李兆君,张 建,宋 宸
(1.合肥城市轨道交通有限公司,安徽合肥 230000;2.南京熊猫信息产业有限公司,江苏南京 210000)
随着“互联网+”和智慧城市的建设发展,国内地铁自动售检票系统(Auto Fare Collection,AFC)新技术发展迅速,相继出现基于互联网的新型票务系统,同时也将系统信息安全提到战略性高度,由原来不定级或二级向三级要求升格,如何构建互联网票务系统信息安全等级保护提上了管理日程。
信息系统安全等级保护是对信息和信息载体按照重要性等级分级别进行保护。《信息安全等级保护管理办法》规定国家信息安全等级保护实行定级保护。根据《计算机信息系统安全保护等级划分准则》建立等级保护制度,信息系统的安全保护等级分为五级(表1)。
合肥地铁AFC 系统信息及网络存在的安全风险主要包括物理、网络、主机、应用、数据、管理等方面风险[1]。
物理安全主要是指机房物理环境的安全,包括机房的选址、配电、安防、监控、报警、消防以及机房管理等。机房物理环境的设计、施工、运维直接影响机房内承载的信息系统及网络运行的安全性。
表1 信息系统安全保护等级关系表
为保证应用系统及数据的稳定性与安全性,网络边界、重要资产安全区域要设必要的安全防护措施。基础网络设计不合理、网络安全区域划分不合理、网络冗余设计不合理,都会影响信息系统及数据传输的安全性、稳定性。
主机系统存在弱口令、安全漏洞、病毒等风险,将直接影响主机系统的运行安全,以及一些默认开放的权限与服务,也会给主机系统带来不同程度的安全隐患。
应用系统自身存在安全漏洞、用户权限管理以及弱口令等风险。尤其是基于Web 方式的服务,更加容易被攻击和入侵,直接影响Web 应用服务运行的安全性,这是应用服务常见的高风险。
核心数据一旦被窃取或者破坏直接影响上层应用服务,或者给用户带来重大损失。数据系统存在安全漏洞、安全权限设置与使用的不规范等隐患,导致数据库被入侵、非法访问、篡改与删减等重大安全事件。
建立健全安全防护体系,其中,安全风险比重最高的是人的安全管理与安全运维。人员的安全意识不强、操作不规范,以及内部人员受某种利益驱使主观地窃取数据、破坏系统,将会给信息系统带来重大的损失,故健全安全管理体系,建立科学合理的安全管理架构,制定科学的管理流程、操作规范等管理制度,在信息安全防护体系建设中显得尤为重要。
图1 合肥地铁互联网票务支付平台及3 号线AFC 系统网络拓扑
基于信息安全空间模型的总体设计,包括安全机制、OSI(Open System Interconnect,开放式系统互联)网络参考模型、安全服务为正角形成的三维空间[2],达到认证、权限、完整、加密和不可否认的五大要素。其中,安全机制包括基础设施、平台、数据、通信、应用、运行、管理、授权和审计、安全防护体系;OSI 网络参考模型即网络七层架构;安全服务包括对等实体认证、访问控制、数据保密及完整性、数据源点认证、禁止否认、提供犯罪证据服务。
合肥地铁AFC 信息安全等级保护设计与建设,遵照我国法律法规及国家相关标准规范要求,法律法规类有:《国家网络安全法》《计算机信息系统安全保护条例》《信息安全等级保护管理办法》等;标准规范类有《信息安全技术信息系统安全等级保护基本要求》等。设计思路以合规为重点,满足信息安全等级保护三级要求,并具有实用性、前瞻性,有效实现信息安全综合防御能力,提升信息安全集中管控能力。
3.2.1 安全防护体系概述
以合肥地铁票务移动支付平台及3 号线AFC 系统与移动支付平台信息安全建设为例,同时借鉴同行在相同或相关领域的设计研究及做法基础上[3-4],按照国家信息安全等级保护要求,以三级等保要求构建的信息系统安全管理体系,分别由技术体系与管理体系构成。
3.2.2 安全防护体系设计规划[5]
系统设计按照“传统架构+互联网”私有云架构,硬件设计考虑了功能模块化布置需求,具备堆砌式扩展能力。互联网支付平台网络拓扑分为互联网接入区、AFC 系统网络接入区、云平台服务器区、安全运维管理区4 个区域;3 号线AFC系统网络拓扑分为外部系统接入区、服务器区、安全管理区、安全运维中心区、线路车站区等5 个区域。具体拓扑图如图1所示。
系统建设重点:一是主动安全能力,从关键网络节点处检测、防止或限制网络攻击,特别是新型网络攻击,采用可信验证机制免受恶意代码攻击,并检测、恢复其完整性;故障时,自动保存易失性数据和状态。二是全网态势感知,从各分散在设备上的审计数据汇总、分析,集中管理安全策略、恶意代码、补丁升级等事项,对网络中的各类安全事件识别、分析和报警,集中监测网络链路、安全设备、网络设备和服务器等运行状况。三是用户独立的安全扩展能力,根据云服务客户需求自主设置安全策略,包括定义访问路径、选择安全组件、配置安全策略,提供开放接口或服务,接入第三方安全产品和服务,在云服务上实现各自虚拟化监测、告警控制。
3.2.3 边界安全防护设计
主要从边界访问控制、边界入侵防范、抗DDOS(Distributed Denial of Service,分布式拒绝服务)防御系统、实现链路高可用性、内外网安全隔离等5 个方面进行设计。
(1)边界访问控制:部署防火墙,对所有流经防火墙的数据包按照严格的安全规则进行过滤,起到网络安全的基础屏障,对网络存取和访问进行监控审计,防止信息外泄。
(2)边界入侵防范:部署入侵防御、入侵检测系统,实时侦听网络数据流,在防火墙阻断攻击失败时,可以最大限度地减少损失。采取基于特征和行为网络检测策略,分析数据包的特征、防范风险、定期升级等抗攻击策略。
(3)全面拒绝服务防御:部署抗DDOS 防御系统,NGTOS作为基础软件平台,统一地高速处理数据报文的解析、识别、检测、清洗、统计等,具有在线串接、旁路检测和旁路清洗3 种工作模式,能够检测与防御DOS、流量型和应用型DDOS、非法协议攻击。
(4)实现链路高可用性:部署负载均衡设备,包括链路负载均衡和服务器负载均衡等。支持直连、单臂透明及反向、三角等组网模式。通过压缩、缓存、SSL 卸载、HTTP 优化等技术加速应用处理,用户能实时了解应用运行状态,为应用安全保驾护航。
(5)内外网安全隔离:设计有“2+1”系统网闸产品架构,由内端机、外端机、数据迁移控制单元3 部分组成。内外端机具有独立的总线、存储和运算单元。内外端机之间通过具有互斥效果的数据迁移控制单元进行连接(图2)。
图2 内外网安全隔离结构
3.2.4 数据安全防护设计
对内部用户,防范利用内网各种通信协议进行刺探、获取、删除或篡改重要的数据和信息。对外部非授权人员(如黑客),防范对多数据库进行恶意入侵、获取或删除数据库中的数据,为核心数据库提供全方位、实时的、细粒度的安全防护与审计。
3.2.5 应用安全防护设计
应用安全防护设计分为应用高可用性、Web 流量防护2 个方面:一是利用负载均衡技术,将多台服务器组建成一个服务器集群,提供单个或多个应用服务,将用户流量通过负载均衡算法分发到各个真实的服务器;二是Web 应用防火墙保护信息安全和准确性,防止Web 应用层面受到攻击。保护静态网页、网站脚本和后端数据库;主动防御已知和未知恶意代码;防跨站攻击,防SQL 注入,抗网络攻击能力等功能,全面防止黑客入侵,篡改网站。
3.2.6 主机安全防护设计
终端威胁检测防御系统实现全网恶意代码防护,在身份鉴别上实现2 种或2 种以上组合鉴别技术鉴别用户,具备警示功能,对与重要主机相连的服务器、终端进行身份标识和鉴别。具备自主访问控制、强制访问控制、安全审计的要求。
3.2.7 运维可视化安全设计
设计上搭建安全运维审计平台,实现集中日志审计、内网访问行为审计、全网漏洞感知能力。以运维堡垒机为核心搭建安全运维审计平台,对内部核心服务器、网络设备和应用进行保护,监控和审计对此类资产的常用访问。通过日志审计系统实现集中日志审计;通过安全管理中心系统对网络资产集中管理和安全设备信息告警;通过网络审计实现内网访问行为审计;通过漏洞扫描实现全网漏洞感知能力。
同时,基于云计算安全能力构建安全框架,从云计算的SaaS-PaaS-IaaS 三层架构,搭建安全运维平台的辨识分析、安全资源、网络探针与主机探针4 个层次,构建地铁票务系统安全大脑,实现三级等保要求。
主要从建立安全管理机构,健全安全管理制度,强化人员安全管理,加强系统建设管理,规范系统运维管理等五个方面开展等级保护工作。
本文主要从定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5 个阶段来开展信息安全等级保护工作,从设计、实施到运维3 个阶段,从技术和管理两方面,在设计思想上基于信息安全等级保护三级要求建立安全防护体系、安全管理体系,并提出安全应对策略,从攻击、威胁和流量态势,到合规、行为、运维态势上,构建地铁票务系统信息安全体系。