李晓洁

摘要：为了进一步提高信息系统的安全保障能力，贯彻落实《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）文件精神，南京地铁运营有限责任公司根据信息安全等级评测结果对AFC系统ZLC系统进行安全等级保护改造，以使系统达到等保2.0标准第二等级安全要求。

关键字：AFC系统、ZLC系统、信息安全、等级保护

一、概述

目前，外部信息安全形势十分严峻，内部安全威胁也日益增长，据统计，信息安全风险事件的80%主要来自于内部。因此，南京地铁AFC专业以渗透性测试方法为主，开展针对AFC系统的全面渗透性测试，并根据等级保护现场测评结果，通过增加必要的安全设备以及运用先进的技术手段对ZLC系统进行安全等级保护改造，以使系统达到等保第二等级安全要求。

二、AFC系统安全需求分析

信息安全等级保护整改工作是一项体系型的工作，包含了多个相关方面，见图一。

安全需求的主要依据是合规性要求分析和安全风险评估，通过分析国家定级保护要求确定基本安全需求，结合ZLC系统的自身安全风险防范需求，形成最终的安全建设需求。本文以南京地铁三、十号线ZLC系统为例介绍等级保护升级改造过程。

既有ZLC系统网络架构图如下：

南京地铁ZLC系统大多数为多线一中心的系统，建设时间跨度大，使用了多个厂商的多种设备。具体包括主机、网络和安全设备、操作系统、PC服务器、小型机、存储设备、数据库软件、中间件、AFC系统软件等等。改造前的ZLC系统仅仅在和其他业务系统交互的边界部署了两台防火墙，在安全建设方面比较薄弱，无法满足等保二级建设要求。

三、网络安全综合防御体系设计

南京地铁以国家等级保护要求为原则，兼顾技术与管理，以相关文件要求【1】【2】【3】为基本方法设计ZLC系统网络安全保障体系。

（一）安全技术体系设计

等级化安全保护方案设计必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计的基础，因此将从层次结构的角度详细分析AFC业务系统各个层次的安全风险并提出解决方案和技术措施。

1.安全通信网络设计

依据网络安全等级保护文件中的第二级系统“通用安全通用网络设计技术要求”对AFC系统等级保护对象涉及到的安全通讯网络进行设计，内容包括网络架构、通信网络等方面。

（1）网络架构

如图3所示，为改造后的ZLC系统网络拓扑图，满足等保二级对安全通信网络的相关要求。

（2）通信网络安全审计

网络层安全审计旨在对ZLC系统中与网络安全活动相关的信息进行识别、记录、存储和分析。本次改造主要通过安全运维区部署的日志审计对ZLC系统实施网络层安全审计。部署的审计设备可以记录ZLC系统的运行状况，同时还可以作为调查取证工具和进行安全事件的检测，对系统的攻击及时进行报警处理，降低系统非法入侵的概率。

（3）网络设备的安全审计

日志审计系统可以对网络中的防火墙、交换机设备运行过程中产生的信息进行实时采集和分析。当发生异常情况时，安全审计系统可以立即发出警告信息，并向网络管理员提供详细的审计报告和异常分析报告，让网络管理员可以及时发现系统的安全隐患，以采取有效措施来保护网络系统安全。

2.安全区域边界设计

设计内容包括区域边界访问控制、包过滤、安全审计、完整性保护、入侵防范、恶意代码防范等方面。

（1）区域边界访问控制

等级保护对象安全区域边界访问控制的实施对象是配置了访问控制策略的网络设备。访问控制策略是网络安全防范和保护的主要策略，其目的是保證网络资源不被非法使用和访问或防止合法用户的不当操作造成破坏。通过采取访问控制措施可以具有对网络、系统和应用的访问进行严格控制的能力。主要通过在ZLC系统边界部署防火墙设备来实现，同时不同安全区域之间的访问，通过部署的下一代防火墙设备和VLAN隔离进行访问控制。在防火墙上配置安全策略，在核心交换机上设置访问控制列表策略，仅允许已知的业务访问，禁止非法终端直接访问。

（2）区域边界包过滤

对ZLC系统内各个应用的访问需求进行梳理，在区域边界防火墙上配置访问控制策略，访问控制策略规则基本匹配项包括源地址、目的地址、源端口、目的端口和协议等，访问控制力度为端口级。同时理清安全需求，设定逻辑清晰的、满足需要的最少访问控制策略。

（3）区域边界安全审计

在等级保护对象中实施区域边界安全审计，通过在网络边界和重要网络节点进行安全审计实现。

（4）区域边界完整性保护

区域边界完整性保护是构建网络边界安全的重要一环，ZLC系统终端没有访问外网的权限，因此主要做好对非授权设备非法连接到内部网络的行为进行检查，保证网络访问控制体系的完整性和有效性。

（5）入侵防范和恶意代码防范

网络中存在各种可能的攻击行为和恶意代码，ZLC系统主要通过在边界部署下一代防火墙、入侵防御来阻止。对于严重的入侵，通过便捷快速的报警通知方式，例如短信通知、微信推送报警，以便管理员及时知晓并紧急采取处置措施。通过在网络出口处开启防火墙中的防病毒网关、在内部终端和服务器端部署网络版防病毒软件有效对恶意代码进行防护。

3.安全计算环境设计

设计内容包括自主访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、数据备份恢复、可信验证、入侵检测和恶意代码防范、个人信息保护等方面。

（1）自主访问控制

自主访问控制是一种常用的访问控制方式，它基于对主体或主体属性的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主地（可间接地）将访问权限或访问权的某个子集授予其它主体。对于自主创建的文件，除了对文件做机密性、完整性保护外，还需要进行访问控制的操作。ZLC系统的主机系统访问控制策略：启用访问控制功能，依据安全策略控制用户对资源的访问，根据管理用户的角色分配权限，仅授予管理用户所需的最小权限。硬件上通过在ZLC系统交换机和防火墙上设置不同网段、不同用户对服务器的访问进行权限控制。关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员。

（2）系统安全审计

对ZLC系统的终端、服务器、数据库和应用系统均设置安全审计措施，对系统内的相关安全事件、提供审计记录，记录内容包括用户、对象、时间、操作以及结果等，并提供审计记录的查询、分类、报表、存储和事件回放功能。

（3）入侵检测和恶意代码防范

通过在核心交换区部署入侵防御，在主机和终端安装网络版防病毒软件，同时开启网络出口处防火墙的防病毒模块来实现入侵检测和恶意代码防护功能。此外定期对设备的特征库进行升级并对网络中的流量进行监测，对各类病毒和恶意代码进行徹底查杀，构建起一道最基本的防线，保护ZLC全网终端及服务器。

（4）个人信息保护

等级保护对象中业务系统在需要采集个人信息时，仅采集和保存必需的用户个人信息。制定保障个人信息安全的管理制度和流程，严格制度和流程进行操作，保障用户个人隐私数据信息和利益不受到侵害。

4. 安全管理中心设计

设计内容包括系统管理、安全管理和集中管控等方面。

（1）三员管理

改造后的ZLC系统通过在安全运维区部署堡垒机实现系统管理员、安全管理员和审计管理员和的三权分立，并对各类管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行权限范围内的管理操作，并对这些操作进行审计。

（2）集中管控

根据防御体系的要求，建立安全管理中心，实现对ZLC系统的安全策略及安全计算环境、安全区域边界和安全通信网络的统一管控。安全管理中心由安全管理区域或平台实现，在ZLC系统网络中按照安全域分域防护原则，单独划分特定的安全运维区，该区域部署所有涉及到网络安全的设备或组件，包括堡垒机系统、日志审计系统、恶意代码检测系统，对分布在网络中的安全设备或安全组件进行集中管控。

四、现场设备安装布局

如图4所示，为三、十号线ZLC机房等级保护设备现场布局图。

布局说明：

在出口边界处网桥部署两台下一代防火墙，开通防病毒模块，在核心交换机上旁路部署入侵防御设备，满足等保二级中安全区域边界的相关要求。

在核心交换机上，通过VLAN划分，独立出一个安全运维区域，部署等保二级需求的堡垒机、日志审计、态势感知类安全运维审计设备。

在安全运维区旁路部署终端防病毒服务器，在服务工作站等PC终端以及服务器终端上部署EDR防病毒软件，满足等保二级中安全计算环境相关要求。

参考文本

【1】《信息安全网络安全等级保护安全设计技术要求》

【2】《网络安全等级保护基本要求》

【3】《网络基础安全技术要求》