廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系建設的應用研究

楊華嚴凱

（1.華藍設計（集團）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系建設的應用研究

楊華1嚴凱2

（1.華藍設計（集團）有限公司 廣西南寧 530011 2.南寧市交通運輸信息管理中心 廣西南寧 530022）

廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的應用是全國交通一卡通互聯互通的一項重要工作，是保障交通一卡通平臺穩(wěn)定運行的有效手段，對我們國家和百姓的個人隱私都具有十分重要的現實意義。本文從立足于廣西泛北部灣經濟區(qū)交通運輸信息化實踐，結合廣西泛北部灣經濟區(qū)交通運輸信息化現狀，對廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的建設設想進行系統的研究，進一步探索廣西泛北部灣經濟區(qū)交通一卡通互聯互通環(huán)境下的安全體系的應用，以期對開展工作有所裨益。

交通；一卡通；安全體系

引言

飛速發(fā)展的互聯網業(yè)在給社會創(chuàng)造了巨大的效益，給公眾帶來方便。與此同時，互聯網的高度開放性也對社會經濟發(fā)展以及人民的生活帶來了不利的影響，病毒侵襲、網絡欺詐、信息污染、黑客攻擊等問題更是給我們帶來困擾和危害。面對如此嚴峻的互聯網環(huán)境，廣西泛北部灣經濟區(qū)交通一卡通平臺在建設前，必須要做好規(guī)劃，否則，平臺一旦遭到破壞后，業(yè)務應用系統的業(yè)務信息將遭到入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會對社會秩序和公共利益造成嚴重損害，將極大影響應用系統的正常運行，導致業(yè)務能力下降和結論出錯，嚴重侵害的客體將是社會秩序和公共利益。本文從立足于廣西泛北部灣經濟區(qū)交通運輸信息化實踐，結合廣西泛北部灣經濟區(qū)交通運輸信息化現狀，對廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的建設設想進行系統的研究，進一步探索廣西泛北部灣經濟區(qū)交通一卡通互聯互通環(huán)境下的安全體系的應用，以期對開展工作有所裨益。

1 研究背景

2015年5月，交通運輸部辦公廳發(fā)布了《交通運輸部關于促進交通一卡通健康發(fā)展加快實現互聯互通的指導意見》，全面推廣普及交通一卡通，逐步實現跨區(qū)（市）域、跨交通方式互聯互通。2015年12月，廣西壯族自治區(qū)人民政府辦公廳根據發(fā)布了《廣西交通運輸廳全區(qū)交通一卡通工作實施方案》，以廣西北部灣經濟區(qū)四市（南寧、北海、防城港、欽州市）同城化為契機，廣西北部灣經濟區(qū)四市率先建立公交、地鐵、出租車、高速公路ETC及其他客運交通工具的交通一卡通系統，逐步實現全區(qū)交通一卡通互聯互通。由此可見，在廣西泛北部灣經濟區(qū)構建交通一卡通平臺勢在必行。

綜觀國內一卡通平臺的運營管理工作，平臺的信息系統穩(wěn)定安全運行是平臺運維護重中之重。然而，在信息系統等級保護方面，我國的工作起步較晚。1999年9月，國家質量技術監(jiān)督局發(fā)布了第一個國家標準-GB17859-1999計算機信息系統安全保護等級劃分準則[1]，是實行計算機信息系統安全等級保護制度建設的重要基礎。2008年6月，全國信息安全標準化技術委員會發(fā)布了《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）[2]，從信息系統所承載的業(yè)務在國家安全、經濟建設、社會生活中的重要作用和業(yè)務對信息系統的依賴程度兩個方面，規(guī)定了信息系統安全等級保護的定級方法。根據信息系統安全等級保護的定級方法，廣西泛北部灣經濟區(qū)交通一卡通平臺的信息安全等級屬于三級，平臺一旦遭到破壞后，業(yè)務應用系統的業(yè)務信息將遭到入侵、修改、增加、刪除等不明侵害，會對社會秩序和公共利益造成嚴重損害，將極大影響應用系統的正常運行，導致業(yè)務能力下降和結論出錯，嚴重侵害的客體將是社會秩序和公共利益。因此，廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的建設尤為重要。

2 現實意義

此項工作的順利推進，能極大提高廣西泛北部灣經濟區(qū)交通一卡通平臺的安全系數，保障用戶的信息安全和廣西泛北部灣經濟區(qū)交通一卡通互聯互通大平臺的穩(wěn)定運行，同時帶動廣西泛北部灣經濟區(qū)交通運輸產業(yè)的發(fā)展和進步，更為全國交通一卡通互聯互通事業(yè)的發(fā)展打下一個良好的基礎。這一點，對我們國家和百姓的個人隱私都具有十分重要的現實意義。

3 建設思路

廣西泛北部灣經濟區(qū)交通一卡通平臺的信息安全等級屬于三級，需對平臺全網進行合理的安全域劃分，以實效和應用為主導，管理與技術并重，從物理、網絡、主機、應用、數據、管理等方面，保障平臺的安全，形成集防護、檢測、響應、恢復于一體的整體安全保障體系。廣西泛北部灣經濟區(qū)交通一卡通平臺的安全體系總體架構如圖1。

圖1 安全體系總體架構圖

廣西泛北部灣經濟區(qū)交通一卡通平臺的安全體系建設，筆者認為應該從管理和技術兩方面入手，管理措施包括管理體系，管理制度、安全運維和法律保障；技術措施，它是利用計算機網絡產品和技術服務實現的，包括技術規(guī)范、技術方案、技術實施以及物理安全防范等內容。

3.1 安全體系框架設計思路

廣西泛北部灣經濟區(qū)交通一卡通平臺安全保障體系將通過建設平臺安全技術體系、安全管理體系以及應急響應支援體系，形成集防護、檢測、響應、恢復于一體的安全保障體系，從而實現實體安全、網絡系統安全、應用安全（包括信息交換）、安全管理，以滿足平臺全方位的安全需求。安全保障體系，實質上就是一個安全管理的體系，其中包括組織管理、技術管理和操作管理等多個方面[3]。圖2為廣西泛北部灣經濟區(qū)交通一卡通平臺安全保障框架。

圖2 安全保障框架圖

3.1.1 安全技術體系

廣西泛北部灣經濟區(qū)交通一卡通平臺安全技術體系主要包括物理安全、網絡安全、主機安全、應用安全、數據安全和備份恢復五個方面。上述所提及的五個方并不僅以防護為主的靜態(tài)體系，而是涵括防護、檢測、響應、恢復并重的動態(tài)技術體系[4]。

（1）物理安全：具體包括物理位置的確定、物理訪問控制、防盜竊、防雷擊、防破壞、防火、防水、防潮、防靜電、溫濕度控制、電力供應和電磁防護等十個控制點。

（2）網絡安全：具體的控制點包括結構安全、訪問控制、安全審計、邊界檢查、病毒代碼防范、網絡設備防護等七個控制點。

（3）主機安全：涉及的控制點包括身份識別、標記、進入控制、安全審計、剩余信息保護、病毒代碼防范和資源控制等八個控制點。

（4）應用安全：涉及的安全控制點包括身份鑒別、訪問控制、安全審計、抗抵賴、軟件容錯、資源控制、用卡環(huán)境安全等七個控制點。

（5）數據安全及存儲備份：對數據的保護需要物理環(huán)境、網絡、數據庫和操作系統、應用程序等提供支持。保證數據安全和備份恢復主要從數據完整性、數據保密性、備份和恢復等三個控制點考慮。

3.1.2 安全管理體系

廣西泛北部灣經濟區(qū)交通一卡通平臺安全管理體系主要包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理五個方面：

（1）安全管理制度主要包括：管理制度、制定和發(fā)布、評審和修訂三個控制點。

（2）安全管理機構主要包括：崗位設置、人員配備、審批、合作和溝通以及檢查和審核等五個控制點。

（3）人員安全管理：具體包括人員錄用、人員離崗、人員考核、安全培訓和外部人員訪問控制等五個控制點。

（4）系統建設管理：具體包括系統定級、安全功能設計、產品采購與使用、自主軟件開發(fā)及外包軟件開發(fā)、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇等十一個控制點。

（5）系統運維管理：主要包括環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控管理和安全管理中心、網絡安全管理、系統安全管理、病毒代碼防范管理、密碼管理、變更管理、備份管理、安全事件處置、應急預案管理等十三個控制點。

3.1.3 安全防護策略及設備部署

結合目前運行于互聯網信息系統安全現狀，廣西泛北部灣經濟區(qū)交通一卡通平臺安全防護有可能面臨的安全威脅主要包括：

（1）平臺業(yè)務外網承載的系統大部分是基于B/S模式的，網絡入侵者容易利用Web服務器的漏洞，對系統進行控制。

（2）平臺業(yè)務外網承載的應用一般為windows服務器版操作系統，自身也存在較多安全漏洞。同時，應用系統本身也可能存在安全隱患。

在應用安全上綜合建議采用以下安全策略：

（1）在安全區(qū)域邊界設置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區(qū)域邊界的數據信息進行控制，阻止非制授權訪問[5]。

（2）通過開啟系統審計功能及部署硬件級別的審計系統，實現全方位的安全審計。

（3）通過VPN技術實現通信安全。

（4）在程序開發(fā)過程中全面考慮代碼安全，應用系統投入使用后定期進行應用系統的安全掃描，滿足代碼安全要求。

（5）應用系統部署的網絡環(huán)境達到三級等級保護安全，可利用相關設備進行安全防護。

目前，廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的建設尚處在探索、研究階段，課題思路還存在許多不完善方面。此外，將其落實、應用也還存在一定的困難，要實現廣西泛北部灣經濟區(qū)交通一卡通平臺安全體系的建設目標與愿望除了借助“外腦”配合之外，還需要繼續(xù)創(chuàng)新思維，大膽探索，不斷在實踐中總結，在運用中完善。

[1]國家質量技術監(jiān)督局.《計算機信息系統安全保護等級劃分準則》（GB17859-1999）[S].北京：中國標準出版社，1999.

[2]信息安全等級保護評估中心.《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）[S].北京：中國標準出版社，2008.

[3]蘇駿.信息系統安全體系構建研究[D].武漢理工大學，2008.

[4]劉怡，張截.基于Internet的管理信息系統研究[J].計算機應用與軟件，2005（08）.

[5]高朝勤.《息系統等級保護中的多級安全技術研究[D].北京工業(yè)大學，2012.

F512.7

A

1004-7344（2016）18-0154-02

2016-5-10

楊 華（1984-），男，城市規(guī)劃師，本科，從事城市交通規(guī)劃與設計方面研究工作。

嚴 凱（1978-），男，工程師，本科，從事城市交通運輸信息化方面研究工作。