軌道交通自動售檢票（AFC）系統(tǒng)信息安全分析

蔣堅迪

摘 要：傳統(tǒng)的AFC系統(tǒng)在信息安全領(lǐng)域存在一定的風(fēng)險，包括網(wǎng)絡(luò)層、數(shù)據(jù)庫層、安全策略、病毒防護(hù)、信息安全管理制度等方面都需要進(jìn)行升級和完善，以滿足日益嚴(yán)峻的信息安全風(fēng)險。本文主要對AFC系統(tǒng)中的信息安全風(fēng)險進(jìn)行分析，充分討論信息安全的風(fēng)險可能對AFC系統(tǒng)造成的后果，以此提升信息安全認(rèn)識，完善AFC系統(tǒng)安全性。

關(guān)鍵詞：AFC系統(tǒng);信息安全;風(fēng)險

1 行業(yè)背景

城市軌道交通系統(tǒng)是城市，特別是大型城市非常重要的關(guān)鍵基礎(chǔ)設(shè)施。城市軌道交通系統(tǒng)的運營安全、運行速度、運送能力和運行效率都與軌道交通各系統(tǒng)密切相關(guān)，軌道交通AFC系統(tǒng)的信息安全也逐漸開始受到軌道交通建設(shè)者和相關(guān)管理部門的高度重視。針對軌道交通AFC系統(tǒng)信息安全領(lǐng)域，目前還沒有一個系統(tǒng)性的成熟解決方案，應(yīng)立即考慮切實開展這方面工作，盡早減緩和杜絕信息安全漏洞給AFC系統(tǒng)帶來的隱患，并結(jié)合具體項目研究最佳實踐方案。然而增加信息安全相關(guān)防護(hù)后，勢必對系統(tǒng)的運行效率、可用性、可維護(hù)性產(chǎn)生影響。AFC系統(tǒng)基于計算機(jī)、通信、網(wǎng)絡(luò)、自動控制等技術(shù)，以非接觸式IC卡等為介質(zhì)，高度安全、可靠、保密的方式實現(xiàn)軌道交通售票、檢票、計費、收費、統(tǒng)計、管理功能。

2 設(shè)計目標(biāo)

通過實施“軌道交通AFC系統(tǒng)檢測與防護(hù)設(shè)計”，從信息安全管理、運維和技術(shù)三個方面徹底根除系統(tǒng)連接可能帶來的信息安全隱患，保障軌道交通安全穩(wěn)定運行，防止發(fā)生信息安全事件。

（1）整體防護(hù)。應(yīng)從整體上規(guī)劃實施軌道交通AFC系統(tǒng)信息安全防護(hù)，從管理、技術(shù)、運行所涉及的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全等多角度、多層面防護(hù)，進(jìn)而建立起具有綜合性、縱深性、先進(jìn)性的軌道交通 AFC 系統(tǒng)信息安全保障體系。

（2）區(qū)域隔離。依據(jù)業(yè)務(wù)的重要性、類別、功能等因素對軌道交通 AFC 系統(tǒng)網(wǎng)絡(luò)進(jìn)行劃分，按照“縱向分層，橫向分區(qū)”的原則實施，然后在不同系統(tǒng)、不同層和不同分區(qū)之間采用必要的安全隔離和防護(hù)措施對彼此之間的數(shù)據(jù)流和業(yè)務(wù)操作實施檢測、控制和保護(hù)。

（3）實時監(jiān)控。綜合性的信息安全體系離不開對信息安全狀態(tài)的實時掌控，貫徹“事前預(yù)防、事發(fā)控制、事后改進(jìn)”是系統(tǒng)信息安全保障體系中核心內(nèi)容之一。

（4）主機(jī)管控。對軌道交通 AFC 系統(tǒng)中中心控制部分的重要主機(jī)和終端實施集中的安全配置和監(jiān)控審計，將安全危害從源頭進(jìn)行檢測和遏制。

（5）運維保障。系統(tǒng)信息安全政策、策略、制度、防護(hù)手段的落實依賴管理和技術(shù)措施的有效運轉(zhuǎn)，運行維護(hù)既是銜接管理與技術(shù)的關(guān)鍵活動，又是它們落實的有效支撐。

3 需求分析

3.1 安全技術(shù)需求分析

3.1.1 安全計算環(huán)境需求分析

計算環(huán)境的安全主要是物理、主機(jī)以及應(yīng)用層面的安全風(fēng)險與需求分析，包括：物理機(jī)房安全、身份鑒別、訪問控制、系統(tǒng)審計、入侵防范、惡意代碼防范、軟件容錯、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。

根據(jù)AFC系統(tǒng)自評估結(jié)果，線網(wǎng)清分中心系統(tǒng)和線路中央控制系統(tǒng)如要達(dá)到等級保護(hù)三級關(guān)于安全計算環(huán)境的要求，還需要改進(jìn)以下幾點：

物理機(jī)房安全：AFC系統(tǒng)的物理安全涉及到整個系統(tǒng)的配套部件、設(shè)備和設(shè)施的安全性能、所處環(huán)境安全以及整個系統(tǒng)可靠運行等方面，是信息系統(tǒng)安全運行的基本保障。AFC系統(tǒng)的實際建設(shè)和運行中，物理安全方面對設(shè)備的電磁兼容、電磁屏蔽及接地方面的要求已經(jīng)有成熟的解決方案，機(jī)房相關(guān)要求將由機(jī)房管理方來覆蓋，因此本方案對AFC系統(tǒng)部署的物理環(huán)境安全不做詳細(xì)設(shè)計。

數(shù)據(jù)庫審計：線網(wǎng)清分中心系統(tǒng)和線路中央系統(tǒng)都缺少針對數(shù)據(jù)的審計設(shè)備，不能很好的滿足主機(jī)安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計設(shè)備。

運維堡壘機(jī)：線網(wǎng)清分中心系統(tǒng)和線路中央系統(tǒng)都未實現(xiàn)管理員對網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時的雙因素認(rèn)證，計劃通過部署堡壘機(jī)來實現(xiàn)。

主機(jī)病毒防護(hù)：線網(wǎng)清分中心系統(tǒng)和線路中央系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置主機(jī)防病毒系統(tǒng)。

另外還需要對用戶名/口令的復(fù)雜度，訪問控制策略，操作系統(tǒng)、WEB和數(shù)據(jù)庫存在的各種安全漏洞，主機(jī)登陸條件限制、超時鎖定、用戶可用資源閾值設(shè)置等資源控制策略的合理性和存在的問題進(jìn)行一一排查解決。

3.1.2 安全區(qū)域邊界需求分析

區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。

邊界訪問控制：需要優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)AFC業(yè)務(wù)情況合理劃分安全域，合理劃分網(wǎng)段和VLAN;對于重要的信息系統(tǒng)的網(wǎng)絡(luò)設(shè)施采取冗余措施;訪問控制需要在構(gòu)建安全計算環(huán)境的基礎(chǔ)上，依托防火墻等安全設(shè)備進(jìn)行訪問控制。線網(wǎng)需要在邊界部署下一代防火墻實現(xiàn)邊界訪問控制，在各個重點安全域部署下一代防火墻來實現(xiàn)各安全域的重點隔離防護(hù)。

邊界入侵防范：線網(wǎng)沒有實現(xiàn)邊界攻擊防護(hù)，需要新增入侵防御系統(tǒng)/或新增下一代防火墻IPS功能模塊。

惡意代碼防范：主機(jī)惡意代碼防護(hù)通過部署終端病毒查殺軟件實現(xiàn)，網(wǎng)絡(luò)邊界惡意代碼防護(hù)需要部署下一代防火墻，開啟AV防病毒功能，并且要求網(wǎng)絡(luò)層與主機(jī)的惡意代碼庫不同。

互聯(lián)網(wǎng)出口安全審計：線網(wǎng)未實現(xiàn)對網(wǎng)絡(luò)行為進(jìn)行精細(xì)化識別和控制，需要部署上網(wǎng)行為管理產(chǎn)品來保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計。

邊界完整性保護(hù)：邊界沒有實現(xiàn)非法外聯(lián)，需要部署終端安全管理設(shè)備。

3.1.3 安全通信網(wǎng)絡(luò)需求分析

通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。

網(wǎng)絡(luò)結(jié)構(gòu)：網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性;帶寬能夠滿足業(yè)務(wù)高峰時期數(shù)據(jù)交換需求;并合理的劃分網(wǎng)段和VLAN。線網(wǎng)核心交換需要實現(xiàn)雙機(jī)冗余部署，提高通信網(wǎng)絡(luò)高可用性。

通信完整性和保密性：由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性;并在信息遭受篡改攻擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制，實現(xiàn)通信的完整性。而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性，因此線網(wǎng)Internet出口需要部署具備VPN功能的安全設(shè)備。

網(wǎng)絡(luò)審計：如果有些管理用戶出現(xiàn)誤操作，將給信息系統(tǒng)帶來致命的破壞。沒有相應(yīng)的審計記錄將給事后追溯帶來困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計。同時可以震懾有惡意企圖的少部分用戶，利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。

3.1.4 安全管理中心需求分析

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，安全管理中心是實現(xiàn)安全管理的有力抓手。線網(wǎng)沒有一個能對整網(wǎng)安全事件、安全威脅進(jìn)行分析響應(yīng)處理的平臺，本期需要新增統(tǒng)一安全監(jiān)控管理平臺對信息系統(tǒng)涉及的設(shè)備使用情況和安全事件、系統(tǒng)健康程度等進(jìn)行識別，要能進(jìn)行統(tǒng)一的監(jiān)控和展現(xiàn)。通過對安全事件的告警，可以發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時的響應(yīng)和處理。

3.2 安全管理需求分析

從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級保護(hù)的重點，因此除了技術(shù)措施，AFC系統(tǒng)還需要運用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運維管理的相關(guān)管理要求，規(guī)范人員安全管理。

3.3 后果分析

AFC系統(tǒng)面臨信息安全威脅時，可能產(chǎn)生如下的后果。

3.3.1 系統(tǒng)部分或全部癱瘓

由于AFC系統(tǒng)通過種類和數(shù)量眾多的接口，與整個軌道交通的其他系統(tǒng)進(jìn)行通信和數(shù)據(jù)交換，在軌道交通中的作用非常重要，黑客攻擊或惡意代碼造成的信息安全問題可能導(dǎo)致信息系統(tǒng)網(wǎng)絡(luò)的癱瘓，從而影響整個軌道交通系統(tǒng)部分或全部癱瘓，嚴(yán)重時甚至?xí)斐砂踩鹿实陌l(fā)生。

3.3.2 影響旅客正常購票與進(jìn)站

信息安全問題可能會導(dǎo)致非預(yù)期控制命令的下發(fā)，從而導(dǎo)致旅客無法正常購票以及進(jìn)站，影響軌道交通站點正常的秩序運行，導(dǎo)致站點人員的積壓，給人民群眾出行造成不便。

3.3.3 重要數(shù)據(jù)的泄露及遺失

信息安全問題也有可能導(dǎo)致AFC系統(tǒng)本身的設(shè)備及上面的軟件、數(shù)據(jù)等資產(chǎn)遭到破壞，配置數(shù)據(jù)、歷史數(shù)據(jù)、個人數(shù)據(jù)等機(jī)密泄露，都會給企業(yè)與個人造成一定的損失。

3.3.4 顯示信息錯誤

由于操作人員不當(dāng)操作等原因?qū)е碌男畔踩珕栴}，部分顯示設(shè)備可能顯示錯誤的信息，可能會引起社會對于軌道交通非必要的關(guān)注。

4 小結(jié)

通過對目前AFC系統(tǒng)進(jìn)行全面的分析后，可以看到AFC系統(tǒng)面臨了來自外部和內(nèi)部的多種威脅;而受到這些信息安全威脅后，AFC系統(tǒng)將面臨嚴(yán)重的后果，可能導(dǎo)致巨大的安全事故和經(jīng)濟(jì)損失。當(dāng)前，AFC系統(tǒng)面臨的主要信息安全問題如下：

（1）信息安全管理體系不完善，信息安全職責(zé)不明確;

（2）不同區(qū)域之間的訪問控制和入侵防范機(jī)制不完善;

（3）系統(tǒng)內(nèi)部缺少信息安全監(jiān)控技術(shù);

（4）工作站和服務(wù)器缺乏安全配置和病毒防范;

（5）應(yīng)用和數(shù)據(jù)層基本沒有信息安全防御能力;

（6）信息安全審計機(jī)制不完善。

因此，建設(shè)全方位的AFC系統(tǒng)信息安全防護(hù)體系勢在必行，一方面通過實施安全技術(shù)和產(chǎn)品，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個層次保障系統(tǒng)信息安全，另一方面落實管理規(guī)定，增強系統(tǒng)自身安全可靠性。