地铁人脸识别作业系统的网络安全等级保护设计

2021-04-13肖世龙

中国新技术新产品 2021年2期

肖世龙

（广州地铁设计研究院股份有限公司，广东广州 510000）

0 引言

基于大数据新技术与成熟的人工智能技术，人脸识别检票过闸系统在国内多个城市地铁上线，而人脸识别作业系统作为人脸识别业务的支撑平台[1-2]，它的网络安全等级保护至关重要。该文基于人脸识别技术在某地铁的应用实践，介绍了相关人脸识别作业系统的网络安全等级保护设计经验，为国内城市地铁人脸识别技术的应用提供了重要的参考。

1 人脸识别作业系统构成

人脸识别作业系统是该市地铁自动售检票系统实现人脸识别检票过闸的支撑平台，人脸识别作业系统与已有的AFC系统共同组成了完整的自动售检票系统。已有的AFC系统包括清分中心系统（ACC）、数字票务平台系统、1号线 AFC系统以及2号线 AFC系统等。考虑到业务的统一性，该市地铁人脸识别作业系统与数字票务平台系统统筹进行网络安全等级保护设计。

人脸识别作业系统由业务服务数据库、业务服务器群、核心交换区、数据备份区以及外部接口区等组成。其主要功能是实现地铁人脸识别乘车的核心应用能力，其中包括用户管理、密钥管理、人脸行程管理、人脸行程匹配、人脸订单管理、配置管理平台以及实现对人脸识别服务器的管理和配置等功能。

2 系统网络安全等级定级

根据GA/T 1389—2017《信息安全技术网络安全等级保护定级指南》，人脸识别系统信息遭到破坏后，社会秩序和公共利益会受到严重侵害；因此，系统信息安全保护等级属于三级。

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级中较高者所决定的。因此，人脸识别作业系统的安全保护等级界定为第三级。

3 系统网络安全设计方案

3.1 安全域划分

安全域划分的目的是将网络安全问题细化，实现针对性的安全防护部署[3]，从而更好地控制网络安全风险，降低系统风险。

系统平台总体分为核心交换区、外部接口区、安全管理区、业务承载区以及内部接口区等功能区域。

核心交换区主要负责整个的核心网络的数据交换；网络采用2层架构即分为核心层和接入（汇聚）层，核心层负责整体网络的集中控制转发，需要核心设备具备高性能、高可靠的特性，核心交换机连接外部接口区、内部接口区、人脸识别业务承载区以及综合安全管理中心等。2台核心交换机间部署双机虚拟化，将2台设备虚拟为1台，保证业务的高可靠性。

智网（外部）接口区为地铁信息系统提供外部连接接口，主要负责专网和公网间的连接。

安全管理区是计划部署以业务为核心，集网络安全、应用安全以及业务安全为一体的安全管理系统，它具备防火墙、防入侵、应用控制、审计以及主机防护等安全功能，同时还具备可视化管理等功能。

业务承载区，通过服务器集群技术构建计算资源池和存储资源池，为人脸识别提供计算存储等服务。

内部接口区主要负责互联网票务平台及人脸识别与地铁内部其他业务系统的连接。

3.2 安全建设方案设计

3.2.1 建设目标

安全方案应该严格根据技术与管理要求进行设计。根据《信息系统等级保护安全设计技术要求》并结合管理要求设计本级系统保护环境模型。

3.2.2 业务承载区

业务承载区承担着互联网票务与人脸识别系统的基础业务负载，各负载设备通过2台汇聚交换机进行连接，2台交换机要保证业务的可靠性和稳定性，因此需要选择高性能的汇聚交换机，在2台交换机之间部署双机虚拟化功能，将2台设备虚拟为1台设备，当1台设备出现DOWN机事件时，不会影响到系统的正常使用，从而保证业务的高可靠性。2台交换机采用双链路冗余的方式连接业务服务数据库、业务服务器群、业务存储设备等设备，并对用户行为、用户事件及系统状态进行审计，全面记录数据库的访问行为，识别越权操作等行为。通过汇聚交换机盘挂1台数据库审计，实现对敏感数据访问行为轨迹的跟踪，防止敏感数据泄漏，并提供相应的建议。业务承载区（如图1所示）通过2台防火墙和入侵防御系统（IPS）连接到地铁通信的骨干网上，进行边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计。

图1 业务承载区网络拓扑图

3.2.3 外部接口区

外部接口区为地铁信息系统提供外部连接接口，主要负责专网和公网网络的连接。考虑到等级保护建设要求，应该在区域边界的出口串联防火墙设备和IPS设备，其中IPS设备可以对内网和外网的存取应用进行管理[4]，如图2所示。

图2 外部接口区网络拓扑图

3.2.4 安全管理区

安全管理中心的主要功能是监控系统的运行状态和设备的运行情况，同时实现统一的安全策略部署，如图3所示。

在控制中心部署运维审计堡垒机，实现运维管控及审计。运维人员通过运维审计堡垒机的审计认证后才能进行业务操作且可以对所有操作过程进行回溯。

部署漏洞扫描系统可以定期扫描漏洞，及早规避、发现可能出现的问题[5]。

部署主机服务器安全加固系统，其具备组网内资产清点、风险分析、入侵检测、病毒查杀以及安全日志等功能。

设置终端杀毒系统，利用防病毒服务器实现终端主机防病毒策略的制定，及时获得最新的病毒特征库，并同步更新到数据中心节点的各个终端，同时接受各个终端上报的病毒威胁和事件监控以及审计日志等必要的信息。

部署日志审计系统对进行系统检测，并对日志进行关联分析，生成关系图谱，保证系统的安全。

1个标准的安全防护体系在标准的安全体系里需要让各节点进行联动，建设带有预警机制的安全防护体系。

在该方案的安全体系中，安全预警机制是工作人员发现目标的重要手段。整套安全体系不再是被动防护的机制，因为有了预警机制，所以可以通过多点联动防护的模式，主动阻断恶意行为。

联动防护机制可以在预警分析判断为恶意行为后，通知防火墙设备阻断其外链的IP地址，记录文件指纹更新安全防护策略，隔离恶意文件。

安全管理中心的部署实现了安全设备的统一分析和管理，使系统能从整体的角度结合各类安全设备日志进行分析，并能对各类安全设备做到统一管理和统一的配置下发。

图3 安全管理区网络拓扑图

3.2.5 总架构

系统采用分区分域的形式进行规划设计，按使用功能进行区域划分，并在不同的边界部署相应的安全防护，形成了安全计算环境、安全区域边界、安全通信网络和安全管理中心的全面保护，该架构满足安全保护等级第三级的相关要求。安全网络总架构图如图4所示。

4 人脸识别作业系统网络安全保护效果

该方案满足安全保护等级第三级的相关要求，并具有以下4个特点：1）遵循标准化。该方案的制定参照并遵循了国家颁发的一系列信息安全标准。2）重复利用与整体化。信息安全建设从系统整体的角度去分析安全风险，本着需求、风险和代价相平衡的思想，提出解决方案，避免了重复建设。3）易操作与低资源占用率。该方案容易操作；不会降低或占用系统本身的性能。满足易操作与低资源占用率的原则。4）可扩展性。该安全方案能够适应网络规模的扩展以及安全需求的变化，并能够实现统一的安全升级。