（交通运输规划与管理专业论文）铁路客票系统安全管理研究.pdf

第1 页 摘要 矿3 4 4 8 5 7 中国铁路客票发售和预订系统是一个跨越全国、分布式、实时 的计算机网络应用系统。对网络设备、主机、数据库乃至应用系统 在内的计算机资源的安全管理成为一个十分重要的问题。随着中国 铁路客票发售和预定系统全国联网售票的实现，客票系统的开放性 逐渐增强，系统安全管理显得越发的重要。本论文将就客票系统的 安全管理进行研究分析，主要内容包括以下几个方面： 客票系统安全管理的必要性 客票系统面临的安全威胁 加强客票系统安全的实施措施研究 客票系统的图形化集中管理 f 由于论文论述的许多方案和实施措施已在实际的铁路客票系统 中应用，为了系统安全的需要，涉及到具体校验和算法和加密算法 l 不在论文中进行详细论述f _ 卜 关键字：客票系塘安全管道。安全威胁计算机资荆 s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 a b s t r a c t c h i n e s er a i l w a yp a s s e n g e rt i c k e t sd i s t r i b u t i o na n db o o k i n gs y s t e m i sa r e a l t i m e d i s t r i b u t e d c o m p u t e r n e t w o r k a p p l i c a t i o ns y s t e m c o v e r i n gw i t ht h ew h o l ec o u n t r y i ti sv e r yi m p o r t a n tt or e i n f o r c et h e s e c u r i t ym a n a g e m e n tt oc o m p u t e r r e s o u r c e s i n c l u d i n g t h en e t w o r k d e v i c e s 、h o s tc o m p u t e r s 、d a t a b a s ea n d a p p l i c a t i o ns y s t e m w i t hs e l l i n g t i c k e t sw i t h i nt h ew h o l ec o u n t r yc o n n e c t e dn e t w o r kc o m i n gt r u e ，t h e o p e n i n go fc h i n e s er a i l w a yp a s s e n g e rt i c k e t sd i s t r i b u t i o na n db o o k i n g s y s t e mg r o w ss t r o n g e r a n d s t r o n g e r s y s t e ms e c u r i t ym a n a g e m e n t b e c o m e sm o r ei m p o r t a n t t h i sp a p e rd i s c u s s e st h es e c u r i t ym a n a g e m e n t o fc h i n e s er a i l w a yp a s s e n g e rt i c k e t sd i s t r i b u t i o na n d b o o k i n gs y s t e m t h em a i nc o n t e n t sa r ea sf o l l o w s ： t h e n e c e s s i t yo fs e c u r i t ym a n a g e m e n to fp a s s e n g e rt i c k e t s s y s t e m t h es e c u r i t yt h r e a t so fp a s s e n g e rt i c k e t ss y s t e m t h es e c u r i t ym e a s u r e so f p a s s e n g e rt i c k e t ss y s t e m t h e g r a p h i c a l c e n t r a l i z e dm a n a g e m e n to fp a s s e n g e rt i c k e t s s y s t e m b e c a u s eo fm a n yp r o j e c t sa n di m p l e m e n t a r ym e a s u r e sh a v i n gb e e n m a d eu s eo fi nt h ea c t u a la p p l i c a t i o ns y s t e m ，d u et ot h es y s t e ms e c u r i t y ， a l g o r i t h m so f c h e c ks u ma n de n c r y t i o nc a nn o tb ed i s c u s s e dd e t a i l e d l y i nt h ep a p e r k e yw o r d ：p a s s e n g e r t i c k e t ss y s t e m ， s e c u r i t ym a n a g e m e n t ， s e c u r i t yt h r e a t s ，c o m p u t e r r e s o u r c e s s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 第l 簧 第一章、铁路蜜票系统安全蟹理的必要性分斩 1 1 铁路客票系统概速 1 1 1 铁路客蔡系统的总律结构 中瞬铁路馨票系统是一个覆盖全路快车营妲站售榘甄务，规模 庞大的实时计算机网络应用系统。系统建设的周期长、投资大、技 术复杂。目标怒要使全路快率营业站能够实时地避行全戳联网售票 业务、进而实现国际联网售票业务。 铁路客梁系统的总体结构，取决于妲务处理、数据流程、系统 功能及网络传输能力等相关因素，关键是席位数据库的规瑚匈配 簧。辗攒我菌绣域辽黼、铁路点多缄广的特点，考虑掰我国铁路客 运管理体利和通信基础设旋的实际情撬，经过充分讨论和反鬟论 证，决寇我国铁路客黎系统采用集中与分布相结合的客户祝，服务器 结构，其特点怒建立一个中央数据瘁和若予个缝嚣数据瘁，霈鬣数 据将按两车始发分掰存储在务遗区中心数精痒中；综合考虑各蠡亟区 数据库所覆盖的客运蠢、粥率数、快车管鼗蛄数酌均衡饿及合攥， 全路共建立2 7 个蛾区中心数据霹( 如图1 1 ) 。 嚣1 。 ；铁路客票系统总体结构镄强 s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第顺 第一章、铁路饔票系统安垒管理的必要性分析 1 1 铁路客票系境概述 。 。1 铁潞客蔡系统的惹体鳍梅 中国铁路客票系统是一个覆蘸全路快车营业站售票业务，规模 庞大的实时计算机网络应用系统。系统建设的周期长、投黉大、技 术菱杂。鏊标是要使全爨侠霉营鼗菇髓够实辩遮进行全藿联弱售票 业务、进褥实现园黪联网售票业务。 铁路鬻票系统的总体结构，取决于业务处理、数据流程、系统 功能及网络传输能力等褶关谶紊，关键是辩证数据露懿瓣翅与配 墨。根据筏星她域辽耀、铁路点多线广的特点，考虑剿我熙铁路客 运管理体制和通信基础设施的实际情况，经过充分讨论和反筻论 证，决定我国铁路客票系统采蒂集中与分布稽结会的客户梳，菔务器 结构，其特点是建巍一个中央数攒痒积若干个地送数据库，纛擞数 据将按列车始发分别存储在备地区中心数据库中；综合考虑各地区 数据库所覆盖的客运蠢、列率数、快车营韭蛄数的均衡性及合聪， 全鼹共建立2 7 令缝嚣孛，& 数撰疼( 絮豳1 1 ) 。 图1 1 ：铁路客票系统总体缩构简圈 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 第2 页 由于目前网络能力及可靠性还不能满足要求，票额预分等客运管理制度 目前也仍需保留，因此，目前设计中还提出了席位数据存取的过渡方案，即 车站服务器中仍保留一定量的席位数据。 1 1 2 铁路客票系统的系统功能 全路客票发售和预订系统逻辑上可视为2 个层次，底层为客票 商务为主的数据处理；上层则为以底层数据为支撑的客运业务应用 管理。整个系统功能应划分为3 部分：以票务为中心的实时交易商 务服务功能；以席位为核心的调度控制功能；以客运业务为主的指 挥管理功能。从应用角度划分，系统可由6 个子系统组成，即：车 站电子售票系统；地区中心管理系统，中央管理系统，铁道部、铁 路局、铁路分局业务管理系统，其层次关系如图1 2 所示。 业务管理i 地区中心 管理系统 业务管理i i 车站电子售票系统 图1 2 ：铁路客票系统功能图 级 中央级 地区中心级 s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第3 页 1 1 - 3 铁路客票发售和预订系统的数据流 地区中心主要负责网络管理、系统管理、数据库管理、安全管 理、以及应用系统的后台管理等。所谓后台管理主要包括数据复制、 传输、连接管理三部分。3 0 版本采用了s y b a s e 提供的复制服务 器技术，由地区中心负责将路网、列车、票价等数据库表动态复制 到车站数据库，保证了各级应用系统使用的基础数据的一致性。还 利用了s y b a s e 提供的开发工具o p e ns e r v e r 和o p e nc l i e n t 在c 语言环境下研制了专用的数据传输软件和交易连接软件，作为 后台进程运行。其中传输软件用来实现从地区中心向车站自动下达 计划与调度命令、定时向车站返回席位库信息，并接收车站上传的 存根与统计数据写入数据库工作；交易连接作为用户与s q l s e r v e r 的中间件，进行售、订、退、废票交易管理，实现与s q l s e r v e r 的连接，可根据售本地票还是售异地票的请求来进行访问 车站服务器还是访问地区中心服务器的转发工作，并保证交易的完 整性及安全可靠性。 路局业务管理系统主要包括基础数据维护、票额计划和调度命 令的编制与执行、售票情况动态查询与票额实时调度、客运统计分 析、财务数据的汇总查询等。分局业务管理系统与路局基本相同， 只是管理的范围不同而已。 车站售票系统功能 3 0 版本的车站售票系统在充分利用了2 0 版的研究成果后，保 留了原2 0 版本的基本功能，增加了异地票处理功能，完成了与地 区中心联网售票相适应的全面功能升级，因此可发售和预订其它联 网售票车站的乘车车票，并能完成有关异地售票的统计工作：3 0 版本还增加了分段计费及清算功能，使统一应用软件能适应我国铁 路复杂多变的票价计算和财务清算的要求，为适应联网售票，3 0 版在数据库组织和数据处理流程等方面有较大变动；3 0 版本提供 s o u t h w u t j i a o t o n gu n i v e r s i t yt h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第页 了大站带小站功能，小站可利用大站服务器来实现发售本地票和异 地票功能，票额计划可由大站( 或车务段) 统一管理，但售、订、 退票以及票卷、结帐、统计等工作均有小站自己操作，这将有利于 扩大售票系统的推广范围；此外，3 0 版本对原各模块进行了改进， 功能上得到充实和完善，使其具有更强的可靠性、实用性和通用性。 3 0 版本的车站系统既可满足铁道部的集中管理要求，地区中心建 设的基本要求，也可独立地应用于车站。 铁道部票务中心管理系统主要功能图见图1 3 ， 图1 3 ：铁道部票务中心管理系统主要功能图 地区中心和车站之间系统主要数据处理流程见图1 4 随着铁道部票务中心的建成，地区中心和车站的逐步完善，全 国铁路客票发售和预订系统的建成，将成为世界上规模最大、覆盖 面最广、技术最复杂的电子售票系统。 s o u t h w e s t j i a o t o n lu n i v e r s i t yc b e n i g d u2 0 0 0 3 西南交通大学研究生学位论文 第s 页 图1 4 车站和地区中心的信息处理流程 1 2 客票系统安全管理的必要性分析 1 2 1 客票系统安全性概述 全国铁路客票系统的规模在世界上是独一无二的，它是一个覆 盖全路所有快车营业站的计算机网络应用系统。由于系统规模大， 周期长，为了尽快取得实际的效益，采用了自下而上的分步实施方 法，首先建立车站售票系统，逐步建立地区票务中心和全路票务中 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第6 页 心，最终实现全路联网售票。 铁路客票系统是一个面向整个铁路系统、面向社会的开放分布 式系统。众多的窗口机也构成相当大的用户群，在进一步为用户提 供本地及远程自助式购票、订票服务，或者与其它网络互联提供综 合服务时，该系统受计算机网络窃贼攻击的可能性会逐渐地增加。 由于金钱的和非金钱( 政治、军事、个性) 的原因，近年计算机网 络窃贼活动频繁。计算机网络窃贼在网络中危害的对象主要是信息 或服务，直观地表现为中断、更改、窃取和伪造等非法行为。系统 的安全离不开接入控制和基于密码的认证技术。这就引出了口令和 密钥管理问题。从现场的运行情况可知，口令、密钥管理中的漏洞 将使精心设计的安全系统被轻而易举地攻破。由于各个铁路局客票 中心的技术力量参差不齐，系统安全意识不强，口令设置规范与标 准的密钥分发管道尚未形成，这些对全国铁路客票系统的安全都构 成了极大的威胁。 铁路客票系统是一个涉及有价证券的财务清算系统。财务数据 的完整性和安全性是至关重要的。财务、审计的主要威胁是对售票 存根数据的“重放”( 指合法数据的非法复制使用) 与篡改。例如， 铁路免费乘车票存根“重放”可能导致正常票款的流失；篡改本站 发售的异地始发车车票存根将导致车站间的清算纠纷。以上问题若 无公正技术解决办法，将会导致真正责任者对犯罪行为的抵赖。财 务、审计的另一个威胁是由于存储数据的介质损坏或失效造成的存 储数据出错或丢失。比如，用磁盘或磁带长期存储的售票存根数据 就面临此种威胁。另外，制票机的故障也将给财务清算造成漏洞， 并给票据管理带来困难。随着“全国铁路客票系统”在各车站的推 广使用，某些大城市已经发生伪造软纸车票的犯罪案件。同时，由 于涉及客票系统人员较多，使社会上的不法分子窃取软件源程序有 了可趁之机，从而使伪造的软纸车票几乎达到以假乱真的程度。 铁路客票系统是一个实时性很强的商业化系统。它是铁路直接 面向社会的窗口，系统的质量不仅影响到客运能力的充分利用和铁 路的财务收入，而且与旅客的直接切身利益相关，有着巨大的社会 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第7 页 效益。 从以上分析可见，无论从社会效应，还是经济效益来看，保障 全国铁路客票系统安全性和可靠性是至关重要的。 1 2 2 客票系统安全管理所达到的目标 从以上的讨论，我们可以清除的认识到“铁路客票系统”所 面临的安全隐患。消除安全隐患，确保系统安全、有序的 运行是系统安全管理所必须解决的问题。系统安全管理所 需达到的目标： 保证铁路客票系统内程序和数据的完整性、安全性、保密性。 对整个铁路客票系统的安全运行维护提供技术支持保障。 对整个客票系统的网络结构、活动情况和配置进行管理。 对整个客票系统的服务器运行情况和配置进行管理。 对整个客票系统的各级数据库的运行维护进行管理。 对整个客票系统的应用安全稳定运行和日志进行管理。 防止重要的数据和程序被非法窃取、篡改和破坏，防止黑客攻 击， 防止非法增加网络结点。 对各种事故隐患及早发现，并采取必要的防范措施。 病毒的检测预防和清除。 健全保证安全工作的法律、法规、安全规章、组织机构。 1 。2 3 客票系统安全管理的技术要求 铁路客票系统拥有构思精良且有效的系统安全策略是非 常重要的。在确保系统资源被有效保护的同时，所附加的 系统安全策略一定不要削弱系统的功能。有效的系统安全 策略是所有系统用户和系统管理员都可接受的。在设计“铁 路客票系统”安全策略时，应满足如下的技术要求： s o u t h w e s t j l a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第顷 1 安全系统的软硬件能支持“铁路客票系统”所要求的 软硬平台( 硬件：p c 机、各种小型机、微机服务器等；软 件：w i n d o w 、u n i x 操作系统) ，特别是u n i x 系统的无缝连 接。 2 。安全系统的开销小( 毫秒级) ，不因为加入安全系统影响整个 系统的效率。 3 安全系统支持客票系统的实时、并发处理能力，不会因安全 系统的故障影响整个系统的运行。 4 被保护的实体在它建立时就自动处于被保护的状态，不存在 不被保护的状态。 s 将保护作为数据的整体部分，无论数据位于何处和如何传输， 保护都有效。 6 不破坏系统中的数据、程序和网络，能与现有的基础结构集 成在一起。 7 具有模块性，可方便的增加和裁减安全功能，具有较强的扩 展性。 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第9 页 第二章、铁路骞票系统安全t 胁分析 2 1 安全威胁极其类型 字典中将安全定义为“远离危险的状态或特性”和“为防范间 谍活动或蓄意破坏犯罪、攻击或危险而采取的措施”。本论文中所 讨论的“安全威胁”特指能被利用或用来对数据进行未授权访问的 状态或行为。 安全威胁的类型：直接威胁、线缆连接造成的威胁、身 份鉴别引起的安全威胁、编程引起的安全威胁、系统漏洞 引起的安全威胁。安全威胁类型分类如图2 1 ： 在各种各样的安全威胁类型中，就几种常见安全威胁类型作以 简要的介绍： 1 口令圈套 口令圈套是计算机系统中常见的一种安全威胁。有人写出并编 译一个代码模块，运行起来和登录屏幕一模一样。该代码被插入到 正常的登录过程之前，最终用户看到的只是两个登录屏幕。一个接 一个，第一次登录显然失败了，所以用户被要求输入用户名和口令。 实际上，第一次登录并未失败，它将登录数据如用户名和口令写入 了一个数据文件以便今后使用。 2 特洛伊木马 特洛伊木马是包含在合法程序里的未被授权代码，未被授权的 代码执行不为用户所知( 或不希望) 的功能；已被未授权代码更改 过的合法程序，程序执行不为用户所知( 或不希望) 的功能。特洛 伊木马是包括病毒、代码炸弹、蠕虫等诸如此类的恶意代码的通称。 一个特洛伊木马程序是自己被安装到不知情的人的机器上，并且按 它不知其名的编制者的意图行事。大多数情况下，特洛伊木马是以 不可读格式隐藏在二迸制代码文件里，它很好得伪装成系统里正常 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第，0 页 运行的应用程序，静悄悄地有效地运行它预订的程序。特洛伊木马 很难被发现。特洛伊木马在被发现以前可以潜伏几周或几个月。特 洛伊木马经常会导致整个系统受到损害，甚至在特洛伊木马被发现 后，仍可能存在很多得隐藏得漏洞。 安全威胁类 直接威胁 f 线缆连接 身份鉴别 l r一 编程 l 广 系统漏洞j 1 身份识别错误； 间谍行为； 废物搜寻； 偷窃行为； 拨号接入； 冒名顶替： 窃听： 口令圈套； 口令破译： 算法考虑不周； 编辑口令； 病毒： 代码炸弹； 特洛伊木马； 更新和下载； 乘虚而入： 不安全的服务； 配置和初始化； 图2 1 ：安全威胁类型分类图 3 口令的破译 口令的破译是对原来加密的口令进行解密并使得口令显露出来 的过程。口令是系统的第一道防线。口令一旦被破译，整个系统将 处于危险的状态。目前口令的破译主要的方法有二种：字典攻击和 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文第1 顺 强计算方式。字典攻击使用用户的口令文件进行字典查找，它对字 典中的所有的单词进行散列，并与用户的口令散列进行比较。对一 个简单的口令只要几分钟就可以破译。 4 电子窃听 分布式的计算机系统的特征是各个计算机通过一些媒介相互之 间通信。许多非法人员在线缆上安装电子探针设备就可以“倾听” 会话过程并借此窃听信息。甚至并不需要窃听设备安装在线缆上， 通过监测从连线上发射出来的电磁辐射就能拾取所要的信号。如果 传输的数据没有加密，或加密不严格，则很容易泄露机密。 5 病毒 病毒是能通过把自己的一个拷贝附着于机器中的另一个程序的 一端的代码。通过这种方式病毒可以自我复制。并随着它的那个 程序在机器之间进行传播。这种传播可以通过b b s 上下载文件来进 行。也可以通过购置的磁盘来进行。或通过任何将新的资料输入机 器的过程来进行。对于病毒最难解决的问题是进行过热缩包装的商 品软件安装盘中含有病毒，当软件安装好时，机器就感染上病毒。 两种主要的感染病毒：引导扇区病毒和文件感染病毒。 2 2 客亲恭境的安全威胁分析 上面我们列举种种安全威胁，下面针对全国铁路客票发售和预 订系统的安全威胁进行分析。主要从四个方面：网络方面的安全威 胁、操作系统方面的安全威胁、数据库方面的安全威胁、应用方面 的安全威胁。 2 2 1 网络方面的安全威胁 ( 1 ) 黑客攻击，可对整个系统进行破坏：利用u n i x 操作系统提供 的缺省帐户攻击系统，猎取口令、偷取特权；路由器一般都有两层 口令，第一层是进入口令，第二层是特权口令，可以修改各个端口 的配置，修改路由表，访问列表等。所以一旦口令被窃取，路由器 s o u t h w e s tj i a o t o n go n i v e r s i t yc h e n g d u2 0 0 0 3 第1 2 页 即处于极端危险状态。 ( 2 ) 猎取访问路线，利用t r a c e r o u t e 可以跟踪信息的访问路线，获 得到达目标系统所要经过的网络地址和路由器地址：探索系统漏 洞，利用网络安全分析工具( 如s a t a n ) 可以对网络或子网进行扫 描，寻找漏洞。 ( 3 ) 偷取一个结点作为网关，到其它结点，或恶意修改路由表。 现在路由器上一般都使用动态路由，路由表都是从相邻的路由器上 学习来的，所以一旦一个结点被偷取，路由表被恶意修改，有可能 引起连锁反应，造成网络瘫痪；蓄意从某一结点植入病毒程序，并 在网络上传染，以造成网络瘫痪。 ( 4 ) 利用网络分析器，探针式网络分析器可以截取网络上的信息 包进行分析，得知源地址、目的地址及数据：窃取电话专线号码， 利用w a r d i a l i n g 软件，向目标站点一次连续拨出大批电话号码，直 到遇到某一正确号码使其m o d e m 响应；非法调制解调器，可冒充 合法用户闯入；搭线窃听，可盗窃所有用户的口令；利用辐射窃听， 对于远程无线传输数据，会造成被窃听的机会。 ( 5 ) 网络中非法操作、非法站点访问、非法数据传送，偷装工作 站，偷装售票窗口机，非法售票，造成系统不安全；利用f t p 采用 无口令访问进行攻击：盗取售票程序；利用t e l n e t 、| r l o g i n 进行攻击： 可对系统进行破坏。 2 2 2 操作系统的安全戚胁 ( 1 ) r o o t 用户具有最大权限，它的权限太集中。有了它，就 可关机开机、修改其它用户的口令和权限、访问、更改或删除所有 的文件 ( 2 ) s y b a s c 口令也很重要，有了s y b a s e 口令，就可启动和关 闭s y b a s e 数据库，访问、更改或删除所有s y b a s e 的文件。因为， 客票系统的应用软件都基于s y b a s e 数据库，所以，对客票系统来说 s y b a s e 口令和r o o t 口令几乎一样重要。 s o u t h w e s tj i a o t o n gu n l v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第- 3 页 ( 3 ) 现在，很多地方( 特别是中小城市的铁路车站) 不设口令， 或者是设很容易猜的口令，安全意识极为薄弱，有些操作系统留有 无口令入口，或几个用户公用一个口令或用朋友的口令登录出了问题 不好查找。调走的操作人员因为没及时注销口令，可能被利用来对 系统进行攻击。 ( 4 ) 通过蛮力口令猜测突破口令系统，知道操作员工号后，可 通过不断的蛮力实验猜出用户口令，或通过逆向算法猜测口令，或 使用l o g i n 特洛伊来攻击来偷口令，或使用字典猜测用户口令， 或使用用户的生日，姓名猜用户的口令。 ( 5 ) 在操作系统中藏有非法程序，在网络上传输文件可使病毒 蔓延和非法的数据程序的传输。清理磁盘，破坏系统的程序和数据， 使系统不能正常运行。 ( 6 ) 非法创建进程，创建进程会超过操作系统允许的进程数， 或不易监视获得监视。提供了d a e m o n 进程，d a e m o n 进程在开机时 启动一系列进程，可能混进非法进程( 如特洛伊木马) 。 ( 7 ) 非法执行远程调用，越权访问和修改操作系统文件，提供 的n f s 服务安全级别比较低。 ( 8 ) 双机系统失效，主机发生故障后，不能及时切换。 2 2 3 数据库方面的安全戚胁 ( i ) 数据库s a 用户的功能过于强大，有了s a 口令，就可关 闭数据库，修改其它数据库用户的口令，访问、修改和删除各数据 库对象。 ( 2 ) 知道一个数据库口令，很容易访问数据库，可以用i s q l 、 也可用p o w e r b u i l d e r ，而且现在访问后不留痕迹。p o w e r b u i l d e 比i s q l 更容易访问数据库，很容易访问、修改、删除数据库表内容，且不 留痕迹。 ( 3 ) 部分程序( 如双机切换s h u t d o w n 数据库程序) 使用明码 的s a 口令，这给s a 口令的盗取提供了机会。 s o u t h w e s tj m o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第1 4 页 2 2 4 应用系统的安全威胁 ( 1 ) 非法修改和删除售票存根，非法修改票库，会使制造伪票 不易被发现。非法修改和增加用途码，车站( 或窗口) 为了抢其 它车站( 或窗口) 的票，通过修改和增加用途码修改自己车站( 或 窗口) 的取票权限，搞乱了客票的管理体制。非法增加窗口和修改 窗口定义，非法增加售票窗口和修改窗口的售票权限会给造成经济 损失和不良的社会影响。非法增加操作员或修改操作员权限。 ( 2 ) 非法修改删除日志，所有日志只允许增加和用过期数据处理 程序删除，修改删除日志会丢失责任信息。非法增加订票合同号，很 多车站按合同号订票( 合同号) ，增加合同号是假冒的手段。非法 修改重要参数，有些参数( 如“车站是否联网”) 非常重要，不能随 意修改。非法修改票卷参数：偷票卷是比偷票更严重的犯罪行为， 要监视票卷库是否按正常的变化。非法使用客票系统的信息资源，客 票系统的信息是客运的一种有价资源，不允许非法盗窃使用。 ( 3 ) 压票问题，压票是指售票员把紧俏席位取到窗口，占票不 卖，这样不但会造成座席的虚糜，而且会给制造伪票而不被发现带 来可乘之机。重计划问题，重计划擐不同车站上作出同一组席位 的票额生成计划，重计划会引起大量的重票，在客票系统中，许多 不正常的操作都可重票。重票问题关系到铁路的信誉问题，会造成 很坏的社会影响，对旅客来说，会给旅客带来经济和精神损失。 ( 4 ) 后台定时任务是否正确执行，后台任务包括生成席位库、 转票返票、整理数据和统计等。如果定时任务没能正确执行，会影 响售票和使统计不准。造成数据的不完整。 ( 5 ) 数据是否正确下传，下传的数据主要包括计划、调度命令、 地区下转的席位、余票信息等。数据不能正确下传会直接影响车站 作业。数据是否正确上传，上传的数据主要包括售退票存根、统计 报表、订票返票等，数据不能正确上传会直接影响地区中心的作业。 以上分析全国铁路客票系统发售与预订系统在网络、操作系统、 数据库、应用方面的安全威胁。 s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第1 5 页 2 3 客票系统需保护的资源 在上节中，我们分析了来自方方面面的安全威胁。计算机系统 安全管理的主要目标是保护计算资源以免受安全威胁。全国铁路客 票系统发售与预订系统哪些资源需要保护呢? 网络资源 基干网：从铁道部中心到各地区中心为铁路专线接入网 ( 2 m ) ，并以x 2 5 网和6 4 k 的电话专线作备份，铁道部中心和2 3 个地区中心使用c i s c o 的路由器，哈尔滨中心主要使用b a y 的 路由器和交换机。铁道部主交换机使用的是3 c o m 交换机。 沿线网：从地区中心到车站的网络有1 0 m 或2 m 的光缆、x 2 5 网、微波、d d n 专线和电话专线。一般到大站都是i o m 或2 m 的 光缆，小站情况各异。 市区网：市区网指从车站服务器到各代售点的通道，现有的 网络结构有以太网、x 2 5 网、光缆、d d n 专线、电话专线、i s d n 网、p s t n 网、电话网、无线网 主机 铁道部中心采用两台h p 9 0 0 0vc l a s s2 2 5 0 主机，地区中心使 用的主要机型为h p 9 0 0 0v 2 2 5 0 和k 5 7 0 、a l p h a8 2 0 0 和4 1 0 0 、i b m $ 7 0 和s p 2 、s u n5 0 0 0 、s i e m e n sr m 6 0 0e 2 0 ，车站所使用的主要 机型为a l p h a2 1 0 0 ( 1 0 0 0 和1 2 0 0 ) 、s i e m e n sr m 4 0 0c 7 2 ( c 6 0 ) 、 i b mf 4 0 、h p 9 0 0 0v 2 2 5 0 和微机服务器。服务器所用的操作系统均 是u n i x 操作系统，所使用的数据库是s y b a s e 数据库。 客户机 所用的客户机是p c4 8 6 以上的微机，内存大于8 m ，硬盘大于 2 0 0 m 。所用的操作系统有w i n d o w s 3 2 、w i n d o w s 9 5 或w i n d o w s 9 8 。 对w i n d o w 3 2 所用的网络软件有l a n w o r k 口l a c e 5 0 、f t p 和 w o l o n g o n g 。对w i n d o w s 9 5 以上，均使用w i n d o w s 的t e p i p 网络软 件。和数据库的接口使用了s y b a s e 提供的n e t l i b r a r y 和d b l i b r a r y 。 应用程序模块 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第6 页 铁道部中心：计划管理、基础数据维护、值班监控、营销分析、 综合查询、软件分发、代售管理、数据备份管理、数据仓库管理 地区中心：计划管理、客运统计、基础数据维护、值班监控、 系统监控、营销分析、综合查询、软件分发、代售管理、数据备份 管理 车站：售票程序、订票程序、退票、计划管理、客运统计、基 础数据维护、值班监控、系统监控、财务结帐、代售查帐、营销分 析，营销查询、1 8 点统计、收入整理、栗卷管理、经由维护、综合 查询、软件分发、订票管理、数据备份管理 后台程序：复制服务器、连接交易管理、d b c s 、工作流管理 以上两节分析客票系统的安全威胁和需保护的资源。 s o u t h w e s t j i a o t o n gu n i v e r s i t yc h e n g d u 2 0 0 0 3 西南交通大学研究生学位论文 第1 7 页 第三章、铁路客票系统安全实施措施的研究 从上章的讨论中，分析铁路客票系统所面临的安全威胁和所需 保护的安全资源。本章将针对系统面临的安全威胁，着重分析加强 系统安全的实施措施，提高铁路客票系统资源的安全性。下面将从 访问控制、口令、加密、数据库对象、校验和、中间件、病毒、容 错技术、防火墙、数据备份这几个方面进行讨论。 3 1 访问控制的安全机制 客票系统的核心是数据库，最根本的防范要从数据库出入 上。有效的加强对数据库的访问控制是确保系统安全一个重要 手段。本节试图从访问数据库的三个安全模型探讨加强客票系 统数据库访问的安全性的综合技术。 l 、前台数据库访问安全模型 前台访问数据库安全模型的核心思想是将口令、权限、审 计等安全方法有机的结合。首先使用特权用户建立全部数据库 对象，这时特权用户对这些数据库对象权限集合如下： 用户权限= d c r e a t e ，d r o p ，t 1 c r e a t e ，d r o p ) ，p 1 c r e a t e ，d r o p ) ，u g r a n t ，r e v o k e ，t i n s e r t ，d e l e t c ，u p d a t e ，s e l e c t ，r e f e r e n c e ，p ( s e l e c t ，t r d u m p ，l o a ! d ) 其中：d 是数据库，t 1 是表、索引和视图，p 1 是存储过程、触 发器、规则和d e f a u l t ，u 是用户和组，t 是表和视图，p 是存储 过程，t r 是数据库的交易。 从式中我们可以看出特权用户几乎拥有全部数据库权限， 所以为安全起见，将特权用户封锁，只有在需要创建新对象的 时候，由信任用户解封和封锁特权用户。特权用户、信任用户 和普通用户的关系如图3 1 ： s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第1 8 页 创建创建 封锁和解锁 图3 1 ：特权用户、信任用户和普通用户的关系图 普通用户权限 。 t i n s e r t ，d c l c t c ，u p d a t e ，s e l e c t ，r e f e r e n c e ，p s e l e c t ) 信任用户权限 = 普通用户权限+ u g r a n t ，r e v o k e 下一步要做的工作是将普通用户和信任用户的权限进行分 割，分割是基于组的概念，使用同一应用的用户分成一组，按 照最小权限的原则，给每组用户分配最小的权限集，由此形成 一个权限矩阵如下： r t 1 1 p 1 1 ，t 1 2 p 1 2 ，t i n p l n i 1 l t m l p m l ，t m 2 p m 2 ，t m n p m n j 其中：m 是用户组数和n 是对象数，按此矩阵进行用户对 象赋权和检查用户对数据库对象的访问权限。 为了限制普通用户和信任用户只能通过应用访问数据库， 对他们的口令要经过加密变换，设用户口令为x ，则登到数据 库的口令变换为f ( x ) 和经过数据库验证后，变换成f ( f ( x ) ) ，对 普通用户和信任用户，只知道自己的x ，不知道f 和f ，所以， 不能用自己的用户名和口令直接访问数据库。 除了对用户进行限制外，还要对窗口机的位置进行限制， 也就是说一窗口机必须用特定的售票处号和窗口号登录，设窗 口机特征是y ，变换成g ( y ) 供数据库安全机制验证。综上所述， s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 第1 9 页 我们设计安全机制概括如图3 2 图3 2 ：前台数据库访问安全模型图 其中的审计不仅包括对封锁机制的解封监视，而且包括对关键 数据库表的记录校验和的监视和对关键数据库表的修改的监视 2 、后台数据库访问安全模型 前台数据库安全模型提供了从客户机对数据库的访问控 制，但是，在客票系统中还有很多任务是从后台自动地访问数 据库；这些任务包括两类，一类是基于密钥管理的，另一类是 基于解密管理的。、 基于密钥管理的应用指，首先由密钥管理程序对访问数据 库的口令x 进行加密，形成f ( x ) ，自编的后台程序如访问数据库， 要把f ( x ) 还原成x 后，再用x 口令访问数据库。访问安全模型如 图3 3 所示： s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 第2 0 页 图3 3 ：后台数据库访问安全模型图 基于解密管理的应用指，首先把整个程序p ( 非自编) 变换成密文f ( p ) ，当程序要访问数据库时，将“p ) 通过管道施 加到解密程序f 上，还原成访问数据库的程序p ，f 除解密功能之 外，还要验证访问数据库的合法性，通过合法性验证才予以解 密。 3 、数据库互联安全模型 以上两个模型分别从口令和权限上进行了数据库访问的保护， 但是，不能防止网络监听和拦截以获取f ( x ) ，特别是在广域网上。解 决的办法是用堡垒代理。堡垒代理是仅提供专门服务的主机，它具 有如下性质： 所有对数据库的访问要求经过堡垒代理，它对访问外部数据 库的请求进行加密，对访问内部数据库的请求进行解密。 对所有访问进行口令、权限、日志等安全认证。 不提供公用的网络服务，如f t p ，t e l n e t 等，仅提供数据库访问 的代理服务。 总是和路由器配合使用，以限制对内部网( 内部数据库) 的 访问必须通过堡垒代理。 s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 第2 顺 数据库互联安全模型的例子如图3 4 3 2 用户口令和权限的安全f 覆机制 口令是进行访问控制的简单而有效的方法。只要口令保持机密， 非授权的用户就无法使用该帐户。在u n i x 中，所有的用户的登录 i d 和口令都存在p a s s w d 的文件中，登录i d 存储成明码的形式，是 可以阅读的英文方式。而口令则存成加密的形式，加密的过程使用 了c r y p t ( 3 ) ，这时一个基于加密标准( d e s ) 的加密程序。d e s 将 数据进行编码的过程是简单的，是散列的。这种操作从数学的观点 来看是很独特的，虽然编码的过程比较简单，但是解码却非常的复 杂。需要很强的计算资源。 尽管如此，口令被攻击的先例屡见不鲜。例如1 0 p h t c r a e k 2 0 是 一个非常有名的n t 口令攻击程序。1 0 p h t c r a c k 2 0 口令攻击程序采 用两种方法：( 1 ) ：强计算方式，这种方法使用一个特殊的字符集， a z 加上0 - 9 ，并计算由这些字符产生的口令。( 2 ) ：字典攻击，使用 用户提供的口令文件进行字典查找，它对字典中的所有的单词进行 散列，并与用户的口令散列进行比较。当出现匹配时，口令就被破 译。这种方法的速度极快，但它只适合比较简单的口令。 选择有效的口令和合理的维护口令机制是确保系统安全的关 键。合理的口令应遵循以下原则： s o u t h w e s tj i a o t o n gu n i v e r s i t yc h e n g d u2 0 0 0 3 西南交通大学研究生学位论文 第2 2 页 选择长口令。口令越长，猜出所有组合的可能性就越难 口令包括字母和数字的组合，不鼓励使用英语单词、名字、 城市、生日等 别选择难记的口令，当选择写下来帮助记忆时，会引起口令 不安全 在每个访问的系统上不要使用同一的口令，如果一个系统出 现问题，则其它的系统也就不安全 建立有效的口令同时还要合理的维护口令，维护口令应该遵循 以下的原则： 定期的更改口令，口令的不断的变化可以帮助防止有人用偷 来的口令继续对系统进行访问 在第一次进入帐户时修改口令，别沿用系统给所有用户的缺 省的口令 s q ls e r v e r 中的用户分为四种类型：系统管理员、数据库属主、 数据库对象的属主和其它数据库的属主。 系统管理员创建个用户数据库，在访问每个数据库时，系统管 理员将自动成为数据库的属主( d b o ) ，系统管理员可以指定其它用 户成为数据库的d b o 。d b o 拥有指定数据库的全部的权限： 增加和删除去数据库的用户 备份或恢复数据库，执行s e t u s e r 命令，使d