地鐵人臉識(shí)別作業(yè)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)

肖世龍

（廣州地鐵設(shè)計(jì)研究院股份有限公司，廣東 廣州 510000）

0 引言

基于大數(shù)據(jù)新技術(shù)與成熟的人工智能技術(shù)，人臉識(shí)別檢票過閘系統(tǒng)在國(guó)內(nèi)多個(gè)城市地鐵上線，而人臉識(shí)別作業(yè)系統(tǒng)作為人臉識(shí)別業(yè)務(wù)的支撐平臺(tái)[1-2]，它的網(wǎng)絡(luò)安全等級(jí)保護(hù)至關(guān)重要。該文基于人臉識(shí)別技術(shù)在某地鐵的應(yīng)用實(shí)踐，介紹了相關(guān)人臉識(shí)別作業(yè)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)經(jīng)驗(yàn)，為國(guó)內(nèi)城市地鐵人臉識(shí)別技術(shù)的應(yīng)用提供了重要的參考。

1 人臉識(shí)別作業(yè)系統(tǒng)構(gòu)成

人臉識(shí)別作業(yè)系統(tǒng)是該市地鐵自動(dòng)售檢票系統(tǒng)實(shí)現(xiàn)人臉識(shí)別檢票過閘的支撐平臺(tái)，人臉識(shí)別作業(yè)系統(tǒng)與已有的AFC系統(tǒng)共同組成了完整的自動(dòng)售檢票系統(tǒng)。已有的AFC系統(tǒng)包括清分中心系統(tǒng)（ACC）、數(shù)字票務(wù)平臺(tái)系統(tǒng)、1號(hào)線 AFC系統(tǒng)以及2號(hào)線 AFC系統(tǒng)等。考慮到業(yè)務(wù)的統(tǒng)一性，該市地鐵人臉識(shí)別作業(yè)系統(tǒng)與數(shù)字票務(wù)平臺(tái)系統(tǒng)統(tǒng)籌進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)。

人臉識(shí)別作業(yè)系統(tǒng)由業(yè)務(wù)服務(wù)數(shù)據(jù)庫、業(yè)務(wù)服務(wù)器群、核心交換區(qū)、數(shù)據(jù)備份區(qū)以及外部接口區(qū)等組成。其主要功能是實(shí)現(xiàn)地鐵人臉識(shí)別乘車的核心應(yīng)用能力，其中包括用戶管理、密鑰管理、人臉行程管理、人臉行程匹配、人臉訂單管理、配置管理平臺(tái)以及實(shí)現(xiàn)對(duì)人臉識(shí)別服務(wù)器的管理和配置等功能。

2 系統(tǒng)網(wǎng)絡(luò)安全等級(jí)定級(jí)

根據(jù)GA/T 1389—2017《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，人臉識(shí)別系統(tǒng)信息遭到破壞后，社會(huì)秩序和公共利益會(huì)受到嚴(yán)重侵害；因此，系統(tǒng)信息安全保護(hù)等級(jí)屬于三級(jí)。

信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)中較高者所決定的。因此，人臉識(shí)別作業(yè)系統(tǒng)的安全保護(hù)等級(jí)界定為第三級(jí)。

3 系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

3.1 安全域劃分

安全域劃分的目的是將網(wǎng)絡(luò)安全問題細(xì)化，實(shí)現(xiàn)針對(duì)性的安全防護(hù)部署[3]，從而更好地控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低系統(tǒng)風(fēng)險(xiǎn)。

系統(tǒng)平臺(tái)總體分為核心交換區(qū)、外部接口區(qū)、安全管理區(qū)、業(yè)務(wù)承載區(qū)以及內(nèi)部接口區(qū)等功能區(qū)域。

核心交換區(qū)主要負(fù)責(zé)整個(gè)的核心網(wǎng)絡(luò)的數(shù)據(jù)交換；網(wǎng)絡(luò)采用2層架構(gòu)即分為核心層和接入（匯聚）層，核心層負(fù)責(zé)整體網(wǎng)絡(luò)的集中控制轉(zhuǎn)發(fā)，需要核心設(shè)備具備高性能、高可靠的特性，核心交換機(jī)連接外部接口區(qū)、內(nèi)部接口區(qū)、人臉識(shí)別業(yè)務(wù)承載區(qū)以及綜合安全管理中心等。2臺(tái)核心交換機(jī)間部署雙機(jī)虛擬化，將2臺(tái)設(shè)備虛擬為1臺(tái)，保證業(yè)務(wù)的高可靠性。

智網(wǎng)（外部）接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負(fù)責(zé)專網(wǎng)和公網(wǎng)間的連接。

安全管理區(qū)是計(jì)劃部署以業(yè)務(wù)為核心，集網(wǎng)絡(luò)安全、應(yīng)用安全以及業(yè)務(wù)安全為一體的安全管理系統(tǒng)，它具備防火墻、防入侵、應(yīng)用控制、審計(jì)以及主機(jī)防護(hù)等安全功能，同時(shí)還具備可視化管理等功能。

業(yè)務(wù)承載區(qū)，通過服務(wù)器集群技術(shù)構(gòu)建計(jì)算資源池和存儲(chǔ)資源池，為人臉識(shí)別提供計(jì)算存儲(chǔ)等服務(wù)。

內(nèi)部接口區(qū)主要負(fù)責(zé)互聯(lián)網(wǎng)票務(wù)平臺(tái)及人臉識(shí)別與地鐵內(nèi)部其他業(yè)務(wù)系統(tǒng)的連接。

3.2 安全建設(shè)方案設(shè)計(jì)

3.2.1 建設(shè)目標(biāo)

安全方案應(yīng)該嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》并結(jié)合管理要求設(shè)計(jì)本級(jí)系統(tǒng)保護(hù)環(huán)境模型。

3.2.2 業(yè)務(wù)承載區(qū)

業(yè)務(wù)承載區(qū)承擔(dān)著互聯(lián)網(wǎng)票務(wù)與人臉識(shí)別系統(tǒng)的基礎(chǔ)業(yè)務(wù)負(fù)載，各負(fù)載設(shè)備通過2臺(tái)匯聚交換機(jī)進(jìn)行連接，2臺(tái)交換機(jī)要保證業(yè)務(wù)的可靠性和穩(wěn)定性，因此需要選擇高性能的匯聚交換機(jī)，在2臺(tái)交換機(jī)之間部署雙機(jī)虛擬化功能，將2臺(tái)設(shè)備虛擬為1臺(tái)設(shè)備，當(dāng)1臺(tái)設(shè)備出現(xiàn)DOWN機(jī)事件時(shí)，不會(huì)影響到系統(tǒng)的正常使用，從而保證業(yè)務(wù)的高可靠性。2臺(tái)交換機(jī)采用雙鏈路冗余的方式連接業(yè)務(wù)服務(wù)數(shù)據(jù)庫、業(yè)務(wù)服務(wù)器群、業(yè)務(wù)存儲(chǔ)設(shè)備等設(shè)備，并對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)進(jìn)行審計(jì)，全面記錄數(shù)據(jù)庫的訪問行為，識(shí)別越權(quán)操作等行為。通過匯聚交換機(jī)盤掛1臺(tái)數(shù)據(jù)庫審計(jì)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)訪問行為軌跡的跟蹤，防止敏感數(shù)據(jù)泄漏，并提供相應(yīng)的建議。業(yè)務(wù)承載區(qū)（如圖1所示）通過2臺(tái)防火墻和入侵防御系統(tǒng)（IPS）連接到地鐵通信的骨干網(wǎng)上，進(jìn)行邊界訪問控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)。

圖1 業(yè)務(wù)承載區(qū)網(wǎng)絡(luò)拓?fù)鋱D

3.2.3 外部接口區(qū)

外部接口區(qū)為地鐵信息系統(tǒng)提供外部連接接口，主要負(fù)責(zé)專網(wǎng)和公網(wǎng)網(wǎng)絡(luò)的連接。考慮到等級(jí)保護(hù)建設(shè)要求，應(yīng)該在區(qū)域邊界的出口串聯(lián)防火墻設(shè)備和IPS設(shè)備，其中IPS設(shè)備可以對(duì)內(nèi)網(wǎng)和外網(wǎng)的存取應(yīng)用進(jìn)行管理[4]，如圖2所示。

圖2 外部接口區(qū)網(wǎng)絡(luò)拓?fù)鋱D

3.2.4 安全管理區(qū)

安全管理中心的主要功能是監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)和設(shè)備的運(yùn)行情況，同時(shí)實(shí)現(xiàn)統(tǒng)一的安全策略部署，如圖3所示。

在控制中心部署運(yùn)維審計(jì)堡壘機(jī)，實(shí)現(xiàn)運(yùn)維管控及審計(jì)。運(yùn)維人員通過運(yùn)維審計(jì)堡壘機(jī)的審計(jì)認(rèn)證后才能進(jìn)行業(yè)務(wù)操作且可以對(duì)所有操作過程進(jìn)行回溯。

部署漏洞掃描系統(tǒng)可以定期掃描漏洞，及早規(guī)避、發(fā)現(xiàn)可能出現(xiàn)的問題[5]。

部署主機(jī)服務(wù)器安全加固系統(tǒng)，其具備組網(wǎng)內(nèi)資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)分析、入侵檢測(cè)、病毒查殺以及安全日志等功能。

設(shè)置終端殺毒系統(tǒng)，利用防病毒服務(wù)器實(shí)現(xiàn)終端主機(jī)防病毒策略的制定，及時(shí)獲得最新的病毒特征庫，并同步更新到數(shù)據(jù)中心節(jié)點(diǎn)的各個(gè)終端，同時(shí)接受各個(gè)終端上報(bào)的病毒威脅和事件監(jiān)控以及審計(jì)日志等必要的信息。

部署日志審計(jì)系統(tǒng)對(duì)進(jìn)行系統(tǒng)檢測(cè)，并對(duì)日志進(jìn)行關(guān)聯(lián)分析，生成關(guān)系圖譜，保證系統(tǒng)的安全。

1個(gè)標(biāo)準(zhǔn)的安全防護(hù)體系在標(biāo)準(zhǔn)的安全體系里需要讓各節(jié)點(diǎn)進(jìn)行聯(lián)動(dòng)，建設(shè)帶有預(yù)警機(jī)制的安全防護(hù)體系。

在該方案的安全體系中，安全預(yù)警機(jī)制是工作人員發(fā)現(xiàn)目標(biāo)的重要手段。整套安全體系不再是被動(dòng)防護(hù)的機(jī)制，因?yàn)橛辛祟A(yù)警機(jī)制，所以可以通過多點(diǎn)聯(lián)動(dòng)防護(hù)的模式，主動(dòng)阻斷惡意行為。

聯(lián)動(dòng)防護(hù)機(jī)制可以在預(yù)警分析判斷為惡意行為后，通知防火墻設(shè)備阻斷其外鏈的IP地址，記錄文件指紋更新安全防護(hù)策略，隔離惡意文件。

安全管理中心的部署實(shí)現(xiàn)了安全設(shè)備的統(tǒng)一分析和管理，使系統(tǒng)能從整體的角度結(jié)合各類安全設(shè)備日志進(jìn)行分析，并能對(duì)各類安全設(shè)備做到統(tǒng)一管理和統(tǒng)一的配置下發(fā)。

圖3 安全管理區(qū)網(wǎng)絡(luò)拓?fù)鋱D

3.2.5 總架構(gòu)

系統(tǒng)采用分區(qū)分域的形式進(jìn)行規(guī)劃設(shè)計(jì)，按使用功能進(jìn)行區(qū)域劃分，并在不同的邊界部署相應(yīng)的安全防護(hù)，形成了安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心的全面保護(hù)，該架構(gòu)滿足安全保護(hù)等級(jí)第三級(jí)的相關(guān)要求。安全網(wǎng)絡(luò)總架構(gòu)圖如圖4所示。

4 人臉識(shí)別作業(yè)系統(tǒng)網(wǎng)絡(luò)安全保護(hù)效果

該方案滿足安全保護(hù)等級(jí)第三級(jí)的相關(guān)要求，并具有以下4個(gè)特點(diǎn)：1）遵循標(biāo)準(zhǔn)化。該方案的制定參照并遵循了國(guó)家頒發(fā)的一系列信息安全標(biāo)準(zhǔn)。2）重復(fù)利用與整體化。信息安全建設(shè)從系統(tǒng)整體的角度去分析安全風(fēng)險(xiǎn)，本著需求、風(fēng)險(xiǎn)和代價(jià)相平衡的思想，提出解決方案，避免了重復(fù)建設(shè)。3）易操作與低資源占用率。該方案容易操作；不會(huì)降低或占用系統(tǒng)本身的性能。滿足易操作與低資源占用率的原則。4） 可擴(kuò)展性。該安全方案能夠適應(yīng)網(wǎng)絡(luò)規(guī)模的擴(kuò)展以及安全需求的變化，并能夠?qū)崿F(xiàn)統(tǒng)一的安全升級(jí)。

圖4 安全網(wǎng)絡(luò)總架構(gòu)圖

5 結(jié)語

人臉識(shí)別作業(yè)系統(tǒng)存儲(chǔ)數(shù)據(jù)的敏感性決定了其網(wǎng)絡(luò)安全等級(jí)保護(hù)的重要性。

該文介紹了人臉識(shí)別作業(yè)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)在某市地鐵的應(yīng)用實(shí)踐情況，詳細(xì)描述了針對(duì)網(wǎng)絡(luò)信息安全功能及硬件需求而提供的全套解決方案，滿足國(guó)家 GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本需求》等相關(guān)規(guī)范的規(guī)定，可以為后續(xù)城市地鐵應(yīng)用人臉識(shí)別技術(shù)提供參考。