基于等级保护2.0的铁路客票系统安全管理中心研究

赵英明， 张德栋 ，陈 勋 ，李聚宝

（1.中国铁道科学研究院 研究生部，北京 100081；2.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

中国铁路客票发售和预订系统（简称：铁路客票系统）自1996年上线应用以来，已从最初独立运行的车站系统，发展成为覆盖全国的大型实时交易系统[1]。

铁路客票系统中网络设备和服务器数量庞大，应用子系统众多，若各应用子系统单独部署安全管控系统，不仅成本高昂，且相互之间缺乏安全管理信息交互和共享，难以有效地监控系统网络的整体运行状况[2]。

为此，依据网络安全等级保护2.0标准（简称：等级保护2.0），研究面向铁路客票系统的安全管理中心设计方案，以实现系统网络安全的集中管控，利于优化系统运维流程，降低管理成本，满足系统网络安全的合规性要求。

1 网络安全等级保护2.0标准

我国网络安全等级保护1.0标准（简称：等级保护1.0）从2007年开始正式实施，至今已有10多年的历史，作为我国各行业开展网络安全建设的重要标准，具有十分重要的指导意义[3]。

受时代与技术的限制，等级保护1.0主要针对网络、物理主机、硬件等方面，而非整个网络；且风险评估、安全测评等相关内容和规范也不够完善；此外，对于近几年发展迅速的新技术，如云计算、大数据等，其针对性也不足，防护措施日显薄弱。

2019年5月，我国正式发布了网络安全等级保护2.0，针对新时期的网络安全新形势、新变化以及新技术、新应用的发展提出更高的要求。

随着等级保护2.0的发布与实施，铁路客票系统的网络安全防护技术也需与时俱进，根据自身业务需求和等级保护2.0的合规性要求进行改进和完善。

2 安全管理中心

等级保护2.0的核心思想是“一个中心、三重防护”，即建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系[4]。

安全管理中心是该标准技术部分的核心，主要包括系统管理、审计管理、安全管理和集中管控4个方面的功能要求[5]。

一个系统往往会部署针对不同防护部位的多种安全措施，如通信网络、区域边界等。安全管理中心提供了对系统网络安全防护手段进行集中管控的平台。通过安全管理中心，安全设备间可以实现数据互通和协同防护，同时满足对系统整体安全态势进行综合分析的需要[6]。建设安全管理中心需要进行安全运营组织架构、流程、指标、报告的设计，以实现主动防御和感知机制。

3 面向铁路客票系统的安全管理中心概要设计

3.1 架构设计

近年来铁路客票系统发展十分迅速，系统日趋庞大，网络规模不断扩张，针对其各应用子系统的安全管理工作需要进一步的发展完善。铁路客票系统是铁路企业核心业务系统，必须保证应用服务的连续性，需要及时有效地监视和管理网络和系统设备运行状态，把握整体的安全态势，及时发现和处理系统故障。

铁路客票系统的业务特点决定了其安全管理中心的设计应考虑到能够实现将分散在各个中心、铁路局集团有限公司（简称：铁路局）的不同位置、不同安全系统中的安全事件信息进行汇总，支持综合分析与决策，实现对客票系统所有设备的集中管控、日志的统一收集与审计分析，以综合全网情况制定安全策略。

面向铁路客票系统的安全管理中心的架构设计如图1所示。

图1 面向铁路客票系统的安全管理中心架构示意

安全管理中心需采集来自于网络设备、安全设备、主机、数据库、中间件等的相关数据信息，通过对大量数据的分析和整合，实现系统整体安全态势的把握。为此，通过镜像流量技术，采集流量数据、系统日志、性能参数等数据，将采集的数据传递并存储至安全管理中心。

由于采集到的数据种类众多、体量庞大，且按照等级保护2.0的要求，安全管理中心应留存6个月的系统日志，需要针对海量数据做好数据库规划。可根据数据内容和用途的不同，将数据库划分为资产库、业务库、日志库、策略库和规则库等，以便于信息分析。

当信息采集完成后，将采集的数据导入信息分析模块，对系统的业务健康性、故障情况、安全状况、性能等方面进行综合分析，形成分析结果并展示，同时将系统状态反映给安全处置模块。

安全处置模块接收系统状态分析结果，依据分析结果采取相应的响应措施，响应措施以视图形式呈现给安全管理中心的管理员。

3.2 功能设计

通过建立铁路客票系统安全管理中心，可以对客票系统的设备与应用进行统一管理，对于安全事件统一分析、处理，同时也可以实现针对系统整体态势的分析和展示。

参考等级保护2.0中的相关要求，面向铁路客票系统的安全管理中心主要有以下5个方面的功能。

（1）信息采集

主要实现铁路客票系统的资产信息、性能参数、系统日志、配置信息、弱点信息、威胁情报信息等安全要素信息的采集。

其中，资产信息通过主动的嗅探扫描来获取，可探测网络上的主机、开放的端口、硬件特征及版本信息等。

配置信息采集可按照设定的周期，主动地采集不同设备的配置信息，确保配置信息均满足安全基线的相关要求。信息采集系统可以通过多种协议方式对核查对象的配置信息进行检查，包括SSH/SSH2、TELNET、JDBC、SMB、核查代理等。

日志与安全事件信息是针对不同厂商的各种设备、以及系统中部署的各种应用所产生的相关日志，通过Syslog、SNMP、SNMP Trap、Shell脚本、VIP、Web Service等协议进行采集并记录[8]。

（2）信息分析

利用采集到铁路客票系统的各类安全要素信息，对系统整体的安全性、系统配置、以及系统的薄弱点和风险点进行全面分析。

信息分析结果以态势感知交互方式呈现，帮助用户从全局把控客票系统安全状态、主要应用子系统的健康态势和攻击态势[9]。

健康态势感知基于各类信息资产和业务系统的性能与可用性信息，计算各应用子系统的相关性能参数以及运行状态，实现对应用子系统的全方位监控，及时发现其安全薄弱点，进行针对性的改进和完善。

攻击态势感知对整个网络被攻击情况进行汇总和分析，实现对整个网络受攻击情况的全面把握；能够从攻击的种类和方法、攻击的手段和结果等多角度呈现攻击态势，帮助用户直观地了解系统遭受攻击的情况，及时进行安全防护。

（3）安全处置

包括安全事件例行处置、例外处置和预警管理[8]。其中，例行处置主要以计划任务工单的形式体现；例外处置主要通过响应管理和告警工单处理的形式体现；预警管理可根据系统的安全状况，设置安全标准，当监控参数超过安全阀值时，立即触发系统告警。

（4）用户呈现视图

系统对用户进行级别和角色的划分，并针对不同级别与不同角色的用户建立对应的用户视图，最大程度地保护系统的内容安全。

（5）系统支撑

主要是对资产、业务、知识和安全信息的管理和存储[9]；可以根据系统维护需求，以报表形式提供相关信息，帮助运维人员全面把握系统网络安全状况，制定有针对性的系统维护方案。

安全管理中心应具有强大的监控能力，能够实时掌握网络链路、设备状态、应用系统运行情况等；利用集中存储的监控信息，进行对比分析、关联分析，动态掌握系统整体安全态势，实现对安全事件的及时预警，做到早发现、早防御，显著提升系统整体安全[10]。

4 结束语

等级保护2.0的颁布和实施对信息系统的网络安全工作提供了规范指导和更高要求。安全管理中心作为该标准体系中技术部分的核心，在构建实际业务系统的网络安全防护体系中起着至关重要作用，解决了不同设备间安全信息无法联动的问题，可显著提升系统网络的整体安全性。

基于铁路客票系统的现状和发展要求，依据等级保护2.0的相关要求，初步提出面向铁路客票系统的安全管理中心的概要设计，为促进铁路客票系统的安全防护技术的发展和完善进行了有益探索。可以预见，安全管理中心的建设将有助于提升铁路客票系统的安全防护水平，保证铁路客票系统长期安全稳定运行。

目前，铁路客票系统已发展为囊括国家铁路集团有限公司和铁科院集团公司双中心及多个铁路局的大型复杂网络信息系统。如何使安全管理中心对铁路客票系统各个不同层级的子系统具有良好的实用性，后续需要深入开展针对性研究。