鐵路客票代售點(diǎn)公網(wǎng)安全接入平臺(tái)專(zhuān)項(xiàng)驗(yàn)收檢測(cè)內(nèi)容研究

楊 文，秦 田

（1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國(guó)鐵路西安局集團(tuán)有限公司 客運(yùn)部，西安 710054）

在新一代客票系統(tǒng)中，提出了在保障客票系統(tǒng)安全情況下的代售點(diǎn)公網(wǎng)安全接入方案，方案中心闡述了代理點(diǎn)使用專(zhuān)用安全設(shè)備連接公網(wǎng)，統(tǒng)一接入到配置有公網(wǎng)和安全接入平臺(tái)的中國(guó)國(guó)家鐵路集團(tuán)有限公司（簡(jiǎn)稱(chēng)：國(guó)鐵集團(tuán)）生產(chǎn)中心進(jìn)行售票。減少了專(zhuān)線(xiàn)費(fèi)用，方便移動(dòng)售票。鐵路客票代售點(diǎn)（簡(jiǎn)稱(chēng)：代售點(diǎn)）方便老百姓隨處都可購(gòu)買(mǎi)到火車(chē)票，同時(shí)也方便鐵路局集團(tuán)有限公司（簡(jiǎn)稱(chēng)：鐵路局）對(duì)代售點(diǎn)的統(tǒng)一管理。另外，此平臺(tái)保障了客票內(nèi)網(wǎng)免受通過(guò)公網(wǎng)的直接/間接滲透攻擊和通過(guò)公網(wǎng)的拒絕服務(wù)攻擊，為鐵路客票系統(tǒng)提供了網(wǎng)絡(luò)安全保障，安全接入平臺(tái)本身也面臨內(nèi)部和外部威脅，同其它鐵路重要系統(tǒng)一樣，按照國(guó)鐵集團(tuán)技術(shù)評(píng)審相關(guān)管理辦法要求和等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)要求[1-4]，系統(tǒng)在投入運(yùn)行上線(xiàn)前需進(jìn)行安全專(zhuān)項(xiàng)驗(yàn)收測(cè)試，通過(guò)專(zhuān)業(yè)檢測(cè)技術(shù)手段，驗(yàn)證該平臺(tái)各項(xiàng)安全功能是否正常有效。

1 代售點(diǎn)公網(wǎng)安全接入平臺(tái)概述

代售點(diǎn)公網(wǎng)安全接入平臺(tái)（簡(jiǎn)稱(chēng)：安全接入平臺(tái)）主要是在全國(guó)范圍內(nèi)的代售點(diǎn)安裝專(zhuān)用的代售點(diǎn)安全接入設(shè)備，即互聯(lián)網(wǎng)接入管控器，從互聯(lián)網(wǎng)接入采用VPN通信通道，保證了鐵路重要售票數(shù)據(jù)的完整性和保密性要求，安全保障能力達(dá)到等級(jí)保護(hù)第四級(jí)的要求[5]。

為實(shí)現(xiàn)安全接入平臺(tái)的整體安全性，防止來(lái)自互聯(lián)網(wǎng)的黑客攻擊、拒絕服務(wù)等安全威脅。通過(guò)部署防火墻、網(wǎng)閘、網(wǎng)關(guān)、接入管控器等設(shè)備，將安全接入平臺(tái)劃分為客票專(zhuān)網(wǎng)區(qū)、安全接入認(rèn)證區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)等多個(gè)安全域[6]，具體示意圖，如圖1所示。

圖1 安全接入平臺(tái)部署示意

（1）互聯(lián)網(wǎng)接入管控器主要實(shí)現(xiàn)互聯(lián)網(wǎng)邊界防護(hù)功能，提供可控、可信和安全的網(wǎng)絡(luò)環(huán)境，保證了代售終端節(jié)點(diǎn)可信接入及可信安全接入通信功能，可以防止非授權(quán)訪(fǎng)問(wèn)，實(shí)現(xiàn)了授權(quán)訪(fǎng)問(wèn)控制、內(nèi)容過(guò)濾、安全監(jiān)測(cè)、安全審計(jì)、與安全接入網(wǎng)關(guān)之間身份認(rèn)證及授權(quán)業(yè)務(wù)通道的建立等業(yè)務(wù)功能。

（2）安全代理軟件主要部署在專(zhuān)用移動(dòng)終端，實(shí)現(xiàn)專(zhuān)用移動(dòng)終端安全防護(hù)，承擔(dān)節(jié)點(diǎn)的簽字、用戶(hù)身份鑒別，通過(guò)對(duì)原有USBKEY和安全代理進(jìn)行升級(jí)改造實(shí)現(xiàn)上述功能。

（3）安全接入網(wǎng)關(guān)通過(guò)集群方式部署，主要包括邊界安全認(rèn)證、訪(fǎng)問(wèn)控制、可信接入和可信安全接入通信功能，建立了安全接入管控器與鐵路局中心間身份認(rèn)證及授權(quán)業(yè)務(wù)通道，實(shí)現(xiàn)業(yè)務(wù)高可用性和高可靠性。

（4）網(wǎng)閘設(shè)備通過(guò)集群方式部署，實(shí)現(xiàn)外代理區(qū)的安全接入訪(fǎng)問(wèn)控制、安全接入代理、網(wǎng)絡(luò)隔離、保密性、輸入完整性校驗(yàn)、內(nèi)容深度檢查、基于白名單的強(qiáng)制訪(fǎng)問(wèn)控制措施功能，可以防范非法接入和非授權(quán)外聯(lián)。

（5）交易接入代理服務(wù)器通過(guò)負(fù)載均衡方式接入，實(shí)現(xiàn)了內(nèi)代理區(qū)的訪(fǎng)問(wèn)控制、代理功能，完成標(biāo)準(zhǔn)協(xié)議與專(zhuān)有協(xié)議的轉(zhuǎn)換，并實(shí)現(xiàn)與售票作業(yè)信息交互共享。

（6）安全管理中心主要由安全集中配置管理器、安全智能管理與控制平臺(tái)組成。實(shí)現(xiàn)了安全狀態(tài)監(jiān)控、安全事件處理、安全策略統(tǒng)一管理、安全部件聯(lián)動(dòng)管理等功能。

2 檢測(cè)內(nèi)容研究

針對(duì)安全接入平臺(tái)的網(wǎng)絡(luò)部署結(jié)構(gòu)及系統(tǒng)整體安全功能設(shè)計(jì)，包含3個(gè)部分：（1）跨區(qū)域邊界安全；（2）服務(wù)端安全接入平臺(tái)安全；（3）代售點(diǎn)客票終端安全。從對(duì)新一代客票系統(tǒng)代售點(diǎn)公網(wǎng)安全接入平臺(tái)安全防護(hù)的角度出發(fā)，設(shè)計(jì)了3個(gè)測(cè)試內(nèi)容[7-10]。

2.1 跨域邊界安全檢測(cè)內(nèi)容

2.1.1 強(qiáng)制訪(fǎng)問(wèn)控制

主要是采用檢查和測(cè)試方法，檢查強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制實(shí)施與系統(tǒng)二維安全模型是否具有一致的安全策略，能夠控制進(jìn)行對(duì)跨域文件訪(fǎng)問(wèn)的所有操作；測(cè)試跨域訪(fǎng)問(wèn)是否符合強(qiáng)制訪(fǎng)問(wèn)控制策略，根據(jù)主體對(duì)跨域訪(fǎng)問(wèn)中的文件、目錄和設(shè)備的訪(fǎng)問(wèn)操作請(qǐng)求，模擬符合業(yè)務(wù)需求但又不破壞系統(tǒng)安全的訪(fǎng)問(wèn)請(qǐng)求，查看系統(tǒng)是否允許操作進(jìn)行；反之是否拒絕主體對(duì)資源的非授權(quán)訪(fǎng)問(wèn)。

2.1.2 身份鑒別

訪(fǎng)談和檢查系統(tǒng)是否具有跨域訪(fǎng)問(wèn)身份鑒別機(jī)制，提供基于安全管理策略配置的安全身份鑒別機(jī)制，控制允許跨邊界的機(jī)器及用戶(hù)；測(cè)試在允許訪(fǎng)問(wèn)列表中的機(jī)器及用戶(hù)，是否認(rèn)證通行；相反不允許的則終止非授權(quán)請(qǐng)求。

2.1.3 安全審計(jì)

檢查安全平臺(tái)是否能夠記錄跨域訪(fǎng)問(wèn)行為中涉及到的一系列動(dòng)作，包括用戶(hù)登錄/退出、對(duì)文件的打開(kāi)添加刪除、上傳下載等操作；檢查審計(jì)記錄是否包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其它與審計(jì)相關(guān)的信息。

2.1.4 可信授權(quán)

檢查系統(tǒng)可信授權(quán)管理內(nèi)容，驗(yàn)證是否只接受可信授權(quán)的管理；檢查其安全策略的制定是否滿(mǎn)足最小特權(quán)原則。

2.1.5 可信接入

檢查其它區(qū)域邊界子系統(tǒng)（相對(duì)于保護(hù)的安全域來(lái)說(shuō)也相當(dāng)于其它的安全節(jié)點(diǎn)），是否需要滿(mǎn)足節(jié)點(diǎn)與節(jié)點(diǎn)之間的可信接入。

2.1.6 信息過(guò)濾

檢查系統(tǒng)是否能夠根據(jù)安全管理策略對(duì)信息進(jìn)行一系列的安全過(guò)濾，如文件類(lèi)型是否符合、關(guān)鍵字過(guò)濾等。

2.2 服務(wù)端安全接入平臺(tái)檢測(cè)內(nèi)容

服務(wù)端安全接入平臺(tái)主要有客票交易接口服務(wù)系統(tǒng)和代售點(diǎn)安全接入平臺(tái)，代售點(diǎn)安全接入平臺(tái)由可控防火墻、安全接入網(wǎng)關(guān)、安全隔離與信息交換系統(tǒng)、認(rèn)證審計(jì)及安全管理中心。

2.2.1 公網(wǎng)接入接口服務(wù)系統(tǒng)

檢查客票代售點(diǎn)業(yè)務(wù)交易是否成功接入代理服務(wù)；檢查移動(dòng)代售點(diǎn)專(zhuān)有業(yè)務(wù)交易格式是否轉(zhuǎn)換為交易集成服務(wù)平臺(tái)協(xié)議格式。

2.2.2 可控防火墻

（1）檢查防火墻是否設(shè)置了訪(fǎng)問(wèn)控制規(guī)則和策略，實(shí)現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)包過(guò)濾；

（2）檢查是否根據(jù)認(rèn)證策略聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)第3層（TCP/IP協(xié)議的網(wǎng)絡(luò)層）的強(qiáng)制訪(fǎng)問(wèn)控制；

（3）檢查是否阻止SYN洪水攻擊（SYN Flood）、UDP洪水攻擊（UDP Flood）、Ping洪水攻擊（Ping Flood）、局域網(wǎng)拒絕服務(wù)攻擊（Land DOS）等的拒絕服務(wù)攻擊（DOS攻擊）；

（4）檢查是否阻止業(yè)務(wù)服務(wù)端口直接暴露在互聯(lián)網(wǎng)上，業(yè)務(wù)端口是否對(duì)非授權(quán)用戶(hù)不開(kāi)放；

（5）檢查針對(duì)不同互聯(lián)網(wǎng)運(yùn)營(yíng)商鏈路的自動(dòng)添加尋址標(biāo)記，防火墻后的業(yè)務(wù)服務(wù)是否在進(jìn)行交易響應(yīng)時(shí)自動(dòng)區(qū)分運(yùn)營(yíng)商鏈路，確保在多鏈路狀態(tài)下，交易高效性，加快網(wǎng)絡(luò)效率，實(shí)現(xiàn)鏈路負(fù)載均衡功能；

（6）檢查是否實(shí)現(xiàn)了與客票安全管理控制平臺(tái)（簡(jiǎn)稱(chēng)：SOC）進(jìn)行聯(lián)動(dòng)、實(shí)現(xiàn)安全管理控制平臺(tái)服務(wù)接口（YD-SOMN）專(zhuān)用安全控制協(xié)議支持。

2.2.3 安全接入網(wǎng)關(guān)

（1）檢查是否實(shí)現(xiàn)移動(dòng)代售點(diǎn)虛擬專(zhuān)用網(wǎng)絡(luò)（簡(jiǎn)稱(chēng)：VPN）通道建立的強(qiáng)制訪(fǎng)問(wèn)控制功能；

（2）檢查是否實(shí)現(xiàn)移動(dòng)代售點(diǎn)VPN接入服務(wù)功能，保障客票業(yè)務(wù)交易的機(jī)密性、完整性，并測(cè)試驗(yàn)證；

（3）檢查是否實(shí)現(xiàn)傳輸層的客票交易業(yè)務(wù)鑒別驗(yàn)簽功能；

（4）檢查是否實(shí)現(xiàn)對(duì)客戶(hù)接入端的路由自動(dòng)添加功能，實(shí)現(xiàn)本地交易數(shù)據(jù)的路由功能；

（5）檢查是否實(shí)現(xiàn)對(duì)業(yè)務(wù)交易數(shù)據(jù)的自動(dòng)壓縮功能，最大程度減少通信交易量，提高業(yè)務(wù)交易的效率和可用性；

（6）檢查是否實(shí)現(xiàn)與客票SOC進(jìn)行聯(lián)動(dòng)、實(shí)現(xiàn)YD-SOMN專(zhuān)用安全控制協(xié)議支持。

2.2.4 安全隔離與信息交換系統(tǒng)

（1）檢查是否實(shí)現(xiàn)協(xié)議剝離和協(xié)議轉(zhuǎn)換，針對(duì)TCP/IP協(xié)議自身的缺陷性，自網(wǎng)絡(luò)的TCP/IP協(xié)議數(shù)據(jù)報(bào)文，解析出應(yīng)用層數(shù)據(jù)內(nèi)容；

（2）檢查是否實(shí)現(xiàn)協(xié)議轉(zhuǎn)換，采用非TCP/IP的協(xié)議格式，對(duì)協(xié)議數(shù)據(jù)進(jìn)行封裝，然后傳輸?shù)綄?duì)端；

（3）檢查是否實(shí)現(xiàn)了基于業(yè)務(wù)的安全標(biāo)記鑒別；

（4）檢查是否實(shí)現(xiàn)基于內(nèi)容過(guò)濾及根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制策略進(jìn)行強(qiáng)制訪(fǎng)問(wèn)控制；

（5）檢查是否使用Linux虛擬服務(wù)器（LVS，Linux Virtual Server）進(jìn)行負(fù)載均衡，確保業(yè)務(wù)的高效性和可靠性；

（6）檢查實(shí)現(xiàn)與客票SOC進(jìn)行聯(lián)動(dòng)、實(shí)現(xiàn)YD-SOMN專(zhuān)用安全控制協(xié)議支持。

2.2.5 認(rèn)證審計(jì)及安全管理中心

（1）檢查是否對(duì)互聯(lián)網(wǎng)接入管控器進(jìn)行設(shè)備的認(rèn)證；

（2）檢查是否對(duì)客票代售點(diǎn)進(jìn)行用戶(hù)認(rèn)證和客票終端設(shè)備認(rèn)證；

（3）檢查是否實(shí)現(xiàn)了對(duì)互聯(lián)接入管控器設(shè)備的增、刪、查、改的管理功能；

（4）檢查是否實(shí)現(xiàn)設(shè)備認(rèn)證及人員認(rèn)證與防火墻系統(tǒng)進(jìn)行聯(lián)動(dòng)、進(jìn)行網(wǎng)絡(luò)層動(dòng)態(tài)訪(fǎng)問(wèn)控制；

（5）檢查是否實(shí)現(xiàn)了通過(guò)客票安全系統(tǒng)中心證書(shū)認(rèn)證系統(tǒng)（CA，Certificate Authority）和密鑰管理系統(tǒng)（KMC）及鐵路局的證書(shū)注冊(cè)（RA）系統(tǒng)和輕量目錄訪(fǎng)問(wèn)（LDAP）系統(tǒng)，結(jié)合外網(wǎng)管理中心，對(duì)于代表客票終端、互聯(lián)網(wǎng)接入管控器設(shè)備和用戶(hù)，都發(fā)放證書(shū)，并進(jìn)行證書(shū)的頒發(fā)、撤銷(xiāo)等的管理工作；

（6）檢查是否實(shí)現(xiàn)了對(duì)聯(lián)網(wǎng)終端、互聯(lián)網(wǎng)接入管控器、用戶(hù)的狀態(tài)進(jìn)行管理；

（7）檢查是否實(shí)現(xiàn)了對(duì)防火墻、安全隔離系統(tǒng)、安全接入網(wǎng)關(guān)實(shí)施相應(yīng)安全策略配置和管理；

（8）檢查是否實(shí)現(xiàn)了對(duì)防火墻、安全隔離系統(tǒng)、安全接入網(wǎng)關(guān)實(shí)施配置管理、運(yùn)行管理等；

（9）檢查是否實(shí)現(xiàn)安全審計(jì)和業(yè)務(wù)審計(jì)，對(duì)于所有的交易內(nèi)容和安全操作等都有完整的記錄，并根據(jù)安全需求和業(yè)務(wù)的要求進(jìn)行相應(yīng)審計(jì)。

2.3 代售點(diǎn)客票終端安全檢測(cè)內(nèi)容

代售點(diǎn)客票終端包括安全接入管控器和代售點(diǎn)客票終端系統(tǒng)，安全接入管控器主要是指互聯(lián)網(wǎng)接入管控器，代售點(diǎn)客票終端系統(tǒng)主要是指客票移動(dòng)代售點(diǎn)終端售票軟件、客票移動(dòng)代售點(diǎn)終端安全代理和USB Key身份認(rèn)證卡。

2.3.1 互聯(lián)網(wǎng)接入管控器

（1）檢查客票終端和客票用戶(hù)的鑒別機(jī)制；檢查接入強(qiáng)制訪(fǎng)問(wèn)控制功能，是否設(shè)置了合理的訪(fǎng)問(wèn)控制策略；

（2）檢查是否建立與中心代售點(diǎn)公網(wǎng)安全接入平臺(tái)安全網(wǎng)關(guān)的安全通信信道，并驗(yàn)證數(shù)據(jù)通信完整性和抗抵賴(lài)性保護(hù)；

（3）檢查各類(lèi)客票業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)控制、業(yè)務(wù)數(shù)據(jù)安全標(biāo)記鑒別、業(yè)務(wù)數(shù)據(jù)的強(qiáng)制訪(fǎng)問(wèn)控制功能是否實(shí)現(xiàn)，并驗(yàn)證；

（4）檢查對(duì)業(yè)務(wù)交易審計(jì)和安全審計(jì)的內(nèi)容及審計(jì)記錄保護(hù)措施；

（5）檢查非對(duì)稱(chēng)數(shù)字用戶(hù)環(huán)路（A D S L，Asymmetric Digital Subscriber Line）、撥號(hào)、3G通信等的系統(tǒng)配置管理；

（6）檢查管控器本地安全策略及證書(shū)配置管理功能，驗(yàn)證是否有效。

2.3.2 客票移動(dòng)代售點(diǎn)終端售票軟件

檢查是否影響客票系統(tǒng)全部售票功能；檢查是否支持業(yè)務(wù)認(rèn)證；檢查是否支持?jǐn)?shù)字簽名。

2.3.3 客票移動(dòng)代售點(diǎn)終端安全代理

（1）檢查終端桌面安全管理包括哪些功能，是否均實(shí)現(xiàn)；

（2）檢查終端設(shè)備和用戶(hù)之間是否進(jìn)行了身份認(rèn)證；

（3）檢查業(yè)務(wù)數(shù)據(jù)是否實(shí)現(xiàn)安全標(biāo)記和強(qiáng)制訪(fǎng)問(wèn)控制功能，驗(yàn)證安全標(biāo)記策略是否有效；

（4）檢查業(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性保護(hù)是否實(shí)現(xiàn)，驗(yàn)證；

（5）檢查終端是否開(kāi)啟了本機(jī)防火墻；

（6）檢查本地業(yè)務(wù)審計(jì)及安全審計(jì)功能是否開(kāi)啟，記錄審計(jì)內(nèi)容；

（7）檢查通信信道是否實(shí)現(xiàn)安全重用和程序可信執(zhí)行保護(hù)。

2.3.4 USB Key身份認(rèn)證卡

檢查是否每個(gè)操作員配置一個(gè)用戶(hù)USB Key身份卡；檢查是否每個(gè)終端設(shè)備配置一個(gè)設(shè)備USB Key節(jié)點(diǎn)卡。

3 結(jié)束語(yǔ)

本文針對(duì)代售點(diǎn)公網(wǎng)安全接入平臺(tái)安全功能的安全檢測(cè)內(nèi)容開(kāi)展了研究，重點(diǎn)目標(biāo)是保障客票系統(tǒng)業(yè)務(wù)安全，提出3個(gè)檢測(cè)方面，包括跨域邊界、服務(wù)端安全接入平臺(tái)、代售點(diǎn)客票終端，共涉9類(lèi)測(cè)評(píng)對(duì)象，涵蓋了身份鑒別、訪(fǎng)問(wèn)控制、可信驗(yàn)證、安全標(biāo)記、安全審計(jì)等要求的檢測(cè)內(nèi)容，為后續(xù)開(kāi)展代售點(diǎn)公網(wǎng)安全接入平臺(tái)的安全專(zhuān)項(xiàng)驗(yàn)收提供了測(cè)試依據(jù)。本文還有不完善之處，需進(jìn)一步研究檢測(cè)流程、檢測(cè)方法、檢測(cè)依據(jù)等內(nèi)容，梳理出具體的可實(shí)施的安全檢測(cè)方案，更好地開(kāi)展現(xiàn)場(chǎng)檢測(cè)工作。