周澤巖，史 宏，張 彥

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所，北京 100081）

安全測評

鐵路客票安全系統(tǒng)聯(lián)調(diào)聯(lián)試技術(shù)的研究

周澤巖，史 宏，張 彥

（中國鐵道科學(xué)研究院 電子計算技術(shù)研究所，北京 100081）

隨著國家對信息安全的重視不斷提高，高速鐵路客運服務(wù)系統(tǒng)聯(lián)調(diào)聯(lián)試亟需增加對客票安全系統(tǒng)的測試。本文從保護客票系統(tǒng)業(yè)務(wù)安全的角度出發(fā)，提出了一套信息安全聯(lián)調(diào)聯(lián)試方案，闡述了測試場景、測試內(nèi)容、測試流程和測試方法等，并創(chuàng)新性的提出采用配置核查工具，開發(fā)基于正則表達式的測試腳本，實現(xiàn)對安全策略的配置核查功能。

聯(lián)調(diào)聯(lián)試；信息安全；客票安全系統(tǒng)

在新建高速鐵路開通運營前，為確保高速鐵路工程達到建設(shè)目標，滿足系統(tǒng)整體性功能驗證需求，將所有系統(tǒng)及接口匹配關(guān)系進行測試、檢驗、調(diào)試，以優(yōu)化各系統(tǒng)的狀態(tài)和整體系統(tǒng)性能，從而提高中國鐵路工程建造技術(shù)水平，為高速鐵路順利開通提供科學(xué)依據(jù)[1]，這一系列的過程稱為“高速鐵路聯(lián)調(diào)聯(lián)試”。

鐵路客票安全系統(tǒng)，實現(xiàn)了信息系統(tǒng)安全的結(jié)構(gòu)化保護，杜絕未經(jīng)授權(quán)的訪問和蓄意攻擊，為鐵路客票系統(tǒng)提供了信息安全保障。面對各種源于內(nèi)外的安全威脅與風險，鐵路客票安全系統(tǒng)在投入運營生產(chǎn)之前，應(yīng)與其他信息系統(tǒng)一樣，需要通過聯(lián)調(diào)聯(lián)試技術(shù)手段，驗證鐵路客票安全系統(tǒng)的各項保障功能是否能正常生效。

1 鐵路客票安全系統(tǒng)

鐵路客票安全系統(tǒng)的安全方案，是按照GB17859 -1999《信息安全技術(shù)—計算機信息系統(tǒng)安全保護等級劃分準則》和GB/T25070-2010《信息安全技術(shù)—信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等標準和規(guī)范的要求，建立的一個明確定義的形式化安全策略模型，將自主和強制訪問控制擴展到所有的主體與客體，輔以其它方面的信息安全技術(shù)，將客票系統(tǒng)的安全保護環(huán)境實現(xiàn)結(jié)構(gòu)化，達到信息安全等級保護四級要求，確保客票信息系統(tǒng)安全。

根據(jù)網(wǎng)絡(luò)層次結(jié)構(gòu)，將鐵路客票安全系統(tǒng)劃分為三級：鐵路總公司中心、地區(qū)中心和車站。鐵路總公司中心的安全職能是監(jiān)控客票系統(tǒng)的整體安全運行狀況，行使身份認證中心（CA系統(tǒng)信任根節(jié)點）的功能，并保障鐵路客票系統(tǒng)自身的信息系統(tǒng)安全，達到等級保護四級要求；地區(qū)中心的安全職能是監(jiān)控本區(qū)域的客票系統(tǒng)的安全運行狀況，本區(qū)域身份認證中心（CA系統(tǒng)信任子節(jié)點），采用網(wǎng)絡(luò)管控器、CA認證服務(wù)器、安全通信系統(tǒng)、配置管理系統(tǒng)和安全審計系統(tǒng)等技術(shù)手段，保障地區(qū)中心客票系統(tǒng)的信息系統(tǒng)安全，要求達到信息安全等級保護四級要求；車站的安全職能是保護客票系統(tǒng)終端安全，包括對客票終端、交換機、路由器等設(shè)備的實時監(jiān)控，并采用網(wǎng)絡(luò)管控器、安全通信系統(tǒng)和配置管理器等技術(shù)手段，保障車站客票系統(tǒng)的信息系統(tǒng)安全，采用安全隔離與信息交換系統(tǒng)（網(wǎng)閘）進行安全隔離，保障與旅客服務(wù)系統(tǒng)的數(shù)據(jù)安全交互，要求達到保護等級3級要求。鐵路客票安全系統(tǒng)部署示意圖如圖1所示。

圖1 鐵路客票安全系統(tǒng)部署示意圖

2 場景設(shè)計

由于高速鐵路聯(lián)調(diào)聯(lián)試的實施范圍都是在車站層面，故本文只對車站客票安全系統(tǒng)的聯(lián)調(diào)聯(lián)試方案展開探討。針對車站鐵路客票安全系統(tǒng)的網(wǎng)絡(luò)部署結(jié)構(gòu)，和所采用的安全設(shè)備，從對客票系統(tǒng)業(yè)務(wù)防護的角度，設(shè)計7個測試場景，詳細的測試場景內(nèi)容如下。

2.1 測試環(huán)境檢查

在開展聯(lián)調(diào)聯(lián)試工作前，需要在現(xiàn)場對系統(tǒng)的準備情況進行全面檢查，檢查的重點是安全系統(tǒng)的硬件安裝情況，軟件調(diào)試情況和運行數(shù)據(jù)的配置情況，包括：硬件是否部署并調(diào)試完成，軟件是否完成安裝并初始化，網(wǎng)絡(luò)是否暢通等測試環(huán)境檢查。

2.2 安全配置核查

采用配置核查工具，設(shè)計基于正則表達式設(shè)計配置核查腳本，對各項安全設(shè)備的安全策略實施配置核查。

2.3 身份鑒別場景

將車站客票安全系統(tǒng)提煉出3個核心的身份鑒別過程，即對安全代理登錄過程、安全設(shè)備登錄過程、安全管理系統(tǒng)登錄過程進行身份鑒別測試。

2.4 訪問控制場景

將車站客票安全系統(tǒng)提煉出兩個重要的訪問控制層面，即對窗口售票終端訪問客票服務(wù)器、網(wǎng)絡(luò)邊界設(shè)備進行訪問控制測試。

2.5 安全管理場景

從保護車站客票系統(tǒng)業(yè)務(wù)的角度，設(shè)計出安全管理層面的測試內(nèi)容，即對節(jié)點管理、用戶管理、USB-Key管理進行安全管理測試。

2.6 集中監(jiān)控場景

依據(jù)安全監(jiān)控的層面，提出集中監(jiān)控的測試內(nèi)容，即對網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全代理、安全設(shè)備進行集中監(jiān)控測試。

2.7 安全審計場景

從系統(tǒng)日志、安全事件兩個層面對安全設(shè)備展開審計測試。

3 測試內(nèi)容

3.1 測試環(huán)境檢查

3.1.1 硬件測試環(huán)境檢查

網(wǎng)絡(luò)管控器、安全通信系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)（網(wǎng)閘）等安全設(shè)備、配置管理系統(tǒng)服務(wù)器等是否部署和調(diào)試完成。

3.1.2 軟件測試環(huán)境檢查

配置管理系統(tǒng)和安全代理系統(tǒng)等是否安裝并初始化完成。

3.1.3 網(wǎng)絡(luò)環(huán)境檢查

客票廣域網(wǎng)、車站客票局域網(wǎng)、車站旅客服務(wù)系統(tǒng)局域網(wǎng)是否暢通。

3.1.4 相關(guān)系統(tǒng)環(huán)境檢查

窗口售票系統(tǒng)、旅客服務(wù)系統(tǒng)、客票系統(tǒng)與旅客服務(wù)系統(tǒng)的接口服務(wù)器是否安裝并調(diào)試完成。

3.2 安全配置核查

3.2.1 系統(tǒng)配置核查

檢查安全設(shè)備的相關(guān)系統(tǒng)配置是否正確配置完成，保障設(shè)備的正常運轉(zhuǎn)，內(nèi)容包括：配置管理系統(tǒng)、安全代理系統(tǒng)、安全通信系統(tǒng)、防火墻、網(wǎng)絡(luò)管控器、安全隔離與信息交換系統(tǒng)等安全設(shè)備等。

3.2.2 安全策略核查

檢查安全設(shè)備的相關(guān)安全策略是否正確配置完成，保障設(shè)備的安全功能正常配置，內(nèi)容包括：配置管理系統(tǒng)、安全代理系統(tǒng)、網(wǎng)絡(luò)管控器、防火墻、安全隔離與信息交換系統(tǒng)等安全設(shè)備等。

3.3 身份鑒別場景

檢查各項安全系統(tǒng)或安全設(shè)備的用戶登錄身份鑒別功能是否正常生效，內(nèi)容包括：安全代理系統(tǒng)、配置管理系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)等。

3.4 訪問控制場景

3.4.1 售票終端訪問控制測試

售票終端主要依靠安全代理系統(tǒng)實現(xiàn)對客票服務(wù)器的訪問控制，主要測試安全代理系統(tǒng)正常登錄及異常登錄的各種情況，以及不同的用戶登錄后，具有不同的訪問控制權(quán)限等。

3.4.2 網(wǎng)絡(luò)邊界訪問控制測試

負責網(wǎng)絡(luò)邊界的訪問控制，主要是依靠兩個安全設(shè)備：防火墻和安全隔離與信息交換系統(tǒng)，主要測試防火墻的包過濾功能和其他靜態(tài)規(guī)則是否正常生效，測試安全隔離與信息交換系統(tǒng)的安全策略是否正常生效。

3.5 安全管理場景

配置管理系統(tǒng)可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全策略等內(nèi)容的管理功能，驗證安全管理功能是否正常生效，測試內(nèi)容包括：節(jié)點管理、USB-Key管理、用戶管理和安全策略管理等。

3.6 集中監(jiān)控場景

配置管理系統(tǒng)可以對網(wǎng)絡(luò)設(shè)備和安全設(shè)備等實現(xiàn)集中監(jiān)控的功能，驗證集中監(jiān)控功能是否正常生效，測試內(nèi)容包括：對路由器、交換機、售票終端、防火墻、網(wǎng)閘、網(wǎng)絡(luò)管控器、安全隔離與信息交換系統(tǒng)等設(shè)備的安全監(jiān)控功能。

3.7 安全審計場景

當出現(xiàn)系統(tǒng)入侵等安全事件時，安全審計是進行事件追蹤的重要依據(jù)，本場景主要測試各項安全設(shè)備的安全審計功能是否正常生效，檢查內(nèi)容包括系統(tǒng)日志和安全事件，被測設(shè)備包括：配置管理系統(tǒng)、防火墻、安全隔離與信息交換系統(tǒng)等。

4 測試流程

鐵路車站客票安全系統(tǒng)的聯(lián)調(diào)聯(lián)試工作大致分6個過程，如圖2所示。

（1）根據(jù)高速鐵路工程需要，成立信息安全聯(lián)調(diào)聯(lián)試項目小組，明確分工，落實職責；

（2）根據(jù)高速鐵路工程實際情況，編制聯(lián)調(diào)聯(lián)試大綱，提交鐵路總公司、鐵路局、客專公司審查，明確測試目的、范圍和內(nèi)容；

（3）與集成商交流系統(tǒng)概況和功能，編制測試用例，明確工作內(nèi)容；

（4）開展現(xiàn)場聯(lián)調(diào)聯(lián)試工作；

（5）整理測試結(jié)果，認真分析試驗數(shù)據(jù)，準備編制檢測報告的編寫；

（6）完成動態(tài)檢測、聯(lián)調(diào)聯(lián)試等報告的編制和修改工作。

圖2 鐵路客票安全系統(tǒng)聯(lián)調(diào)聯(lián)試測試流程

5 測試方法

鐵路客票安全系統(tǒng)保障功能的聯(lián)調(diào)聯(lián)試，依據(jù)鐵路行業(yè)標準、鐵路客票安全系統(tǒng)的設(shè)計方案、國家信息安全相關(guān)測評標準，采用專業(yè)的安全測評工具，運用科學(xué)的方法和手段，驗證信息安全保障的各項功能是否能正常生效。

5.1 檢查

通過直接訪問配置管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，檢查安全保障策略是否合理，是否配置完成。

5.2 手工檢測

使用專業(yè)的測試方法，直接操作SOC管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，執(zhí)行有效的操作指令，根據(jù)測試結(jié)果分析安全保障功能是否正常生效。

5.3 工具檢測

借助配置核查等安全檢測工具，對被測設(shè)備發(fā)送相關(guān)指令，根據(jù)正則表達式篩選返回結(jié)果，與期望結(jié)果值進行對比，檢測測試結(jié)果是否與期望值一致。

部分檢測項不能在圖形界面上操作，不能獲取測試結(jié)果，需要借助專業(yè)的測試工具進行檢測。本方案采用配置核查設(shè)備，通過自主開發(fā)測試腳本，實現(xiàn)對網(wǎng)絡(luò)管控器、網(wǎng)閘、安全通信平臺和主機管控器的配置核查操作。配置核查設(shè)備工作原理：通過配置核查設(shè)備，將操作指令發(fā)送給安全設(shè)備，設(shè)備返回結(jié)果數(shù)據(jù)信息，測試腳本利用正則表達式對結(jié)果進行篩選，提取出需要的數(shù)據(jù)，與預(yù)先設(shè)定的期望返回值進行對比，檢測測試結(jié)果是否與期望值一致。

圖3 配置核查工作原理示意圖

6 結(jié)束語

本文針對鐵路客票安全系統(tǒng)的保障功能提出了測試方案，從保護客票系統(tǒng)業(yè)務(wù)安全的角度，提出7個測試場景，內(nèi)容包括環(huán)境檢查、配置核查、身份鑒別、訪問控制、安全管理、集中監(jiān)控和安全審計。針對部分安全設(shè)備的安全策略不易在圖形界面上進行檢測，提出采用配置核查工具，設(shè)計了基于正則表達式的測試腳本，實現(xiàn)對安全策略的配置核查功能，且能夠正確輸出測試結(jié)果。本方案還有不完善之處，在未來的聯(lián)調(diào)聯(lián)試工作實踐中不斷修正和改進。

[1] 康 熊.高速鐵路聯(lián)調(diào)聯(lián)試技術(shù)[J].中國鐵路，2010（12）.

[2] 崔德山，張 彥，劉育欣.高速鐵路客運服務(wù)系統(tǒng)聯(lián)調(diào)聯(lián)試技術(shù)研究[J].鐵路計算應(yīng)用，2010，9（11） .

[3] 朱建生，單杏花，周亮瑾，劉春煌，劉 強.中國鐵路客票發(fā)售和預(yù)定系統(tǒng)5.0版的研究與實現(xiàn)[J].中國鐵道科學(xué)，2006（11）.

責任編輯 徐侃春

Technologies of Test on Completion for Railway Ticketing and Reservation Security System

ZHOU Zeyan, SHI Hong, ZHANG Yan
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

With the increasing of national attention to information security, Test on Completion(TOC) for high speed railway was needed to the Railway Ticketing and Reservation System. Starting from the protection of service security point of view for the System, this paper put forward a set of test plan, including test scenarios, test content, test process and test methods. The conf i guration verif i cation tool was used to develop the test script based on regular expression, implement the conf i guration verif i cation function to the security policy.

Test on Completion(TOC); information security; Railway Ticketing and Reservation Security System

U29-39

A

1005-8451（2015）02-0055-04

2014-10-08

周澤巖，工程師；史 宏，研究員。