铁路客票代售点公网安全接入平台专项验收检测内容研究

杨 文，秦 田

（1.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；2.中国铁路西安局集团有限公司 客运部，西安 710054）

在新一代客票系统中，提出了在保障客票系统安全情况下的代售点公网安全接入方案，方案中心阐述了代理点使用专用安全设备连接公网，统一接入到配置有公网和安全接入平台的中国国家铁路集团有限公司（简称：国铁集团）生产中心进行售票。减少了专线费用，方便移动售票。铁路客票代售点（简称：代售点）方便老百姓随处都可购买到火车票，同时也方便铁路局集团有限公司（简称：铁路局）对代售点的统一管理。另外，此平台保障了客票内网免受通过公网的直接/间接渗透攻击和通过公网的拒绝服务攻击，为铁路客票系统提供了网络安全保障，安全接入平台本身也面临内部和外部威胁，同其它铁路重要系统一样，按照国铁集团技术评审相关管理办法要求和等级保护2.0相关标准要求[1-4]，系统在投入运行上线前需进行安全专项验收测试，通过专业检测技术手段，验证该平台各项安全功能是否正常有效。

1 代售点公网安全接入平台概述

代售点公网安全接入平台（简称：安全接入平台）主要是在全国范围内的代售点安装专用的代售点安全接入设备，即互联网接入管控器，从互联网接入采用VPN通信通道，保证了铁路重要售票数据的完整性和保密性要求，安全保障能力达到等级保护第四级的要求[5]。

为实现安全接入平台的整体安全性，防止来自互联网的黑客攻击、拒绝服务等安全威胁。通过部署防火墙、网闸、网关、接入管控器等设备，将安全接入平台划分为客票专网区、安全接入认证区、互联网接入区等多个安全域[6]，具体示意图，如图1所示。

图1 安全接入平台部署示意

（1）互联网接入管控器主要实现互联网边界防护功能，提供可控、可信和安全的网络环境，保证了代售终端节点可信接入及可信安全接入通信功能，可以防止非授权访问，实现了授权访问控制、内容过滤、安全监测、安全审计、与安全接入网关之间身份认证及授权业务通道的建立等业务功能。

（2）安全代理软件主要部署在专用移动终端，实现专用移动终端安全防护，承担节点的签字、用户身份鉴别，通过对原有USBKEY和安全代理进行升级改造实现上述功能。

（3）安全接入网关通过集群方式部署，主要包括边界安全认证、访问控制、可信接入和可信安全接入通信功能，建立了安全接入管控器与铁路局中心间身份认证及授权业务通道，实现业务高可用性和高可靠性。

（4）网闸设备通过集群方式部署，实现外代理区的安全接入访问控制、安全接入代理、网络隔离、保密性、输入完整性校验、内容深度检查、基于白名单的强制访问控制措施功能，可以防范非法接入和非授权外联。

（5）交易接入代理服务器通过负载均衡方式接入，实现了内代理区的访问控制、代理功能，完成标准协议与专有协议的转换，并实现与售票作业信息交互共享。

（6）安全管理中心主要由安全集中配置管理器、安全智能管理与控制平台组成。实现了安全状态监控、安全事件处理、安全策略统一管理、安全部件联动管理等功能。

2 检测内容研究

针对安全接入平台的网络部署结构及系统整体安全功能设计，包含3个部分：（1）跨区域边界安全；（2）服务端安全接入平台安全；（3）代售点客票终端安全。从对新一代客票系统代售点公网安全接入平台安全防护的角度出发，设计了3个测试内容[7-10]。

2.1 跨域边界安全检测内容

2.1.1 强制访问控制

主要是采用检查和测试方法，检查强制访问控制机制实施与系统二维安全模型是否具有一致的安全策略，能够控制进行对跨域文件访问的所有操作；测试跨域访问是否符合强制访问控制策略，根据主体对跨域访问中的文件、目录和设备的访问操作请求，模拟符合业务需求但又不破坏系统安全的访问请求，查看系统是否允许操作进行；反之是否拒绝主体对资源的非授权访问。

2.1.2 身份鉴别

访谈和检查系统是否具有跨域访问身份鉴别机制，提供基于安全管理策略配置的安全身份鉴别机制，控制允许跨边界的机器及用户；测试在允许访问列表中的机器及用户，是否认证通行；相反不允许的则终止非授权请求。

2.1.3 安全审计

检查安全平台是否能够记录跨域访问行为中涉及到的一系列动作，包括用户登录/退出、对文件的打开添加删除、上传下载等操作；检查审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。

2.1.4 可信授权

检查系统可信授权管理内容，验证是否只接受可信授权的管理；检查其安全策略的制定是否满足最小特权原则。

2.1.5 可信接入

检查其它区域边界子系统（相对于保护的安全域来说也相当于其它的安全节点），是否需要满足节点与节点之间的可信接入。

2.1.6 信息过滤

检查系统是否能够根据安全管理策略对信息进行一系列的安全过滤，如文件类型是否符合、关键字过滤等。

2.2 服务端安全接入平台检测内容

服务端安全接入平台主要有客票交易接口服务系统和代售点安全接入平台，代售点安全接入平台由可控防火墙、安全接入网关、安全隔离与信息交换系统、认证审计及安全管理中心。

2.2.1 公网接入接口服务系统

检查客票代售点业务交易是否成功接入代理服务；检查移动代售点专有业务交易格式是否转换为交易集成服务平台协议格式。

2.2.2 可控防火墙

（1）检查防火墙是否设置了访问控制规则和策略，实现网络层数据包过滤；

（2）检查是否根据认证策略联动机制，实现网络第3层（TCP/IP协议的网络层）的强制访问控制；

（3）检查是否阻止SYN洪水攻击（SYN Flood）、UDP洪水攻击（UDP Flood）、Ping洪水攻击（Ping Flood）、局域网拒绝服务攻击（Land DOS）等的拒绝服务攻击（DOS攻击）；

（4）检查是否阻止业务服务端口直接暴露在互联网上，业务端口是否对非授权用户不开放；

（5）检查针对不同互联网运营商链路的自动添加寻址标记，防火墙后的业务服务是否在进行交易响应时自动区分运营商链路，确保在多链路状态下，交易高效性，加快网络效率，实现链路负载均衡功能；

（6）检查是否实现了与客票安全管理控制平台（简称：SOC）进行联动、实现安全管理控制平台服务接口（YD-SOMN）专用安全控制协议支持。

2.2.3 安全接入网关

（1）检查是否实现移动代售点虚拟专用网络（简称：VPN）通道建立的强制访问控制功能；

（2）检查是否实现移动代售点VPN接入服务功能，保障客票业务交易的机密性、完整性，并测试验证；

（3）检查是否实现传输层的客票交易业务鉴别验签功能；

（4）检查是否实现对客户接入端的路由自动添加功能，实现本地交易数据的路由功能；

（5）检查是否实现对业务交易数据的自动压缩功能，最大程度减少通信交易量，提高业务交易的效率和可用性；

（6）检查是否实现与客票SOC进行联动、实现YD-SOMN专用安全控制协议支持。

2.2.4 安全隔离与信息交换系统

（1）检查是否实现协议剥离和协议转换，针对TCP/IP协议自身的缺陷性，自网络的TCP/IP协议数据报文，解析出应用层数据内容；

（2）检查是否实现协议转换，采用非TCP/IP的协议格式，对协议数据进行封装，然后传输到对端；

（3）检查是否实现了基于业务的安全标记鉴别；

（4）检查是否实现基于内容过滤及根据强制访问控制策略进行强制访问控制；

（5）检查是否使用Linux虚拟服务器（LVS，Linux Virtual Server）进行负载均衡，确保业务的高效性和可靠性；

（6）检查实现与客票SOC进行联动、实现YD-SOMN专用安全控制协议支持。

2.2.5 认证审计及安全管理中心

（1）检查是否对互联网接入管控器进行设备的认证；

（2）检查是否对客票代售点进行用户认证和客票终端设备认证；

（3）检查是否实现了对互联接入管控器设备的增、删、查、改的管理功能；

（4）检查是否实现设备认证及人员认证与防火墙系统进行联动、进行网络层动态访问控制；

（5）检查是否实现了通过客票安全系统中心证书认证系统（CA，Certificate Authority）和密钥管理系统（KMC）及铁路局的证书注册（RA）系统和轻量目录访问（LDAP）系统，结合外网管理中心，对于代表客票终端、互联网接入管控器设备和用户，都发放证书，并进行证书的颁发、撤销等的管理工作；

（6）检查是否实现了对联网终端、互联网接入管控器、用户的状态进行管理；

（7）检查是否实现了对防火墙、安全隔离系统、安全接入网关实施相应安全策略配置和管理；

（8）检查是否实现了对防火墙、安全隔离系统、安全接入网关实施配置管理、运行管理等；

（9）检查是否实现安全审计和业务审计，对于所有的交易内容和安全操作等都有完整的记录，并根据安全需求和业务的要求进行相应审计。

2.3 代售点客票终端安全检测内容

代售点客票终端包括安全接入管控器和代售点客票终端系统，安全接入管控器主要是指互联网接入管控器，代售点客票终端系统主要是指客票移动代售点终端售票软件、客票移动代售点终端安全代理和USB Key身份认证卡。

2.3.1 互联网接入管控器

（1）检查客票终端和客票用户的鉴别机制；检查接入强制访问控制功能，是否设置了合理的访问控制策略；

（2）检查是否建立与中心代售点公网安全接入平台安全网关的安全通信信道，并验证数据通信完整性和抗抵赖性保护；

（3）检查各类客票业务数据转发控制、业务数据安全标记鉴别、业务数据的强制访问控制功能是否实现，并验证；

（4）检查对业务交易审计和安全审计的内容及审计记录保护措施；

（5）检查非对称数字用户环路（A D S L，Asymmetric Digital Subscriber Line）、拨号、3G通信等的系统配置管理；

（6）检查管控器本地安全策略及证书配置管理功能，验证是否有效。

2.3.2 客票移动代售点终端售票软件

检查是否影响客票系统全部售票功能；检查是否支持业务认证；检查是否支持数字签名。

2.3.3 客票移动代售点终端安全代理

（1）检查终端桌面安全管理包括哪些功能，是否均实现；

（2）检查终端设备和用户之间是否进行了身份认证；

（3）检查业务数据是否实现安全标记和强制访问控制功能，验证安全标记策略是否有效；

（4）检查业务数据的机密性和完整性保护是否实现，验证；

（5）检查终端是否开启了本机防火墙；

（6）检查本地业务审计及安全审计功能是否开启，记录审计内容；

（7）检查通信信道是否实现安全重用和程序可信执行保护。

2.3.4 USB Key身份认证卡

检查是否每个操作员配置一个用户USB Key身份卡；检查是否每个终端设备配置一个设备USB Key节点卡。

3 结束语

本文针对代售点公网安全接入平台安全功能的安全检测内容开展了研究，重点目标是保障客票系统业务安全，提出3个检测方面，包括跨域边界、服务端安全接入平台、代售点客票终端，共涉9类测评对象，涵盖了身份鉴别、访问控制、可信验证、安全标记、安全审计等要求的检测内容，为后续开展代售点公网安全接入平台的安全专项验收提供了测试依据。本文还有不完善之处，需进一步研究检测流程、检测方法、检测依据等内容，梳理出具体的可实施的安全检测方案，更好地开展现场检测工作。