1、4.4鐵路信息共享平臺安全解決方案鐵路信息共享平臺是鐵路業(yè)務(wù)信息系統(tǒng)間信息交換和共享的樞紐，鐵路信息 數(shù)據(jù)安全的交換與共享是鐵路信息共享平臺安全穩(wěn)定運行的基礎(chǔ)，信息共享平臺 需要在安全生產(chǎn)網(wǎng)、外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)以及其他專網(wǎng)進(jìn)行數(shù)據(jù)交換，因此 就要解決各種網(wǎng)絡(luò)互連的安全。雖然現(xiàn)有各信息系統(tǒng)已有完善的安全機(jī)制，但是 信息共享平臺整合了各信息系統(tǒng)并且對外提供服務(wù)，因此，要統(tǒng)一考慮對外的訪 問控制。此外，信息共享的同時帶來信息本身的不安全，必須采取相關(guān)技術(shù)保證 信息的安全保密性。要保證鐵路信息共享平臺的安全，涉及到多方面的因素。本方案從平臺的部 署以及平臺的通信層安全、消息層安全和應(yīng)用層安全來考慮

2、。4.4.1信息共享平臺部署方案根據(jù)鐵路其他業(yè)務(wù)信息系統(tǒng)縱向分層、分級建設(shè)的特點，信息共享平臺采用 鐵道部、鐵路局（公司）、主要站段三層結(jié)構(gòu)。為適應(yīng)三層網(wǎng)絡(luò)體系結(jié)構(gòu)，鐵道 部、路局和站段信息共享平臺和其他業(yè)務(wù)系統(tǒng)通過專線方式或者現(xiàn)有網(wǎng)絡(luò)進(jìn)行信 息交換。鐵道部、路局和站段三級平臺之間通過現(xiàn)有2M的數(shù)據(jù)通道通信。信息共享平臺部署在不同網(wǎng)段安全方案比較綜合鐵道部網(wǎng)絡(luò)現(xiàn)狀分析，鐵路信息共享平臺的部署有三種考慮：（1）信息共享平臺部署在安全生產(chǎn)網(wǎng)內(nèi)；部署示意圖如圖4-4-1。（2）信息共享平臺部署在內(nèi)部服務(wù)網(wǎng)內(nèi)；部署示意圖如圖4-4-2。（3）信息共享平臺部署在安全生產(chǎn)網(wǎng)和內(nèi)部服務(wù)網(wǎng)之間（單獨組網(wǎng)）。部

3、 署示意圖如圖4-4-3。圖4-4-1信息共享平臺部署在安全生產(chǎn)網(wǎng)示意圖漏洞掃描安全審計安全管理服務(wù)系統(tǒng)病毒庫升級補(bǔ)丁管理授權(quán)管理訪問控制 服務(wù)器圖4-4-2信息共享平臺部署在內(nèi)部服務(wù)網(wǎng)示意圖內(nèi)部服務(wù)網(wǎng),安全生產(chǎn)網(wǎng)防火;系統(tǒng)核心交換機(jī)安全網(wǎng)關(guān)匯聚交換機(jī)訪問控制 服務(wù)器信息共享平臺專網(wǎng)安全管理服務(wù)系統(tǒng)病毒庫升級補(bǔ)丁管理授權(quán)管理cfP數(shù)據(jù)交換 服務(wù)器安全管理中心安全管理平臺漏洞掃描安全審計應(yīng)用服務(wù)器圖4-4-3信息共享平臺單獨組網(wǎng)示意圖在以上三種部署方案中，部署在安全生產(chǎn)網(wǎng)和部署在內(nèi)部服務(wù)網(wǎng)的結(jié)構(gòu)相 似，但安全生產(chǎn)網(wǎng)本身對安全等級的要求更高，部署在安全生產(chǎn)網(wǎng)信息共享平臺 要具備安全生產(chǎn)網(wǎng)對安全級別

4、的要求，其他業(yè)務(wù)系統(tǒng)要連接信息共享平臺時也要 滿足相應(yīng)的安全要求。部署在內(nèi)部服務(wù)網(wǎng)，安全級別要求較安全生產(chǎn)網(wǎng)低，不利 于信息共享安全。單獨組網(wǎng)會增加和生產(chǎn)網(wǎng)以及內(nèi)部服務(wù)網(wǎng)之間的邊界防護(hù)設(shè) 備，需要增加投入。三種方案具體優(yōu)缺點對比見下表：表4-4-1鐵路信息共享平臺部署網(wǎng)絡(luò)對比網(wǎng)絡(luò)部署方式安全性穩(wěn)定性資金投入網(wǎng)絡(luò)管理設(shè)置安全生產(chǎn)網(wǎng)高強(qiáng)低簡單內(nèi)部服務(wù)網(wǎng)一般一般低簡單單獨組網(wǎng)高強(qiáng)高復(fù)雜信息共享平臺部署在安全生產(chǎn)網(wǎng)鐵路信息共享平臺若是部署在三網(wǎng)之外，必須單獨對此網(wǎng)絡(luò)實施安全措施， 而且要設(shè)置與其他網(wǎng)絡(luò)的互訪通道。綜合利弊，鐵路信息共享平臺最佳方案是部 署在安全生產(chǎn)網(wǎng)內(nèi)。信息共享平臺內(nèi)網(wǎng)的安全主要是保證

5、信息共享平臺服務(wù)器、應(yīng)用系統(tǒng)以及用 戶終端的安全。因此，我們必須對內(nèi)網(wǎng)終端主機(jī)進(jìn)行集中的安全保護(hù)、監(jiān)控、審 計和管理，可自動向終端計算機(jī)分發(fā)系統(tǒng)補(bǔ)丁，禁止重要信息通過外設(shè)和端口泄 露，防止終端計算機(jī)非法外聯(lián)，防范非法設(shè)備接入內(nèi)網(wǎng)，有效地管理終端。在圖4-4-1中，首先在安全網(wǎng)關(guān)中設(shè)置訪問控制，拒非法用戶于門外。然后 對平臺數(shù)據(jù)庫以及服務(wù)器進(jìn)行漏洞掃描和安全審計，同時，安全管理服務(wù)系統(tǒng)做 到及時對相應(yīng)服務(wù)器和終端進(jìn)行補(bǔ)丁升級以及病毒庫升級。這樣從全面角度進(jìn)行 防護(hù)，使得信息共享平臺可以穩(wěn)定的運行。4.4.2通信層安全對鐵路信息共享平臺來說，系統(tǒng)之間通信的安全必須保證信息的安全保密 性，因此主要從

6、網(wǎng)絡(luò)層和傳輸層兩方面分析。網(wǎng)絡(luò)層安全由于鐵路信息共享平臺涉及到一些保密信息，我們需要在整個通信過程中保 證機(jī)密性。鐵路信息共享平臺的部、路局(公司)、站段三層通信以及鐵路合作 單位對平臺的訪問，在網(wǎng)絡(luò)層必須防止數(shù)據(jù)包被竊聽、篡改、偽造，目前比較成 熟的IPSec安全標(biāo)準(zhǔn)可以很好解決這一問題。IPSec有兩種工作模式。傳送模式通常用于對等通信，用以提供Intranet安全 性。數(shù)據(jù)包經(jīng)過了加密處理，而IP頭沒有經(jīng)過加密處理，因此任何標(biāo)準(zhǔn)設(shè)備或 軟件都可查看和使用IP頭。隧道模式用于遠(yuǎn)程訪問和站點對站點安全性，其中包括虛擬專用網(wǎng)絡(luò)。整個 數(shù)據(jù)包(數(shù)據(jù)頭和負(fù)載)都已經(jīng)過加密處理，且分配有新的ESP頭

7、、IP頭和驗 證尾，從而能夠隱藏受保護(hù)站點的拓?fù)浣Y(jié)構(gòu)。在鐵路信息共享平臺的安全策略中，主要用于確保遠(yuǎn)程用戶與企業(yè)系統(tǒng)之間 的通信安全，因此我們選用IPSec的隧道模式。具體實現(xiàn)方法也相對簡單，在共 享網(wǎng)絡(luò)設(shè)備或者主機(jī)和服務(wù)器上進(jìn)行設(shè)置即可實現(xiàn)。傳輸層安全安全套接層(Secure Sockets Layer，SSL)及其新繼任者傳輸層安全 (Transport Layer Security，TLS)提供保密安全信道的加密協(xié)議。SSL V3.0 是基于非對稱密碼體系，位于網(wǎng)絡(luò)層和應(yīng)用層之間，為應(yīng)用層數(shù)據(jù)提供傳輸過程中的安全，它提供的連接安全有三個特點：（1）連接是保密的，對稱加密用于加密數(shù)據(jù)；（2

8、）連接時可靠的，消息的傳輸采用MAC算法進(jìn)行完整性檢驗。（3）對端實體的鑒別采用非對稱密碼體制進(jìn)行認(rèn)證。SSL協(xié)議提供的服務(wù)主要有：（1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；（2）加密數(shù)據(jù)，以防止數(shù)據(jù)中途被竊??；（3）數(shù)據(jù)完整性校驗，確保數(shù)據(jù)在傳輸過程中不被改變。SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，具體實現(xiàn)以下功能:（1）在客戶端驗證服務(wù)器，SSL協(xié)議采用公鑰方式進(jìn)行身份認(rèn)證；（2）在服務(wù)器端驗證客戶；（3）客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法；（4）產(chǎn)生對稱加密算法的會話密鑰；至此建立加密SSL連接。一般的握手過程如圖4-4-4所示：客戶端服務(wù)端C

9、lientHello 除 ServerHello階段一Certificate ServerkeyExchange CertificateRequest QerverHelloDoneCertificate ClientkeyExchange CertificateVerify階段二階段三ChangeCipherSpec Finished .ChangeCipherSpecFinished階段四圖4-4-4 SSL協(xié)議握手過程HTTPS是以安全為目標(biāo)的HTTP通道，即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL,因此在鐵路信息共享平臺上，我們使用HTTPS協(xié)議進(jìn)行數(shù)據(jù)傳輸來 保障傳輸層安

10、全。4.4.3消息層安全在基于SOA的鐵路信息共享平臺上，服務(wù)共享主要是通過Web服務(wù)實現(xiàn)的， 下面給出基于Web服務(wù)的共享安全機(jī)制，如圖4-4-5所示。SOAP安全XML加密XML數(shù)字簽名圖4-4-5基于Web服務(wù)的共享安全機(jī)制框架圖Web服務(wù)身份驗證系統(tǒng)權(quán)限驗證系統(tǒng)安全日志系統(tǒng)安全系統(tǒng)目前SSL/TLS常被用來提供傳輸層的Web服務(wù)安全，但是SSL/TLS聲稱是點 對點的協(xié)議，在傳輸層外的服務(wù)器間路由的過程中，消息的安全性將受到威脅。 實現(xiàn)安全的Web調(diào)用，利用SOAP擴(kuò)展為消息的交換提供一種端到端的安全性。在消息層，選擇使用XML加密技術(shù)和XML數(shù)字簽名技術(shù)。其做法是對SOAP 進(jìn)行擴(kuò)展

11、，在SOAP消息的頭部加入安全數(shù)據(jù)實現(xiàn)加密和數(shù)字簽名。最重要的Web服務(wù)安全規(guī)范WS-Security主要就是用于保護(hù)SOAP消息的， 它實際上是對SOAP協(xié)議的擴(kuò)展，它解釋如何將安全信息包含在SOAP消息中。 WS-Security規(guī)范包含三個部分：證書傳送、消息完整性和消息機(jī)密性，它提供 了將安全令牌（X.509證書或Kerberos票據(jù)等）和SOAP消息關(guān)聯(lián)起來的通用機(jī) 制，定義了如何利用 XML Encryption（XML 加密）和 XMLSignature（XML 簽 名）來對SOAP消息進(jìn)行加密和簽名。下面給出SOAP消息交換的處理過程，如 圖4-4-6所示。圖4-4-6 SOA

12、P消息交換的處理流程圖4.4.5應(yīng)用層安全鐵路信息共享平臺是要將現(xiàn)有的各信息系統(tǒng)提供的功能，封裝成服務(wù)的形式 在平臺上發(fā)布，供其他系統(tǒng)或服務(wù)調(diào)用，從而實現(xiàn)資源、數(shù)據(jù)、業(yè)務(wù)的整合共享， 同時面臨著這樣一個問題，不同用戶的權(quán)限不同，不僅要訪問本業(yè)務(wù)系統(tǒng)，而且 要訪問其他業(yè)務(wù)系統(tǒng)的服務(wù)，因此我們需要解決如下問題：（1）建立單點登錄系統(tǒng)，不同業(yè)務(wù)系統(tǒng)的用戶可以實現(xiàn)一次登錄，即可訪 問權(quán)限內(nèi)所有的服務(wù)；（2）建立統(tǒng)一的角色映射關(guān)系，將不同系統(tǒng)原有的角色權(quán)限進(jìn)行匹配，從 而實現(xiàn)對服務(wù)的有效訪問；（3）建立訪問控制中心，通過訪問控制中心的認(rèn)證，實現(xiàn)對服務(wù)的安全訪 問。單點登錄系統(tǒng)單點登錄（Single Si

13、gn On，SSO），是目前比較流行的企業(yè)業(yè)務(wù)整合的解決 方案之一。SSO的定義是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所 有相互信任的應(yīng)用系統(tǒng)。單點登錄的技術(shù)實現(xiàn)機(jī)制：當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)的時候，因為還沒有 登錄，會被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn) 行身份效驗，如果通過效驗，應(yīng)該返回給用戶一個認(rèn)證的憑據(jù)ticket；用戶再訪 問別的業(yè)務(wù)系統(tǒng)時，就會將這個ticket作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請 求之后會把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗，檢查ticket的合法性。如果通過效驗， 用戶就可以在不用再次登錄的情況下訪問其他業(yè)務(wù)系統(tǒng)。登錄流程如圖4-4-7所示：失敗圖4-4-7單點登錄流程示意圖訪問控制為了滿足不同類型客戶端對鐵路信息共享平臺上不同系統(tǒng)服務(wù)的訪問控制， 我們在該平臺上建立訪問控制中心（Access Control Center， ACC），所有跨系 統(tǒng)的服務(wù)訪問，都要首先經(jīng)過訪問控制中心的認(rèn)證，以此機(jī)制實現(xiàn)服務(wù)的訪問控 制。訪問控制中心有三大功能：（1）身份驗證驗證客戶端的身份，如果通過驗證，則向客戶端發(fā)放一張認(rèn)證的憑據(jù)ticket， 證明當(dāng)前客戶端身份已經(jīng)證實，可以進(jìn)一步申請對服務(wù)的訪問。（2