广西泛北部湾经济区交通一卡通平台安全体系建设的应用研究
2016-08-20杨华严凯
杨华严凯
(1.华蓝设计(集团)有限公司 广西南宁 530011 2.南宁市交通运输信息管理中心 广西南宁 530022)
广西泛北部湾经济区交通一卡通平台安全体系建设的应用研究
杨华1严凯2
(1.华蓝设计(集团)有限公司 广西南宁 530011 2.南宁市交通运输信息管理中心 广西南宁 530022)
广西泛北部湾经济区交通一卡通平台安全体系的应用是全国交通一卡通互联互通的一项重要工作,是保障交通一卡通平台稳定运行的有效手段,对我们国家和百姓的个人隐私都具有十分重要的现实意义。本文从立足于广西泛北部湾经济区交通运输信息化实践,结合广西泛北部湾经济区交通运输信息化现状,对广西泛北部湾经济区交通一卡通平台安全体系的建设设想进行系统的研究,进一步探索广西泛北部湾经济区交通一卡通互联互通环境下的安全体系的应用,以期对开展工作有所裨益。
交通;一卡通;安全体系
引言
飞速发展的互联网业在给社会创造了巨大的效益,给公众带来方便。与此同时,互联网的高度开放性也对社会经济发展以及人民的生活带来了不利的影响,病毒侵袭、网络欺诈、信息污染、黑客攻击等问题更是给我们带来困扰和危害。面对如此严峻的互联网环境,广西泛北部湾经济区交通一卡通平台在建设前,必须要做好规划,否则,平台一旦遭到破坏后,业务应用系统的业务信息将遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公共利益造成严重损害,将极大影响应用系统的正常运行,导致业务能力下降和结论出错,严重侵害的客体将是社会秩序和公共利益。本文从立足于广西泛北部湾经济区交通运输信息化实践,结合广西泛北部湾经济区交通运输信息化现状,对广西泛北部湾经济区交通一卡通平台安全体系的建设设想进行系统的研究,进一步探索广西泛北部湾经济区交通一卡通互联互通环境下的安全体系的应用,以期对开展工作有所裨益。
1 研究背景
2015年5月,交通运输部办公厅发布了《交通运输部关于促进交通一卡通健康发展加快实现互联互通的指导意见》,全面推广普及交通一卡通,逐步实现跨区(市)域、跨交通方式互联互通。2015年12月,广西壮族自治区人民政府办公厅根据发布了《广西交通运输厅全区交通一卡通工作实施方案》,以广西北部湾经济区四市(南宁、北海、防城港、钦州市)同城化为契机,广西北部湾经济区四市率先建立公交、地铁、出租车、高速公路ETC及其他客运交通工具的交通一卡通系统,逐步实现全区交通一卡通互联互通。由此可见,在广西泛北部湾经济区构建交通一卡通平台势在必行。
综观国内一卡通平台的运营管理工作,平台的信息系统稳定安全运行是平台运维护重中之重。然而,在信息系统等级保护方面,我国的工作起步较晚。1999年9月,国家质量技术监督局发布了第一个国家标准-GB17859-1999计算机信息系统安全保护等级划分准则[1],是实行计算机信息系统安全等级保护制度建设的重要基础。2008年6月,全国信息安全标准化技术委员会发布了《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)[2],从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度两个方面,规定了信息系统安全等级保护的定级方法。根据信息系统安全等级保护的定级方法,广西泛北部湾经济区交通一卡通平台的信息安全等级属于三级,平台一旦遭到破坏后,业务应用系统的业务信息将遭到入侵、修改、增加、删除等不明侵害,会对社会秩序和公共利益造成严重损害,将极大影响应用系统的正常运行,导致业务能力下降和结论出错,严重侵害的客体将是社会秩序和公共利益。因此,广西泛北部湾经济区交通一卡通平台安全体系的建设尤为重要。
2 现实意义
此项工作的顺利推进,能极大提高广西泛北部湾经济区交通一卡通平台的安全系数,保障用户的信息安全和广西泛北部湾经济区交通一卡通互联互通大平台的稳定运行,同时带动广西泛北部湾经济区交通运输产业的发展和进步,更为全国交通一卡通互联互通事业的发展打下一个良好的基础。这一点,对我们国家和百姓的个人隐私都具有十分重要的现实意义。
3 建设思路
广西泛北部湾经济区交通一卡通平台的信息安全等级属于三级,需对平台全网进行合理的安全域划分,以实效和应用为主导,管理与技术并重,从物理、网络、主机、应用、数据、管理等方面,保障平台的安全,形成集防护、检测、响应、恢复于一体的整体安全保障体系。广西泛北部湾经济区交通一卡通平台的安全体系总体架构如图1。
图1 安全体系总体架构图
广西泛北部湾经济区交通一卡通平台的安全体系建设,笔者认为应该从管理和技术两方面入手,管理措施包括管理体系,管理制度、安全运维和法律保障;技术措施,它是利用计算机网络产品和技术服务实现的,包括技术规范、技术方案、技术实施以及物理安全防范等内容。
3.1 安全体系框架设计思路
广西泛北部湾经济区交通一卡通平台安全保障体系将通过建设平台安全技术体系、安全管理体系以及应急响应支援体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现实体安全、网络系统安全、应用安全(包括信息交换)、安全管理,以满足平台全方位的安全需求。安全保障体系,实质上就是一个安全管理的体系,其中包括组织管理、技术管理和操作管理等多个方面[3]。图2为广西泛北部湾经济区交通一卡通平台安全保障框架。
图2 安全保障框架图
3.1.1 安全技术体系
广西泛北部湾经济区交通一卡通平台安全技术体系主要包括物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复五个方面。上述所提及的五个方并不仅以防护为主的静态体系,而是涵括防护、检测、响应、恢复并重的动态技术体系[4]。
(1)物理安全:具体包括物理位置的确定、物理访问控制、防盗窃、防雷击、防破坏、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
(2)网络安全:具体的控制点包括结构安全、访问控制、安全审计、边界检查、病毒代码防范、网络设备防护等七个控制点。
(3)主机安全:涉及的控制点包括身份识别、标记、进入控制、安全审计、剩余信息保护、病毒代码防范和资源控制等八个控制点。
(4)应用安全:涉及的安全控制点包括身份鉴别、访问控制、安全审计、抗抵赖、软件容错、资源控制、用卡环境安全等七个控制点。
(5)数据安全及存储备份:对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。保证数据安全和备份恢复主要从数据完整性、数据保密性、备份和恢复等三个控制点考虑。
3.1.2 安全管理体系
广西泛北部湾经济区交通一卡通平台安全管理体系主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面:
(1)安全管理制度主要包括:管理制度、制定和发布、评审和修订三个控制点。
(2)安全管理机构主要包括:岗位设置、人员配备、审批、合作和沟通以及检查和审核等五个控制点。
(3)人员安全管理:具体包括人员录用、人员离岗、人员考核、安全培训和外部人员访问控制等五个控制点。
(4)系统建设管理:具体包括系统定级、安全功能设计、产品采购与使用、自主软件开发及外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。
(5)系统运维管理:主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、病毒代码防范管理、密码管理、变更管理、备份管理、安全事件处置、应急预案管理等十三个控制点。
3.1.3 安全防护策略及设备部署
结合目前运行于互联网信息系统安全现状,广西泛北部湾经济区交通一卡通平台安全防护有可能面临的安全威胁主要包括:
(1)平台业务外网承载的系统大部分是基于B/S模式的,网络入侵者容易利用Web服务器的漏洞,对系统进行控制。
(2)平台业务外网承载的应用一般为windows服务器版操作系统,自身也存在较多安全漏洞。同时,应用系统本身也可能存在安全隐患。
在应用安全上综合建议采用以下安全策略:
(1)在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非制授权访问[5]。
(2)通过开启系统审计功能及部署硬件级别的审计系统,实现全方位的安全审计。
(3)通过VPN技术实现通信安全。
(4)在程序开发过程中全面考虑代码安全,应用系统投入使用后定期进行应用系统的安全扫描,满足代码安全要求。
(5)应用系统部署的网络环境达到三级等级保护安全,可利用相关设备进行安全防护。
目前,广西泛北部湾经济区交通一卡通平台安全体系的建设尚处在探索、研究阶段,课题思路还存在许多不完善方面。此外,将其落实、应用也还存在一定的困难,要实现广西泛北部湾经济区交通一卡通平台安全体系的建设目标与愿望除了借助“外脑”配合之外,还需要继续创新思维,大胆探索,不断在实践中总结,在运用中完善。
[1]国家质量技术监督局.《计算机信息系统安全保护等级划分准则》(GB17859-1999)[S].北京:中国标准出版社,1999.
[2]信息安全等级保护评估中心.《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)[S].北京:中国标准出版社,2008.
[3]苏骏.信息系统安全体系构建研究[D].武汉理工大学,2008.
[4]刘怡,张截.基于Internet的管理信息系统研究[J].计算机应用与软件,2005(08).
[5]高朝勤.《息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.
F512.7
A
1004-7344(2016)18-0154-02
2016-5-10
杨 华(1984-),男,城市规划师,本科,从事城市交通规划与设计方面研究工作。
严 凯(1978-),男,工程师,本科,从事城市交通运输信息化方面研究工作。
