轨道交通旅客服务系统信息安全保障平台测试方法研究

劳凯军 李红建

（沪汉蓉铁路湖北有限责任公司，430077，武汉∥第一作者，高级工程师）

轨道交通旅客服务系统是通过建立统一的业务操作平台，对与旅客服务业务密切相关的广播、引导、监控等系统的数据和接口进行集中管理，为车站旅客提供及时准确的信息通告，是保障车站旅客服务业务正常进行的核心业务系统。目前，它已实现与轨道交通运调系统和轨道交通客票系统的互联［1－2］，对系统的安全要求有了进一步提升。轨道交通旅客服务系统安全保障平台是保障旅客服务系统信息安全的重要手段。在对国内其他行业及机构信息系统安全测评研究和相关标准规范的基础上［3－7］，本文通过开展轨道交通信息系统安全控制测评及整体测评研究，排查系统安全隐患和薄弱环节，提出有针对性的抵御威胁的防护对策和整改措施，发掘系统中存在的安全隐患和安全防护漏洞，评估旅客服务系统的安全防护措施与其所定安全等级间存在的差距，将信息系统面临的安全风险控制在可接受的水平，为轨道交通客运服务系统的正常运营提供基础安全保障，以推动我国轨道交通行业信息系统安全等级保护工作的深入开展。

1 旅客服务系统安全现状

轨道交通旅客服务系统的安全设计是采用可靠的、层次化的结构。根据业务网和管理网的不同特点，实施不同运行策略和安全防护策略，建立一套整体的安全防御体系。其含安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全评估、业务安全审计等，以满足网络、平台、信息、应用、管理等几方面的要求。总结已开通的高速轨道交通旅客服务系统的经验，其旅客服务系统的安全方案一般按图1所示进行信息安全设备的部署。旅客服务系统的安全设备包括防火墙、IDS（入侵检测系统）、安全管控器、安全代理等。

1.1 网络安全

1）结构安全：网络结构的安全是网络安全的前提和基础，对于旅客服务系统网络，选用主要网络设备时应考虑业务处理能力的高峰数据流量需要，冗余空间要满足业务高峰期要求；接入网络和核心网络的带宽应满足业务高峰期要求；按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；应合理规划路由，业务终端与业务服务器之间建立安全路径；根据职能、重要性和信息的重要程度等因素，划分不同的网段或VLAN（无线局域网）。保存有重要业务系统数据的重要网段不能直接与外部系统连接，应与其它网段隔离，单独划分区域。

图1 旅客服务系统信息安全设备部署图

2）访问控制：通过部署防火墙、安全通信部件等安全设备，对进入旅客服务系统的实体（包括用户、网络设备等）实施访问控制和基于角色的授权管理，确保系统不被非法访问。

3）入侵防范：通过检测，实时抓取分析网络数据，判断是否有违规或者是恶意行为发生，并告知网络管理员。

4）安全审计：通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，以加强内外部网络行为监管、促进核心设备（数据库、服务器、网络设备等）的正常运营。

5）病毒防范：旅客服务系统网络整体部署防病毒系统来实现对旅客服务系统内网的病毒防控。

1.2 主机安全

旅客服务集成平台数据处理主机等设备采用必要的冗余、备份和负载均衡设计，以确保系统的稳定性和可拓展性。

网络关键部分在物理层采用链路冗余、网络设备冗余、设备电源冗余等手段，以保证各个层面上的冗余性及可靠性。同时通过VRRP（虚拟路由冗余协议）等冗余备份协议的配置，实现网络应用层面的冗余和负载均衡，以有效保障整体网络的稳定。

采用安全通信部件，利用其内置功能，实现对各类计算机进行认证配置，并实施统一的身份认证、统一授权与访问控制、统一安全审计与日志管理等。

部署节点管控器、安全通信部件等设备，利用SNMP（简单网络管理协议）等技术，实时监控系统中的每个设备，实时监控系统的每一个主机的运行情况，及时发现系统的不稳定因素，及时发现系统的异常状况；通过网络管理平台，实现对路由与交换等网络设备的管理与控制，收集路由与交换等设备的性能、故障、运行状态信息和安全事件，进行全网集中关联分析、发现并确定异常行为，实现对路由、交换设备的安全管控和动态优化。

1.3 数据安全

1）数据完整性：能保护网络设备之间通信的完整性，保护核心业务应用环境的完整性，保护关键信息的完整性，保护远程通信的完整性。

2）数据保密性：采用加密技术保护关键信息的保密性，采用链路加密技术保障物理链路的保密性。

3）数据可用性：保证数据的可用性，设备的可用性，网络的可用性。

4）数据备份与恢复：实现数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。

1.4 应用安全

1）对应用系统的身份认证：基于PKI（公钥基础结构）技术，采用数字证书，对访问应用系统的用户进行有效身份认证。

2）对应用系统的授权管理：根据系统业务划分，对应用系统的资源进行有效的授权和角色管理。

3）对应用系统的访问控制：根据应用系统资源授权、根据用户角色划分实现对应用系统资源的访问控制。

4）对应用系统的加密和签名：根据应用资源的重要程度，为了抗抵赖，实现对关键业务资源及业务操作进行加密和签名处理。

5）对应用系统资源完整性控制：通过版本管理和病毒防护技术，保障应用系统资源的完整性和一致性，并监测病毒对系统资源的侵入，自动实施隔离、通知、消除和更新。

2 测试方法研究

开展轨道交通旅客服务系统信息安全测试，是由国家高速轨道交通旅客服务系统工程实验室测评工程师和信息安全专家共同组成的评估团队，依据国家信息安全相关测评标准和安全保障平台设计方案，采用专业的安全测评工具，运用科学的方法和手段，系统地分析轨道交通旅客服务系统所面临的安全风险及存在的安全隐患。主要采用以下三种测试方法。

1）访谈：测试人员依据测试案例，通过与系统实施人员进行有目的性、有针对性的询问和交流，以帮助测试人员了解并分析系统的安全防护手段的合理性。

2）手工检查：测试人员通过直接访问指定网络设备及安全设备，输入有效的查询命令，从而验证访谈结果的真实性，同时分析查询结果，评估系统的安全防护策略是否合理并正确生效。

3）工具测试：测试人员使用专业的安全测评工具使测评对象产生特定的行为，查看和分析测试结果是否满足设计要求；通过模拟系统的内部及外部攻击，验证系统的安全防护手段是否有效。

根据上述旅客服务系统安全保障的现状，分别针对系统的网络安全、主机安全、数据安全和应用安全展开测试，具体测试内容如下。

2.1 网络安全测试

对网络安全的测试包括结构安全、网络访问控制、入侵防范、安全审计和防病毒的测试，如表1所示。

表1 网络安全测试

2.2 主机安全测试

主机安全测试包括身份鉴别测试、安全审计测试、安全监控测试和防恶意代码测试等，如表2所示。

表2 主机安全测试

2.3 数据安全测试

数据安全测试包括安全通信测试、机密性保护测试和完整性保护测试，如表3所示。

表3 数据安全测试

2.4 应用安全测试

应用安全测试包括身份鉴别测试、访问控制测试、恶意代码防范测试、安全审计测试、软件容错测试和资源控制测试，如表4所示。

3 结论

本文针对轨道交通旅客服务系统安全保障平台的设计方案和应用现状，提出了一套针对轨道交通旅客服务系统信息安全保障平台的测评体系，其涉及网络安全、主机安全、数据安全和应用安全四个层面，综合运用访谈、手工检查和工具检查等测试手段对各层面的安全防护策略和设备的安全配置情况进行检查，可为建立轨道交通信息安全测评体系提供依据。

表4 应用安全测试

下一步需要根据旅客服务系统的等级保护要求，从等级保护测评的角度开展系统的信息安全测评及关键技术的研究，从而更合理且全面地定位轨道交通旅客服务系统的安全隐患及薄弱环节，进行富有针对性的系统安全整改和加固，以满足系统的安全防护建设要求。

［1］刘育欣，张彦，陈靖，等.铁路旅客服务集成管理系统设计［J］.铁路计算机应用，2010，19（5）：17.

［2］崔德山，张彦，刘育欣.高速铁路客运服务系统联调联试技术研究［J］.铁路计算机应用，2011，20（1）：1.

［3］江常青，邹琪，林家骏.信息系统安全测试框架［J］.计算机工程，2008，34（2）：130.

［4］王平，靳智超，王浩.EPA工业控制网络安全测试系统设计与实现［J］.计算机测量与控制，2009，17（11）：2153.

［5］贺红，徐宝文，袁胜忠.对应用软件进行安全测试的对手模式及其应用［J］.计算机科学，2009，33（9）：266.

［6］GB／T 20274—2006信息系统安全保障评估框架［S］.