祝咏升，丁 妍，张 彦

(1.中国铁道科学研究院电子计算技术研究所，北京 100081;2.中国电力科学研究院配用电与农电研究所，北京 100192)

中国铁路客票系统已成为覆盖全路的计算机售票网路，实现全国范围内的联网异地售票，实现客票销售渠道网络化、服务手段现代化、运营管理信息化的大型信息系统［1］。系统实时交易性强，要求系统具有很高的安全性和可靠性，该系统的安全运行涉及社会公共秩序和社会稳定，被确定为国家信息安全等级保护第四级强制保护级系统，且支持多种售票渠道和多种支付方式，在通过客票数据共享平台和交易服务集成平台提高客票系统的开放性的同时，必须确保客票系统内部交易安全、售票电子支付安全、系统外部边界安全及其铁路客户服务中心网站安全。按照我国信息系统等级保护四级信息安全防护体系的设计技术要求，本文从“一个中心支撑下的三重防护体系”层面提出铁路客票系统信息安全防护技术设计方案［2－3］。

1 铁路客票系统信息安全需求分析

随着铁路互联网售票系统的推广使用，铁路客票系统逐步实现现代化、信息化的经营模式，从铁路企业网内部的经济活动，逐步被电子商务体系所涵盖。与之相应，对铁路客票系统信息的恶意攻击和非恶意攻击已经成为不可避免的“日常安全事件”［4］。

铁路客票系统的信息安全保障是一种特定系统的安全保障，从系统的采集处理、存储、传输、分发和部署各个阶段，结合中国铁路客票系统的特点，以风险和策略为出发点和核心，确保信息的机密性、完整性和可用性特征，实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护信息和系统资产，从而实现铁路客票系统信息安全保障的最终目的。

(1)计算环境要求:强化身份认证机制，要求可以防止恶意用户非法进入系统实施破坏;加强可信接入控制，要求可以防止区域内外到业务系统的非法连接;加强系统级的强制访问控制，能够对每个用户进行细粒度授权，防止内部用户的越权访问;加强审计功能，对各种操作行为进行记录。

(2)区域边界要求:加强铁道部中心、地区中心和车站之间的区域边界保护，交换信息时，需要在边界处加强控制，对进入区域的信息实施强制访问控制，同时需要对信息交换的行为进行严格的主体身份认证及行为审计，防止跨域的恶意攻击行为。

(3)通信网络安全要求:加强对业务数据流的完整性保护，确保恶意用户不能伪造合法的业务数据信息，并确保业务数据在传递路径上不会被篡改，保证在任一节点对业务数据的访问都有审计信息产生。

(4)安全集中管理要求:加强安全管理中心建设，通过采用由安全管理中心统一管理的安全策略管理、安全审计管理等安全措施，对各层面的终端、服务器及网络设备的集中统一的配置和监控，统一制定整个系统的安全策略，实现系统运行状态始终可控，以达到防内为主、内外兼防的目标。

2 铁路客票系统信息安全防护体系的构建

铁路客票系统信息安全防护体系设计采用四级客票安全保障平台进行实现，是在安全密码技术、系统安全和通信网络安全为基础的具有四级安全的信息安全机制和服务的支持下，实现四级安全计算环境、四级安全通信网络、四级安全区域边界防护和四级安全管理中心的设计。建立一个明确定义的形式化安全策略模型，将自主和强制访问控制扩展到所有主体与客体，相应增强其他安全功能强度;将系统安全保护环境结构化为关键保护元素和非关键保护元素，以使系统具有抗渗透的能力。

2.1 客票系统安全可信计算基(TCB)模型

铁路客票系统安全保障平台基于“一个中心”管理下的“三重保护”体系框架，构建安全机制和策略，形成定级系统的安全保护环境。该环境分为安全计算环境、安全区域边界、安全通信网络和安全管理中心四个部分。客票系统安全保障平台的TCB模型如图1所示。

信息系统TCB可划分为TCB初始核心、部件级TCB和系统级TCB共3个层次。铁路客票系统TCB扩展模型从建立TCB初始核心开始，采用逐层度量及逐层验证的方法对该TCB核心进行扩展，最终形成系统级TCB。

首先建立一个足够小且可验证的TCB初始核心，通过对初始TCB进行安全控制，保证TCB初始核心的完整性。然后根据结构和功能要求通过完整性度量和隔离保护机制对TCB进行逐层扩展，构成各关键安全部件的TCB。最后确定部件级TCB之间的接口和连接方式，以可信连接为保障手段实现各部件TCB安全功能的组合，并将部件级TCB扩展到系统级TCB，实现整个铁路客票系统的安全保护。

2.2 客票系统安全保障平台总体结构

铁路客票系统的安全域根据组织层次结构等级，从纵向看分为铁道部级、地区级和车站级三层结构，包括了客票系统铁道部票务中心、地区票务中心、车站系统［5］。从逻辑上可分为3个层次安全级别的安全域，分别为铁道部级安全域、地区级安全域、车站级安全域，3个级别安全域的安全目的类似，安全保护重点在强度上有所不同。铁路客票信息安全防护系统部署模型如图2所示。

图1 铁路客票系统安全保障TCB模型Fig.1 Security insurance TCB model for TRS

图2 铁路客票安全防护系统部署模型Fig.2 Model of security protection system for TRS

(1)安全计算环境包含安全的身份鉴别、自主访问控制、标记与强制访问控制、安全审计以及相应等级的安全功能［6］，实现对计算环境的内部数据存储、传输和处理的安全保护以及系统运行的安全保护。

(2)安全通信网络保障通信网络运行安全和通信网络数据传输和交换安全，实现对通信网络所提供服务的安全保护，通信网络中传输数据的完整性、保密性、真实性及抗抵赖等保护。

(3)安全区域边界防护通过防火墙、安全网关以及隔离网闸与过滤安全机制，实现安全区域边界传输的数据和操作要求进行隔离和控制，防止非法连接和违规操作。

(4)多级网络系统安全互联接口确保外部系统不能直接访问客票系统安全计算环境，必须通过一个隔离区，由其中运行代理服务器代理客户的访问。代理服务器和计算环境之间有强制访问控制和隔离手段，确保外部访问是结构化的可信访问。

(5)安全管理中心下设安全管理平台和PKI/CA认证平台，对客票系统各种安全机制和服务进行集中管理与控制，包含安全策略管理、安全审计、网络管理、标记、授权管理以及密钥和证书管理。

3 铁路客票系统信息安全防护体系的设计

3.1 内网安全计算环境设计

铁路客票系统内部安全计算环境主要由售票终端、业务终端、管理终端、应用服务器和数据库服务器构成，主要运行模式是本地售票、跨域售票和远程售票。

系统内部安全计算环境要求安全的操作系统和安全数据库管理系统所提供的安全功能及相应安全等级的其他功能，为不降低客票业务正常运行的效率，对受控终端系统，采用安全代理方式进行结构化保护;对受控服务器系统，采用安全管控器方式进行结构化保护;对TVM系统，采用可信计算终端方式进行结构化保护;基于客票工作流的标识，进行强制访问控制;安全管理与控制中心对分布在内部计算环境的各种安全机制和服务进行统一管控。

3.2 外部安全区域边界设计

铁路客票系统由于对外连接客户服务中心(12306)，从逻辑上使得互联网与铁路客票专网之间形成了通路，为了不影响客票系统的正常业务运行，需要强化客票专网边界安全，确保铁路客票系统安全、稳定的运行。铁路客票系统外部安全区域边界设计逻辑结构如图3所示。

图3 客票系统外部安全区域边界设计逻辑结构图Fig.3 Logic structure of external security region boundary for TRS

铁路客票系统从铁道部中心到车站纵向划分成3个安全子域，按照业务的隶属关系，从铁道部票务中心依次到地区票务中心、车站，通过专有网络形成具有统一的从上至下的3个逻辑层面的部门内部联网，从铁道部到车站的网络以树形结构连接。纵向区域之间部署区域边界，对不同区域之间的信息流进行强制访问控制，并且以铁道部中心的安全管理中心为依据，对铁道部中心与地区中心之间的主客体做授权转换，使得跨域的业务访问满足最小特权原则［7］。

在客票系统网络中，各级票务中心的子网均通过具有包过滤功能的路由器后接入铁道部公用网络平台，限定外部用户进入局域网的数据包［8］，运用IP地址和端口号来限定处理，检查数据包的源地址、目标地址、传输协议、安全标记等，确定是否允许该数据包进出受保护的区域边界，并通过设置审计机制，安全管理平台集中管理对确认的违规行为及时报警并做出相应处置。

3.3 安全通信网络设计

安全通信网络子系统负责保证安全系统在通过网络进行跨域访问时的安全，同时防止外部网络非法访问内部安全系统，通信网络传输安全主要是保密性、完整性和抗抵赖，这个功能可以通过加密传输来实现，而且阻止网络入侵行为采用通信网络监控模块来实现，安全通信网络子系统的组成如图4所示。

图4 安全通信网络子系统的组成Fig.4 Structure of security communication network for TRS

3.3.1 多级网络系统安全互联设计

多级安全互联是指不同安全等级信息系统之间的安全互联，为不同安全平台之间的互操作提供安全支持，既要确保执行操作的用户身份的真实性和操作的合法性，又要确保数据出/入客票专网的合法性和数据在传输过程中的安全性。

多级安全互联是各级安全保障平台自身安全防护为基础，辅以相关的互联网络的安全机制，采用VPN技术、安全通信技术，实现多级安全系统之间的操作和数据传输与交换的安全防护，实现数据传输的机密性、完整性、抗抵赖以及可信连接。

3.3.2 客票专网系统安全互联设计

铁路客票系统的远程终端(如代售票网点)接入车站售票网络、部客票中心与地区客票中心、地区客票中心与车站售票系统之间通信网络安全，采用可靠分布式安全通信平台实现:

(1)支持跨平台安全通信，支持数字信封/数字签名机制来保证通信数据的机密性，完整性，不可否认性，并与安全管理与控制平台联动，实现节点访问控制。

(2)提供消息、请求－应答、会话和文件传输共4种通信方式，提供同步的、可指定加密级别的通信应用接口。

(3)支持通信网络监控，单点故障不会破坏整个网络的正常运行。

(4)远程售票点安全接入，为了保证售票端的通信效率，对售票交易数据不进行接管，涉及无线通信环境或者跨越广域网的(远程)代理售票点，需要保证数据的完整性和可认证性。

针对旅游英语专业学生跨文化交际能力这一测试主体，笔者对我校旅游英语专业的80名学生进行了调查，并根据调查结果进行了定量分析。

3.4 安全管理平台设计

铁路客票系统安全管理平台(见图5)是安全策略部署和控制中心，其部署的安全策略是各安全部件和各安全保障层面的纽带，是对三重防护体系的有效支撑，管理员通过安全管理平台制定安全策略，强制计算环境、区域边界和通信网络防护执行策略，从而确保整个客票系统及时有效地执行统一的安全策略。分为安全管理子平台和PKI/CA认证子平台。

安全管理子平台对分布在网络环境的各种安全机制和服务进行统一管理、统一监控、统一审计、综合分析，PKI/CA认证子平台作为铁路客票系统统一的密钥和证书管理平台，形成以安全管理平台和PKI/CA认证平台为支撑，通信网络防护、区域边界防护和安全计算环境保护3个部分协同防护的纵深防御体系。

3.4.1 安全管理子系统

安全管理子系统是信息系统的控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子系统根据应用系统整体的安全风险的动态变化，实现对各类可控组件的安全策略进行规范化的调整与配置，以使各组件安全策略在不同层面实现统一，实现客票系统安全整体纵深防御的理念。

3.4.2 系统与网络管理子系统

系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护，对系统异常行为做应急处理，包括用户管理、设备运维管理和应急处理等功能模块，为客票系统的安全提供基础保障。

3.4.3 审计管理子系统

审计管理子系统是系统的监督中枢，用于保存和处理系统中的所有审计信息，强制节点子系统、区域边界子系统、通信网络子系统和安全管理中心子系统等获得审计信息后形成文件上传到审计服务器保存和处理。审计管理员可以在安全管理中心查看审计信息，通过制定审计策略，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据。

3.4.4 PKI/CA 认证平台

图5 客票系统安全管理平台组成结构图Fig.5 Structure of security management platform for TRS

PKI/CA认证平台建立铁路客票系统的根信任节点，通过管理和技术手段把信任关系从铁道部中心传递到地区中心以及车站，直到每个业务员。数字证书是信任关系的载体，证书系统采用分布式体系结构，在铁道部中心分布有密钥管理系统(KMC)、证书签发系统(CA)、注册系统(RA)、证书发布系统(LDAP)、证书验证系统(OCSP)、配置管理器、审批系统以及相关加密设备。在地区中心分布有RA，LDAP，OCSP以及配置管理器、审批系统、相关加密设备［9］。

4 结论

铁路客票系统的信息安全是保障系统正常有效运行的基础，信息安全防护体系的设计需要从总体和战略角度出发，全面考虑系统的安全设计问题［10］。结合铁路客票系统信息安全现状及需求，本文提出了“一个中心支撑下的三重防护体系”的信息安全防护体系结构。

(1)铁路客票系统信息安全技术方案的设计充分考虑系统业务应用需要，在业务和安全之间实现了统一管理、统一策略、统一目标，对资源进行整体规划，避免资源争用，提高了系统整体运营效率。

(2)全面支持已部署的安全设备与系统，为用户提供了直观的层次化统一监控平台，能对网络和系统的安全情况进行全面监控、分级保护，使得铁道部中心、地区中心和车站均可以以不同权限访问和查看客票系统的安全状态。

(3)通过强大的安全知识库和策略库等，在对系统进行有效风险评估的基础上，对安全事件进行自动处理，并进行自动预警以及自动应急响应，保障了客票系统长时间可靠运行和效率。

［1］万 星.铁路客票安全系统的设计与实现［J］.四川工业学院学报 2003，3(增1):67－70.WAN Xing.The design and realization of railway secure network ticket sale system［J］.Journal of Sichuan University of Science and Technology，2003，3(S1):67 －70.

［2］沈昌祥.高安全级信息系统等级保护建设整改技术框架［J］.中国人民公安大学学报:自然科学版，2009(1):1－4.SHEN Chang-xiang.The construction and rectification technology framework for high level security classified protection information systems［J］.Journal of Chinese People’s Public Security University，2009(1):1 －4.

［3］大 勇.铁路客票系统安全保障体系的等级化保护［J］.信息网络安全，2005(2):60－63.DA Yong.The classified protection of security system for TRS［J］.Netinfo Security，2005(2):60 － 63.

［4］黄文培，何大可.铁路客票网络安全需求分析与安全模型研究［J］.铁道学报，2004，26(2):1－7.HUANG Wen-pei，HE Da-ke.Research on the security requirements and model of railway passenger ticket network management［J］.Journal of the China Railway Society，2004，26(2):1 －7.

［5］刘培顺，何大可.RBAC在铁路客票网络安全系统中的应用［J］.铁道学报，2004，26(3):62－66.LIU Pei-shun，HE Da-ke.Application of RBACin the railway passenger ticket network security system［J］.Journal of the China Railway Society，2004，26(3):62 －66.

［6］徐 超.铁路信息系统安全标准的探讨［J］.铁道技术监督，2010，38(8):4 －6.XU Chao.Research the security criterion of railway information systems［J］.Railway Quality Control，2010，38(8):4－6.

［7］胡志昂.信息系统等级保护安全建设技术方案设计实现与应用［M］.北京:电子工业出版社，2010.HU Zhi-ang.Scheme design and application of classified protection construction technology for information systems［M］.Beijing:Publishing House of Electronics Industry，2010.

［8］武振华，叶明芷，刘相坤.铁路客票预订与发售系统安全技术的研究与发展［J］.中国铁道科学，2001，22(6):63－67.WU Zhen-hua，YE Ming-zhi，LIU Xiang-kun.Research and development of safety technologies of TRS［J］.China Railway Science，2001，22(6):63 －67.

［9］刘培顺，王建波，何大可.铁路客票网络安全系统PKI子系统的设计与实现［J］.中国铁道科学，2004，25(6):115－119.LIU Pei-shun，WANG Jian-bo，HE Da-ke.Design and implementation of the railway ticket and reservation network security PKI subsystem［J］.China Railway Science，2004，25(6):115 －119.

［10］彭代渊.铁路信息安全技术［M］.北京:中国铁道出版社，2010.PENG Dai-yuan.Information security technology on railway［M］.Beijing:China Railway Publishing House，2010.