鐵路貨票系統(tǒng)Winhp3.0安全體系設(shè)計與應(yīng)用

鄭慶華

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

鐵路貨票系統(tǒng)Winhp3.0安全體系設(shè)計與應(yīng)用

鄭慶華

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

本文簡述貨票系統(tǒng)安全保障的重要性，從網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用、運用管理幾個方面橫向分析貨票系統(tǒng)的安全性保障，并結(jié)合哈爾濱鐵路局Winhp3.0系統(tǒng)運行情況，結(jié)合貨票系統(tǒng)實施中具體操作，從鐵路局端到車站端縱向剖析系統(tǒng)運行中安全保障的措施，最大限度地保證系統(tǒng)安全運行。

貨票系統(tǒng)；Winhp3.0 ；Radware ；Weblogic ；安全策略 ；負載均衡

鐵路貨票是鐵路運營的主要票據(jù)之一，隨著鐵路信息化建設(shè)推進，目前，貨票系統(tǒng)已升級為3.0版本，即Winhp3。貨票系統(tǒng)能夠正常運行的關(guān)鍵是安全保障。

貨票系統(tǒng)的安全建設(shè)目標，是依據(jù)國家有關(guān)標準和規(guī)范，建立完整的安全保障體系，有效地保障貨票相關(guān)業(yè)務(wù)的正常開展，保護核算收費依據(jù)和收費結(jié)果數(shù)據(jù)等敏感數(shù)據(jù)信息的安全。貨票系統(tǒng)安全性能達到GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》的第3級。

1 Winhp3.0安全體系設(shè)計

貨票系統(tǒng)主要由網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)、應(yīng)用系統(tǒng)（重要的中間件服務(wù)器及Web應(yīng)用服務(wù)器）及存儲等的高可用性構(gòu)成。網(wǎng)絡(luò)系統(tǒng)核心設(shè)備和關(guān)鍵鏈路采用雙鏈路冗余連接保障網(wǎng)絡(luò)聯(lián)通的高可用性。主機采用集群或負載均衡方式實現(xiàn)高可用性。

1.1 網(wǎng)絡(luò)安全設(shè)計

網(wǎng)絡(luò)安全設(shè)計遵照“鐵道總公司計算機網(wǎng)絡(luò)安全總體方案”，采用符合國家法規(guī)與業(yè)界標準的網(wǎng)絡(luò)訪問控制技術(shù)、用戶身份強認證/授權(quán)技術(shù)、內(nèi)容過濾技術(shù)和日志審計技術(shù)，實現(xiàn)多層次的縱深防御，遏制網(wǎng)絡(luò)病毒和攻擊，提升網(wǎng)絡(luò)的可靠性。

安全保障方案在設(shè)計上，基于鐵路信息系統(tǒng)的縱深防御框架，使用鐵路安全生產(chǎn)網(wǎng)統(tǒng)一傳輸平臺進行數(shù)據(jù)交換，出現(xiàn)異常時啟動專用FTP軟件作為備用傳輸。

通過對網(wǎng)絡(luò)通信的主體、客體進行綜合的認證，確保通信安全可靠，從而實現(xiàn)在保證網(wǎng)絡(luò)相互隔離的基礎(chǔ)上進行適度的、可靠的數(shù)據(jù)交換。

對于系統(tǒng)提交的訪問請求進行身份鑒別，只有合法請求才能訪問相關(guān)信息。

1.2 主機系統(tǒng)安全設(shè)計

（1）用戶身份列表：包括所有可以在該服務(wù)器使用的用戶信息；（2）訪問控制策略：設(shè)定為管理人員的權(quán)限，確保管理人員只能執(zhí)行權(quán)限范圍內(nèi)的行為；（3）審計策略：設(shè)定系統(tǒng)在一定時間段內(nèi)，需要對什么樣的時間進行審計；（4）根據(jù)不同工作角色：賦予不同權(quán)限，這個系統(tǒng)中主要的客體是數(shù)據(jù)報文、數(shù)據(jù)處理結(jié)果和表單處理；（5）數(shù)據(jù)備份與恢復(fù)：為了保障數(shù)據(jù)存儲安全性，采用FC SAN存儲架構(gòu)的存儲系統(tǒng)對數(shù)據(jù)進行存儲；（6）高可用性與可靠性：數(shù)據(jù)庫和存儲采用雙機、雙存儲，SAN結(jié)構(gòu)冗余配置。應(yīng)用服務(wù)器等重點設(shè)備現(xiàn)場保留備件，硬件故障做到快速修改。

2 Winhp3.0應(yīng)用安全設(shè)計

應(yīng)用安全設(shè)計包括應(yīng)用基礎(chǔ)平臺、應(yīng)用訪問控制和安全連接3部分。應(yīng)用訪問控制主要針對部、局級系統(tǒng)的訪問控制，對權(quán)限、角色進行授權(quán)管理。（1）用戶身份鑒別：保證操作系統(tǒng)和數(shù)據(jù)庫中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；并且應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；（2）訪問控制：系統(tǒng)要求嚴格限制非法人員的使用，保證只有經(jīng)過授權(quán)的人員可以訪問應(yīng)用系統(tǒng)；（3）強化口令管理：在每次用戶登錄系統(tǒng)時，采用強化管理的口令進行用戶身份鑒別；（4）業(yè)務(wù)數(shù)據(jù)完整性和保密性保護：對數(shù)據(jù)的存儲、傳輸進行加密，預(yù)防數(shù)據(jù)泄露，對共享的數(shù)據(jù)按照共享格式通過安全渠道進行共享；（5）對用戶輸入的數(shù)據(jù)，系統(tǒng)要進行嚴格的數(shù)據(jù)校驗；（6）系統(tǒng)模擬與仿真：建立仿真系統(tǒng)，可對修改內(nèi)容進行回歸模擬，保證軟件的強壯性、正確性；（7）日志跟蹤。

3 Winhp3.0安全運用管理

3.1 安全管理制度

（1）日常管理制度；（2）物理環(huán)境與設(shè)施管理制度（環(huán)境與安全設(shè)施管理制度，機房及設(shè)備間管理制度）；（3）設(shè)備與介質(zhì)管理制度（信息系統(tǒng)設(shè)備管理制度，介質(zhì)管理制度）；（4）運行與開發(fā)管理制度（運行開發(fā)安全管理制度，辦公人員使用IT設(shè)備管理制度，授權(quán)與訪問控制及口令管理制度，計算機病毒防治管理制度，監(jiān)控與審計管理制度）；（5）應(yīng)急響應(yīng)管理制度。

3.2 安全運維

實行鐵路總公司、鐵路局、貨運站3級管理模式，按照專業(yè)管理、分工負責(zé)的原則，逐級做好貨票系統(tǒng)的建設(shè)、應(yīng)用管理、技術(shù)維護等工作。信息部門指定專人負責(zé)系統(tǒng)運行維護管理。確保應(yīng)用軟件根據(jù)需要按照鐵路總公司的部署進行統(tǒng)一發(fā)布和更新。

3.2.1數(shù)據(jù)資料安全管理

制定完善的數(shù)據(jù)資料保密管理辦法，明確存取權(quán)限、存取方式和審批手續(xù)；不擅自向其他系統(tǒng)提供信息，也不得利用系統(tǒng)的軟件、數(shù)據(jù)等從事其他活動。

3.2.2服務(wù)器安全管理

建立完整的服務(wù)器運行日志、操作記錄及其它與安全有關(guān)的資料，專人負責(zé)保管；定期檢查服務(wù)器運行狀態(tài)，確保其處于正常工作狀態(tài)；建立并嚴格執(zhí)行服務(wù)器安全管理制度，無關(guān)人員未經(jīng)安全責(zé)任人批準嚴禁登錄系統(tǒng)服務(wù)器、安裝與貨票系統(tǒng)無關(guān)的軟件。

3.2.3操作安全管理

采取嚴密的安全措施防止無關(guān)用戶進入系統(tǒng)；服務(wù)器操作系統(tǒng)口令、數(shù)據(jù)庫管理系統(tǒng)的口令必須由專人掌管，并定期更換；各崗位操作權(quán)限要嚴格按崗位職責(zé)設(shè)置，并定期檢查操作員的權(quán)限；及時清除不安全隱患。

3.2.4計算機病毒防范

指定專人負責(zé)計算機病毒防范工作，定期進行病毒檢測，發(fā)現(xiàn)病毒立即處理并報告；系統(tǒng)安裝使用的介質(zhì)在使用前應(yīng)進行病毒例行檢測，禁止運行未經(jīng)病毒檢測的軟件和文件；采用鐵路總公司信息主管部門許可的正版防病毒軟件并及時更新軟件版本。

3.2.5應(yīng)急管理

對系統(tǒng)可能發(fā)生的突發(fā)事件要制定應(yīng)急處理預(yù)案；對執(zhí)行應(yīng)急預(yù)案的全體人員應(yīng)進行專項培訓(xùn)，定期進行檢查、測試和演練；根據(jù)測試和演練結(jié)果，不斷完善應(yīng)急預(yù)案。

4 哈爾濱鐵路局Winhp3.0安全保障實踐

哈爾濱鐵路局（簡稱：哈局）維護組在貨票系統(tǒng)實施中增加運行環(huán)境監(jiān)控職責(zé)，貨票系統(tǒng)應(yīng)用服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)和信息安全等納入鐵路統(tǒng)一的監(jiān)控管理體系，由各級生產(chǎn)運維單位負責(zé)系統(tǒng)環(huán)境的運維。

作為哈局維護組認真做好貨票系統(tǒng)運營工作，結(jié)合哈局實際運行情況，對貨票系統(tǒng)日常安全保障從路局端到車站端細化安全維護任務(wù)。

4.1 哈局端維護

哈局端Winhp3.0系統(tǒng)構(gòu)架主要分為3個部分：負載均衡，應(yīng)用服務(wù)器，Weblogic中間件。

4.1.1負載均衡

負載均衡主要是將貨票客戶端的業(yè)務(wù)數(shù)據(jù)鏈接分配到相對應(yīng)的應(yīng)用服務(wù)器上。負載均衡采用2臺Radware雙機熱備。當(dāng)其中1臺出現(xiàn)故障時不會影響系統(tǒng)運行，會自動切換到另1臺正常的Radware上。當(dāng)2臺同時出現(xiàn)故障時，可以將備份的負載均衡配置文件載入到其他系統(tǒng)Radware負載均衡上。

4.1.2應(yīng)用服務(wù)器

應(yīng)用服務(wù)器采用Weblogic中間件提供相應(yīng)的應(yīng)用服務(wù)，當(dāng)某臺應(yīng)用服務(wù)器出現(xiàn)故障時，可在短時間內(nèi)實現(xiàn)重新部署上線。

4.1.2.1負載均衡關(guān)閉及啟動流程

Winhp3.0系統(tǒng)各應(yīng)用部署時，為防止車站在升級期間登錄程序進行制票，首先應(yīng)將負載均衡從網(wǎng)絡(luò)上斷開，部署完成后在將負載均衡連接到網(wǎng)絡(luò)上。

4.1.2.2系統(tǒng)應(yīng)用部署方法

所有部署前必須申請停機維護天窗，將負載均衡網(wǎng)線拔出。順序為先拔備，后拔主。接著將對應(yīng)的服務(wù)停止，并做好備份工作。查看服務(wù)狀態(tài)是否為活動，健康狀態(tài)是否顯示OK。部署完成后，將負載均衡網(wǎng)線插回，順序為先主后備。

TRANSPORT：登錄時的參數(shù)傳輸，各類數(shù)據(jù)庫字典更新都需要修改重啟TRANSPORT服務(wù)更新前要查看更新包內(nèi)是否有數(shù)據(jù)庫配置文件。如果有要將數(shù)據(jù)庫文件刪除后再覆蓋。修改數(shù)據(jù)庫配置文件后需要刪除重新部署。

JCSJ：基礎(chǔ)數(shù)據(jù)網(wǎng)頁發(fā)布程序。

HPTAX：增值稅數(shù)據(jù)傳輸服務(wù)。

HPPIZ：聯(lián)機制票服務(wù)器（暫未上線）。

HPEPAY：電子支付服務(wù)器。

HPAPP：貨票應(yīng)用服務(wù)器。

后臺數(shù)據(jù)庫建立在機房的大存儲中，是雙機熱備，其中一臺出現(xiàn)故障不影響使用。

4.1.3 Weblogic中間件

應(yīng)用服務(wù)器采用Weblogic中間件提供相應(yīng)的應(yīng)用服務(wù)，當(dāng)某臺應(yīng)用服務(wù)器出現(xiàn)故障時，可在短時間內(nèi)實現(xiàn)重新部署上線。Weblogic集群部署分布在10.16.6. *49、10.16.6. *50和10.16.6. *66這3臺機器上。負載均衡健康檢查：在Health Monitoring中的Check Table中查看所有server的狀態(tài) 。

4.2 車站端維護

4.2.1終端授權(quán)管理功能

對鐵路營業(yè)廳制票機、信息采集點、信息應(yīng)用點、監(jiān)控終端等進行序列號、制票卡、訪問地址等進行登記和授權(quán)。

4.2.1.1序列號管理

制票軟件序列號生成、登記、發(fā)放、銷毀，只有有效的序列號才能聯(lián)入貨票系統(tǒng)進行貨票、雜費票據(jù)填制，以及采集上報信息。

4.2.1.2制票卡管理

制票卡申領(lǐng)、發(fā)放、維護、報廢登記等生命周期管理，每臺制票機、信息采集機配置一塊制票卡，配合軟件序列號進行生產(chǎn)授權(quán)。

4.2.1.3地址管理

對鐵路總公司貨票系統(tǒng)數(shù)據(jù)服務(wù)相聯(lián)的下級服務(wù)器的IP、應(yīng)用用戶Web訪問的IP地址進行登記，根據(jù)用途進行不同的授權(quán)。

4.2.2各種問題流程閉環(huán)

對故障進行分類：軟件問題、使用系統(tǒng)問題、更新升級問題、硬件問題、貨規(guī)與貨票不符問題、打印故障、傳輸故障、增值稅問題。對不同類有不同處理流程，對應(yīng)不同的處理方法，并核實是否解決問題，確保制票過程暢通。

5 結(jié)束語

以上針對Winhp3.0從上層安全性設(shè)計部署，安全保障的體系建立，到鐵路局層具體應(yīng)用的實施。安全保障措施的應(yīng)用具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；對安全事件進行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，能夠較快恢復(fù)正常運行狀態(tài)的能力；對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。最大限度保證貨票系統(tǒng)安全正常的運行，保證貨運運輸不在貨票的環(huán)節(jié)正常、準確運營。

[1] 朱 彤.淺論貨票信息管理系統(tǒng)的優(yōu)勢[J]. 管理研究，2009（7）.

[2] 鐵路信息技術(shù)中心貨票維護組.貨票系統(tǒng)升級初步方案[Z].北京：鐵路信息技術(shù)中心貨票維護組, 2013.

[3] 哈爾濱鐵路局信息所貨票維護組 .哈局貨票系統(tǒng)應(yīng)急預(yù)案及操作手冊[S]. 哈爾濱：哈爾濱鐵路局信息所貨票維護組，2014.

責(zé)任編輯 徐侃春

Security system of Winhp3.0 Freight Invoice System

ZHANG Qinghua
( Institute of Information Technology, Haerbin Railway Administration, Haerbin 150006, China )

This article brief l y described the security importance of the Freight Invoice System, analyzed the security guarantee of the System from the network, the host system, the application management. Combined with the running conditions of Winhp3.0 System in Haerbin Railway Administration and concrete operation in the Freight Invoice System, from the railway administration to the station, the article analyzed the security measures of the System to ensure the safe operation in detail.

Freight Invoice System; Winhp3.0; Radware; Weblogic; security policy; load balancing

U294.1∶TP39

A

1005-8451（2015）12-0035-04

2015-04-22

鄭慶華，工程師。