铁总运〔2014〕265号-客票安全部分

1TJ/KH015-2014铁总运【2014】265号铁路客票系统技术条件（铁路局及车站客票安全部分）1客票安全1.1总体安全架构铁路总公司中心客票终端路局客票核心业务系统安全通信网络客票终端服务器结构化保护终端安全加强RA设施密码设备RA系统从LDAP安全管理中心标记管理策略管理安全监控安全管理审计管理系统管理配置管理安全数据库系统计算环境安全客票外部安全边界防护车站客票系统铁路局级客票系统终端安全加强售票终端TVM闸机互联网终端安全加强代售点站外TVM区域边界区域边界安全通信网络区域边界互联网安全接入安全通信网络区域边界区域边界营销系统（办公网）总公司代售点互联网安全接入平台电话订票系统客票审核系统旅客服务系统代售点图6-1-1如图6-1-1所示，铁路局客票安全系统分客票核心业务域和车站客票终端域两级防护，对铁路局的核心业务域按照“一个中心下的三重防护体系”实施安全防护。从计算环境、区域边界以及通信网络三个环节，分别进行安全防护，并通过统一的安全管理中心来协调工作，从而实现基于系统访问全过程的闭环控制。(1)计算环境安全防护，包含对受控业务终端进行安全加强、服务器系统进行结构化保护，实施了身份受控、操作审计、主机安全和应用安全等措施，构成2计算环境安全；(2)区域边界安全防护，在车站和铁路局边界，实现了基于业务的强制访问控制策略，包含对铁路局网络实施安全监控和审计，并根据客票业务类型进行安全标记，实现了在线对网络数据包的完整性验证、安全检查和访问控制；在铁路局客票系统和其他铁路内部系统（铁路局电话订票系统、客票审核系统等）间，采用了客票外网安全接入平台，实现了核心业务域的高安全；(3)通信网络安全防护，在铁路局和铁路总公司、车站之间分别部署了安全通讯平台，实现了铁路局与铁路总公司、车站间的信息保护，包含关键信息的机密性、关键指令和消息的完整性、可认证性保护等。(4)安全管理中心，主要实现了网络管理、系统管理、安全管理和安全审计等功能。同时，建立铁路局级安全管理中心的公钥基础设施（为总公司PKI公钥基础设施的延伸），铁路局PKI设施包含RA系统、从LDAP和密码设备等，为客票安全系统提供了密钥和证书管理服务。1.2设备部署3图6-2-1上图主要体现了铁路局及车站安全系统的主要设备。信息安全专用产品应符合公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》；密码产品应符合国家密码管理局相关管理规定。(1)铁路局级客票安全系统设备分为四部分：安全管理中心设备、内部安全区域边界设备、外部安全区域边界设备及本地终端区安全设备。1)安全管理中心设备包含:安全管理与控制平台、安全集中配置管理器（主从）、两套相对独立数据库系统（分别用于业务交易和审计）、LVS负载均衡器、证书注册系统(RA系统)、证书/证书撤销列表存储与发布系统（LDAP系统）、服务器密码机和安全通讯平4台、核心管控器、网络管控器、主机管控器。2)内部安全区域边界设备包含：铁路局客票核心业务服务区与本地安全管理中心、客票业务终端区、铁路总公司之间的可管控防火墙;铁路局与车站之间的网络边界的可管控防火墙和基于负载均衡的应用防火墙、安全通讯平台。3)外部安全区域边界设备包含：电话订票系统安全边界保护系统；收入、统计专用单向安全隔离与信息交换；旅客服务专用单向隔离与信息交换系统；客运营销子系统专用安全隔离与信息交换系统和安全接入网关。4)本地终端区安全设备包含：USBKEY证书便携设备和WINDOWS终端安全代理。(2)车站级客票安全系统设备包括：安全集中配置管理器（从）、安全通讯平台、网络管控器；车站客票业务终端配置用户和节点安全认证设备（USBKEY）和终端安全管控代理。1.3安全功能为客票系统建立符合等级保护要求的安全保障体系，完成基于“一个中心”管理下“三重保护”的体系框架，对受控终端系统采用安全加强、对服务器系统采用安全管控实施结构化保护；对基于安全标记的业务流实施强制访问控制；在安全管理中心支持下，对分布在内部计算环境的各种安全机制和服务进行统一管理和调度。(1)安全计算环境通过业务终端安全加强和服务器系统结构化保护,实现客票业务核心域的计算环境安全防护功能:5通过终端安全加强,完成用户和业务终端的身份鉴权，防止身份冒用及非授权业务终端接入。同时通过安全管理中心，完成客票系统资源控制、强制访问控制、主机审计、应用审计和恶意代码防护，实现售票终端的主机防护和客票应用环境安全保护，保证身份受控、主机受控、操作可审计、防范恶意代码和防止资源滥用等。通过对客票系统服务器的安全管控，实施二维强制访问控制，完成基于用户角色权限的访问控制、核心业务域的安全检查、受控终端的可信接入，实现客票服务器的结构化保护。通过代售点互联网接入管控器，完成代售点通过互联网通道的安全接入。(2)安全区域边界通过网络监控和审计、区域边界安全检查和访问控制，完成路局内网安全防护和网络边界防护功能：通过核心管控器、网络管控器、主机管控器、互联网接入管控器、可管控防火墙、可管控应用防火墙、安全隔离与信息交换系统、安全接入网关等完成基于安全标记的业务交易的强制访问控制、交易完整性验证、边界安全检查和安全审计等。(3)安全通讯网络通过密码子系统和安全通讯平台完成可信路径设置、完整性和保密性保护，保证传输路径安全和传输数据内容安全。完成通信网络安全审计，并在密码子系统支持下，实现通信网络数据传输完整性和机密性保护，完成通信网络可信接入保护，防止设备的非法接入。完成车站与铁路局之间、铁路局和铁路总公司之间传输信息流的保护，包含关键信息的机密性保护、关键指令和消息的完整性、可认证性保护等。(4)安全管理中心通过安全管理中心和密码技术应用，完成安全机制和安全策略的集中配置、统一管理和协同联防，实现全网策略管理、监控、审计、网络管理和系统管理。61.4配置要求1.4.1铁路局级客票安全设备铁路局级客票安全系统设备分为四部分：安全管理中心设备、内部安全区域边界设备、外部安全边界设备及本地终端区安全设备。1.4.1.1安全管理中心设备铁路局客票内网安全系统的安全管理中心设备主要包含：安全集中配置管理器、用户注册证书管理系统（RA）、证书/证书撤销列表存储与发布系统（LDAP）、安全通讯平台、服务器密码机、PCI密码卡、USBKEY证书便携设备、LVS负载均衡器、安全管理与控制平台设备、数据库服务器、磁盘阵列、光纤交换机、主机管控器、网络管控器、核心管控器、交换机、机柜等。较大铁路局可分区域设立安全管理分中心。安全设备详细配置如下：(1)安全集中配置管理器（主、从）设备硬件配置为PC终端，操作系统配置为安全增强的WINDOWS操作系统，应用软件配置为安全集中配置管理系统软件，提供安全管理、系统管理和审计管理等界面操作。在铁路局机房内配置主配置管理器1台；在本地终端区配置从配置管理器1台。具体配置指标参见附表6-4-1编号S-11。(2)用户注册证书管理系统（RA）设备硬件配置为PCServer，操作系统配置为专用的安全增强YDLinux操作系统，软件配置为证书分发管理系统-用户注册证书管理子系统。完成铁路局内操作员证书和设备证书的注册管理。每个铁路局中心配置2台RA设备，通过LVS负载均衡器以负载均衡模式运行。具体配置指标参见附表6-4-1编号S-06-3。(3)证书/证书撤销列表存储与发布系统（LDAP）该设备负责铁路局内操作员证书和设备证书的存储、发布、查询等管理。设备硬件配置为PCServer，操作系统配置为专用的安全增强YDLinux操作系统，软件配置为证书分发管理系统-证书/证书撤销列表存储与发布系统。7每个铁路局中心配置2台LDAP设备，通过LVS负载均衡器以负载均衡模式运行。具体配置指标参见附表6-4-1编号S-06-4。(4)安全通讯平台该设备负责铁路局与铁路总公司之间通信网络数据传输和交换保护，以及关键管理指令和信息流的完整性验证。每个安全管理中心配置2台安全通讯平台设备，通过LVS负载均衡器以负载均衡模式运行。具体配置指标参见附表6-4-1编号S-05-2。(5)服务器密码机该设备为PKI密码体系中心的核心设备，负责SM1、SM2、SM3、SM4等密码算法的硬件运算；每个铁路局至少配置2台服务器密码机，并按照每增加500个受管控节点增加1台服务器密码机配置（节点包含所有安全设备、业务终端，节点数指直接接入该安全管理中心的节点数量，下同），实现安全服务能力的平行扩展。具体配置指标参见附表6-4-1编号S-05-1。(6)PCI加密卡该设备为PKI密码体系中心的辅助设备，安装在主配置管理器和从配置管理器内部，负责SM1、SM2、SM3、SM4等密码算法的硬件运算；每个铁路局配置2块PCI密码卡。具体配置指标参见附表6-4-1编号S-05-3。(7)USBKEY证书便携设备该设备为证书载体及微小型密码运算设备，主要用于用户和设备的身份标识及本地终端的密码运算。根据本地客票终端和操作员数量进行配置，每台终端至少配置1个USBKEY，每个用户至少配置1个USBKEY。具体配置指标参见附表6-4-1编号S-12。(8)LVS负载均衡器该设备为负责安全管理中心的安全管理与控制平台、安全通讯平台、RA、8LDAP等设备负载均衡处理。安全管理中心至少配置2台负载均衡器。以双机热备模式运行，支持安全管理中心内部相关设备的的负载均衡处理，保障安全系统安全可靠运行。具体配置指标参见附表6-4-1编号S-13。(9)安全管理与控制平台设备安全管理与控制平台按组配置，每组2台，为安全管理中心的核心部分，采用可信计算平台模型及架构。铁路局中心每增加260个受管控的节点增加一组安全管理与控制平台设备。具体配置指标参加表6-4-1编号S-02。(10)数据库服务器该设备硬件为PCServer设备，操作系统软件配置为安全增强YDLinux操作系统，数据库系统为大型关系数据库系统及安全数据库中间件系统。每个安全管理中心至少配置2台数据库服务器，两套数据库管理系统，并实现安全交易和安全审计的逻辑分离。安全管理与控制平台服务器每增加2组（4台）时，数据库服务器需增加1台。具体配置指标参见附表6-4-1编号S-04。(11)磁盘阵列每个安全管理中心至少配置2台磁盘阵列，该设备负责存储安全配置数据、系统管理数据、安全交易数据、安全审计数据。该设备配置为中低端的存储设备，存储容量大于等于10T。(12)光纤交换机该设备为连接数据库服务器和磁盘阵列的光纤网络连接设备。该设备配置4台，每个磁盘阵列采用双环结构连接两台光纤交换机。速率≥4Gbps；端口≥8。(13)主机管控器该设备负责对主机实施二维强制访问控制策略,实现对主机的安全状态监控。每个安全管理中心至少配置2台主机管控器，每增加16台受管控主机，增9加一台主机管控器。具体配置指标参见附表6-4-1编号S-07-2。(14)网络管控器该设备负责铁路局局域网网络设备管理、审计和安全检查，网络出入口安全检查，主要对交换机、路由器等网络设备进行安全管理。每个安全管理中心至少配置2台网络管控器，每增加16台网络设备，增加一台网络管控器。具体配置指标参见附表6-4-1编号S-07-1。(15)核心管控器该设备负责核心业务域和访问数据库安全监控和审计,包含用户操作记录、业务应用、交易过程等安全状况。每个安全管理中心至少配置2台核心管控器。具体配置指标参见附表6-4-1编号S-09。(16)交换机该设备负责铁路局级安全系统网络连接，包含安全管理中心内部网络连接和安全区域边界的安全接入网络连接，根据网络连接需要实配。具体配置指标参见附表6-4-1编号S-08。(17)安全系统机柜该设备用于安装安全系统设备，对安全系统设备进行物理安全防护。该机柜为42U空间，并带KVM装置，对于安装服务器密码机和LDAP设备的机柜需要安装视屏干扰器。具体根据安全设备的数量进行配置，要求各台安全设备之间必须有1U的空隙。1.4.1.2内部安全区域边界设备铁路局级客票安全系统主要划分为四个内部安全区域边界，分别为