淺談南京地鐵AFC系統信息安全等級保護功能升級

李曉潔

摘要：為了進一步提高信息系統的安全保障能力，貫徹落實《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）文件精神，南京地鐵運營有限責任公司根據信息安全等級評測結果對AFC系統ZLC系統進行安全等級保護改造，以使系統達到等保2.0標準第二等級安全要求。

關鍵字：AFC系統、ZLC系統、信息安全、等級保護

一、概述

目前，外部信息安全形勢十分嚴峻，內部安全威脅也日益增長，據統計，信息安全風險事件的80%主要來自于內部。因此，南京地鐵AFC專業以滲透性測試方法為主，開展針對AFC系統的全面滲透性測試，并根據等級保護現場測評結果，通過增加必要的安全設備以及運用先進的技術手段對ZLC系統進行安全等級保護改造，以使系統達到等保第二等級安全要求。

二、AFC系統安全需求分析

信息安全等級保護整改工作是一項體系型的工作，包含了多個相關方面，見圖一。

安全需求的主要依據是合規性要求分析和安全風險評估，通過分析國家定級保護要求確定基本安全需求，結合ZLC系統的自身安全風險防范需求，形成最終的安全建設需求。本文以南京地鐵三、十號線ZLC系統為例介紹等級保護升級改造過程。

既有ZLC系統網絡架構圖如下：

南京地鐵ZLC系統大多數為多線一中心的系統，建設時間跨度大，使用了多個廠商的多種設備。具體包括主機、網絡和安全設備、操作系統、PC服務器、小型機、存儲設備、數據庫軟件、中間件、AFC系統軟件等等。改造前的ZLC系統僅僅在和其他業務系統交互的邊界部署了兩臺防火墻，在安全建設方面比較薄弱，無法滿足等保二級建設要求。

三、網絡安全綜合防御體系設計

南京地鐵以國家等級保護要求為原則，兼顧技術與管理，以相關文件要求【1】【2】【3】為基本方法設計ZLC系統網絡安全保障體系。

（一）安全技術體系設計

等級化安全保護方案設計必須架構在科學的安全體系和安全框架之上。安全框架是安全方案設計的基礎，因此將從層次結構的角度詳細分析AFC業務系統各個層次的安全風險并提出解決方案和技術措施。

1.安全通信網絡設計

依據網絡安全等級保護文件中的第二級系統“通用安全通用網絡設計技術要求”對AFC系統等級保護對象涉及到的安全通訊網絡進行設計，內容包括網絡架構、通信網絡等方面。

（1）網絡架構

如圖3所示，為改造后的ZLC系統網絡拓撲圖，滿足等保二級對安全通信網絡的相關要求。

（2）通信網絡安全審計

網絡層安全審計旨在對ZLC系統中與網絡安全活動相關的信息進行識別、記錄、存儲和分析。本次改造主要通過安全運維區部署的日志審計對ZLC系統實施網絡層安全審計。部署的審計設備可以記錄ZLC系統的運行狀況，同時還可以作為調查取證工具和進行安全事件的檢測，對系統的攻擊及時進行報警處理，降低系統非法入侵的概率。

（3）網絡設備的安全審計

日志審計系統可以對網絡中的防火墻、交換機設備運行過程中產生的信息進行實時采集和分析。當發生異常情況時，安全審計系統可以立即發出警告信息，并向網絡管理員提供詳細的審計報告和異常分析報告，讓網絡管理員可以及時發現系統的安全隱患，以采取有效措施來保護網絡系統安全。

2.安全區域邊界設計

設計內容包括區域邊界訪問控制、包過濾、安全審計、完整性保護、入侵防范、惡意代碼防范等方面。

（1）區域邊界訪問控制

等級保護對象安全區域邊界訪問控制的實施對象是配置了訪問控制策略的網絡設備。訪問控制策略是網絡安全防范和保護的主要策略，其目的是保證網絡資源不被非法使用和訪問或防止合法用戶的不當操作造成破壞。通過采取訪問控制措施可以具有對網絡、系統和應用的訪問進行嚴格控制的能力。主要通過在ZLC系統邊界部署防火墻設備來實現，同時不同安全區域之間的訪問，通過部署的下一代防火墻設備和VLAN隔離進行訪問控制。在防火墻上配置安全策略，在核心交換機上設置訪問控制列表策略，僅允許已知的業務訪問，禁止非法終端直接訪問。

（2）區域邊界包過濾

對ZLC系統內各個應用的訪問需求進行梳理，在區域邊界防火墻上配置訪問控制策略，訪問控制策略規則基本匹配項包括源地址、目的地址、源端口、目的端口和協議等，訪問控制力度為端口級。同時理清安全需求，設定邏輯清晰的、滿足需要的最少訪問控制策略。

（3）區域邊界安全審計

在等級保護對象中實施區域邊界安全審計，通過在網絡邊界和重要網絡節點進行安全審計實現。

（4）區域邊界完整性保護

區域邊界完整性保護是構建網絡邊界安全的重要一環，ZLC系統終端沒有訪問外網的權限，因此主要做好對非授權設備非法連接到內部網絡的行為進行檢查，保證網絡訪問控制體系的完整性和有效性。

（5）入侵防范和惡意代碼防范

網絡中存在各種可能的攻擊行為和惡意代碼，ZLC系統主要通過在邊界部署下一代防火墻、入侵防御來阻止。對于嚴重的入侵，通過便捷快速的報警通知方式，例如短信通知、微信推送報警，以便管理員及時知曉并緊急采取處置措施。通過在網絡出口處開啟防火墻中的防病毒網關、在內部終端和服務器端部署網絡版防病毒軟件有效對惡意代碼進行防護。

3.安全計算環境設計

設計內容包括自主訪問控制、系統安全審計、用戶數據完整性保護、用戶數據保密性保護、數據備份恢復、可信驗證、入侵檢測和惡意代碼防范、個人信息保護等方面。

（1）自主訪問控制

自主訪問控制是一種常用的訪問控制方式，它基于對主體或主體屬性的主體組的識別來限制對客體的訪問，這種控制是自主的。自主是指主體能夠自主地（可間接地）將訪問權限或訪問權的某個子集授予其它主體。對于自主創建的文件，除了對文件做機密性、完整性保護外，還需要進行訪問控制的操作。ZLC系統的主機系統訪問控制策略：啟用訪問控制功能，依據安全策略控制用戶對資源的訪問，根據管理用戶的角色分配權限，僅授予管理用戶所需的最小權限。硬件上通過在ZLC系統交換機和防火墻上設置不同網段、不同用戶對服務器的訪問進行權限控制。關閉操作系統開啟的默認共享，對于需開啟的共享及共享文件夾設置不同的訪問權限，對于操作系統重要文件和目錄需設置權限要求。設置不同的管理員對服務器進行管理，分為系統管理員、安全管理員、安全審計員。

（2）系統安全審計

對ZLC系統的終端、服務器、數據庫和應用系統均設置安全審計措施，對系統內的相關安全事件、提供審計記錄，記錄內容包括用戶、對象、時間、操作以及結果等，并提供審計記錄的查詢、分類、報表、存儲和事件回放功能。

（3）入侵檢測和惡意代碼防范

通過在核心交換區部署入侵防御，在主機和終端安裝網絡版防病毒軟件，同時開啟網絡出口處防火墻的防病毒模塊來實現入侵檢測和惡意代碼防護功能。此外定期對設備的特征庫進行升級并對網絡中的流量進行監測，對各類病毒和惡意代碼進行徹底查殺，構建起一道最基本的防線，保護ZLC全網終端及服務器。

（4）個人信息保護

等級保護對象中業務系統在需要采集個人信息時，僅采集和保存必需的用戶個人信息。制定保障個人信息安全的管理制度和流程，嚴格制度和流程進行操作，保障用戶個人隱私數據信息和利益不受到侵害。

4. 安全管理中心設計

設計內容包括系統管理、安全管理和集中管控等方面。

（1）三員管理

改造后的ZLC系統通過在安全運維區部署堡壘機實現系統管理員、安全管理員和審計管理員和的三權分立，并對各類管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行權限范圍內的管理操作，并對這些操作進行審計。

（2）集中管控

根據防御體系的要求，建立安全管理中心，實現對ZLC系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡的統一管控。安全管理中心由安全管理區域或平臺實現，在ZLC系統網絡中按照安全域分域防護原則，單獨劃分特定的安全運維區，該區域部署所有涉及到網絡安全的設備或組件，包括堡壘機系統、日志審計系統、惡意代碼檢測系統，對分布在網絡中的安全設備或安全組件進行集中管控。

四、現場設備安裝布局

如圖4所示，為三、十號線ZLC機房等級保護設備現場布局圖。

布局說明：

在出口邊界處網橋部署兩臺下一代防火墻，開通防病毒模塊，在核心交換機上旁路部署入侵防御設備，滿足等保二級中安全區域邊界的相關要求。

在核心交換機上，通過VLAN劃分，獨立出一個安全運維區域，部署等保二級需求的堡壘機、日志審計、態勢感知類安全運維審計設備。

在安全運維區旁路部署終端防病毒服務器，在服務工作站等PC終端以及服務器終端上部署EDR防病毒軟件，滿足等保二級中安全計算環境相關要求。

參考文本

【1】《信息安全網絡安全等級保護安全設計技術要求》

【2】《網絡安全等級保護基本要求》

【3】《網絡基礎安全技術要求》