廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系建設的應用研究

楊華嚴凱

（1.華藍設計（集團）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系建設的應用研究

楊華1嚴凱2

（1.華藍設計（集團）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的應用是全國交通一卡通互聯(lián)互通的一項重要工作，是保障交通一卡通平臺穩(wěn)定運行的有效手段，對我們國家和百姓的個人隱私都具有十分重要的現(xiàn)實意義。本文從立足于廣西泛北部灣經(jīng)濟區(qū)交通運輸信息化實踐，結合廣西泛北部灣經(jīng)濟區(qū)交通運輸信息化現(xiàn)狀，對廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的建設設想進行系統(tǒng)的研究，進一步探索廣西泛北部灣經(jīng)濟區(qū)交通一卡通互聯(lián)互通環(huán)境下的安全體系的應用，以期對開展工作有所裨益。

交通；一卡通；安全體系

引言

飛速發(fā)展的互聯(lián)網(wǎng)業(yè)在給社會創(chuàng)造了巨大的效益，給公眾帶來方便。與此同時，互聯(lián)網(wǎng)的高度開放性也對社會經(jīng)濟發(fā)展以及人民的生活帶來了不利的影響，病毒侵襲、網(wǎng)絡欺詐、信息污染、黑客攻擊等問題更是給我們帶來困擾和危害。面對如此嚴峻的互聯(lián)網(wǎng)環(huán)境，廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺在建設前，必須要做好規(guī)劃，否則，平臺一旦遭到破壞后，業(yè)務應用系統(tǒng)的業(yè)務信息將遭到入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會對社會秩序和公共利益造成嚴重損害，將極大影響應用系統(tǒng)的正常運行，導致業(yè)務能力下降和結論出錯，嚴重侵害的客體將是社會秩序和公共利益。本文從立足于廣西泛北部灣經(jīng)濟區(qū)交通運輸信息化實踐，結合廣西泛北部灣經(jīng)濟區(qū)交通運輸信息化現(xiàn)狀，對廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的建設設想進行系統(tǒng)的研究，進一步探索廣西泛北部灣經(jīng)濟區(qū)交通一卡通互聯(lián)互通環(huán)境下的安全體系的應用，以期對開展工作有所裨益。

1 研究背景

2015年5月，交通運輸部辦公廳發(fā)布了《交通運輸部關于促進交通一卡通健康發(fā)展加快實現(xiàn)互聯(lián)互通的指導意見》，全面推廣普及交通一卡通，逐步實現(xiàn)跨區(qū)（市）域、跨交通方式互聯(lián)互通。2015年12月，廣西壯族自治區(qū)人民政府辦公廳根據(jù)發(fā)布了《廣西交通運輸廳全區(qū)交通一卡通工作實施方案》，以廣西北部灣經(jīng)濟區(qū)四市（南寧、北海、防城港、欽州市）同城化為契機，廣西北部灣經(jīng)濟區(qū)四市率先建立公交、地鐵、出租車、高速公路ETC及其他客運交通工具的交通一卡通系統(tǒng)，逐步實現(xiàn)全區(qū)交通一卡通互聯(lián)互通。由此可見，在廣西泛北部灣經(jīng)濟區(qū)構建交通一卡通平臺勢在必行。

綜觀國內一卡通平臺的運營管理工作，平臺的信息系統(tǒng)穩(wěn)定安全運行是平臺運維護重中之重。然而，在信息系統(tǒng)等級保護方面，我國的工作起步較晚。1999年9月，國家質量技術監(jiān)督局發(fā)布了第一個國家標準-GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則[1]，是實行計算機信息系統(tǒng)安全等級保護制度建設的重要基礎。2008年6月，全國信息安全標準化技術委員會發(fā)布了《信息安全技術信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）[2]，從信息系統(tǒng)所承載的業(yè)務在國家安全、經(jīng)濟建設、社會生活中的重要作用和業(yè)務對信息系統(tǒng)的依賴程度兩個方面，規(guī)定了信息系統(tǒng)安全等級保護的定級方法。根據(jù)信息系統(tǒng)安全等級保護的定級方法，廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺的信息安全等級屬于三級，平臺一旦遭到破壞后，業(yè)務應用系統(tǒng)的業(yè)務信息將遭到入侵、修改、增加、刪除等不明侵害，會對社會秩序和公共利益造成嚴重損害，將極大影響應用系統(tǒng)的正常運行，導致業(yè)務能力下降和結論出錯，嚴重侵害的客體將是社會秩序和公共利益。因此，廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的建設尤為重要。

2 現(xiàn)實意義

此項工作的順利推進，能極大提高廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺的安全系數(shù)，保障用戶的信息安全和廣西泛北部灣經(jīng)濟區(qū)交通一卡通互聯(lián)互通大平臺的穩(wěn)定運行，同時帶動廣西泛北部灣經(jīng)濟區(qū)交通運輸產(chǎn)業(yè)的發(fā)展和進步，更為全國交通一卡通互聯(lián)互通事業(yè)的發(fā)展打下一個良好的基礎。這一點，對我們國家和百姓的個人隱私都具有十分重要的現(xiàn)實意義。

3 建設思路

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺的信息安全等級屬于三級，需對平臺全網(wǎng)進行合理的安全域劃分，以實效和應用為主導，管理與技術并重，從物理、網(wǎng)絡、主機、應用、數(shù)據(jù)、管理等方面，保障平臺的安全，形成集防護、檢測、響應、恢復于一體的整體安全保障體系。廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺的安全體系總體架構如圖1。

圖1 安全體系總體架構圖

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺的安全體系建設，筆者認為應該從管理和技術兩方面入手，管理措施包括管理體系，管理制度、安全運維和法律保障；技術措施，它是利用計算機網(wǎng)絡產(chǎn)品和技術服務實現(xiàn)的，包括技術規(guī)范、技術方案、技術實施以及物理安全防范等內容。

3.1 安全體系框架設計思路

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全保障體系將通過建設平臺安全技術體系、安全管理體系以及應急響應支援體系，形成集防護、檢測、響應、恢復于一體的安全保障體系，從而實現(xiàn)實體安全、網(wǎng)絡系統(tǒng)安全、應用安全（包括信息交換）、安全管理，以滿足平臺全方位的安全需求。安全保障體系，實質上就是一個安全管理的體系，其中包括組織管理、技術管理和操作管理等多個方面[3]。圖2為廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全保障框架。

圖2 安全保障框架圖

3.1.1 安全技術體系

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全技術體系主要包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和備份恢復五個方面。上述所提及的五個方并不僅以防護為主的靜態(tài)體系，而是涵括防護、檢測、響應、恢復并重的動態(tài)技術體系[4]。

（1）物理安全：具體包括物理位置的確定、物理訪問控制、防盜竊、防雷擊、防破壞、防火、防水、防潮、防靜電、溫濕度控制、電力供應和電磁防護等十個控制點。

（2）網(wǎng)絡安全：具體的控制點包括結構安全、訪問控制、安全審計、邊界檢查、病毒代碼防范、網(wǎng)絡設備防護等七個控制點。

（3）主機安全：涉及的控制點包括身份識別、標記、進入控制、安全審計、剩余信息保護、病毒代碼防范和資源控制等八個控制點。

（4）應用安全：涉及的安全控制點包括身份鑒別、訪問控制、安全審計、抗抵賴、軟件容錯、資源控制、用卡環(huán)境安全等七個控制點。

（5）數(shù)據(jù)安全及存儲備份：對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。保證數(shù)據(jù)安全和備份恢復主要從數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等三個控制點考慮。

3.1.2 安全管理體系

廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全管理體系主要包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面：

（1）安全管理制度主要包括：管理制度、制定和發(fā)布、評審和修訂三個控制點。

（2）安全管理機構主要包括：崗位設置、人員配備、審批、合作和溝通以及檢查和審核等五個控制點。

（3）人員安全管理：具體包括人員錄用、人員離崗、人員考核、安全培訓和外部人員訪問控制等五個控制點。

（4）系統(tǒng)建設管理：具體包括系統(tǒng)定級、安全功能設計、產(chǎn)品采購與使用、自主軟件開發(fā)及外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務商選擇等十一個控制點。

（5）系統(tǒng)運維管理：主要包括環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、病毒代碼防范管理、密碼管理、變更管理、備份管理、安全事件處置、應急預案管理等十三個控制點。

3.1.3 安全防護策略及設備部署

結合目前運行于互聯(lián)網(wǎng)信息系統(tǒng)安全現(xiàn)狀，廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全防護有可能面臨的安全威脅主要包括：

（1）平臺業(yè)務外網(wǎng)承載的系統(tǒng)大部分是基于B/S模式的，網(wǎng)絡入侵者容易利用Web服務器的漏洞，對系統(tǒng)進行控制。

（2）平臺業(yè)務外網(wǎng)承載的應用一般為windows服務器版操作系統(tǒng)，自身也存在較多安全漏洞。同時，應用系統(tǒng)本身也可能存在安全隱患。

在應用安全上綜合建議采用以下安全策略：

（1）在安全區(qū)域邊界設置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非制授權訪問[5]。

（2）通過開啟系統(tǒng)審計功能及部署硬件級別的審計系統(tǒng)，實現(xiàn)全方位的安全審計。

（3）通過VPN技術實現(xiàn)通信安全。

（4）在程序開發(fā)過程中全面考慮代碼安全，應用系統(tǒng)投入使用后定期進行應用系統(tǒng)的安全掃描，滿足代碼安全要求。

（5）應用系統(tǒng)部署的網(wǎng)絡環(huán)境達到三級等級保護安全，可利用相關設備進行安全防護。

目前，廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的建設尚處在探索、研究階段，課題思路還存在許多不完善方面。此外，將其落實、應用也還存在一定的困難，要實現(xiàn)廣西泛北部灣經(jīng)濟區(qū)交通一卡通平臺安全體系的建設目標與愿望除了借助“外腦”配合之外，還需要繼續(xù)創(chuàng)新思維，大膽探索，不斷在實踐中總結，在運用中完善。

[1]國家質量技術監(jiān)督局.《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）[S].北京：中國標準出版社，1999.

[2]信息安全等級保護評估中心.《信息安全技術信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）[S].北京：中國標準出版社，2008.

[3]蘇駿.信息系統(tǒng)安全體系構建研究[D].武漢理工大學，2008.

[4]劉怡，張截.基于Internet的管理信息系統(tǒng)研究[J].計算機應用與軟件，2005（08）.

[5]高朝勤.《息系統(tǒng)等級保護中的多級安全技術研究[D].北京工業(yè)大學，2012.

F512.7

A

1004-7344（2016）18-0154-02

2016-5-10

楊 華（1984-），男，城市規(guī)劃師，本科，從事城市交通規(guī)劃與設計方面研究工作。

嚴 凱（1978-），男，工程師，本科，從事城市交通運輸信息化方面研究工作。