互聯(lián)網(wǎng)環(huán)境下鐵路信息安全等級(jí)保護(hù)設(shè)計(jì)方案研究

姚洪磊，史 宏

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

互聯(lián)網(wǎng)環(huán)境下鐵路信息安全等級(jí)保護(hù)設(shè)計(jì)方案研究

姚洪磊，史 宏

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

信息安全是鐵路信息系統(tǒng)建設(shè)的一個(gè)重要問(wèn)題，目前我國(guó)鐵路缺少統(tǒng)一、標(biāo)準(zhǔn)化的信息安全等級(jí)保護(hù)解決方案，伴隨互聯(lián)網(wǎng)發(fā)展，鐵路出現(xiàn)一批面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)，該類信息系統(tǒng)的上線應(yīng)用，生產(chǎn)系統(tǒng)不可避免與外網(wǎng)互聯(lián)，信息安全受到威脅日益加大。本文提出了互聯(lián)網(wǎng)接入管理中心支持下的安全計(jì)算環(huán)境子系統(tǒng)、安全區(qū)域邊界子系統(tǒng)、安全通信網(wǎng)絡(luò)子系統(tǒng)保護(hù)三重防護(hù)技術(shù)體系結(jié)構(gòu)，形成縱深防御體系?；谠擉w系并結(jié)合互聯(lián)網(wǎng)信息系統(tǒng)的特點(diǎn)，對(duì)安全方案設(shè)計(jì)開(kāi)展了研究，可為相關(guān)部門采取相應(yīng)的防護(hù)技術(shù)和管理措施提供理論依據(jù)和參考。

互聯(lián)網(wǎng)信息系統(tǒng)；信息安全等級(jí)保護(hù)；設(shè)計(jì)方案

經(jīng)過(guò)幾十年的發(fā)展，鐵路信息系統(tǒng)現(xiàn)已成為涵蓋各專業(yè)不同業(yè)務(wù)的龐大信息系統(tǒng)體系，該體系中除運(yùn)行于鐵路內(nèi)部網(wǎng)絡(luò)的信息系統(tǒng)外，部分信息系統(tǒng)由于業(yè)務(wù)需要，需面向互聯(lián)網(wǎng)提供服務(wù)，如鐵路互聯(lián)網(wǎng)售票系統(tǒng)[1]、鐵路電子商務(wù)系統(tǒng)[2]、大客戶服務(wù)系統(tǒng)[3]等，由于實(shí)現(xiàn)與外網(wǎng)的互聯(lián)，信息系統(tǒng)存在各種類型的安全隱患和潛在的危險(xiǎn)，黑客及懷有惡意的人員將可能利用這些安全隱患對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊，造成嚴(yán)重后果。

自我國(guó)開(kāi)展信息安全等級(jí)保護(hù)工作以來(lái)，相關(guān)學(xué)者已經(jīng)對(duì)各類信息系統(tǒng)信息安全等級(jí)保護(hù)體系的設(shè)計(jì)開(kāi)展了大量的研究[4~7]。針對(duì)鐵路行業(yè)特點(diǎn)，本文提出互聯(lián)網(wǎng)接入管理中心支持下的安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)子系統(tǒng)為主要防護(hù)手段的三重防護(hù)技術(shù)體系結(jié)構(gòu)，形成縱深防御體系，同時(shí)基于該體系并結(jié)合面向互聯(lián)網(wǎng)提供服務(wù)信息系統(tǒng)的特點(diǎn)，對(duì)安全設(shè)計(jì)方案開(kāi)展了研究。

1 安全風(fēng)險(xiǎn)分析

1.1 非法訪問(wèn)

互聯(lián)網(wǎng)用戶或其他網(wǎng)絡(luò)區(qū)域用戶試圖訪問(wèn)鐵路總公司或各鐵路局客服中心網(wǎng)站所開(kāi)放服務(wù)之外的信息和服務(wù)，導(dǎo)致網(wǎng)站面臨非法內(nèi)聯(lián)和外聯(lián)的安全威脅，特別面臨著惡意攻擊導(dǎo)致系統(tǒng)癱瘓的安全風(fēng)險(xiǎn)。

1.2 外部非法入侵和攻擊

鐵路部分應(yīng)用系統(tǒng)外部終端可以通過(guò)ADSL撥號(hào)、無(wú)線網(wǎng)實(shí)現(xiàn)訪問(wèn)。但隨著接入點(diǎn)的不斷增多，系統(tǒng)極易遭受來(lái)自外部和內(nèi)部的非法入侵和攻擊。

1.3 計(jì)算機(jī)病毒、蠕蟲(chóng)及惡意代碼的攻擊

鐵路通信網(wǎng)未與互聯(lián)網(wǎng)連接前，所面臨的惡意代碼攻擊主要來(lái)自光盤、軟盤、移動(dòng)存儲(chǔ)終端等外部介質(zhì)的惡意代碼，與互聯(lián)網(wǎng)連接后，通過(guò)E-mail、文件下載、網(wǎng)頁(yè)瀏覽等方式，計(jì)算機(jī)病毒可以直接經(jīng)外網(wǎng)、無(wú)線網(wǎng)入侵鐵路內(nèi)部信息系統(tǒng)。

1.4 高峰期巨大訪問(wèn)量的安全風(fēng)險(xiǎn)

鐵路部分信息系統(tǒng)如鐵路客戶服務(wù)中心等面向大量用戶的服務(wù)網(wǎng)站，均面臨高峰期巨大訪問(wèn)量，造成系統(tǒng)滿負(fù)荷而拒絕響應(yīng)和網(wǎng)絡(luò)癱瘓，軟件可靠性問(wèn)題導(dǎo)致的系統(tǒng)癱瘓等安全問(wèn)題。

圖1 安全系統(tǒng)總體框架

2 安全需求分析

（1）鐵路客戶服務(wù)中心、鐵路電子支付平臺(tái)等與互聯(lián)網(wǎng)直接連接的服務(wù)網(wǎng)站，需要強(qiáng)化身份鑒別、自主和強(qiáng)制訪問(wèn)控制，防止非法內(nèi)聯(lián)和非法外聯(lián)，特別需要防范惡意攻擊導(dǎo)致系統(tǒng)癱瘓的安全風(fēng)險(xiǎn)。

（2）當(dāng)鐵路內(nèi)部網(wǎng)與外部網(wǎng)進(jìn)行信息交換時(shí)，需要在系統(tǒng)邊界處實(shí)現(xiàn)系統(tǒng)間有效地隔離并嚴(yán)格控制信息的出入。

（3）針對(duì)需要通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)交易的交易平臺(tái)，需要強(qiáng)化內(nèi)部安全和交易的真實(shí)性，需要防范內(nèi)部使用人員有意或無(wú)意非法授權(quán)訪問(wèn)和越權(quán)操作，防止用戶對(duì)交易行為的否認(rèn)，造成交易的真實(shí)性無(wú)法確認(rèn)。

（4）針對(duì)基于互聯(lián)網(wǎng)面向社會(huì)的客戶服務(wù)類網(wǎng)站，需要強(qiáng)化主機(jī)系統(tǒng)的可用性，在采用總公司、地區(qū)中心設(shè)置數(shù)據(jù)庫(kù)服務(wù)器，車站不設(shè)置數(shù)據(jù)庫(kù)服務(wù)器后，特別需要防范高峰期增加的巨大訪問(wèn)量引起的系統(tǒng)超負(fù)荷運(yùn)行，該問(wèn)題導(dǎo)致系統(tǒng)拒絕響應(yīng)和網(wǎng)絡(luò)癱瘓。

3 設(shè)計(jì)方案

3.1 總體技術(shù)框架

以一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)分為鐵路總公司、地區(qū)和車站三層結(jié)構(gòu)并面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)為例，其邏輯結(jié)構(gòu)可以分為鐵路總公司級(jí)安全域、地區(qū)級(jí)安全域和車站級(jí)安全域，3個(gè)級(jí)別的安全域安全目標(biāo)一致，其安全保護(hù)的重點(diǎn)和強(qiáng)度有所不同。地區(qū)中心為例的安全系統(tǒng)技術(shù)框架如圖1所示。

3.2 安全管理中心

安全管理平臺(tái)實(shí)現(xiàn)對(duì)鐵路信息安全系統(tǒng)進(jìn)行統(tǒng)一、集中的監(jiān)管，保障系統(tǒng)運(yùn)行安全，監(jiān)控和保護(hù)信息處理過(guò)程的安全。安全管理平臺(tái)對(duì)分布在網(wǎng)絡(luò)環(huán)境的各種安全機(jī)制和服務(wù)進(jìn)行集中管理與控制，是安全策略部署和控制中心，其部署的安全策略是各安全部件和各安全保障層面的紐帶，安全管理中心組成結(jié)構(gòu)圖如圖2所示。

3.3 安全計(jì)算環(huán)境

3.3.1 用戶身份鑒別增強(qiáng)

針對(duì)一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的Web系統(tǒng)，所有互聯(lián)網(wǎng)客戶均可以訪問(wèn)，客戶服務(wù)中心外網(wǎng)的用戶主要包括互聯(lián)網(wǎng)客戶及相關(guān)管理員。對(duì)這兩種用戶在應(yīng)采用不同的認(rèn)證機(jī)制，身份鑒別均可通過(guò)既有鐵路PKI/CA認(rèn)證中心實(shí)現(xiàn)，系統(tǒng)管理員認(rèn)證需提供專有認(rèn)證插件。

圖2 安全管理中心組成結(jié)構(gòu)圖

3.3.2 訪問(wèn)控制增強(qiáng)

基于互聯(lián)網(wǎng)的服務(wù)客戶服務(wù)網(wǎng)站（以下簡(jiǎn)稱服務(wù)網(wǎng)站）應(yīng)與安全管理中心緊密配合，實(shí)現(xiàn)統(tǒng)一的安全訪問(wèn)控制策略。安全管理中心為服務(wù)網(wǎng)站提供統(tǒng)一的認(rèn)證、授權(quán)、安全目錄、用戶管理等服務(wù)，并與安全代理系統(tǒng)緊密整合，為網(wǎng)站的內(nèi)、外網(wǎng)信息交換提供代理證書(shū)認(rèn)證、權(quán)限檢查、代理安全訪問(wèn)等服務(wù)。

3.3.3 應(yīng)用層安全審計(jì)增強(qiáng)

基于互聯(lián)網(wǎng)信息系統(tǒng)應(yīng)用層的審計(jì)主要是服務(wù)網(wǎng)站外網(wǎng)及內(nèi)網(wǎng)應(yīng)用，對(duì)應(yīng)用層的審計(jì)主要通過(guò)審計(jì)接口實(shí)現(xiàn)，應(yīng)用層的審計(jì)機(jī)制如圖3所示。

圖3 應(yīng)用層安全審計(jì)機(jī)制圖

3.3.4 Web應(yīng)用安全掃描

由于面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)是一個(gè)Web應(yīng)用，將通過(guò)Web應(yīng)用安全掃描技術(shù)實(shí)現(xiàn)Web應(yīng)用的可信執(zhí)行。Web 應(yīng)用安全掃描系統(tǒng)通過(guò)黑盒和白盒掃描相結(jié)合的方法。

3.3.5 主機(jī)綜合入侵防護(hù)

在核心服務(wù)器上部署主機(jī)綜合防護(hù)系統(tǒng)，提供數(shù)據(jù)庫(kù)服務(wù)的可信執(zhí)行保護(hù)。采用多種檢測(cè)防護(hù)手段，如入侵防范與阻斷、基于控制臺(tái)的網(wǎng)絡(luò)攻擊防范等。

3.3.6 網(wǎng)頁(yè)防篡改及防盜鏈

客戶服務(wù)中心外網(wǎng)Web服務(wù)器需要有效的防篡改、防盜鏈機(jī)制，通過(guò)網(wǎng)頁(yè)防篡改、防盜鏈系統(tǒng)實(shí)現(xiàn)。

3.3.7 CDN方式對(duì)高峰期訪問(wèn)分流

針對(duì)面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)，在高峰期可采用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN，Content Distribution Network）方式進(jìn)行訪問(wèn)分流。CDN分流策略可以避開(kāi)互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母?、更穩(wěn)定。

3.4 安全區(qū)域邊界

3.4.1 數(shù)據(jù)隔離和控制操作

（1）確保物理和邏輯邊界接口得到充分保護(hù)，禁止非法外聯(lián)和非法接入，確保合法信息能進(jìn)出邊界和接口。（2）確保在邊界和通過(guò)遠(yuǎn)程VPN訪問(wèn)進(jìn)行數(shù)據(jù)交換的數(shù)據(jù)得到保護(hù)，確保受保護(hù)邊界內(nèi)的系統(tǒng)和網(wǎng)絡(luò)維持可用性。（3）保護(hù)邊界內(nèi)的系統(tǒng)和數(shù)據(jù)，防止外部攻擊或破壞。（4）為通過(guò)邊界發(fā)送和接收信息提供強(qiáng)認(rèn)證訪問(wèn)控制，基于邊界控制策略，有選擇地允許重要信息跨邊界流動(dòng)。

3.4.2 安全加固

外網(wǎng)接入邊界的安全防護(hù)由外網(wǎng)安全互聯(lián)平臺(tái)實(shí)現(xiàn)，由安全接入設(shè)備、安全隔離與信息交換設(shè)備、互聯(lián)網(wǎng)接入安全管理中心組成，實(shí)現(xiàn)保密性檢查和完整性檢查。檢查所有由內(nèi)網(wǎng)流向外網(wǎng)的信息，禁止破壞系統(tǒng)完整性的信息進(jìn)入，該平臺(tái)可邏輯擴(kuò)展，遠(yuǎn)程安全終端可通過(guò)VPN實(shí)現(xiàn)可信接入，安全平臺(tái)體系結(jié)構(gòu)如圖4所示。

3.4.2.1 邊界訪問(wèn)控制

主要由安全接入設(shè)備完成，采用基于PKI身份證書(shū)驗(yàn)證的接入控制，實(shí)現(xiàn)基于端口的網(wǎng)絡(luò)可信接入控制。

圖4 安全互聯(lián)平臺(tái)體系結(jié)構(gòu)圖

（1）身份和標(biāo)識(shí)鑒別：a.對(duì)接入用戶實(shí)現(xiàn)認(rèn)證；b.對(duì)管理員實(shí)現(xiàn)認(rèn)證，c.對(duì)接入服務(wù)器和終端進(jìn)行標(biāo)識(shí)和安全認(rèn)證。（2）對(duì)訪問(wèn)內(nèi)網(wǎng)的用戶設(shè)備進(jìn)行鑒權(quán)。

3.4.2.2 邊界內(nèi)容深度過(guò)濾

主要由安全隔離和信息交換設(shè)備完成，采用強(qiáng)制訪問(wèn)控制和深度過(guò)濾策略，包含采用ISO七層強(qiáng)制訪問(wèn)控制的安全隔離設(shè)備，對(duì)內(nèi)網(wǎng)中標(biāo)記允許傳輸?shù)酵饩W(wǎng)的數(shù)據(jù)進(jìn)行強(qiáng)制訪問(wèn)控制策略過(guò)濾，對(duì)外網(wǎng)傳輸?shù)絻?nèi)網(wǎng)的數(shù)據(jù)進(jìn)行內(nèi)容過(guò)濾和完整性檢查，包含：

（1）通道隔離：外網(wǎng)與內(nèi)網(wǎng)兩個(gè)網(wǎng)絡(luò)之間的鏈路層連接，通信層連接、網(wǎng)絡(luò)層連接和應(yīng)用層連接的安全隔離。（2）協(xié)議凈化：以TCP/IP剝離技術(shù)來(lái)完成數(shù)據(jù)的交換，并根據(jù)有外網(wǎng)信息系統(tǒng)業(yè)務(wù)的特定協(xié)議實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制。（3）數(shù)據(jù)內(nèi)容：數(shù)據(jù)采用加密，簽字等安全機(jī)制進(jìn)行安全通信。

3.4.2.3 外部邊界強(qiáng)制訪問(wèn)控制

（1）外部交易服務(wù)器與外網(wǎng)安全互聯(lián)平臺(tái)進(jìn)行安全認(rèn)證，通過(guò)后，才允許下一步操作；（2）所有訪問(wèn)的交易數(shù)據(jù)通過(guò)節(jié)點(diǎn)認(rèn)證設(shè)備的簽字，并加上安全標(biāo)簽；（3）安全互聯(lián)平臺(tái)收到交易數(shù)據(jù)，進(jìn)行驗(yàn)簽，不通過(guò)則阻斷；（4）安全互聯(lián)平臺(tái)進(jìn)行安全檢查，解析交易數(shù)據(jù)的標(biāo)記信息，安全隔離與信息交換設(shè)備，驗(yàn)證通過(guò)，則允許通過(guò)，否則，阻斷該交易。

3.4.2.4 邊界安全審計(jì)和完整性保護(hù)

由安全接入設(shè)備，安全隔離與信息交換設(shè)備、安全審計(jì)部件等在安全管理中心管控下共同完成。

（1）對(duì)內(nèi)網(wǎng)傳出的信息進(jìn)行保密性檢查、并對(duì)訪問(wèn)內(nèi)網(wǎng)的用戶進(jìn)行完整性檢查；（2）對(duì)互聯(lián)網(wǎng)傳入的信息進(jìn)行完整性檢查，建立外部接入系統(tǒng)的白名單機(jī)制，可以實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）；（3）安全審計(jì)組件，通過(guò)采集網(wǎng)絡(luò)設(shè)施的性能、故障、運(yùn)行狀態(tài)信息、業(yè)務(wù)應(yīng)用的運(yùn)行狀態(tài)信息（如日志、運(yùn)行事件等）和安全狀態(tài)信息，并執(zhí)行關(guān)聯(lián)分析，事件分析和綜合分析，發(fā)現(xiàn)異常的行為，包含未授權(quán)的身份、登錄密碼的多次錯(cuò)誤和隱蔽信道等。

3.5 安全通信網(wǎng)絡(luò)

通信網(wǎng)絡(luò)安全主要包括鐵路總公司中心到鐵路局中心、鐵路局中心到車站不同區(qū)域之間的通信路徑的安全可靠。不同的安全域之間部署安全通信網(wǎng)絡(luò)系統(tǒng)并實(shí)現(xiàn)安全通道的相應(yīng)功能；區(qū)域系統(tǒng)內(nèi)部不同系統(tǒng)之間部署強(qiáng)隔離系統(tǒng)，保障數(shù)據(jù)的完整性、機(jī)密性。針對(duì)與互聯(lián)網(wǎng)連接的信息系統(tǒng)，通信網(wǎng)絡(luò)安全包含互聯(lián)網(wǎng)安全互聯(lián)和內(nèi)網(wǎng)安全互聯(lián)，其中與互聯(lián)網(wǎng)的安全互聯(lián)是本節(jié)著重討論的內(nèi)容。

3.5.1 互聯(lián)網(wǎng)安全互聯(lián)

互聯(lián)網(wǎng)安全互聯(lián)是以各系統(tǒng)自身安全防護(hù)為基礎(chǔ)，輔以相關(guān)網(wǎng)絡(luò)安全互聯(lián)機(jī)制，包含VPN、安全通信等，為不同安全等級(jí)系統(tǒng)之間的數(shù)據(jù)傳輸與交換提供安全保障，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性、抗抵賴性和可追溯性?；ヂ?lián)網(wǎng)安全互聯(lián)邏輯結(jié)構(gòu)圖如圖5所示。

3.5.1.1 安全接入

通過(guò)接入設(shè)備的安全互聯(lián)部件實(shí)現(xiàn)，基于IP等級(jí)標(biāo)記信息實(shí)施網(wǎng)絡(luò)訪問(wèn)控制，IP等級(jí)標(biāo)記包含指明等級(jí)級(jí)別的ID、發(fā)起連接主體標(biāo)記等相關(guān)信息。

互聯(lián)網(wǎng)接入：解析外部連接IP等級(jí)標(biāo)記信息并分析主體信息，與外部邊界的安全管理中心聯(lián)動(dòng)確定能否接入。如可接入，需要分配接入主體訪問(wèn)內(nèi)網(wǎng)的權(quán)限和訪問(wèn)控制規(guī)則。

安全互聯(lián)/外部安全管理：包含接入、接出通信網(wǎng)絡(luò)訪問(wèn)控制策略，基于等級(jí)標(biāo)記的安全互聯(lián)協(xié)議配置，安全管理員的認(rèn)證等。

3.5.1.2 安全接出

通過(guò)安全隔離設(shè)備，解析內(nèi)部連接IP等級(jí)標(biāo)記信息并分析主體信息，與安全管理中心聯(lián)動(dòng)確定能否接出。

圖5 互聯(lián)網(wǎng)安全互聯(lián)邏輯結(jié)構(gòu)

3.5.1.3 安全互聯(lián)通信與安全互聯(lián)協(xié)議

符合安全等級(jí)要求，避免不同等級(jí)信息系統(tǒng)間信息交互時(shí)高敏感度信息流向低敏感度實(shí)體、低完整性保護(hù)系統(tǒng)中的主體操作高完整性保護(hù)系統(tǒng)中的客體，實(shí)現(xiàn)安全互聯(lián)。

3.5.2 外網(wǎng)終端接入

3.5.2.1 遠(yuǎn)程訪問(wèn)虛擬網(wǎng)

Access VPN 適用于鐵路內(nèi)部出差人員遠(yuǎn)程移動(dòng)辦公的情況。鐵路管理層利用Access VPN 可以隨時(shí)隨地接入內(nèi)部資源，訪問(wèn)業(yè)務(wù)系統(tǒng)，了解生產(chǎn)運(yùn)營(yíng)信息，進(jìn)行審批和指揮調(diào)度；技術(shù)人員可以遠(yuǎn)程移動(dòng)辦理業(yè)務(wù)和處理工作流，進(jìn)行遠(yuǎn)程維護(hù)；列車中的乘務(wù)人員可以與地面進(jìn)行無(wú)線信息交互，應(yīng)對(duì)突發(fā)事件，查詢客運(yùn)信息，維護(hù)乘車秩序。

3.5.2.2 企業(yè)內(nèi)部虛擬網(wǎng)

Intranet VPN 利用Internet 線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN 特性保證信息在Intranet VPN 上安全傳輸。鐵路行業(yè)機(jī)構(gòu)龐大，辦公環(huán)境復(fù)雜，有些辦公地點(diǎn)不適合鋪設(shè)永久性的電纜，在這種情況，Intranet VPN 可以作為一種建設(shè)成本低并且應(yīng)用安全的組網(wǎng)方案。

3.5.2.3 企業(yè)擴(kuò)展虛擬網(wǎng)

Extranet VPN 通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、合作伙伴連接到鐵路內(nèi)部網(wǎng)。Extranet VPN 結(jié)構(gòu)的主要好處是，能容易地對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問(wèn)VPN 相同的架構(gòu)和協(xié)議進(jìn)行部署。Extranet VPN 可用于在鐵路與大客戶之間通過(guò)特定的加密隧道建立互聯(lián)網(wǎng)絡(luò)，由于無(wú)需特別的專線租用，成本可大幅降低。

4 結(jié)束語(yǔ)

本文結(jié)合信息安全技術(shù)和鐵路信息系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)，在對(duì)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上，提出了互聯(lián)網(wǎng)接入管理中心支持下的三重防護(hù)設(shè)計(jì)方案。其中，安全管理中心統(tǒng)一對(duì)各安全防護(hù)子系統(tǒng)進(jìn)行管理；安全計(jì)算環(huán)境子系統(tǒng)為互聯(lián)網(wǎng)信息系統(tǒng)提供安全運(yùn)行的計(jì)算環(huán)境；安全區(qū)域邊界子系統(tǒng)針對(duì)外網(wǎng)對(duì)信息系統(tǒng)可能造成的威脅、內(nèi)部網(wǎng)絡(luò)間的數(shù)據(jù)交換產(chǎn)生的安全威脅進(jìn)行防護(hù)；安全通信網(wǎng)絡(luò)子系統(tǒng)對(duì)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性進(jìn)行保護(hù)。對(duì)鐵路行業(yè)面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)的建設(shè)和改造提供一定參考。

[1] 王明哲, 張振利,徐 彥，等.鐵路互聯(lián)網(wǎng)售票系統(tǒng)的研究與實(shí)現(xiàn)[J]. 電力信息化, 2012，21（4）：23-25.

[2] 郭大亮, 范清芬. 電子商務(wù)的信息安全技術(shù)與管理研究[J].信息安全與通信保密，2012（4）：70-75.

[3] 郭玉華,陳治亞. 基于客戶生命周期的鐵路大客戶細(xì)分與發(fā)展模型[J].鐵道科學(xué)與工程學(xué)報(bào)，2011，8（2）：86-91.

[4] 沈昌祥.高安全級(jí)信息系統(tǒng)等級(jí)保護(hù)建設(shè)整改技術(shù)框架[J].中國(guó)人民公安大學(xué)學(xué)報(bào)：自然科學(xué)版，2009（1）：1-4.

[5] 姚洪磊,張 彥,祝詠升,等. 鐵路信息安全體系的提出及在互聯(lián)網(wǎng)售票系統(tǒng)中的應(yīng)用[J]. 北京交通大學(xué)學(xué)報(bào)，2012，36（5）：105-111.

[6] 孫祥鵬,廖華春.水利網(wǎng)絡(luò)與信息安全防護(hù)體系研究[J].甘肅水利水電技術(shù)，2011，47（1）：35- 37.

[7] 王令朝. 創(chuàng)建鐵路信息安全管理及其標(biāo)準(zhǔn)體系的探討[J] .鐵道技術(shù)監(jiān)督, 2010，38（7）：1- 5.

責(zé)任編輯 徐侃春

Proposal of railway information security level protection on Internet

YAO Honglei, SHI Hong
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

Information security was an important issue for the construction of Railway Information System. There was a lack of standardized solutions for information security level protection in railway industry. With the development of Internet, a number of service-oriented information systems on the Internet were developed, manufacturing system was connected with internet inescapability and the security threat was increased. Treble Defense-in-depth System supported by security management center was proposed in the paper which was consisted of safe compute environment, border protection and communication network protection. Combined with the characteristics of Information Systems on Internet, security program was designed in this paper. The proposed program could provide references for relevant departments.

Information System on Internet; information security level protection; design proposal

U29-39

A

1005-8451（2015）02-0033-05

2014-10-08

姚洪磊，助理研究員；史 宏，研究員。