铁路SIM卡管理系统等级保护方案的设计与实现

DOI：10.19850/j.cnki.2096-4706.2021.08.049

摘  要：通过分析当前铁路SIM卡管理系统运用现状，根据现有信息系统安全等级保护二级的要求，研究了影响铁路SIM卡管理系统安全运行的因素。针对铁路SIM卡管理系统的设计架构和应用特点，构建了以安全通信网络、安全区域边界和安全计算环境为核心的三重防护体系，设计完成了一套满足铁路SIM卡管理系统等级保护二级要求的方案，实现对铁路SIM卡管理系统的有效安全防护。

关键词：SIM卡管理;等级保护;网络安全

中图分类号：TP309;U231.7       文献标识码：A 文章编号：2096-4706（2021）08-0172-04

Design and Implementation of Grade Protection Scheme for Railway SIM Card Management System

ZHUANG Hongzhen

（Beijing Guotie Huachen Communication Technology Co.，Ltd.，Beijing  100070，China）

Abstract：Based on the requirements of secondary security protection of existing information system，this paper analyzes the application status of the current railway SIM card management system and studies the factors affecting the safe operation of railway SIM card management system. Aimming at the design architecture and application characteristics of railway SIM card management system，a triple protection system with secure communication network，secure area boundary and secure computing environment as the core is constructed，and a scheme meeting the secondary protection requirements of railway SIM card management system is designed to realize the effective security protection of railway SIM card management system.

Keywords：SIM card management;grade protection;network security

0  引  言

近年來，随着铁路业务对信息化的依赖程度越来越高，其面临的网络安全风险日趋凸显。铁路重要信息系统承载着大量的铁路业务数据、公民个人信息等，是铁路网络安全防护工作的关键所在，一旦遭到破坏并影响正常使用，将对国家安全、经济稳定和公众安全产生一定程度的影响^[1]。SIM卡管理系统作为我国铁路电务专业的常用系统，管理全路SIM卡数据约27万条、车载终端数据5万余条。系统实现全路GSM-R SIM卡数据、终端数据等业务管理，并形成全路GSM-R终端用户数据及SIM卡的统一数据库，由总公司级SIM卡管理系统和铁路局SIM卡管理系统两级构成^[2]。系统采用专线方式组网，为系统设备、用户终端提供数据承载并实现一、二级系统数据同步。

SIM卡管理系统定级为等级保护二级系统，本文的整体设计规划从多个层面进行，构建以安全管理体系为根基、安全技术体系为手段、安全运维体系为保障、安全服务体系为支撑的信息安全体系，为业务工作提供强有力安全能力支撑。

1  铁路SIM卡系统网络安全需求分析

中国铁道科学研究院集团有限公司信息系统与信息安全评测中心根据安全等保二级的要求对SIM卡管理系统进行安全测评，评测中存在的问题主要分类为：

（1）安全管理中心。未建立相应的安全管理策略和安全管理制度。

（2）安全计算环境。SIM卡管理系统的各种硬件设备、操作系统、应用软件和系统本身未采取安全防护措施，不能实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据保护等。

（3）安全区域边界。SIM卡管理系统与其他业务关联系统之间的通信未采取安全措施，不能发挥边界访问控制、边界入侵防范和边界及重要网络节点的审计作用。

（4）安全通信网络。SIM卡管理系统的网络架构未划分不同的网络区域，未部署网络设备来保障通信安全。

目前安全现状中，非法内联、外联的现象频出，进而引发一系列安全事件，如数据泄露、病毒木马感染等，因此应按照相关要求建立一定的管控措施，进行受控端口的管理、配置访问控制策略、非法内外联的监测、控制等。

2  方案设计

2.1  设计思路

SIM卡管理系统的网络安全防护方案的设计参照网络安全相关法律法规以及行业标准要求，目的是保障业务系统安全稳定运行。首先将SIM卡管理系统在逻辑上划分为业务服务区，运维管理区和终端接入区三个部分，划分安全域后即可明晰区域边界，从安全区域边界、安全通信网络、安全计算环境三个层面对网络安全进行设计^[3]。然后通过网络安全管理技术手段统一对接入的网络安全设备进行集中管理，贴合业务系统特性综合采用访问控制、入侵检测等多种安全防护技术和措施，并整合网络安全运维等后端服务，构建完整的网络安全防护体系。

2.2  总体部署

SIM卡管理系统作为等级保护二级系统，本方案构建了安全通信网络、安全区域边界和安全计算环境三重防护体系，实现纵深防御。通过建立网络安全管理中心，对各网络安全设备和模块等进行集中、统一、有效地监控，实现系统安全策略统一实施，确保系统运行状态可控、可管。

本方案设计结合网络、管理、应用等各方面现状情况，整体设计图如图1所示。

参照SIM卡管理系统安全防护设计图中可以将网络安全防护进行梳理。通过交换机的VLAN技术，划分出特定的管理区域，对部署于在网络中的安全设备、安全组件等进行统一管理;建议独立划分一个管理区，通过边界隔离技术，搭建一条安全的信息传输链路，对网络中的安全设备和安全组件等进行统一管理;通过日志审计系统对分散在各个网络安全设备上的日志进行统一汇总和集中分析，确保审计记录的格式和留存时间等符合相关标准要求，对各类安全事件进行识别、报警分析，溯源等。通过网络安全管理模块对业务服务器、网络安全设备、网络传输链路等的运行状态进行监测，并对安全策略、恶意代码、补丁升级等安全相关事项进行统一管理，提升网络安全的运维效率。

2.2.1  安全通信网络

强调网络架构、通信传输等安全内容。主要为关键网络节点：如安全域边界，安全设施资源利用综合安全专用设备、轻代理模式，大大提升网络处理能力和硬件冗余性。

2.2.2  安全区域边界

区域边界的网络安全防护内容主要包括边界访问控制、边界入侵检测、恶意代码防范和安全审计等内容。在边界访问控制部分，主要通过在边界部署综合安全网关设备来实现，确保流经区域边界的数据流量受控;在边界入侵检测方面，通过综合安全网关设备的入侵检测模块功能，可对跨边界的访问行为进行深度检测，识别和阻止网络攻击行为;在恶意代码防范部分，通过综合安全网关的网络防病毒模块的功能，识别和阻断来自外部的恶意代码，防止恶意代码的扩散;在安全审计方面，区域边界的网络安全设备产生的日志要进行留存并统一发送至日志审计系统进行汇总和分析。

2.2.3  安全计算环境

SIM卡管理系统的安全计算环境是网络安全防护系统最重要的防护部分，主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复等安全内容：

（1）身份鉴别：安全运维人员的身份鉴别使用堡垒机进行控制，并应满足双因子鉴别要求，其中一种鉴别使用密码技术。其中，身份鉴别标识应具有唯一性，并满足复杂度要求，另外身份标识应定期进行更换。业务系统应具备登录失败处理机制，如登录次数限制和超时自动退出系统等安全措施。

（2）访问控制：通过综合安全网关对业务访问控制到应用级、数据访问控制到字段级，初步实现访问控制策略规定主体对客体的访问控制规则。访问控制力度优于主体为用户级或进程级，客体为文件、数据库表级的要求。

（3）安全审计：利用日志审计，可对终端和主机的操作用户的重要行为和重要安全事件进行审计。

（4）入侵防范：漏洞扫描，可检查各类终端设备的漏洞信息，提供全防护方法;在内部终端部署内网安全管理，发挥终端资产管理、桌面运维、补丁管理等功能。

（5）恶意代码防范：网络侧综合安全网关提供网络病毒查杀，终端使用防病毒软件提供终端病毒集中查杀。

（6）数据完整性和保密性：使用SIM卡管理系统自身的数据加密确保数据传输过程的完整性和存储的保密性。

（7）数据备份恢复：数据备份功能由“热备”方式提供，包括实时备份和数据处理系统的热冗余与高可用。

3  详细设计

3.1  安全管理区

安全管理区是SIM卡管理系统的“安全大脑”。发挥系统管理、审计管理和集中管控作用。具体表现为：

（1）在边界部署综合安全网关，确保跨越边界的访问和数据流通過边界设备提供受控端口进行通信，发挥防火墙策略梳理、入侵检测、防病毒功能。

（2）利用漏洞扫描系统，基于全网进行扫描，检查全网漏洞和脆弱性情况。

（3）利用日志审计系统，将全网通用型设备、安全设备的所有日志信息进行归并汇总，在满足等级保护二级要求的基础上，需要对日志进行留存和审计。

（4）利用堡垒机，管控和审计运维人员操作，帮助运维用户实现统一认证管理、统一授权管理、统一审计管理、统一账号管理。

3.2  服务器应用区

服务器应用区主要部署了传统服务器设备，包含了应用服务器、数据存储服务器、内网安全管理服务器、病毒查杀服务器等。采取边界隔离措施外，还需在服务器部署病毒查杀系统，将收集服务器的资产信息，对服务器设备的病毒查杀进行集中管控。

3.3  内部终端接入区

内部终端接入区，主要接入内部PC等终端设备，需要对接入的设备做运维管理、合规管理。边界处采取边界隔离措施外，在终端设备上安装内网安全管理系统。一方面可实现精细化终端运维管理，包括终端信息管理、终端操作系统漏洞检测和修复、终端病毒查杀、终端平台环境规范、远程支持和维护等;另一方面从规范终端用户行为出发，可封堵终端违规的漏洞、监控和规范终端用户行为，全面提升终端安全合规管理水平，避免内部泄密和内部攻击破坏安全事件的发生。

3.4  详细功能

SIM卡管理系统的网络安全防护系统的整体功能，是以网络安全管理系统为中心，通过部署于网络中的多个安全设备的不同安全防护模块来实现的，涉及的主要网络安全设备包括综合安全网关、堡垒机、内网安全管理系统、漏洞扫描系统、日志审计系统，服务器杀毒系统等。以下对各个网络安全设备和系统的功能分别进行描述。

3.4.1  综合安全网关

综合安全网关是基于用户的安全、面向应用的安全、高效的转发平台、内容的深度过滤、精确智能联动、防御高级持续性威胁的一体化安全智能网关^[4]。产品架构如图2所示。

该主机基于专用硬件平台，采用自主研发的高安全实时嵌入式VSP操作系统，以及自主研发的USE统一安全引擎。在软件體系上具有模块化结构，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。

3.4.2  堡垒机

堡垒机，也被称为运维安全网关，是管控和审计运维人员操作的网络安全设备。使用堡垒机控制运维人员能运维哪些设备、执行哪些操作命令，避免运维人员非法或无意中执行高危操作，并对运维人员的操作进行实时监控和事后审计。利用堡垒机做运维，不必记录设备的IP地址、用户名、口令等信息，也避免这些敏感信息的泄露，极大地方便了运维工作，提升运维效率。堡垒机可对整个运维过程从事前预防、事中控制和事后审计进行全程参与。

3.4.3  内网安全管理系统

内网安全管理系统主要考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为内部违规行为是网络安全面临的最大威胁，也是网络安全的最大挑战。系统能够有效地分析各内部网络环境下比较具体和重要的网络安全威胁，对各个计算机终端进行有效监控，避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。

3.4.4  漏洞扫描系统

本系统采用了漏洞扫描领域多种最新、最先进的扫描和检测技术，可快速发现网络空间的资产信息，准确识别资产信息属性，全面扫描网络空间资产信息的安全漏洞，清晰定位安全风险，并给出修复建议和防护措施，进而帮助用户在全面评估业务系统弱点的基础上实现安全自主掌控。

3.4.5  日志审计系统

日志审计系统包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计^[5]。日志审计系统能够通过主被动结合的手段，实时不间断地采集网络中各类安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并对收集的日志信息进行集中化存储、备份、查询、审计、告警、响应，出具丰富的报表报告，实现日志全生命周期的管理，使运维人员获悉全网的整体安全运行态势。

3.4.6  服务器杀毒系统

服务器杀毒系统是能够为工作站、服务器等提供跨平台的病毒防护，采用B/S管理模式，由管控中心、升级服务器、私有云检测中心三部分构成中控平台，配合客户端组成全方位的反病毒保障体系。服务器杀毒系统具备集中管控、策略定制和统计报表等基础功能，并支持网络管理员自定义分组的方式管理终端用户，更具情景设定安全策略，有效合理的利用系统资源。

4  SIM卡管理系统网络安全防护方案特点

SIM卡管理系统的网络安全防护方案是在参照相关安全标准的基础上贴合业务系统进行的有针对性的网络安全防护方案。在防火墙开启DDoS功能、Web防火墙开启安全策略后，通过安全日志可发现防火墙均已有效地完成了对各类攻击的识别与防护，对保障铁路SIM卡管理系统的安全稳定运行起到了重要作用。

本方案的主要特点有：

（1）参照等级保护要求和其他相关网络安全法律法规和标准，在网络安全方案设计之初就考虑到广泛的合规要求。

（2）结合等级保护要求，进行符合项目实际安全需求安全体系的设计，通过了解SIM卡管理系统安全风险和安全需求，设计符合等级保护二级的安全防护体系。

（3）方案中的网络安全防护功能采用模块化的设计理念，方便后续需求和功能等的扩展。

5  结  论

本文在满足国内政策法规合规要求、满足等保等监管要求的基础上，充分响应“人防、物防、技防”相结合的安全战略方针，同时在技术设计上，充分结合系统的IT技术架构，确保SIM卡管理系统安全设计符合传输性能、可靠性等要求，目前已在多个铁路局集团的二级SIM卡管理系统上部署实施，对保障铁路SIM卡管理系统的安全稳定运行起到了重要作用。SIM卡管理系统作为铁路通信重要信息化系统之一，在铁路通信网信息化系统中有着很强的代表性，该系统的运用模式以及网络安全防护方案可为其他通信信息化系统提供网络安全防护参考。

参考文献：

[1] 冯凯亮，张德栋，陈勋，等.铁路网络安全等级保护管理系统研究 [J].铁路计算机应用，2020，29（8）：66-70.

[2] 陈丹晖，刘清涛，张卫军.铁路SIM卡管理系统网络安全防护方案研究 [J].铁路通信信号工程技术，2018，15（3）：35-39+50.

[3] 刘晨阳.城市轨道交通信号系统信息安全等级保护建设方案分析 [J].中国新通信，2018，20（13）：168.

[4] 徐可心.构建安全网关的深度包检测引擎的设计与实现 [D].成都：电子科技大学，2010.

[5] 罗宗泰.网络边界日志审计系统分析与设计 [C]//2009电力行业信息化年会.北京：中国电机工程学会，2009：242-245.

作者简介：庄洪振（1986—），男，汉族，山东临沂人，工程师，硕士研究生，研究方向：铁路通信与信息技术。

收稿日期：2021-03-14