轨道交通自动售检票(AFC)系统信息安全分析
来源:用户上传
作者:
摘 要:传统的AFC系统在信息安全领域存在一定的风险,包括网络层、数据库层、安全策略、病毒防护、信息安全管理制度等方面都需要进行升级和完善,以满足日益严峻的信息安全风险。本文主要对AFC系统中的信息安全风险进行分析,充分讨论信息安全的风险可能对AFC系统造成的后果,以此提升信息安全认识,完善AFC系统安全性。
关键词:AFC系统;信息安全;风险
1 行业背景
城市轨道交通系统是城市,特别是大型城市非常重要的关键基础设施。城市轨道交通系统的运营安全、运行速度、运送能力和运行效率都与轨道交通各系统密切相关,轨道交通AFC系统的信息安全也逐渐开始受到轨道交通建设者和相关管理部门的高度重视。针对轨道交通AFC系统信息安全领域,目前还没有一个系统性的成熟解决方案,应立即考虑切实开展这方面工作,尽早减缓和杜绝信息安全漏洞给AFC系统带来的隐患,并结合具体项目研究最佳实践方案。然而增加信息安全相关防护后,势必对系统的运行效率、可用性、可维护性产生影响。AFC系统基于计算机、通信、网络、自动控制等技术,以非接触式IC卡等为介质,高度安全、可靠、保密的方式实现轨道交通售票、检票、计费、收费、统计、管理功能。
2 设计目标
通过实施“轨道交通AFC系统检测与防护设计”,从信息安全管理、运维和技术三个方面彻底根除系统连接可能带来的信息安全隐患,保障轨道交通安全稳定运行,防止发生信息安全事件。
(1)整体防护。应从整体上规划实施轨道交通AFC系统信息安全防护,从管理、技术、运行所涉及的物理、网络、主机、应用、数据安全等多角度、多层面防护,进而建立起具有综合性、纵深性、先进性的轨道交通 AFC 系统信息安全保障体系。
(2)区域隔离。依据业务的重要性、类别、功能等因素对轨道交通 AFC 系统网络进行划分,按照“纵向分层,横向分区”的原则实施,然后在不同系统、不同层和不同分区之间采用必要的安全隔离和防护措施对彼此之间的数据流和业务操作实施检测、控制和保护。
(3)实时监控。综合性的信息安全体系离不开对信息安全状态的实时掌控,贯彻“事前预防、事发控制、事后改进”是系统信息安全保障体系中核心内容之一。
(4)主机管控。对轨道交通 AFC 系统中中心控制部分的重要主机和终端实施集中的安全配置和监控审计,将安全危害从源头进行检测和遏制。
(5)运维保障。系统信息安全政策、策略、制度、防护手段的落实依赖管理和技术措施的有效运转,运行维护既是衔接管理与技术的关键活动,又是它们落实的有效支撑。
3 需求分析
3.1 安全技术需求分析
3.1.1 安全计算环境需求分析
计算环境的安全主要是物理、主机以及应用层面的安全风险与需求分析,包括:物理机房安全、身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
根据AFC系统自评估结果,线网清分中心系统和线路中央控制系统如要达到等级保护三级关于安全计算环境的要求,还需要改进以下几点:
物理机房安全:AFC系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处环境安全以及整个系统可靠运行等方面,是信息系統安全运行的基本保障。AFC系统的实际建设和运行中,物理安全方面对设备的电磁兼容、电磁屏蔽及接地方面的要求已经有成熟的解决方案,机房相关要求将由机房管理方来覆盖,因此本方案对AFC系统部署的物理环境安全不做详细设计。
数据库审计:线网清分中心系统和线路中央系统都缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒机:线网清分中心系统和线路中央系统都未实现管理员对网络设备和服务器管理时的双因素认证,计划通过部署堡垒机来实现。
主机病毒防护:线网清分中心系统和线路中央系统缺少主机防病毒的相关安全策略,需要配置主机防病毒系统。
另外还需要对用户名/口令的复杂度,访问控制策略,操作系统、WEB和数据库存在的各种安全漏洞,主机登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略的合理性和存在的问题进行一一排查解决。
3.1.2 安全区域边界需求分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
边界访问控制:需要优化网络结构,根据AFC业务情况合理划分安全域,合理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问控制需要在构建安全计算环境的基础上,依托防火墙等安全设备进行访问控制。线网需要在边界部署下一代防火墙实现边界访问控制,在各个重点安全域部署下一代防火墙来实现各安全域的重点隔离防护。
边界入侵防范:线网没有实现边界攻击防护,需要新增入侵防御系统/或新增下一代防火墙IPS功能模块。
恶意代码防范:主机恶意代码防护通过部署终端病毒查杀软件实现,网络边界恶意代码防护需要部署下一代防火墙,开启AV防病毒功能,并且要求网络层与主机的恶意代码库不同。
互联网出口安全审计:线网未实现对网络行为进行精细化识别和控制,需要部署上网行为管理产品来保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计。
边界完整性保护:边界没有实现非法外联,需要部署终端安全管理设备。
3.1.3 安全通信网络需求分析
通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
网络结构:网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。线网核心交换需要实现双机冗余部署,提高通信网络高可用性。 通信完整性和保密性:由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性,因此线网Internet出口需要部署具备VPN功能的安全设备。
网络审计:如果有些管理用户出现误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追溯带来困难。有必要进行基于网络行为的审计。同时可以震慑有恶意企图的少部分用户,利于规范正常的网络应用行为。
3.1.4 安全管理中心需求分析
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,安全管理中心是实现安全管理的有力抓手。线网没有一个能对整网安全事件、安全威胁进行分析响应处理的平台,本期需要新增统一安全监控管理平台对信息系统涉及的设备使用情况和安全事件、系统健康程度等进行识别,要能进行统一的监控和展现。通过对安全事件的告警,可以发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。
3.2 安全管理需求分析
从等保思想出发,技术虽然重要,但人才是安全等级保护的重点,因此除了技术措施,AFC系统还需要运用现代安全管理原理、方法和手段,从技术上、组织上和管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生。需要优化安全管理组织,完善安全管理制度,制定信息系统建设和安全运维管理的相关管理要求,规范人员安全管理。
3.3 后果分析
AFC系统面临信息安全威胁时,可能产生如下的后果。
3.3.1 系统部分或全部瘫痪
由于AFC系统通过种类和数量众多的接口,与整个轨道交通的其他系统进行通信和数据交换,在轨道交通中的作用非常重要,黑客攻击或恶意代码造成的信息安全问题可能导致信息系统网络的瘫痪,从而影响整个轨道交通系统部分或全部瘫痪,严重时甚至会造成安全事故的发生。
3.3.2 影响旅客正常购票与进站
信息安全问题可能会导致非预期控制命令的下发,从而导致旅客无法正常购票以及进站,影响轨道交通站点正常的秩序运行,导致站点人员的积压,给人民群众出行造成不便。
3.3.3 重要数据的泄露及遗失
信息安全问题也有可能导致AFC系统本身的设备及上面的软件、数据等资产遭到破坏,配置数据、历史数据、个人数据等机密泄露,都会给企业与个人造成一定的损失。
3.3.4 显示信息错误
由于操作人员不当操作等原因导致的信息安全问题,部分显示设备可能显示错误的信息,可能会引起社会对于轨道交通非必要的关注。
4 小结
通过对目前AFC系统进行全面的分析后,可以看到AFC系统面临了来自外部和内部的多种威胁;而受到这些信息安全威胁后,AFC系统将面临严重的后果,可能导致巨大的安全事故和经济损失。当前,AFC系统面临的主要信息安全问题如下:
(1)信息安全管理体系不完善,信息安全职责不明确;
(2)不同区域之间的访问控制和入侵防范机制不完善;
(3)系统内部缺少信息安全监控技术;
(4)工作站和服务器缺乏安全配置和病毒防范;
(5)應用和数据层基本没有信息安全防御能力;
(6)信息安全审计机制不完善。
因此,建设全方位的AFC系统信息安全防护体系势在必行,一方面通过实施安全技术和产品,从网络、主机、应用等多个层次保障系统信息安全,另一方面落实管理规定,增强系统自身安全可靠性。
转载注明来源:https://www.xzbu.com/1/view-14765937.htm