道路客运联网售票安全系统设计浅析

文／高玉斌

道路客运联网售票安全系统设计浅析

文／高玉斌

道路客运联网售票系统主要面向四类服务对象：出行公众、汽车客运站、客运企业和行业主管部门。系统运行过程中存储了大量的行业经营数据和旅客身份信息，如何保障系统安全、可靠、连续及稳定性运行是非常重要的，安全系统的建设在项目中不可或缺。

安全系统设计原则

根据国家信息安全等级保护相关要求，安全系统建设以基本满足安全保护要求为原则。道路客运联网售票安全系统设计应坚持以下原则:

1.严格执行《信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）、《计算机信息系统安全保护等级划分准则》（GB17859-1999）等国家标准。

2.坚持安全区域边界保护的原则。区域边界是信息系统中计算环境之间以及计算环境与通信网络之间完成联接的部件，安全区域边界是具有确定安全等级保护能力的区域边界。联网售票安全系统应根据信息系统组成结构、访问对象、保护监控要求以及安全责任等元素进行合理的安全区域划分，设计合理有效的区域边界保护措施，实现安全区域之间的安全访问控制。

3.坚持纵深防御的原则。纵深防御要在各个不同层面、不同方面实施安全方案，避免出现疏漏，不同安全方案之间需要相互配合，构成一个整体。联网售票安全系统应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实安全措施，形成纵深防御体系。

4.坚持动态发展的原则。联网售票安全系统不仅考虑满足目前基本的、必须的安全需求，还应考虑随着汽车站客流量的增加和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。

安全系统技术设计

道路客运联网售票安全系统技术方面应从物理安全、网络安全、主机安全、应用安全和数据安全等5个层面进行设计。

（一）物理安全设计

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体的有：

1.供配电系统

机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，要求两路以上的市电供应，N+1冗余的自备发电机系统，并配备UPS系统，具有稳压器、过压防护设备等，能够保障电力的安全稳定不间断供应。

上图：道路客运联网售票安全系统关乎行业经营数据和旅客身份信息等

下图：道路客运联网售票安全系统网络拓扑图

2.防火防水

机房应设置灭火设备和火灾自动报警装置，应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

3.防雷击

为了保证机房的各种设备安全，机房应设置避雷装置、交流电源地线，要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。

4.门禁

机房应建立实用、高效的门禁系统，门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。机房出入口应安排专人值守，控制、鉴别和记录进入的人员，并对进入的人员审核批准。

5.保安监控

机房的保安监控包括闭路监视系统、通道报警系统和人工监控系统。

（二）网络安全设计

联网售票系统内外网两个部分，通过安全隔离网闸进行内外网信息交换。网络安全为联网售票系统在网络环境的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务，另一方面，确保在联网售票业务网上传输数据的保密性、完整性和可用性等。

网络安全设计的重点包括：网络结构、网络边界以及网络设备自身安全等，具体包括：结构安全、访问控制、安全审计、入侵防范等四个方面。

结构安全。网络规划时应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；采用IPS技术、防火墙技术，实现重要网段和其他网段的逻辑隔离；核心交换位置通过设备冗余保障业务；广域网通过主备线路保障业务；通过带宽保障技术保证重要主机能够正常运行。

对于道路客运联网售票系统信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，保护重要的业务系统

访问控制。通过防火墙技术，对用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等进行访问控制；用户终端接入网络进行有效控制。

安全审计。通过安全审计系统，对网络流量监测以及对异常流量识别和报警、对网络设备运行情况监测，对用户行为进行安全升级。通过对以上方面的记录分析，形成报表，并在一定情况下发出报警、阻断等动作。

入侵防范。通过入侵保护系统监视所在网段内的各种数据包，对每一个数据包或可疑数据包进行分析，如果数据包与内置的规则吻合，入侵保护系统就会记录事件的各种信息，并及时阻断。

1.IP地址规则

根据联网售票中心的网络管理及应用需要，联网售票中心的IP地址分为公网IP地址和私有IP地址两部分。公网IP地址由联网售票中心向ISP或NIC申请，在申请IP地址时应充分考虑其扩展性。私有IP地址由联网售票中心自行设计，应该使用Internet保留的IP地址网段。

在进行数据中心的IP地址规划时，应注意以下几点：

（1）私有IP地址A类10.*.*.*，采用3000信息点以上的大型规模网络。

（2）私有IP地址B类172.16.*.*-172.31.*.*，采用2000信息点以下的中型规模网络。

（3）私有IP地址C类192.168.*.*，采用500信息点以下的小型规模网络。

（4）loopback地址采用32位掩码，奇数表示路由器，偶数表示交换机。

（5）网络设备接口地址务采用30位掩码的地址。核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。

2．内部网络设计

内部网络划分为网络出口、核心数据、综合应用和运维管理等。网络出口区域由核心路由器、接入路由器、核心交换机组成，其中核心交换机与核心路由器各两台进行双机热备。核心数据区域放置数据库服务器，与核心交换机连接。综合应用区域部署应用服务器，与核心交换机连接。运维管理区域放置防病毒服务器。

3．外部网络设计

等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、管理和监督。对于道路客运联网售票系统信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，保护重要的业务系统。

4．网络管理

网络管理的目标是保证网络的安全、畅通及负载均衡，以使网络稳定、高效地运行。

（三）主机安全设计

主机系统安全是包括服务器、终端等在内的计算机设备在操作系统及数据库系统层面的安全，是保护信息系统安全的中坚力量。其涉及的控制点包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等七个控制点。

1．身份鉴别

联网售票中心系统的重要信息都集中在WEB服务器、数据库内，对可访问、操作这些服务器、数据库的人员，进行的严格的限定，安全性较高。联网售票中心采用数字证书USB KEY与口令相结合的方式来进行身份鉴别。

2．访问控制

在联网售票系统中实施访问控制是为了保证系统资源（操作系统和数据库管理系统）受控合法地使用。用户只能根据自己的权限大小来访问系统资源，不得越权访问。应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。

3．安全审计

对主机进行安全审计，目的是为了保持对操作系统和数据库系统的运行情况以及系统用户行为的跟踪，以便事后追踪分析。审计范围应覆盖到服务器上的每个操作系统用户和数据库用户，审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

4．剩余信息保护

为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问，操作系统应对这些剩余信息加以保护。用户的鉴别信息、文件、目录等资源所在的存储空间，操作系统将其完全清除之后，才释放或重新分配给其他用户。

5．入侵防范

通过主机本身的安全审计功能、网络防病毒系统的入侵防御模块对主机进行入侵防范以及UTM的区域访问控制等手段来加强主机入侵防范。

6．恶意代码防范

定期对服务器、终端进行漏洞扫描、系统补丁安装情况等安全评估及系统安全加固来预防恶意代码的侵害。

7．资源控制

应通过设定终端接入方式、网络地址范围等条件限制终端登录；设置登录终端的操作超时锁定；监视服务器的CPU、硬盘、内存、网络等资源的使用情况；限制单个用户对系统资源的最大或最小使用限度。

（四）应用安全设计

应用系统的安全和其自身的设计和实现技术密切相关，其存在的漏洞也会给系统的安全带来严重的隐患，因此通过应用安全技术和应用系统相结合是防护应用层安全的重要手段。

在应用层面运行着联网售票系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，包括消息发送、web浏览等，对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。

（五）数据安全设计

联网售票系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏（泄漏、修改、毁坏），都会在不同程度上造成影响，从而危害到联网售票系统的正常运行。由于联网售票系统的各个层面（网络、主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。

（作者单位：山西省道路运输管理局）