铁路客票发售与预订系统 风险评估研究

赵英明，张德栋，徐东平，李聚宝

（1.中国铁道科学研究院 研究生部，北京 100081；2.中国铁道科学研究院集团有限公司 电子计算 技术研究所，北京 100081）

铁路客票发售与预订系统从1996 年 开 始 上 线V1.0 版本，实现手工售票向计算机售票的转变，有着长达20 余年的技术与业务积淀[1]。目前，我国铁路客票发售与预订系统已经能够实现多种服务，如互联网售票、手机售票、电子支付等。自互联网售票上线以来，注册用户数量以及访问规模快速增长。到目前为止，12306 平台高峰日页面浏览量已经超过1 500 亿次，最高日发售车票超过1 200 万张，已经占到总售票量的80%以上。随着总售票量的不断增加，铁路客票发售与预订系统的安全稳定也成为日益重要的问题。因此，及时发现存在于铁路客票发售与预订系统的安全威胁，评估安全事件发生的风险，提出有针对性的防范措施，在维护系统安全稳定运行和防范风险方面显的尤为重要。

1 铁路客票发售与预订系统风险分析

1.1 总体架构

铁路客票发售与预订系统是包括2 个主中心，18个地区中心，覆盖2 000多个车站的云计算平台。为了保证数据的安全性和一致性，主中心分为中国国家铁路集团有限公司(以下简称“国铁集团”)一中心和中国铁道科学研究院集团有限公司(以下简称“铁科院集团公司”)二中心，实现了双中心双向数据同步，即双活架构，对铁路客票发售与预订系统的安全性起积极作用，支持12306 互联网售票业务。当任何一个中心发生故障时，另一中心可以完全接管对方的所有核心业务，做到实时保证系统安全稳定运行[2]。铁路客票发售与预订系统总体架构如图1 所示。

铁路客票发售与预订系统的核心业务需要跨越不同地区，不同资源，实现异地的数据复制和计算，对数据同步性和稳定性具有极高的要求。一中心和二中心内部的核心路由与汇聚层交换机同样都采用双活冗余架构，外部通过铁路数据网以路由直连的方式进行互联。各个铁路局集团公司的地区数据中心通过铁路数据网，直连至一、二中心核心交换机，各网络设备和安全设备性能经过多次升级，已经满足购票高峰期业务需求。在18 个地区数据中心，建立有中心席位平台，提供核心票库管理和交易能力，对售票进行全方位支持。各车站系统通过铁路数据网或专线与地区数据中心相连，在双中心、地区数据中心和车站系统均部署有数据库，实现了双中心、地区数据中心、车站的3 级架构。

图1 铁路客票发售与预订系统总体架构Fig.1 Overall structure of the railway ticketing system

1.2 风险分析

风险评估就是利用定量或定性的方法对系统潜在的风险进行评价和估计[3]，是发现网络问题和缺陷、弥补系统漏洞、维护系统平稳运行的重要手段。对于网络系统的风险评估应该综合考虑资产、威胁和脆弱性3 个要素[4]。资产是指信息系统所涵盖的信息和资源，资产的价值就是其在所处的信息系统中的重要程度；威胁是指导致信息安全事件发生的起因；脆弱性是资产的固有属性，是资产自身可以被威胁利用的薄弱环节。在对信息系统进行风险评估时，需要综合考虑威胁利用脆弱性导致安全事件的可能性和安全事件的影响，及安全事件所作用的资产价值3 个元素，最终获得系统合理的风险指数。铁路客票发售与预订系统架构复杂，信息系统遍布全国各地，是一个复杂的大型系统，其系统中所面临的安全威胁也涉及到方方面面，将铁路客票发售与预订系统所面临的风险大致分类 如下。

（1）基础环境运行的风险威胁。铁路客票发售与预订系统的基础环境包括构建信息系统的基本软硬件设备和物理环境，包括：各种硬件设备(主机设备、网络设备、存储设备等)、各种软件设备(业务软件、操作系统、数据库、中间件等)、系统的整体架构搭建及机房环境(电力、场地、网络等)[5]。由于系统基础环境所造成的安全风险事件，往往都会对信息系统产生严重的影响，因而综合考虑资产、威胁、脆弱性3 个要素，对铁路客票发售与预订系统的基础环境运行的风险进行分析[6]。基础环境风险分析表如表1 所示。

表1 基础环境风险分析表Tab.1 Basic environmental risk analysis table

（2）外部的风险威胁。当前，我国网络安全形势较为严峻，网络犯罪活动持续上升。来自外部的攻击者利用资产本身的漏洞，通过技术手段对于系统进行攻击很容易导致信息泄露、系统崩溃、业务暂停等一系列问题，对系统造成安全风险。根据攻击者的攻击手段不同，会对不同的资产范围造成影响。外部攻击的手段包括：网络嗅探和信息采集、用户身份欺骗和伪造、用户和业务数据的窃取和破坏、拒绝服务攻击、系统运行的控制和破坏以及利用社会工程学的线下攻击手段等。但总的来说，外部的攻击者对于系统所能带来的安全威胁范围可以涵盖到系统的全部资产。在2016 年的铁路客票发售与预订系统等保测评、2019 年国家网信办网络安全专项检查等工作中，对当前外部攻击的安全形势和铁路客票发售与预订系统脆弱环节进行了全面的分析。

（3）业务系统的风险威胁。当前，由于售票压力巨大，铁路客票发售与预订系统对外采用分时段放票的方式，即8 点、10 点、12 点、15 点4 个时间节点放票。在售票高峰时段，铁路客票发售与预订系统的压力和负载巨大，来自各方的业务流量对系统的压力等同于大型的DDoS 攻击，同时，来自市场的各种第三方软件的反复刷票行为，更极大的增加了原本就庞大的业务流量。对于铁路客票发售与预订系统的可用性和安全性是巨大的考验和 威胁。

（4）管理和人员的风险威胁。对于一个系统而言，内部人员可能会比外部人员更容易成为一个“攻击者”。管理和人员等问题都有可能为系统带来安全风险。在对系统进行风险评估时，充分考虑管理和人员的风险对系统整体的影响十分重要。从管理角度看，安全管理落实不到位或无法落实，会对信息系统的正常有序运行带来障碍，成为系统的脆弱点，管理问题所涵盖的安全威胁包括：权责不明、管理制度和策略不完善或缺乏可操作性、监督机制不健全等内容。从人员的角度看，掌握重要信息和核心业务的人员，安全意识或技术能力不足，会成为系统的脆弱点，人员问题所涵盖的安全威胁包括：维护错误、操作错误、不当泄露信息、违规处理等问题。

2 铁路客票发售与预订系统风险评估模型构建与计算

对铁路客票发售与预订系统的风险评估需要掌握信息系统的整体，根据风险评估分析，设F为客票系统的所有安全风险因素集，定义为

式中：F1为来自系统自身的风险因素集，F2为来自外部威胁的风险因素集，F3为来自业务系统的风险因素集，F4为来自管理和人员问题的风险因素集合。

根据风险因素集F中的4 种不同的风险因素，即F1，F2，F3和F4，分别有针对性地采取不同算法，计算其风险指数Ri，构建最终的风险评估模型。这样的风险评估方式有助于有针对性地发现系统设计与维护中存在的薄弱环节，以便采取有针对性的措施进行改进。

（1）基础环境运行风险指数。基础环境运行风险指数R1定义为

式中：a1，a2，…，ai分别表示风险因素集F1中各个风险因素对应的基础环境部分的重要程度，i表示F1中风险因素的数量，{a1，a2，…，ai} =A；p1，p2，…，pi表示在系统运行过程中，对应的a1，a2，…，ai部分发生的风险事件所占的百分比p1+p2+ … +pi= 1，{p1，p2，…，pi} =P1；E1= {e1，e2，…，ei}为风险矩阵，e1，e2，…，ei表示风险因素集F1中的风险因素可能引起安全事件的危害程度，其中ei∈ [0，10]；Nd表示铁路客票发售与预订系统的双活架构的健壮性程度，Nd∈ [0，10]，Nd的值越小，代表双活架构的健壮性越高。

根据对铁路客票发售与预订系统整体架构进行分析的结果，确定i= 4，即来自系统自身的风险因素集F1= {f1，f2，f3，f4}。式中：f1表示由于系统硬件故障可能引起的安全风险；f2表示由于操作系统、数据库、应用软件等软件问题可能引起的安全风险；f3表示由于系统架构中可能存在的不合理设计导致的安全风险；f4表示系统的机房环境问题导致的可能引起断电、火灾、水患等等安全问题。由公式 ⑵ 可以得出，基础环境运行的风险指数R1∈ [0，40]。

（2）外部威胁风险指数。来自系统外部攻击者给系统带来的风险，取决于攻击者的技术水平和系统漏洞的危害程度、曝光范围等要素。攻击者带给系统的风险矩阵K1j为

式中：Sk表示攻击者的技术水平；Sk∈ [0，1]；B1表示攻击者的意愿B1∈ [0，3]；B2表示当前环境给攻击者创造的机会水平，B2∈ [0，4]；B3表示当前社会存在的攻击者规模，B3∈ [0，3]。

系统安全漏洞带给系统的风险矩阵Qi1为

式中：NIDS表示系统的入侵检测系统的鲁棒性，NIDS∈ [0，10]；C1表示漏洞的发现难易程度，C1∈ [0，3]；C2表示漏洞的利用难易程度，C2∈ [0，3]；C3表示漏洞的传播度，C3∈ [0，4]。不难发现，攻击者的水平越高，外部威胁的风险指数越大，系统入侵检测系统的鲁棒性越健壮，外部威胁的风险指数越小。故外部威胁风险指数为

由公式 ⑸ 可以得出，外部威胁风险指数R2∈ [0，100]。

（3）业务系统风险指数。对于铁路客票发售与预订系统本身，由于售票高峰时段的业务流量极大，会对系统造成巨大的压力，对系统的稳定运行是一个严峻的考验，由于业务压力所导致的风险指数为R3，R3是一个随着时间t动态变化的函数。通过对以往业务数据的分析，构造业务系统风险指数R3为

由式公式 ⑹ 可以得出，业务系统风险指R3∈ [0，100]。

（4）管理问题风险指数。管理失误、安全意识和技术不足，导致发生安全事件的概率为PM为[7]

式中：M表示所存在的安全隐患；D表示由于安全隐患导致的安全问题；D—表示存在安全隐患但未发生安全问题的状态。管理问题风险指数R4为

式中：Ci表示对应的安全事件对系统的危害程度，由上式可以看出，由于管理等问题导致的安全事件越多，风险指数R4越大。

（5）整体风险指数。系统整体的风险包括来自系统基础环境的风险、外部威胁的风险、业务压力的风险和管理问题的风险，整体的风险指数R[8]为

根据既往经验和数据分析，对该风险评估模型下得出的风险指数进行等级划分，风险等级对照表如表2 所示。

表2 风险等级对照表Tab.2 Risk level comparison table

3 计算结果分析

为了验证风险评估模型的有效性，以某铁路局集团公司的铁路客票发售与预订系统为例，对风险评估模型进行测试和验证。由于威胁对于铁路客票发售与预订系统的影响存在不固定性，风险计算具有一定的模糊性，因而根据专家知识和既有经验对系统各个部分的风险重要程度和风险值进行赋值[9]。

（1）基础环境运行风险指数。此系统网络和硬件、软件、架构设计、机房环境等各个部分的重要程度为A= {7，8，5，6}，各个部分的发生的风险事件所占的百分比赋值为P1= {0.5，0.2，0.1，0.1}，各个部分风险事件对系统造成的严重程度为E1= {3，6，2，6}，此系统的双活架构的健壮性程度Nd= 0.3，故系统基础环境运行的风险指数R1= 7.41。

（2）外部威胁风险指数。根据目前社会发展的情况，确定攻击者的普遍技术水平为Sk= 0.6，攻击者的攻击意愿为2，环境给攻击者创造的机会为2，攻击者的规模为3；该系统入侵检测系统的鲁棒性较强，可以赋值较小，赋值为2，漏洞发现难度为1，漏洞利用难度为2，漏洞传播规模为3，故外部威胁风险指数R2= 18。

（3）业务系统风险指数。铁路客票发售与预订系统采用分时段放票的规则，选取售票高峰时段，即15 点为例，故业务压力所导致的风险指数R3= 55。

（4）管理问题风险指数。针对由于管理失误、安全意识和技术不足，导致发生安全事件的概率进行赋值[7]，得到安全事件概率矩阵Pmi和安全事件影响程度矩阵Ci，管理问题风险指数R4= 34。

（5）整体风险指数。该铁路局集团公司的风险指数R= 114.41，风险指数小于150，安全性良好。

4 结束语

近年来，随着网络安全形势的日益严峻，风险评估技术的应用对于维护信息系统的安全性日益重要。铁路客票发售与预订系统作为我国铁路关键信息基础，对安全性风险控制要求极高。因此，应针对铁路客票发售与预订系统自身特性，结合多种风险评估技术手段，进一步完善改进风险评估模型，深入研究网络技术带来的风险，为铁路客票发售与预订系统提供安全保障。