轨道交通自动售检票(AFC)系统信息安全分析_论文

发布时间:2021-09-21 08:14:25

电子信息 DOI: 10.19392 / j.cnki.1671-7341.201911069 科技风 2019 年 4 月 轨道交通自动售检票( AFC) 系统信息安全分析 蒋坚迪 宁波轨道交通集团有限公司 浙江宁波 315101 摘 要: 传统的 AFC 系统在信息安全领域存在一定的风险,包括网络层、数据库层、安全策略、病毒防护、信息安全管理制度等 方面都需要进行升级和完善,以满足日益严峻的信息安全风险。本文主要对 AFC 系统中的信息安全风险进行分析,充分讨论信息 安全的风险可能对 AFC 系统造成的后果,以此提升信息安全认识,完善 AFC 系统安全性。 关键词: AFC 系统; 信息安全; 风险 1 行业背景 城市轨道交通系统是城市,特别是大型城市非常重要的关 键基础设施。城市 轨 道 交 通 系 统 的 运 营 安 全、运 行 速 度、运 送 能力和运行效率都与轨道交通各系统密切相关,轨道交通 AFC 系统的信息安全也逐渐开始受到轨道交通建设者和相关管理 部门的高度重视。针对轨道交通 AFC 系统信息安全领域,目前 还没有一个系统性的成熟解决方案,应立即考虑切实开展这方 面工作,尽早减缓和杜绝信息安全漏洞给 AFC 系统带来的隐 患,并结合具体项目研究最佳实践方案。然而增加信息安全相 关防 护 后,势 必 对 系 统 的 运 行 效 率、可 用 性、可 维 护 性 产 生 影 响。AFC 系统基于计算机、通信、网络、自动控制等技术,以非 接触式 IC 卡等为介质,高度安全、可靠、保密的方式实现轨道 交通售票、检票、计费、收费、统计、管理功能。 2 设计目标 通过实施“轨道交通 AFC 系统检测与防护设计”,从信息 安全管理、运维和技术三个方面彻底根除系统连接可能带来的 信息安全隐患,保障轨道交通安全稳定运行,防止发生信息安 全事件。 ( 1) 整体防护。应从整体上规划实施轨道交通 AFC 系统 信息安全防护,从 管 理、技 术、运 行 所 涉 及 的 物 理、网 络、主 机、 应用、数 据 安 全 等 多 角 度、多 层 面 防 护,进 而 建 立 起 具 有 综 合 性、纵深性、先进性的轨道交通 AFC 系统信息安全保障体系。 ( 2) 区域隔离。依据业务的重要性、类别、功能等因素对轨 道交通 AFC 系统网络进行划分,按照“纵向分层,横向分区”的 原则实施,然后在不同系统、不同层和不同分区之间采用必要 的安全隔离和防护措施对彼此之间的数据流和业务操作实施 检测、控制和保护。 ( 3) 实时监控。综合性的信息安全体系离不开对信息安全 状态的实时掌控,贯彻“事前预防、事发控制、事后改进”是系统 信息安全保障体系中核心内容之一。 ( 4) 主机管控。对轨道交通 AFC 系统中中心控制部分的 重要主机和终端实施集中的安全配置和监控审计,将安全危害 从源头进行检测和遏制。 ( 5) 运维保障。系统信息安全政策、策略、制度、防护手段 的落实依赖管理和技术措施的有效运转,运行维护既是衔接管 理与技术的关键活动,又是它们落实的有效支撑。 3 需求分析 3.1 安全技术需求分析 3.1.1 安全计算环境需求分析 计算环境的安全主要是物理、主机以及应用层面的安全风 险与需求分析,包括: 物理机房安全、身份鉴别、访问控制、系统 审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密 性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。 根据 AFC 系统自评估结果,线网清分中心系统和线路中央 控制系统如要达到等级保护三级关于安全计算环境的要求,还 需要改进以下几点: 物理机房安全: AFC 系统的物理安全涉及到整个系统的配 套部件、设备和设施的安全性能、所处环境安全以及整个系统 可靠运行等方面,是信息系统安全运行的基本保障。AFC 系统 的实际建设和运行中,物理安全方面对设备的电磁兼容、电磁 屏蔽及接地方面的要求已经有成熟的解决方案,机房相关要求 将由机房管理方来覆盖,因此本方案对 AFC 系统部署的物理环 境安全不做详细设计。 数据库审计: 线网清分中心系统和线路中央系统都缺少针 对数据的审计设备,不能很好的满足主机安全审计的要求,需 要部署专业的数据库审计设备。 运维堡垒机: 线网清分中心系统和线路中央系统都未实现 管理员对网络设备和服务器管理时的双因素认证,计划通过部 署堡垒机来实现。 主机病毒防护: 线网清分中心系统和线路中央系统缺少主 机防病毒的相关安全策略,需要配置主机防病毒系统。 另外还需要对用户名 / 口令的复杂度,访问控制策略,操作 系统、WEB 和数据库存在的各种安全漏洞,主机登陆条件限 制、超时锁定、用户可用资源阈值设置等资源控制策略的合理 性和存在的问题进行一一排查解决。 3.1.2 安全区域边界需求分析 区域边界的安全主要包括: 边界访问控制、边界完整性检 测、边界入侵防范以及边界安全审计等方面。 边界访问控制: 需要优化网络结构,根据 AFC 业务情况合 理划分安全域,合理划分网段和 VLAN; 对于重要的信息系统的 网络设施采取冗余措施; 访问控制需要在构建安全计算环境的 基础上,依托防火墙等安全设备进行访问控制。线网需要在边 界部署下一代防火墙实现边界访问控制,在各个重点安全域部 署下一代防火墙来实现各安全域的重点隔离防护。 边界入侵防范: 线网没有实现边界攻击防护,需要新增入 侵防御系统 / 或新增下一代防火墙 IPS 功能模块。 恶意代码防范: 主机恶意代码防护通过部署终端病毒查杀 软件实现,网络边界恶意代码防护需要部署下一代防火墙,开 启 AV 防病毒功能,并且要求网络层与主机的恶意代码库不同。 互联网出口安全审计: 线网未实现对网络行为进行精细化 识别和控制,需要部署上网行为管理产品来保障网络关键应用 和服务的带宽,对网络流量、用户上网行为进行深入分析与全 面的审计。 边界完整性保护: 边界

相关文档

猜你喜欢

  • 人教版高中英语必修一Unit1Friendship同步练*
  • 番茄炒蛋 不该油汪汪
  • 【教学设计】《临死前的严监生》精品教案
  • 高一数学必修一集合的运算知识点
  • 学院在校生请假条精选多篇
  • 2015江苏公务员考试申论热点:别让雕塑成笑话
  • 财税实务:法定盈余公积是什么
  • 人的口味为何不同阅读答案
  • 地方财政基本建设资金一体化财务管理探索
  • 武汉昭惠宜家服装贸易有限公司(企业信用报告)- 天眼查
  • 昌吉州2019年小升初入学考试科学模拟试题及答案
  • 高产优质花生新品种鲁花A-1的选育与应用
  • 江苏省射阳县第二中学高中化学必修一活动单8电解质
  • ch1 线性规划与单纯形法
  • 幼儿园10月份舞蹈教学计划与幼儿园10月工作总结(精选多篇)汇编
  • 2018-2024年中国滑雪设备行业市场分析与发展策略咨询报告(目录)
  • 有些人夏天不适合吃西瓜的原因
  • 简单甜点的做法
  • 2017版高考生物一轮总复*高考AB卷:专题15 人和高等动物的神经调节 Word版含解析
  • 浅谈留守儿童教育对策1
  • IT信息系统服务合同
  • 游标卡尺 螺旋测微器 学案
  • 织梦5.7DEDECMS标签大全
  • 江苏电视台综艺频道《勇闯天涯》项目介绍
  • 福建师范大学个人简历模板下载word格式
  • PNAS-1996-Mahan-7436-9 (1)
  • 北师大版四年级语文下册《永生的眼睛》ppt课件
  • 2019三下乡社会实践活动总结
  • 动物爱情故事
  • 2018年机关党支部工作计划样本与2018年机关党支部工作计划结尾样本汇编.doc
  • 人教版高中英语必修3 Unit3 Speaking 精品课件
  • 中医理论知识中药词典:野慈姑
  • 热烈词语造句精选
  • 株式会社世界能源企业信用报告-天眼查
  • 拜访的近义词和造句有哪些
  • 最难历史常识
  • Knowledge Representation and Extraction for Business 商务的知识表示与提取-文档资料144页
  • 部编版一年级语文上册期末测试题2
  • 苏教版高中生物高考复*第一次月考试题
  • 2020年年幼儿园春季教研工作计划范文
  • 对一种群签名方案的伪造攻击
  • Purchase contract revision 1
  • 电脑版