基于IATF安全模型的一卡通安全体系设计

王　成，涂庆华，徐国祥

（南京理工大学信息化建设与管理处，江苏南京210094）

基于IATF安全模型的一卡通安全体系设计

王成，涂庆华，徐国祥

（南京理工大学信息化建设与管理处，江苏南京210094）

一卡通作为高校重要的应用系统，每天产生大量的刷卡消费、圈存等金融交易行为，同时面临着各类攻击风险，通过应用IATF的安全模型，从宏观角度对一卡通系统安全体系进行整体设计，按照IATF模型的焦点域、纵深防御、安全强健性等规范，对网络和基础设施、区域边界、计算环境等进行防护，从整体上达到降低被攻击风险的目的。

IATF；一卡通安全；安全体系设计

一、安全体系模型的选取

当前存在多种信息安全体系，主要有以下几类：

（1）P2DR模型是最先发展起来的一个动态安全模型[1]。P2DR模型主要包括安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）四个主要组成部分。

（2）美国国防部提出了信息安全保障体系，即PDR2模型[2]，其内容涵盖了涉及安全的各个环节，即防护（Protection）、检测（Detection）、响应（Response）和恢复（Restore）。

（3）葛方斌提出动态的可适应性安全模型ANSM （Adaptive Network Security Model），即P2DR2模型，是在P2DR和PDR2模型中综合建立起来的，它综合了从核心的“安全策略”到“恢复”的闭环控制动态安全体系模型，全方位地保护了数据信息和网络资源的安全性[3]。

（4）方滨兴所在“一二三四五国家信息安全保障体系”所提到的：积极防御、综合防范等多个原则，完善信息安全等级保护制度；加强信息安全风险评估工作、完善信息安全监控体系建设、高度重视应急处理工作、重视灾备建设[4]。

（5）信息保障技术框架模型（Information Assurance Technical Framework简称IATF模型），IATF模型由美国国家安全局制定，用以描述信息保障的指导性文件。我国国家973“信息与网络安全体系研究”课题组于2002年将IATF3.0版首次引入国内，IATF对我国信息安全工作和信息安全保障体系建设起着重要的指导和参考作用[5]。

2002年9月出版了IATF3.1版，扩展了“纵深防御”概念，强调信息保障战略的重要性，补充了语音安全的内容。由于信息技术快速发展，新问题不断涌现，IATF深度和广度也处在不断完善之中。

一卡通管理系统之所以选择IATF模型作为信息安全的指导，因为IATF经过了多方验证证明其有效性，另外IATF系统提出的边界防御、纵深防御等思想耳目一新，比较契合一卡通信息安全的安全需求，能够按照规范制定出较为细致的安全技术防范方案。

二、IATF的内容框架

IATF将信息保障划分为四个技术框架焦点域：（1）网络和基础设施；（2）区域边界；（3）计算环境；（4）支撑性基础设施。在每个焦点域中，IATF描述了安全需求和可供选择的技术措施[6]。这四个框架域可以让人理解系统安全的不同重要方面，通过全面剖析安全需求，再制定合理的安全防御机制。

纵深防御（Defense in Depth）是IATF的核心思想之一。即采用多层次、有纵深安全措施来保障系统安全。其中人、技术和操作是三个主要核心因素。系统安全不可能仅靠几种技术或者设备能实现，通过在各层次、各框架焦点域中实施保障，有利于最大限度降低风险。

此外，IATF高度重视“人”这一要素的重要性，技术是安全手段和基础，而管理是安全的灵魂，在重视安全技术的同时，也须加强安全管理。

IATF提出的信息安全原则，对指导建立信息安全体系具有重要意义：

1.保护基础设施、计算环境、区域边界等重要位置

仅仅在信息重要部位设置保护是不够的，系统的整体性决定了任何一个漏洞都有可能招致严重的后果，所以在系统各位置尽可能设置有防御，才能有效降低风险。

2.分层防御

即纵向防御，是纵深防御思想的一个具体实现。分层防御在攻击者和攻击目标之间部署有多层防御，每层防御都为攻击者设置了屏障。分层防御还包括保护、检测、反击措施，用于定位攻击者并采取相应的反击措施，这些手段使得攻击者权衡可能攻击多带来的代价。

3.安全强健性

信息对不同组织具有不同的价值，信息被破坏、被窃取影响后果不同。有必要对信息相关安全组件具备健壮性，健壮性越高成本也高，需要在设计安全体系时，考虑好信息价值和保护成本关系问题。

三、IATF安全模型在一卡通系统中的应用

虽然IATF是在军事需求的推动下由NSA组织开发，但如今的IATF已经可以广泛应用于各行业的信息安全工作，它所包含的内容和思想可以给信息安全工作提供指导和启示作用。

围绕IATF的核心思想，展开一卡通信息安全框架设计工作。一卡通应用功能庞杂，并与中国银行、交通银行及南京市民卡公司存在圈存等合作关系，同时与校园网等存在数据交换，根据一卡通业务现状设计出关系结构如图1所示。

图1　一卡通关系结构

1.四个技术框架焦点域

IATF所定义的四个技术框架焦点域,包含四个方面：网络和基础设施、区域边界、计算环境和支撑性基础设施。一卡通系统环境较为复杂，涉及焦点域内容较多，通过梳理可以明确需要重点防范的区域，以及系统可能存在的薄弱点。一卡通的相关焦点域情况总结如下：

（1）焦点域1：网络和基础设施。涉及有一卡通专网、校园网；银行专线；市民卡专线；数据库 Oracle RAC；对于基础设施的管理；一卡通相关应用。

（2）焦点域2：区域边界。包括：

1）一卡通专网边界：与校园网的边界、与市民卡、与银行之间的边界；

2）一卡通校园网DMZ区边界：与校内外边界;

3）校园网DMZ区内部边界划分；

4）一卡通专网内部边界。

（3）焦点域3：计算环境。包括:

1）服务器类；

2）一卡通相关应用软件；

3）OS类；

4）Web服务；

5）目录服务；

6）打印服务；

7）电子业务；

8）数据库访问。

（4）焦点域4：支撑性基础设施。包括：

1）密钥管理基础设施KMI；

2）检测与响应：设备检测与服务监控平台。

2.纵深防御

纵深防御保护网络和基础设施、区域边界、计算环境等多个重要位置。并且按照系统层次性对每层都定义了防范规范和策略，把分散的局部安全策略进行整体规划，是IATF安全规范的核心组成部分。

（1）网络和基础设施防护

一卡通专网和校园网物理设备的保护：1）校园网和一卡通专网属于三层的网络架构，核心层和汇聚层都部署在校园网络核心交换机房，有充分的安全管理机制和防护保障设备，如动力监控系统，设备监控系统，视频监控系统等。2）对于接入层交换机的控制，接入到校园网或者一卡通专网都有专门的授权保护体系，防止非法的设备接入到网络体系中来。

数据库的防护：数据库采用了Oracle RAC机制，双机能一定程度上提升系统的服务可靠性；基于AIX平台的权限管理和Oracle的权限管理体系，包括表空间管理、日志管理、端口管理等。

存储设备的防护：加密和认证是安全存储的基础，首先通过接入管理，对数据的读写访问权限进行认证；其次，对敏感关键数据进行加密；在具体入口管理上有控制器管理，业务通讯管理。数据是信息系统的核心资产，存储系统数据保护的重要防线；随着存储系统向着网络化和分布式的方向发展，并被特定服务器共享，使存储系统存在受到攻击的可能性大大增加。存储安全变得至关重要，安全存储主要包括存储安全技术、重复数据删除技术、数据备份及灾难恢复技术等[7]。

存储控制器管理：控制器是存储设备的重要设备，存储控制器具有逻辑构成有I/O处理器、硬盘接口控制器、内外连接接口等安全模块。存储控制器软件实现如下三个重要功能：传送I/O操作进/出磁盘、管理和控制磁盘集合（阵列）、使用校验值恢复丢失的数据和为数据冗余计算校验值[8]。存储控制器设定业务数据访问的通道，管理目标磁盘及LUN，设定对应关系，对访问的源地址/MAC进行控制。

存储设备的数据加密功能。如EMCVNX静态数据加密功能，对敏感信息进行控制，防止未授权数据访问事故。VNX静态数据加密用保护写入磁盘的数据，并防止非法拆卸硬盘中获取数据。VNX静态数据加密基于控制器的加密技术，支持常见各类型的硬盘[9]。

（2）区域边界防护

一卡通系统基于对外部环境不信任原则进行设计，通过梳理区域边界关系，并进行边界防护策略的设计，是一卡通安全的重要环节，整体边界防护如图2所示。

图2　边界防护关系图

1）一卡通专网边界：与校园网的边界，一卡通专网与市民卡，与银行之间的边界。配备有防火墙进行一卡通专网和校园网的逻辑隔离。同时配备有网闸设备进行一卡通专网和校园网的硬件隔离。

2）一卡通校园网DMZ区边界：定义一卡通专网去与校内外边界关系。

（3）计算环境防护

计算环境包含种类很多，重点围绕下面几项展开说明：

1）服务器类防护：对IBM P650小型机、刀片服务器等服务器启用自带安全模块，合理配置安全策略，防范对服务器硬件的攻击。

2）OS类防护：Windows Server系列，Aix，Linux，通过合理授权，启用安全策略和审计功能防范对于操作系统的攻击。

3）一卡通相关应用软件防护：采取严格的授权体系，同时结合防火墙等防范对一卡通结算平台，短信平台等应用层的攻击。

4）Web服务防护：一卡通Web提供各类查询类服务，由于直接暴露在校园网上，通过最小开放原则，并启用Web防火墙抵御常见的攻击行为。

5）数据交换服务防护：与数据中心、银行、市民卡之间的数据交换采用专线连接，并用防火墙进行业务隔离；与校园网数据中心的数据交换采用通用数据交换接口类服务等，并启用授权可信IP接入访问等原则。并尽可能采取数据上传下发数据管道分离，防范不当获取数据。

（4）分层防御：对于外部攻击和入侵，具有鲜明的层次性，由外而内，可分为Internet攻击、校园攻击、一卡通专网攻击。

1）来自于Internet攻击：由于一卡通只对校内开放服务，关闭所有对外网的入口。

2）来自于校园网攻击：设置防火墙，开放制定的80端口等服务；并设置Web防火墙，防护常见的服务端口；设置网闸从逻辑上隔离校园网与一卡通专网，网闸业务控制设计如图3所示。一卡通专网内数据通过网闸单向传到数据交换中心。

图3　网闸业务控制设计图

3）一卡通专网的防护：由于一卡通内网在校园内铺设广，为防止恶意物理介入一卡通专网，内部划分了多个Vlan，不同Vlan之间不能进行相互通讯，涉及相互的通讯通过指定安全策略来实现。

Vlan类划分为3大类。多媒体机类：只能访问中间层应用对应的Ip地址，DCOM应用；商务网关类：只能访问中间层应用的对应的Ip地址，DCOM应用。商务网关之间不直接进行数据通讯；管理机类：只能访问中间层应用对应的IP地址，DCOM应用。

DCOM服务器具有服务之间的负载均衡，及业务自动接管服务。

配合对于终端设备的认证管理，实现了对于非法设备接入进行了认证，拒绝服务，即便欺骗了认证，也只能在指定的区域访问不能介入其他的Vlan区域，更不能与核心数据库发生直接关联，保障了账务和交易的安全。

4）一卡通与银行/市民卡服务器的安全防护：在一卡通核心服务器不与市民卡及银行直接通讯，中间采用一卡通前置服务器与之通讯，并且在中间设置有防火墙，对制定端口和源IP，及目标IP进行相关策略限制。关闭所有其他无关服务。由于银行和和市民卡前置机本身具有相当的安全考虑，总体评估一卡通与之对接安全型较高，银行专网边界设计如图4所示。

图4　银行相关专网边界设计图

3.安全强健性

一卡通信息涉及用户的个人消费行为，消费能力等信息，某种程度上涉及到个人隐私，在利益驱动下，出现针对敏感数据的非法窃取行为，甚至篡改数据方式变相盗取现金、直接导致一卡通系统收支亏损。另外，数据中心承载大量重要业务数据和用户个人信息，新型网络威胁的技术复杂性和隐蔽性越来越高，数据泄露危害范围不断扩大[10]。

一卡通的安全的健壮性。IATF为安全机制的强度提出三个强健度等级（SML），并对信息价值分为5个等级，威胁环境按强弱分为7个等级，并以矩阵表的形式列出了35种情况下可选择的强健度等级。可根据其信息价值、面临的威胁环境、需要的安保强健度等级进行选择。

一卡通针对用户的个人信息，消费信息，圈存信息作为保护的内容，进行针对性的防护，分三个层次:

（1）服务器难攻破

通过最小化权限原则，对防火墙设置，Web防火墙，服务器安全设置，OS安全设置。使得对外公布的服务接口小，并且对访问源进行技术控制，以减少受攻击的可能性；同时利用防火墙、Web防火墙对典型的攻击行为进行拦截。通过服务器本身设计登录和访问控制策略，进一步提高服务器的安全性，达到攻不破的效果。

（2）数据难窃取

1）防止远程下载数据库文件。避免将数据库文件直接放到了Web目录下，而Web目录是没有权限控制的，黑客会利用扫描工具很容易被找到，从而被黑客下载到本地。

2）防止利用Web应用漏洞拖库。各种Web应用本身存在问题，黑客们对其进行深入的分析和研究，当高危的零日漏洞发现时，这些Web应用就会遭到拖库的危险。

3）防止利用Web服务器（Apache，IIS，Tomcat等）漏洞拖库。Web安全实际上是Web应用和Web服务器安全的结合体；而Web服务器的安全则是由Web容器和系统安全两部分组成，系统安全通常会通过外加防火墙和屏蔽对外服务端口进行处理，但Web容器却是必须对外开发，因此如果Web容器爆出漏洞的时候，网站也会遭到拖库的危险。

4）规范数据库Schema的权限设置，合理设计表空间管理，对于防止数据窃取也非常重要。

（3）敏感数据难打开

对敏感数据进行加密，由于进行硬件和软件层面的数据加密，即便获取数据也无法打开。又分为卡数据加密、Pos机读卡器加密、交易数据传输加密、数据库敏感信息加密。

（4）业务数据难篡改

对于业务层面篡改数据保护（不同于容灾），又称作“业务数据保护”。传统数据备份方法无法解决非法的删改数据问题。通过CDP（Continuous Data Protection）数据安全保护技术来实现。CDP是一种连续时间点的数据保护技术，能在故障瞬间完成任意时间点的数据故障恢复，达到业务系统的快速连续运行的作用，具体CDP数据保护功能如图5所示。

图5　CDP数据保护功能图

为了应对数据纂改而未被及时发现的情况，采取每天进行数据备份并进行历史存档的办法，并保存6个月以上，通过脚本自动备份方式实现。

以上形成立体的数据保护方案，使得攻击者难度太大而放弃，或者时间精力等代价太大而放弃。

四、小结

目前一卡通系统在实际运行中面临各种风险，通过引入IATF安全模型，梳理出需要保护的资源及防范薄弱点，明确需要重点防范的焦点区域。通过应用纵深防御技术手段、合理制定安全强健性可以较好地抵御各类网络层面、应用层面的攻击；通过各种技术手段监控、较好地防范了数据泄露与篡改行为[11]。从实践效果来看，较好地保证了一卡通核心应用的信息安全和稳定运行。

另外，IATF提供了较为完备信息安全评估与防范的技术规范，整个规范涉及面较为广泛，接下来还需要进一步研究IATF模型并应用于一卡通安全的指导工作，以更好地提升一卡通系统的安全性。

[1]孟学军,石岗.基于P2DR的网络安全体系结构[J].计算机工程,2005(4).

[2]张建东,陈金鹰,朱军.PDRR网络安全模型[J].四川省通信学会二零零四年学术年会论文集(2),2004.

[3]Zhaoyang Qu，Jia Yan.The Design of the Network Security Model of Active Defense[J].W ireless Communications，Networking and Mobile Computing.2008.10.

[4]http://www.m iit.gov.cn/n11293472/n11295344/ n11297007/12425553.htm l.

[5]赵战生.美国信息保障技术框架——IATF简介（一）[J].信息网络安全,2003(4).

[6]IATF3.1中文版(IATFRelease 3.1)[S].2003(9):52.

[7]http://baike.baidu.com/link?url=7W 4lGgowO fl-ZzzoibFSjKtBrBw ZNS6E98tKwW v3Xys28ZhDNCZIyz-9AFkjV17b0w r1-Exjd-2cjEhnB_N 4BwSa.

[8]http://tech.watchstor.com/storage-systems-114257. htm.

[9]http://storage.it168.com/a2014/0504/1619/ 000001619413.shtm.

[10]http://tech.xinm in.cn/2015/06/25/27958435.htm l.

[11]http://tech.sina.com.cn/t/2014-06-27/10469463198. shtm l.

（编辑：杨馥红）

TP311.1

A

1673-8454（2016）21-0085-05