国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

1 安全需求

在移動互聯(lián)網(wǎng)快速發(fā)展的背景下，鐵路乘車體驗也發(fā)生了巨大變化，已經(jīng)實現(xiàn)了網(wǎng)上訂票、微信支付、自助進(jìn)站、互聯(lián)網(wǎng)訂餐，并將逐步推行刷臉進(jìn)站。Wi-Fi作為移動互聯(lián)網(wǎng)的重要接入點(diǎn)之一，扮演著越來越重要的入口角色。目前京滬高鐵復(fù)興號動車組實現(xiàn)了Wi-Fi全覆蓋，預(yù)計下一步將在高鐵站車進(jìn)行推廣應(yīng)用。鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)應(yīng)用，面臨諸多網(wǎng)絡(luò)安全風(fēng)險，需研究安全防護(hù)方案，提升旅客上網(wǎng)體驗，踐行“安全出行、方便出行、溫馨出行”。

鑒于鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)的特點(diǎn)，安全方面的需求主要包括網(wǎng)絡(luò)及應(yīng)用的總體安全和終端用戶接入的信息安全。系統(tǒng)安全防護(hù)應(yīng)滿足這兩方面的安全需求，從網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等多個層面建立安全防控體系，確保鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)運(yùn)行的穩(wěn)定可靠，以及私有信息的數(shù)據(jù)安全[1-5]。

2 網(wǎng)絡(luò)安全設(shè)計

2.1 網(wǎng)絡(luò)安全邊界

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)網(wǎng)絡(luò)總體上可劃分為中國鐵路總公司（簡稱總公司）網(wǎng)絡(luò)、鐵路局集團(tuán)公司網(wǎng)絡(luò)、車站網(wǎng)絡(luò)、動車所網(wǎng)絡(luò)和列車網(wǎng)絡(luò)5個網(wǎng)絡(luò)區(qū)域?；诟骶W(wǎng)絡(luò)區(qū)域中業(yè)務(wù)應(yīng)用不同，網(wǎng)絡(luò)安全邊界有：互聯(lián)網(wǎng)接入邊界、Wi-Fi無線接入邊界、外部服務(wù)網(wǎng)網(wǎng)絡(luò)區(qū)域邊界、內(nèi)外網(wǎng)訪問邊界，針對各網(wǎng)絡(luò)安全邊界需實施不同的安全防護(hù)策略。鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)總體網(wǎng)絡(luò)安全邊界見圖1。

圖1 鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)網(wǎng)絡(luò)安全邊界

總公司網(wǎng)絡(luò)區(qū)域、鐵路局集團(tuán)公司網(wǎng)絡(luò)區(qū)域、車站網(wǎng)絡(luò)區(qū)域和列車網(wǎng)絡(luò)區(qū)域分別有互聯(lián)網(wǎng)接入，需進(jìn)行互聯(lián)網(wǎng)邊界安全防護(hù)；系統(tǒng)在車站網(wǎng)絡(luò)區(qū)域和列車網(wǎng)絡(luò)區(qū)域內(nèi)為旅客提供無線接入服務(wù)，需進(jìn)行無線接入邊界安全防護(hù)；總公司網(wǎng)絡(luò)區(qū)域、鐵路局集團(tuán)公司網(wǎng)絡(luò)區(qū)域通過外部服務(wù)網(wǎng)進(jìn)行內(nèi)容數(shù)據(jù)交互，需進(jìn)行外部服務(wù)網(wǎng)的網(wǎng)絡(luò)區(qū)域邊界安全防護(hù)；總公司網(wǎng)絡(luò)區(qū)域由內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)2部分組成，需進(jìn)行內(nèi)外網(wǎng)訪問安全防護(hù)。

2.2 互聯(lián)網(wǎng)接入

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)互聯(lián)網(wǎng)接入安全設(shè)計主要包括入侵檢測、入侵防御、接入控制、安全審計、互聯(lián)網(wǎng)接入行為管理等方面。

（1）入侵檢測：依照一定的安全策略對網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，并預(yù)先發(fā)出警報，以保證網(wǎng)絡(luò)的安全、可靠。

（2）入侵防御：對來自互聯(lián)網(wǎng)的攻擊行為進(jìn)行防御，通過訪問控制策略，對攻擊數(shù)據(jù)包進(jìn)行過濾和屏蔽?？煞烙鶃碜曰ヂ?lián)網(wǎng)的分布式拒絕服務(wù)（DDoS）攻擊行為，對DDoS攻擊行為進(jìn)行過濾，對系統(tǒng)進(jìn)行防護(hù)，保障系統(tǒng)的高可用性。

（3）接入控制：對源/目的IP、源/目的MAC地址、端口號、業(yè)務(wù)類型、黑白名單等參數(shù)進(jìn)行設(shè)置，提高系統(tǒng)的可靠性。

（4）安全審計：提供面向網(wǎng)絡(luò)的全面綜合審計，基于一定的安全策略，根據(jù)行為日志記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，及時預(yù)警系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

（5）行為管理：提供全面、完整的系統(tǒng)日志記錄，留存旅客的認(rèn)證信息、行為日志、終端地址、位置軌跡等在線、離線數(shù)據(jù)，并可溯源。

2.3 無線接入

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)在列車上和車站通過無線接入設(shè)備向用戶提供Wi-Fi網(wǎng)絡(luò)應(yīng)用服務(wù)，應(yīng)符合公安部頒布的公共場合無線上網(wǎng)安全管理系統(tǒng)的系列技術(shù)要求。無線接入安全設(shè)計主要包括設(shè)備外部接口、非授權(quán)接入節(jié)點(diǎn)（AP）鑒別、無線接入控制和無線防拒絕服務(wù)（DoS）攻擊等方面。

（1）設(shè)備外部接口：列車Wi-Fi局域網(wǎng)、車站W(wǎng)i-Fi局域網(wǎng)中所有設(shè)備的外部接口都具備防止非授權(quán)外部存儲設(shè)備接入的功能，防止木馬植入等惡意破壞行為。

（2）非授權(quán)AP鑒別：無線覆蓋AP具備實時監(jiān)測列車Wi-Fi局域網(wǎng)內(nèi)的非授權(quán)AP功能，發(fā)現(xiàn)惡意和可疑網(wǎng)絡(luò)行為，包括AP欺騙、熱點(diǎn)異常等，并可以在發(fā)現(xiàn)非授權(quán)AP的第一時間對其進(jìn)行阻斷。

（3）無線接入控制：無線接入控制器具備無線接入控制功能，可對接入用戶的MAC地址、業(yè)務(wù)類型、流量控制等參數(shù)進(jìn)行配置，保證無線網(wǎng)絡(luò)的可靠性和健壯性。

（4）防止DoS攻擊：接入AP或無線控制器具備無線防止DoS攻擊功能，對DoS攻擊行為進(jìn)行過濾，對系統(tǒng)進(jìn)行防護(hù)，保障系統(tǒng)的高可用性。

2.4 外部服務(wù)網(wǎng)

總公司、鐵路局集團(tuán)公司站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)均部署在鐵路外部服務(wù)網(wǎng)，鐵路局集團(tuán)公司與總公司網(wǎng)絡(luò)區(qū)域間的安全設(shè)計采用防火墻進(jìn)行安全防護(hù)。鐵路局集團(tuán)公司外部服務(wù)網(wǎng)與車站、動車所網(wǎng)絡(luò)區(qū)域?qū)嵤┪锢砀綦x，通過互聯(lián)網(wǎng)接口實現(xiàn)數(shù)據(jù)訪問。

2.5 內(nèi)外網(wǎng)訪問

總公司、鐵路局集團(tuán)公司內(nèi)部服務(wù)網(wǎng)區(qū)域和外部服務(wù)網(wǎng)區(qū)域之間的安全防護(hù)，通過內(nèi)外網(wǎng)安全平臺進(jìn)行安全隔離，通過安全平臺進(jìn)行內(nèi)外網(wǎng)信息安全交換。

2.6 通信傳輸安全

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)對用戶登錄認(rèn)證、訂單支付等重要敏感數(shù)據(jù)信息請求，采用安全套接層（SSL）證書技術(shù)與安全超文本傳輸協(xié)議（HTTPS）網(wǎng)絡(luò)協(xié)議，對用戶和服務(wù)器進(jìn)行認(rèn)證，對傳送的數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳送中不被篡改，保證網(wǎng)絡(luò)通信的機(jī)密性和完整性。保證主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備一定的冗余空間，以滿足業(yè)務(wù)高峰期的需要；系統(tǒng)間網(wǎng)絡(luò)行為可溯源；系統(tǒng)間通信具備抗抵賴功能。

2.7 惡意代碼防范

對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。

3 系統(tǒng)應(yīng)用

3.1 用戶身份鑒別

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)統(tǒng)一由用戶中心面向全網(wǎng)用戶提供統(tǒng)一的用戶接入身份認(rèn)證管理功能。對各級系統(tǒng)管理員、鐵路運(yùn)營人員、不同渠道的旅客等多種角色，按照不同策略進(jìn)行身份認(rèn)證鑒別，實現(xiàn)用戶一次注冊、多訪問入口的統(tǒng)一認(rèn)證登錄管理。

按照權(quán)限不同，鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)的用戶可分為內(nèi)部用戶（如運(yùn)營人員、系統(tǒng)管理人員等）和外部旅客用戶，內(nèi)部用戶通過鐵路外部服務(wù)網(wǎng)訪問鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)；旅客通過互聯(lián)網(wǎng)、站/車局域網(wǎng)訪問鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)。

鐵路局集團(tuán)公司系統(tǒng)管理員、運(yùn)營人員等內(nèi)部用戶使用用戶ID/口令，通過鐵路局集團(tuán)公司外部服務(wù)網(wǎng)登錄用戶中心，獲得身份認(rèn)證鑒別；站段系統(tǒng)管理員、運(yùn)營人員等內(nèi)部用戶使用用戶ID/口令，通過鐵路互聯(lián)網(wǎng)專網(wǎng)VPN轉(zhuǎn)接至鐵路局集團(tuán)公司外部服務(wù)網(wǎng)登錄用戶中心，獲得身份認(rèn)證鑒別；列車系統(tǒng)管理員、運(yùn)營人員等內(nèi)部用戶使用用戶ID/口令，通過互聯(lián)網(wǎng)登錄用戶中心，獲得身份認(rèn)證鑒別。

旅客訪問鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)的身份鑒別，采用用戶名和口令的認(rèn)證方式。旅客通過互聯(lián)網(wǎng)登錄用戶中心，獲得身份認(rèn)證鑒別。用戶的口令強(qiáng)度和認(rèn)證策略可進(jìn)行配置，必要時保留旅客通過手機(jī)短信認(rèn)證的方式。

3.2 系統(tǒng)訪問控制

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)應(yīng)用系統(tǒng)的安全訪問控制主要涉及對系統(tǒng)資源的合理分類、分級管理和系統(tǒng)資源的訪問控制策略。系統(tǒng)通過配置文件、技術(shù)參數(shù)、控制指令等管理策略，限制用戶訪問系統(tǒng)資源的范圍和權(quán)限。

（1）資源管理。系統(tǒng)資源主要涉及系統(tǒng)功能操作、服務(wù)訪問地址、數(shù)據(jù)訪問限制、數(shù)據(jù)處理方式等內(nèi)容。系統(tǒng)資源采用分級、分類管理方式，嚴(yán)格按照總公司、鐵路局集團(tuán)公司、站段、車站、列車等組織結(jié)構(gòu)及其權(quán)屬關(guān)系進(jìn)行設(shè)置，并按照運(yùn)維、運(yùn)營業(yè)務(wù)等種類進(jìn)行劃分，不同級別的用戶負(fù)責(zé)不同業(yè)務(wù)的職責(zé)范圍；不同職責(zé)用戶訪問的資源和允許的操作被嚴(yán)格區(qū)分。

（2）應(yīng)用系統(tǒng)訪問控制。鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)根據(jù)用戶身份及其所屬預(yù)先定義的控制策略或訪問權(quán)限，管理和限制用戶訪問系統(tǒng)資源，并對越權(quán)操作進(jìn)行監(jiān)控。

系統(tǒng)基于角色管理進(jìn)行訪問控制，合理有效地分類、定義和管理系統(tǒng)角色，按照業(yè)務(wù)種類、操作類別、數(shù)據(jù)范圍等劃分角色組，使資源訪問權(quán)限與角色及角色組相關(guān)聯(lián)，實現(xiàn)對系統(tǒng)資源訪問邊界的管控。系統(tǒng)用戶可依其職責(zé)和資格分派相應(yīng)角色，從而得到角色訪問系統(tǒng)資源的權(quán)限。

系統(tǒng)通過單點(diǎn)登入（Single Sign On，SSO）集中存儲和管理鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)用戶身份信息，對系統(tǒng)賬號進(jìn)行統(tǒng)一管理，用戶只需一次向服務(wù)器驗證身份，即可使用多個系統(tǒng)的資源，提高網(wǎng)絡(luò)用戶的效率，簡化賬戶登錄過程并保護(hù)賬號和密碼安全。

嚴(yán)格管控操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員等特權(quán)用戶的訪問權(quán)限，記錄用戶登錄、操作日志，保證操作可追溯。

3.3 系統(tǒng)數(shù)據(jù)安全

主要基于安全策略、加密算法、容錯機(jī)制對鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行主動防護(hù)，確保數(shù)據(jù)的機(jī)密性、完整性、可用性等。

（1）人員信息安全。系統(tǒng)中人員及相關(guān)認(rèn)證與授權(quán)信息屬高度敏感數(shù)據(jù)，系統(tǒng)設(shè)計嚴(yán)格的人員信息訪問控制策略，避免數(shù)據(jù)外泄，并對用戶口令、聯(lián)系方式、支付賬戶等核心數(shù)據(jù)通過MD5加密算法進(jìn)行加密存儲，保證信息的完整性、機(jī)密性。同時，提供對數(shù)據(jù)訪問的審計跟蹤。

（2）內(nèi)容安全。系統(tǒng)提供對發(fā)布、存儲、下載的資源內(nèi)容（如廣告、視頻、游戲、應(yīng)用等）進(jìn)行審查和校驗，通過對內(nèi)容文件進(jìn)行掃描、校驗和標(biāo)記等操作，控制系統(tǒng)內(nèi)容的合法性和有效性，并通過授權(quán)認(rèn)證、數(shù)字信封等技術(shù)實現(xiàn)內(nèi)容的發(fā)布、維護(hù)、轉(zhuǎn)儲和訪問控制，保證系統(tǒng)所提供內(nèi)容的安全、可靠、完整。

（3）數(shù)據(jù)高可靠性。系統(tǒng)對業(yè)務(wù)數(shù)據(jù)進(jìn)行分類，鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)的核心業(yè)務(wù)數(shù)據(jù)（如人員信息、授權(quán)信息、賬戶信息、交易記錄、支付信息等）通過雙機(jī)存儲方式或分布式存儲方式進(jìn)行實時備份，保障數(shù)據(jù)的高可靠性。同時，系統(tǒng)定期對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，保障在故障發(fā)生時能及時恢復(fù)。

（4）抗抵賴。系統(tǒng)對應(yīng)用操作進(jìn)行分類，對于重要的應(yīng)用操作，如用戶注冊、用戶登錄、訂單確認(rèn)、支付等，系統(tǒng)采用數(shù)字簽名技術(shù)，防止數(shù)據(jù)被篡改，保證操作處理的不可抵賴性。

（5）軟件容錯。系統(tǒng)提供數(shù)據(jù)有效性檢驗機(jī)制，通過CRC校驗、MD5算法等技術(shù)生成重要業(yè)務(wù)數(shù)據(jù)校驗碼，保障產(chǎn)生、更新、傳輸或下載的數(shù)據(jù)格式和內(nèi)容符合系統(tǒng)設(shè)定的要求。

（6）系統(tǒng)容災(zāi)。鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)提供災(zāi)難備份和恢復(fù)功能，保障系統(tǒng)在災(zāi)難時期數(shù)據(jù)和應(yīng)用的完整、可用。

3.4 安全管理及審計

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)使用專業(yè)的系統(tǒng)管理軟件，對網(wǎng)絡(luò)及計算機(jī)設(shè)備進(jìn)行統(tǒng)一管理、配置、維護(hù)、監(jiān)控，確保整個系統(tǒng)的配置安全；設(shè)立專門的管理機(jī)構(gòu)、制定全面的安全管理制度，確保管理策略能夠得到正確執(zhí)行，安全技術(shù)措施能夠發(fā)揮作用。提供系統(tǒng)安全審計，覆蓋應(yīng)用系統(tǒng)的所有用戶，安全審計記錄應(yīng)用系統(tǒng)重要的安全事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；制定安全審計策略，提供對特定事件以指定方式進(jìn)行警示；安全審計能跟蹤監(jiān)測到可能的安全侵害事件，并及時終止違規(guī)事件；安全審計根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

4 結(jié)束語

鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)的安全防護(hù)總體上基于網(wǎng)絡(luò)域隔離、訪問控制等機(jī)制，形成由外及內(nèi)的系統(tǒng)縱深協(xié)同保護(hù)，并通過身份鑒別、入侵防范、數(shù)據(jù)加密等關(guān)鍵技術(shù)，結(jié)合必要的安全管理和審計措施，形成鐵路站車Wi-Fi運(yùn)營服務(wù)系統(tǒng)安全防護(hù)方案，保障系統(tǒng)的穩(wěn)定、安全、可靠運(yùn)行。

參考文獻(xiàn)

[1] GB/T 22239—2008 信息安全技術(shù)：信息系統(tǒng)安全等 級保護(hù)基本要求[S].

[2] QCR 544—2016 鐵路客站W(wǎng)i-Fi無線接入系統(tǒng)技術(shù)條 件[S].

[3] 蔣笑冰. 基于移動互聯(lián)網(wǎng)的鐵路站車Wi-Fi服務(wù)網(wǎng)絡(luò) 方案[J]. 中國鐵路，2015(10)：73-75.

[4] 孫巖華，羅海宏. 高速鐵路站車Wi-Fi系統(tǒng)方案研 究[J]. 鐵道運(yùn)輸與經(jīng)濟(jì)，2016(2)：31-35.

[5] 李晴，葉阿勇，許力. 公眾環(huán)境下無線接入的安全 問題研究[J]. 信息網(wǎng)絡(luò)安全，2016(4)：69-75.