鐵路SIM卡管理系統等級保護方案的設計與實現

DOI：10.19850/j.cnki.2096-4706.2021.08.049

摘? 要：通過分析當前鐵路SIM卡管理系統運用現狀，根據現有信息系統安全等級保護二級的要求，研究了影響鐵路SIM卡管理系統安全運行的因素。針對鐵路SIM卡管理系統的設計架構和應用特點，構建了以安全通信網絡、安全區域邊界和安全計算環境為核心的三重防護體系，設計完成了一套滿足鐵路SIM卡管理系統等級保護二級要求的方案，實現對鐵路SIM卡管理系統的有效安全防護。

關鍵詞：SIM卡管理;等級保護;網絡安全

中圖分類號：TP309;U231.7? ? ? ?文獻標識碼：A 文章編號：2096-4706（2021）08-0172-04

Design and Implementation of Grade Protection Scheme for?Railway SIM Card Management System

ZHUANG Hongzhen

（Beijing Guotie Huachen Communication Technology Co.，Ltd.，Beijing? 100070，China）

Abstract：Based on the requirements of secondary security protection of existing information system，this paper analyzes the application status of the current railway SIM card management system and studies the factors affecting the safe operation of railway SIM card management system. Aimming at the design architecture and application characteristics of railway SIM card management system，a triple protection system with secure communication network，secure area boundary and secure computing environment as the core is constructed，and a scheme meeting the secondary protection requirements of railway SIM card management system is designed to realize the effective security protection of railway SIM card management system.

Keywords：SIM card management;grade protection;network security

0? 引? 言

近年來，隨著鐵路業務對信息化的依賴程度越來越高，其面臨的網絡安全風險日趨凸顯。鐵路重要信息系統承載著大量的鐵路業務數據、公民個人信息等，是鐵路網絡安全防護工作的關鍵所在，一旦遭到破壞并影響正常使用，將對國家安全、經濟穩定和公眾安全產生一定程度的影響^[1]。SIM卡管理系統作為我國鐵路電務專業的常用系統，管理全路SIM卡數據約27萬條、車載終端數據5萬余條。系統實現全路GSM-R SIM卡數據、終端數據等業務管理，并形成全路GSM-R終端用戶數據及SIM卡的統一數據庫，由總公司級SIM卡管理系統和鐵路局SIM卡管理系統兩級構成^[2]。系統采用專線方式組網，為系統設備、用戶終端提供數據承載并實現一、二級系統數據同步。

SIM卡管理系統定級為等級保護二級系統，本文的整體設計規劃從多個層面進行，構建以安全管理體系為根基、安全技術體系為手段、安全運維體系為保障、安全服務體系為支撐的信息安全體系，為業務工作提供強有力安全能力支撐。

1? 鐵路SIM卡系統網絡安全需求分析

中國鐵道科學研究院集團有限公司信息系統與信息安全評測中心根據安全等保二級的要求對SIM卡管理系統進行安全測評，評測中存在的問題主要分類為：

（1）安全管理中心。未建立相應的安全管理策略和安全管理制度。

（2）安全計算環境。SIM卡管理系統的各種硬件設備、操作系統、應用軟件和系統本身未采取安全防護措施，不能實現身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、數據保護等。

（3）安全區域邊界。SIM卡管理系統與其他業務關聯系統之間的通信未采取安全措施，不能發揮邊界訪問控制、邊界入侵防范和邊界及重要網絡節點的審計作用。

（4）安全通信網絡。SIM卡管理系統的網絡架構未劃分不同的網絡區域，未部署網絡設備來保障通信安全。

目前安全現狀中，非法內聯、外聯的現象頻出，進而引發一系列安全事件，如數據泄露、病毒木馬感染等，因此應按照相關要求建立一定的管控措施，進行受控端口的管理、配置訪問控制策略、非法內外聯的監測、控制等。

2? 方案設計

2.1? 設計思路

SIM卡管理系統的網絡安全防護方案的設計參照網絡安全相關法律法規以及行業標準要求，目的是保障業務系統安全穩定運行。首先將SIM卡管理系統在邏輯上劃分為業務服務區，運維管理區和終端接入區三個部分，劃分安全域后即可明晰區域邊界，從安全區域邊界、安全通信網絡、安全計算環境三個層面對網絡安全進行設計^[3]。然后通過網絡安全管理技術手段統一對接入的網絡安全設備進行集中管理，貼合業務系統特性綜合采用訪問控制、入侵檢測等多種安全防護技術和措施，并整合網絡安全運維等后端服務，構建完整的網絡安全防護體系。

2.2? 總體部署

SIM卡管理系統作為等級保護二級系統，本方案構建了安全通信網絡、安全區域邊界和安全計算環境三重防護體系，實現縱深防御。通過建立網絡安全管理中心，對各網絡安全設備和模塊等進行集中、統一、有效地監控，實現系統安全策略統一實施，確保系統運行狀態可控、可管。

本方案設計結合網絡、管理、應用等各方面現狀情況，整體設計圖如圖1所示。

參照SIM卡管理系統安全防護設計圖中可以將網絡安全防護進行梳理。通過交換機的VLAN技術，劃分出特定的管理區域，對部署于在網絡中的安全設備、安全組件等進行統一管理;建議獨立劃分一個管理區，通過邊界隔離技術，搭建一條安全的信息傳輸鏈路，對網絡中的安全設備和安全組件等進行統一管理;通過日志審計系統對分散在各個網絡安全設備上的日志進行統一匯總和集中分析，確保審計記錄的格式和留存時間等符合相關標準要求，對各類安全事件進行識別、報警分析，溯源等。通過網絡安全管理模塊對業務服務器、網絡安全設備、網絡傳輸鏈路等的運行狀態進行監測，并對安全策略、惡意代碼、補丁升級等安全相關事項進行統一管理，提升網絡安全的運維效率。

2.2.1? 安全通信網絡

強調網絡架構、通信傳輸等安全內容。主要為關鍵網絡節點：如安全域邊界，安全設施資源利用綜合安全專用設備、輕代理模式，大大提升網絡處理能力和硬件冗余性。

2.2.2? 安全區域邊界

區域邊界的網絡安全防護內容主要包括邊界訪問控制、邊界入侵檢測、惡意代碼防范和安全審計等內容。在邊界訪問控制部分，主要通過在邊界部署綜合安全網關設備來實現，確保流經區域邊界的數據流量受控;在邊界入侵檢測方面，通過綜合安全網關設備的入侵檢測模塊功能，可對跨邊界的訪問行為進行深度檢測，識別和阻止網絡攻擊行為;在惡意代碼防范部分，通過綜合安全網關的網絡防病毒模塊的功能，識別和阻斷來自外部的惡意代碼，防止惡意代碼的擴散;在安全審計方面，區域邊界的網絡安全設備產生的日志要進行留存并統一發送至日志審計系統進行匯總和分析。

2.2.3? 安全計算環境

SIM卡管理系統的安全計算環境是網絡安全防護系統最重要的防護部分，主要包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、數據完整性和保密性、數據備份恢復等安全內容：

（1）身份鑒別：安全運維人員的身份鑒別使用堡壘機進行控制，并應滿足雙因子鑒別要求，其中一種鑒別使用密碼技術。其中，身份鑒別標識應具有唯一性，并滿足復雜度要求，另外身份標識應定期進行更換。業務系統應具備登錄失敗處理機制，如登錄次數限制和超時自動退出系統等安全措施。

（2）訪問控制：通過綜合安全網關對業務訪問控制到應用級、數據訪問控制到字段級，初步實現訪問控制策略規定主體對客體的訪問控制規則。訪問控制力度優于主體為用戶級或進程級，客體為文件、數據庫表級的要求。

（3）安全審計：利用日志審計，可對終端和主機的操作用戶的重要行為和重要安全事件進行審計。

（4）入侵防范：漏洞掃描，可檢查各類終端設備的漏洞信息，提供全防護方法;在內部終端部署內網安全管理，發揮終端資產管理、桌面運維、補丁管理等功能。

（5）惡意代碼防范：網絡側綜合安全網關提供網絡病毒查殺，終端使用防病毒軟件提供終端病毒集中查殺。

（6）數據完整性和保密性：使用SIM卡管理系統自身的數據加密確保數據傳輸過程的完整性和存儲的保密性。

（7）數據備份恢復：數據備份功能由“熱備”方式提供，包括實時備份和數據處理系統的熱冗余與高可用。

3? 詳細設計

3.1? 安全管理區

安全管理區是SIM卡管理系統的“安全大腦”。發揮系統管理、審計管理和集中管控作用。具體表現為：

（1）在邊界部署綜合安全網關，確保跨越邊界的訪問和數據流通過邊界設備提供受控端口進行通信，發揮防火墻策略梳理、入侵檢測、防病毒功能。

（2）利用漏洞掃描系統，基于全網進行掃描，檢查全網漏洞和脆弱性情況。

（3）利用日志審計系統，將全網通用型設備、安全設備的所有日志信息進行歸并匯總，在滿足等級保護二級要求的基礎上，需要對日志進行留存和審計。

（4）利用堡壘機，管控和審計運維人員操作，幫助運維用戶實現統一認證管理、統一授權管理、統一審計管理、統一賬號管理。

3.2? 服務器應用區

服務器應用區主要部署了傳統服務器設備，包含了應用服務器、數據存儲服務器、內網安全管理服務器、病毒查殺服務器等。采取邊界隔離措施外，還需在服務器部署病毒查殺系統，將收集服務器的資產信息，對服務器設備的病毒查殺進行集中管控。

3.3? 內部終端接入區

內部終端接入區，主要接入內部PC等終端設備，需要對接入的設備做運維管理、合規管理。邊界處采取邊界隔離措施外，在終端設備上安裝內網安全管理系統。一方面可實現精細化終端運維管理，包括終端信息管理、終端操作系統漏洞檢測和修復、終端病毒查殺、終端平臺環境規范、遠程支持和維護等;另一方面從規范終端用戶行為出發，可封堵終端違規的漏洞、監控和規范終端用戶行為，全面提升終端安全合規管理水平，避免內部泄密和內部攻擊破壞安全事件的發生。

3.4? 詳細功能

SIM卡管理系統的網絡安全防護系統的整體功能，是以網絡安全管理系統為中心，通過部署于網絡中的多個安全設備的不同安全防護模塊來實現的，涉及的主要網絡安全設備包括綜合安全網關、堡壘機、內網安全管理系統、漏洞掃描系統、日志審計系統，服務器殺毒系統等。以下對各個網絡安全設備和系統的功能分別進行描述。

3.4.1? 綜合安全網關

綜合安全網關是基于用戶的安全、面向應用的安全、高效的轉發平臺、內容的深度過濾、精確智能聯動、防御高級持續性威脅的一體化安全智能網關^[4]。產品架構如圖2所示。

該主機基于專用硬件平臺，采用自主研發的高安全實時嵌入式VSP操作系統，以及自主研發的USE統一安全引擎。在軟件體系上具有模塊化結構，針對不同的應用環境和不同的安全策略，可以配置不同的功能模塊。

3.4.2? 堡壘機

堡壘機，也被稱為運維安全網關，是管控和審計運維人員操作的網絡安全設備。使用堡壘機控制運維人員能運維哪些設備、執行哪些操作命令，避免運維人員非法或無意中執行高危操作，并對運維人員的操作進行實時監控和事后審計。利用堡壘機做運維，不必記錄設備的IP地址、用戶名、口令等信息，也避免這些敏感信息的泄露，極大地方便了運維工作，提升運維效率。堡壘機可對整個運維過程從事前預防、事中控制和事后審計進行全程參與。

3.4.3? 內網安全管理系統

內網安全管理系統主要考慮來自內部網絡的可信環境下的非授權網絡行為和授權濫用行為，因為內部違規行為是網絡安全面臨的最大威脅，也是網絡安全的最大挑戰。系統能夠有效地分析各內部網絡環境下比較具體和重要的網絡安全威脅，對各個計算機終端進行有效監控，避免內部IT資源濫用、內部網絡信息泄露、內部員工的故意攻擊等問題，對各種因內部因素產生的網絡安全問題進行有效的預防、監控和審計。

3.4.4? 漏洞掃描系統

本系統采用了漏洞掃描領域多種最新、最先進的掃描和檢測技術，可快速發現網絡空間的資產信息，準確識別資產信息屬性，全面掃描網絡空間資產信息的安全漏洞，清晰定位安全風險，并給出修復建議和防護措施，進而幫助用戶在全面評估業務系統弱點的基礎上實現安全自主掌控。

3.4.5? 日志審計系統

日志審計系統包括審計中心、日志采集器和日志代理三個部件。日志采集器和日志代理實現對審計數據源（主機/服務器類、網絡類和安全類等）的日志信息統一收集，然后上傳給審計中心進行集中化存儲、分析和審計^[5]。日志審計系統能夠通過主被動結合的手段，實時不間斷地采集網絡中各類安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的海量日志信息，并對收集的日志信息進行集中化存儲、備份、查詢、審計、告警、響應，出具豐富的報表報告，實現日志全生命周期的管理，使運維人員獲悉全網的整體安全運行態勢。

3.4.6? 服務器殺毒系統

服務器殺毒系統是能夠為工作站、服務器等提供跨平臺的病毒防護，采用B/S管理模式，由管控中心、升級服務器、私有云檢測中心三部分構成中控平臺，配合客戶端組成全方位的反病毒保障體系。服務器殺毒系統具備集中管控、策略定制和統計報表等基礎功能，并支持網絡管理員自定義分組的方式管理終端用戶，更具情景設定安全策略，有效合理的利用系統資源。

4? SIM卡管理系統網絡安全防護方案特點

SIM卡管理系統的網絡安全防護方案是在參照相關安全標準的基礎上貼合業務系統進行的有針對性的網絡安全防護方案。在防火墻開啟DDoS功能、Web防火墻開啟安全策略后，通過安全日志可發現防火墻均已有效地完成了對各類攻擊的識別與防護，對保障鐵路SIM卡管理系統的安全穩定運行起到了重要作用。

本方案的主要特點有：

（1）參照等級保護要求和其他相關網絡安全法律法規和標準，在網絡安全方案設計之初就考慮到廣泛的合規要求。

（2）結合等級保護要求，進行符合項目實際安全需求安全體系的設計，通過了解SIM卡管理系統安全風險和安全需求，設計符合等級保護二級的安全防護體系。

（3）方案中的網絡安全防護功能采用模塊化的設計理念，方便后續需求和功能等的擴展。

5? 結? 論

本文在滿足國內政策法規合規要求、滿足等保等監管要求的基礎上，充分響應“人防、物防、技防”相結合的安全戰略方針，同時在技術設計上，充分結合系統的IT技術架構，確保SIM卡管理系統安全設計符合傳輸性能、可靠性等要求，目前已在多個鐵路局集團的二級SIM卡管理系統上部署實施，對保障鐵路SIM卡管理系統的安全穩定運行起到了重要作用。SIM卡管理系統作為鐵路通信重要信息化系統之一，在鐵路通信網信息化系統中有著很強的代表性，該系統的運用模式以及網絡安全防護方案可為其他通信信息化系統提供網絡安全防護參考。

參考文獻：

[1] 馮凱亮，張德棟，陳勛，等.鐵路網絡安全等級保護管理系統研究 [J].鐵路計算機應用，2020，29（8）：66-70.

[2] 陳丹暉，劉清濤，張衛軍.鐵路SIM卡管理系統網絡安全防護方案研究 [J].鐵路通信信號工程技術，2018，15（3）：35-39+50.

[3] 劉晨陽.城市軌道交通信號系統信息安全等級保護建設方案分析 [J].中國新通信，2018，20（13）：168.

[4] 徐可心.構建安全網關的深度包檢測引擎的設計與實現 [D].成都：電子科技大學，2010.

[5] 羅宗泰.網絡邊界日志審計系統分析與設計 [C]//2009電力行業信息化年會.北京：中國電機工程學會，2009：242-245.

作者簡介：莊洪振（1986—），男，漢族，山東臨沂人，工程師，碩士研究生，研究方向：鐵路通信與信息技術。

收稿日期：2021-03-14