

2.1 客票系統(tǒng)安全可信計算基(TCB)模型

鐵路客票系統(tǒng)安全保障平臺基于“一個中心”管理下的“三重保護”體系框架，構建安全機制和策略，形成定級系統(tǒng)的安全保護環(huán)境。該環(huán)境分為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和安全管理中心四個部分。客票系統(tǒng)安全保障平臺的TCB模型如圖1所示。

信息系統(tǒng)TCB可劃分為TCB初始核心、部件級TCB和系統(tǒng)級TCB共3個層次。鐵路客票系統(tǒng)TCB擴展模型從建立TCB初始核心開始，采用逐層度量及逐層驗證的方法對該TCB核心進行擴展，最終形成系統(tǒng)級TCB。

首先建立一個足夠小且可驗證的TCB初始核心，通過對初始TCB進行安全控制，保證TCB初始核心的完整性。然后根據(jù)結構和功能要求通過完整性度量和隔離保護機制對TCB進行逐層擴展，構成各關鍵安全部件的TCB。最后確定部件級TCB之間的接口和連接方式，以可信連接為保障手段實現(xiàn)各部件TCB安全功能的組合，并將部件級TCB擴展到系統(tǒng)級TCB，實現(xiàn)整個鐵路客票系統(tǒng)的安全保護。

2.2 客票系統(tǒng)安全保障平臺總體結構

鐵路客票系統(tǒng)的安全域根據(jù)組織層次結構等級，從縱向看分為鐵道部級、地區(qū)級和車站級三層結構，包括了客票系統(tǒng)鐵道部票務中心、地區(qū)票務中心、車站系統(tǒng)［5］。從邏輯上可分為3個層次安全級別的安全域，分別為鐵道部級安全域、地區(qū)級安全域、車站級安全域，3個級別安全域的安全目的類似，安全保護重點在強度上有所不同。鐵路客票信息安全防護系統(tǒng)部署模型如圖2所示。

圖1 鐵路客票系統(tǒng)安全保障TCB模型Fig.1 Security insurance TCB model for TRS

圖2 鐵路客票安全防護系統(tǒng)部署模型Fig.2 Model of security protection system for TRS

(1)安全計算環(huán)境包含安全的身份鑒別、自主訪問控制、標記與強制訪問控制、安全審計以及相應等級的安全功能［6］，實現(xiàn)對計算環(huán)境的內部數(shù)據(jù)存儲、傳輸和處理的安全保護以及系統(tǒng)運行的安全保護。

(2)安全通信網(wǎng)絡保障通信網(wǎng)絡運行安全和通信網(wǎng)絡數(shù)據(jù)傳輸和交換安全，實現(xiàn)對通信網(wǎng)絡所提供服務的安全保護，通信網(wǎng)絡中傳輸數(shù)據(jù)的完整性、保密性、真實性及抗抵賴等保護。

(3)安全區(qū)域邊界防護通過防火墻、安全網(wǎng)關以及隔離網(wǎng)閘與過濾安全機制，實現(xiàn)安全區(qū)域邊界傳輸?shù)臄?shù)據(jù)和操作要求進行隔離和控制，防止非法連接和違規(guī)操作。

(4)多級網(wǎng)絡系統(tǒng)安全互聯(lián)接口確保外部系統(tǒng)不能直接訪問客票系統(tǒng)安全計算環(huán)境，必須通過一個隔離區(qū)，由其中運行代理服務器代理客戶的訪問。代理服務器和計算環(huán)境之間有強制訪問控制和隔離手段，確保外部訪問是結構化的可信訪問。

(5)安全管理中心下設安全管理平臺和PKI/CA認證平臺，對客票系統(tǒng)各種安全機制和服務進行集中管理與控制，包含安全策略管理、安全審計、網(wǎng)絡管理、標記、授權管理以及密鑰和證書管理。

3 鐵路客票系統(tǒng)信息安全防護體系的設計

3.1 內網(wǎng)安全計算環(huán)境設計

鐵路客票系統(tǒng)內部安全計算環(huán)境主要由售票終端、業(yè)務終端、管理終端、應用服務器和數(shù)據(jù)庫服務器構成，主要運行模式是本地售票、跨域售票和遠程售票。

系統(tǒng)內部安全計算環(huán)境要求安全的操作系統(tǒng)和安全數(shù)據(jù)庫管理系統(tǒng)所提供的安全功能及相應安全等級的其他功能，為不降低客票業(yè)務正常運行的效率，對受控終端系統(tǒng)，采用安全代理方式進行結構化保護;對受控服務器系統(tǒng)，采用安全管控器方式進行結構化保護;對TVM系統(tǒng)，采用可信計算終端方式進行結構化保護;基于客票工作流的標識，進行強制訪問控制;安全管理與控制中心對分布在內部計算環(huán)境的各種安全機制和服務進行統(tǒng)一管控。

3.2 外部安全區(qū)域邊界設計

鐵路客票系統(tǒng)由于對外連接客戶服務中心(12306)，從邏輯上使得互聯(lián)網(wǎng)與鐵路客票專網(wǎng)之間形成了通路，為了不影響客票系統(tǒng)的正常業(yè)務運行，需要強化客票專網(wǎng)邊界安全，確保鐵路客票系統(tǒng)安全、穩(wěn)定的運行。鐵路客票系統(tǒng)外部安全區(qū)域邊界設計邏輯結構如圖3所示。

圖3 客票系統(tǒng)外部安全區(qū)域邊界設計邏輯結構圖Fig.3 Logic structure of external security region boundary for TRS

鐵路客票系統(tǒng)從鐵道部中心到車站縱向劃分成3個安全子域，按照業(yè)務的隸屬關系，從鐵道部票務中心依次到地區(qū)票務中心、車站，通過專有網(wǎng)絡形成具有統(tǒng)一的從上至下的3個邏輯層面的部門內部聯(lián)網(wǎng)，從鐵道部到車站的網(wǎng)絡以樹形結構連接?？v向區(qū)域之間部署區(qū)域邊界，對不同區(qū)域之間的信息流進行強制訪問控制，并且以鐵道部中心的安全管理中心為依據(jù)，對鐵道部中心與地區(qū)中心之間的主客體做授權轉換，使得跨域的業(yè)務訪問滿足最小特權原則［7］。

在客票系統(tǒng)網(wǎng)絡中，各級票務中心的子網(wǎng)均通過具有包過濾功能的路由器后接入鐵道部公用網(wǎng)絡平臺，限定外部用戶進入局域網(wǎng)的數(shù)據(jù)包［8］，運用IP地址和端口號來限定處理，檢查數(shù)據(jù)包的源地址、目標地址、傳輸協(xié)議、安全標記等，確定是否允許該數(shù)據(jù)包進出受保護的區(qū)域邊界，并通過設置審計機制，安全管理平臺集中管理對確認的違規(guī)行為及時報警并做出相應處置。

3.3 安全通信網(wǎng)絡設計

安全通信網(wǎng)絡子系統(tǒng)負責保證安全系統(tǒng)在通過網(wǎng)絡進行跨域訪問時的安全，同時防止外部網(wǎng)絡非法訪問內部安全系統(tǒng)，通信網(wǎng)絡傳輸安全主要是保密性、完整性和抗抵賴，這個功能可以通過加密傳輸來實現(xiàn)，而且阻止網(wǎng)絡入侵行為采用通信網(wǎng)絡監(jiān)控模塊來實現(xiàn)，安全通信網(wǎng)絡子系統(tǒng)的組成如圖4所示。

圖4 安全通信網(wǎng)絡子系統(tǒng)的組成Fig.4 Structure of security communication network for TRS

3.3.1 多級網(wǎng)絡系統(tǒng)安全互聯(lián)設計

多級安全互聯(lián)是指不同安全等級信息系統(tǒng)之間的安全互聯(lián)，為不同安全平臺之間的互操作提供安全支持，既要確保執(zhí)行操作的用戶身份的真實性和操作的合法性，又要確保數(shù)據(jù)出/入客票專網(wǎng)的合法性和數(shù)據(jù)在傳輸過程中的安全性。

多級安全互聯(lián)是各級安全保障平臺自身安全防護為基礎，輔以相關的互聯(lián)網(wǎng)絡的安全機制，采用VPN技術、安全通信技術，實現(xiàn)多級安全系統(tǒng)之間的操作和數(shù)據(jù)傳輸與交換的安全防護，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性、抗抵賴以及可信連接。

3.3.2 客票專網(wǎng)系統(tǒng)安全互聯(lián)設計

鐵路客票系統(tǒng)的遠程終端(如代售票網(wǎng)點)接入車站售票網(wǎng)絡、部客票中心與地區(qū)客票中心、地區(qū)客票中心與車站售票系統(tǒng)之間通信網(wǎng)絡安全，采用可靠分布式安全通信平臺實現(xiàn):

(1)支持跨平臺安全通信，支持數(shù)字信封/數(shù)字簽名機制來保證通信數(shù)據(jù)的機密性，完整性，不可否認性，并與安全管理與控制平臺聯(lián)動，實現(xiàn)節(jié)點訪問控制。

(2)提供消息、請求－應答、會話和文件傳輸共4種通信方式，提供同步的、可指定加密級別的通信應用接口。

(3)支持通信網(wǎng)絡監(jiān)控，單點故障不會破壞整個網(wǎng)絡的正常運行。

(4)遠程售票點安全接入，為了保證售票端的通信效率，對售票交易數(shù)據(jù)不進行接管，涉及無線通信環(huán)境或者跨越廣域網(wǎng)的(遠程)代理售票點，需要保證數(shù)據(jù)的完整性和可認證性。

針對旅游英語專業(yè)學生跨文化交際能力這一測試主體，筆者對我校旅游英語專業(yè)的80名學生進行了調查，并根據(jù)調查結果進行了定量分析。

3.4 安全管理平臺設計

鐵路客票系統(tǒng)安全管理平臺(見圖5)是安全策略部署和控制中心，其部署的安全策略是各安全部件和各安全保障層面的紐帶，是對三重防護體系的有效支撐，管理員通過安全管理平臺制定安全策略，強制計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡防護執(zhí)行策略，從而確保整個客票系統(tǒng)及時有效地執(zhí)行統(tǒng)一的安全策略。分為安全管理子平臺和PKI/CA認證子平臺。

安全管理子平臺對分布在網(wǎng)絡環(huán)境的各種安全機制和服務進行統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、綜合分析，PKI/CA認證子平臺作為鐵路客票系統(tǒng)統(tǒng)一的密鑰和證書管理平臺，形成以安全管理平臺和PKI/CA認證平臺為支撐，通信網(wǎng)絡防護、區(qū)域邊界防護和安全計算環(huán)境保護3個部分協(xié)同防護的縱深防御體系。

3.4.1 安全管理子系統(tǒng)

安全管理子系統(tǒng)是信息系統(tǒng)的控制中樞，主要實施標記管理、授權管理及策略管理等。安全管理子系統(tǒng)根據(jù)應用系統(tǒng)整體的安全風險的動態(tài)變化，實現(xiàn)對各類可控組件的安全策略進行規(guī)范化的調整與配置，以使各組件安全策略在不同層面實現(xiàn)統(tǒng)一，實現(xiàn)客票系統(tǒng)安全整體縱深防御的理念。

3.4.2 系統(tǒng)與網(wǎng)絡管理子系統(tǒng)

系統(tǒng)管理子系統(tǒng)負責對安全保護環(huán)境中的計算節(jié)點、安全區(qū)域邊界、安全通信網(wǎng)絡實施集中管理和維護，對系統(tǒng)異常行為做應急處理，包括用戶管理、設備運維管理和應急處理等功能模塊，為客票系統(tǒng)的安全提供基礎保障。

3.4.3 審計管理子系統(tǒng)

審計管理子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，用于保存和處理系統(tǒng)中的所有審計信息，強制節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡子系統(tǒng)和安全管理中心子系統(tǒng)等獲得審計信息后形成文件上傳到審計服務器保存和處理。審計管理員可以在安全管理中心查看審計信息，通過制定審計策略，從而實現(xiàn)對整個信息系統(tǒng)的行為審計，確保用戶無法抵賴違背系統(tǒng)安全策略的行為，同時為應急處理提供依據(jù)。

3.4.4 PKI/CA 認證平臺

圖5 客票系統(tǒng)安全管理平臺組成結構圖Fig.5 Structure of security management platform for TRS

PKI/CA認證平臺建立鐵路客票系統(tǒng)的根信任節(jié)點，通過管理和技術手段把信任關系從鐵道部中心傳遞到地區(qū)中心以及車站，直到每個業(yè)務員。數(shù)字證書是信任關系的載體，證書系統(tǒng)采用分布式體系結構，在鐵道部中心分布有密鑰管理系統(tǒng)(KMC)、證書簽發(fā)系統(tǒng)(CA)、注冊系統(tǒng)(RA)、證書發(fā)布系統(tǒng)(LDAP)、證書驗證系統(tǒng)(OCSP)、配置管理器、審批系統(tǒng)以及相關加密設備。在地區(qū)中心分布有RA，LDAP，OCSP以及配置管理器、審批系統(tǒng)、相關加密設備［9］。

4 結論

鐵路客票系統(tǒng)的信息安全是保障系統(tǒng)正常有效運行的基礎，信息安全防護體系的設計需要從總體和戰(zhàn)略角度出發(fā)，全面考慮系統(tǒng)的安全設計問題［10］。結合鐵路客票系統(tǒng)信息安全現(xiàn)狀及需求，本文提出了“一個中心支撐下的三重防護體系”的信息安全防護體系結構。

(1)鐵路客票系統(tǒng)信息安全技術方案的設計充分考慮系統(tǒng)業(yè)務應用需要，在業(yè)務和安全之間實現(xiàn)了統(tǒng)一管理、統(tǒng)一策略、統(tǒng)一目標，對資源進行整體規(guī)劃，避免資源爭用，提高了系統(tǒng)整體運營效率。

(2)全面支持已部署的安全設備與系統(tǒng)，為用戶提供了直觀的層次化統(tǒng)一監(jiān)控平臺，能對網(wǎng)絡和系統(tǒng)的安全情況進行全面監(jiān)控、分級保護，使得鐵道部中心、地區(qū)中心和車站均可以以不同權限訪問和查看客票系統(tǒng)的安全狀態(tài)。

(3)通過強大的安全知識庫和策略庫等，在對系統(tǒng)進行有效風險評估的基礎上，對安全事件進行自動處理，并進行自動預警以及自動應急響應，保障了客票系統(tǒng)長時間可靠運行和效率。

［1］萬 星.鐵路客票安全系統(tǒng)的設計與實現(xiàn)［J］.四川工業(yè)學院學報 2003，3(增1):67－70.WAN Xing.The design and realization of railway secure network ticket sale system［J］.Journal of Sichuan University of Science and Technology，2003，3(S1):67 －70.

［2］沈昌祥.高安全級信息系統(tǒng)等級保護建設整改技術框架［J］.中國人民公安大學學報:自然科學版，2009(1):1－4.SHEN Chang-xiang.The construction and rectification technology framework for high level security classified protection information systems［J］.Journal of Chinese People’s Public Security University，2009(1):1 －4.

［3］大 勇.鐵路客票系統(tǒng)安全保障體系的等級化保護［J］.信息網(wǎng)絡安全，2005(2):60－63.DA Yong.The classified protection of security system for TRS［J］.Netinfo Security，2005(2):60 － 63.

［4］黃文培，何大可.鐵路客票網(wǎng)絡安全需求分析與安全模型研究［J］.鐵道學報，2004，26(2):1－7.HUANG Wen-pei，HE Da-ke.Research on the security requirements and model of railway passenger ticket network management［J］.Journal of the China Railway Society，2004，26(2):1 －7.

［5］劉培順，何大可.RBAC在鐵路客票網(wǎng)絡安全系統(tǒng)中的應用［J］.鐵道學報，2004，26(3):62－66.LIU Pei-shun，HE Da-ke.Application of RBACin the railway passenger ticket network security system［J］.Journal of the China Railway Society，2004，26(3):62 －66.

［6］徐 超.鐵路信息系統(tǒng)安全標準的探討［J］.鐵道技術監(jiān)督，2010，38(8):4 －6.XU Chao.Research the security criterion of railway information systems［J］.Railway Quality Control，2010，38(8):4－6.

［7］胡志昂.信息系統(tǒng)等級保護安全建設技術方案設計實現(xiàn)與應用［M］.北京:電子工業(yè)出版社，2010.HU Zhi-ang.Scheme design and application of classified protection construction technology for information systems［M］.Beijing:Publishing House of Electronics Industry，2010.

［8］武振華，葉明芷，劉相坤.鐵路客票預訂與發(fā)售系統(tǒng)安全技術的研究與發(fā)展［J］.中國鐵道科學，2001，22(6):63－67.WU Zhen-hua，YE Ming-zhi，LIU Xiang-kun.Research and development of safety technologies of TRS［J］.China Railway Science，2001，22(6):63 －67.

［9］劉培順，王建波，何大可.鐵路客票網(wǎng)絡安全系統(tǒng)PKI子系統(tǒng)的設計與實現(xiàn)［J］.中國鐵道科學，2004，25(6):115－119.LIU Pei-shun，WANG Jian-bo，HE Da-ke.Design and implementation of the railway ticket and reservation network security PKI subsystem［J］.China Railway Science，2004，25(6):115 －119.

［10］彭代淵.鐵路信息安全技術［M］.北京:中國鐵道出版社，2010.PENG Dai-yuan.Information security technology on railway［M］.Beijing:China Railway Publishing House，2010.