寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析與建設(shè)思路探討

張洪韜（寧夏交通信息監(jiān)控中心,750001）

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析與建設(shè)思路探討

張洪韜
（寧夏交通信息監(jiān)控中心,750001）

目前寧夏已建成了覆蓋自治區(qū)內(nèi)現(xiàn)有高速公路的聯(lián)網(wǎng)系統(tǒng)，為了保障高速公路信息系統(tǒng)安全，需要逐步建立起網(wǎng)絡(luò)安全保障體系，滿足信息化高速發(fā)展需求。本文對(duì)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀和建設(shè)思路進(jìn)行探討。

高速公路 聯(lián)網(wǎng) 網(wǎng)絡(luò)安全

1 概況

隨著對(duì)信息技術(shù)和網(wǎng)絡(luò)的依賴程度不斷提高，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全逐步成為寧夏高速公路聯(lián)網(wǎng)系統(tǒng)信息化建設(shè)的重要組成部分。

網(wǎng)絡(luò)安全保障是寧夏高速公路聯(lián)網(wǎng)系統(tǒng)信息化發(fā)展中需要長(zhǎng)期堅(jiān)持的重要工作。為了保障高速公路信息系統(tǒng)安全，立足于高速公路聯(lián)網(wǎng)系統(tǒng)的現(xiàn)狀和具體特點(diǎn)，結(jié)合網(wǎng)絡(luò)安全保障建設(shè)的自身規(guī)律和特點(diǎn)，抓住組織、管理、技術(shù)三個(gè)要素，逐步建立起積極的網(wǎng)絡(luò)安全保障體系，促進(jìn)和滿足信息化高速發(fā)展的要求。

2 系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)伴隨著寧夏高速公路的建設(shè)同期進(jìn)行，目前已建成了覆蓋寧夏區(qū)內(nèi)現(xiàn)有高速公路的聯(lián)網(wǎng)系統(tǒng)。系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)上屬于專網(wǎng)形式，通過安全隔離設(shè)備向互聯(lián)網(wǎng)提供信息發(fā)布服務(wù)。整個(gè)系統(tǒng)采用三級(jí)樹狀結(jié)構(gòu)，“寧夏監(jiān)控總中心——分中心——收費(fèi)站”。

2.1 寧夏監(jiān)控總中心網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

2.1.1 服務(wù)器區(qū)域。該區(qū)域主要包括寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的收費(fèi)系統(tǒng)、IC卡管理子系統(tǒng)、ETC子系統(tǒng)的數(shù)據(jù)庫服務(wù)器、各種應(yīng)用服務(wù)器及監(jiān)控系統(tǒng)服務(wù)器。區(qū)域防護(hù)重點(diǎn)是防病毒攻擊、防內(nèi)部人員/黑客入侵、防誤操作導(dǎo)致數(shù)據(jù)丟失/篡改/損壞，防DDOS 攻擊。目前區(qū)域內(nèi)部署了入侵檢測(cè)系統(tǒng)和防病毒網(wǎng)關(guān)。

2.1.2 網(wǎng)站信息發(fā)布區(qū)域。該區(qū)域?qū)崿F(xiàn)與互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)的信息傳輸，防護(hù)重點(diǎn)是保證數(shù)據(jù)傳輸過程的保密性、完整性以及限制非授權(quán)的連接。目前區(qū)域內(nèi)部署了防火墻和安全隔離網(wǎng)閘設(shè)備，實(shí)現(xiàn)訪問控制、傳輸加密、信息交換等功能。

2.1.3 終端、工作站區(qū)域。該區(qū)域主要包括日常工作使用和運(yùn)維管理的終端計(jì)算機(jī)，該區(qū)域防護(hù)重點(diǎn)是病毒防護(hù)、非法外聯(lián)、越權(quán)使用等，目前區(qū)域內(nèi)沒有采取安全防范措施。

2.1.4 外聯(lián)系統(tǒng)接入?yún)^(qū)域。該區(qū)域根據(jù)業(yè)務(wù)需求是與銀行、氣象、國土、公安等多個(gè)單位的系統(tǒng)互聯(lián)，實(shí)現(xiàn)資源共享。在此區(qū)域接入邊界部署了防火墻和密碼機(jī)等設(shè)備，能夠?yàn)橥饴?lián)系統(tǒng)和單位的數(shù)據(jù)訪問和傳輸提供身份認(rèn)證、訪問控制、傳輸加密等安全保障。

2.2 分中心網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

2.2.1 服務(wù)器區(qū)域。包括分中心的收費(fèi)系統(tǒng)服務(wù)器、監(jiān)控系統(tǒng)服務(wù)器及流媒體設(shè)備等，該區(qū)域防護(hù)重點(diǎn)是防DDOS 攻擊、防病毒攻擊、防內(nèi)部人員/黑客入侵、核心數(shù)據(jù)保護(hù)等，目前區(qū)域內(nèi)采取有限安全防范措施。

2.2.2 分中心管理終端區(qū)域。包括分中心的管理工作站，該區(qū)域的防護(hù)重點(diǎn)是病毒防護(hù)、越權(quán)使用等，目前這些工作站只采用登陸密碼及身份認(rèn)證IC卡進(jìn)行權(quán)限控制。

2.3 收費(fèi)站網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

2.3.1 服務(wù)器區(qū)域。包括收費(fèi)站的收費(fèi)數(shù)據(jù)服務(wù)器、NVR及監(jiān)控系統(tǒng)服務(wù)器，防護(hù)重點(diǎn)是DDOS 攻擊、病毒攻擊、內(nèi)部人員/黑客入侵、核心數(shù)據(jù)保護(hù)等，目前該區(qū)域采取有限安全防范措施。

2.3.2 收費(fèi)站終端區(qū)域。包括工作站和收費(fèi)終端，該部位的防護(hù)重點(diǎn)是病毒防護(hù)、越權(quán)使用等，目前這些工作站只采用登陸密碼及身份認(rèn)證IC卡進(jìn)行權(quán)限控制。

2.3.3 收費(fèi)站與寧夏監(jiān)控總中心無線備份鏈路。為保障數(shù)據(jù)能夠及時(shí)準(zhǔn)確地傳輸?shù)綄幭谋O(jiān)控總中心，各收費(fèi)站在主網(wǎng)絡(luò)出現(xiàn)故障時(shí)采用移動(dòng)無線備份鏈路進(jìn)行收費(fèi)數(shù)據(jù)傳輸，該區(qū)域的防護(hù)重點(diǎn)是數(shù)據(jù)防泄漏、防篡改及安全路由備份等。

3 系統(tǒng)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)

3.1 技術(shù)方面安全風(fēng)險(xiǎn)

3.1.1 網(wǎng)絡(luò)劃分不夠直觀。目前系統(tǒng)網(wǎng)絡(luò)VLAN劃分存在安全風(fēng)險(xiǎn)，劃分不夠直觀，沒有按區(qū)域進(jìn)行劃分，部分區(qū)域有重復(fù)VLAN，并且收費(fèi)系統(tǒng)和監(jiān)控系統(tǒng)沒有徹底分開，如果監(jiān)控系統(tǒng)的組播傳輸模式將帶寬耗盡，將影響收費(fèi)系統(tǒng)數(shù)據(jù)傳輸。

3.1.2 安全域劃分不明晰。寧夏監(jiān)控總中心在網(wǎng)絡(luò)出口處部署了訪問控制設(shè)備，但是沒有分層次分區(qū)域進(jìn)行詳細(xì)的安全域劃分，無法對(duì)核心數(shù)據(jù)進(jìn)行重點(diǎn)防護(hù)，并且對(duì)外鏈接子系統(tǒng)沒有建立安全區(qū)域，存在外連攻擊和入侵的隱患。其次，由于整個(gè)系統(tǒng)在內(nèi)部是互連互通的，內(nèi)部人員或維護(hù)單位人員會(huì)存在越權(quán)訪問相關(guān)信息，對(duì)數(shù)據(jù)進(jìn)行篡改或破壞，并且在安全域之間沒有采取隔離措施的情況下，蠕蟲病毒爆發(fā)時(shí)會(huì)在本網(wǎng)段內(nèi)大量復(fù)制數(shù)據(jù)包，迅速波及到其他相連網(wǎng)段，造成系統(tǒng)大面積癱瘓。

3.1.3 補(bǔ)丁分發(fā)不及時(shí)。通過對(duì)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)漏洞掃描，發(fā)現(xiàn)存在系統(tǒng)漏洞，這些漏洞基本是由于系統(tǒng)補(bǔ)丁更新不及時(shí)造成的。無論是網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)還是應(yīng)用軟件，由于商業(yè)或人為因素，都會(huì)存在一定的漏洞或錯(cuò)誤代碼，隨著時(shí)間的推移和技術(shù)的發(fā)展，這些漏洞會(huì)被逐步發(fā)現(xiàn)，各安全設(shè)備廠商也會(huì)及時(shí)推出相應(yīng)更新程序或補(bǔ)丁，用于更正或消除這些漏洞。

3.2 網(wǎng)絡(luò)安全防護(hù)方面安全風(fēng)險(xiǎn)

3.2.1 缺少整體防病毒系統(tǒng)。病毒的泛濫和擴(kuò)散已經(jīng)成為聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全的一個(gè)重要威脅，由于病毒的隱蔽性、擴(kuò)散性和破壞性等特點(diǎn)，病毒對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的破壞往往是大面積的、同時(shí)性的爆發(fā)，這將會(huì)對(duì)高速公路聯(lián)網(wǎng)系統(tǒng)正常運(yùn)行造成很大影響。

3.2.2 缺少網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。堡壘最容易從內(nèi)部攻破，內(nèi)部人員比外部人員更加容易進(jìn)行數(shù)據(jù)非授權(quán)訪問，系統(tǒng)網(wǎng)絡(luò)內(nèi)僅部署訪問控制設(shè)備、入侵檢測(cè)設(shè)備等相關(guān)網(wǎng)絡(luò)安全設(shè)備無法對(duì)內(nèi)部人員實(shí)行有效控制和審計(jì)。

3.3 數(shù)據(jù)應(yīng)用方面安全風(fēng)險(xiǎn)

3.3.1 沒有安全運(yùn)行一體化、可視化系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模日漸龐大，網(wǎng)絡(luò)管理也日趨復(fù)雜，迫切需要對(duì)全網(wǎng)整體安全運(yùn)行狀況有一個(gè)直觀的了解、清晰的掌控，能夠獲悉當(dāng)前的安全態(tài)勢(shì)、攻擊分布、防護(hù)缺陷，掌握安全防護(hù)體系建設(shè)和安全管理能力建設(shè)的水平，目前系統(tǒng)內(nèi)缺少對(duì)全網(wǎng)進(jìn)行綜合網(wǎng)絡(luò)安全分析和管理的手段。

3.3.2 高速公路聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)備份不能滿足數(shù)據(jù)日益增長(zhǎng)的需求。在進(jìn)行系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃和實(shí)施時(shí)，要考慮到各種可能性因素，包括不可抗拒突發(fā)性行為和黑客攻擊、人為破壞等故意或過失行為。目前高速公路聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)備份還主要依靠磁盤進(jìn)行，相對(duì)而言無法滿足未來大量數(shù)據(jù)的及時(shí)備份和介質(zhì)保存等需求。

3.4 安全管理方面安全風(fēng)險(xiǎn)

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)制定有相關(guān)的網(wǎng)絡(luò)安全管理制度，但是現(xiàn)有制度內(nèi)容的完整性與國家重要信息系統(tǒng)等級(jí)保護(hù)的要求還有差距，同時(shí)高速公路聯(lián)網(wǎng)系統(tǒng)安全崗位人員不足，無法保證專人專崗，特別是關(guān)鍵崗位，缺乏職責(zé)行使分離機(jī)制，無法保護(hù)關(guān)鍵業(yè)務(wù)的安全。

4 系統(tǒng)網(wǎng)絡(luò)安全建設(shè)行業(yè)依據(jù)

交通運(yùn)輸部辦公廳下發(fā)的《關(guān)于進(jìn)一步開展交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)工作的通知》（廳科技字[2012]120號(hào)）明確指出，加強(qiáng)信息安全，保障信息系統(tǒng)穩(wěn)定運(yùn)行要有統(tǒng)一的安全管理要求，建立信息系統(tǒng)安全應(yīng)急處理機(jī)制，重特大風(fēng)險(xiǎn)識(shí)別、防范和控制機(jī)制，重要信息的保密和防護(hù)機(jī)制，信息系統(tǒng)的災(zāi)難恢復(fù)機(jī)制，信息安全崗位職責(zé)規(guī)范要按照國家信息安全等級(jí)保護(hù)要求，完善信息安全運(yùn)行和場(chǎng)地安全?！督煌ㄟ\(yùn)輸部辦公廳關(guān)于推進(jìn)交通運(yùn)輸信息化智能化發(fā)展的指導(dǎo)意見》（廳科技字[2013]257號(hào)）指出到2020年，基本形成目標(biāo)一致、功能協(xié)調(diào)、運(yùn)轉(zhuǎn)高效、有機(jī)銜接的交通運(yùn)輸信息化智能化發(fā)展總體格局，交通運(yùn)輸信息化普及程度大幅度提升，重點(diǎn)領(lǐng)域智能化發(fā)展取得突破，交通運(yùn)輸信息化智能化發(fā)展水平顯著提高，基本建成適應(yīng)信息化智能化發(fā)展要求的技術(shù)支撐體系和可信可控的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全保障體系。

5 系統(tǒng)網(wǎng)絡(luò)安全建設(shè)目標(biāo)

必須從管理與技術(shù)層面提升寧夏高速公路聯(lián)網(wǎng)系統(tǒng)信息安全防護(hù)水平，防止高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)癱瘓、應(yīng)用系統(tǒng)遭受破壞、業(yè)務(wù)數(shù)據(jù)丟失、終端病毒感染、有害信息傳播和惡意滲透攻擊等行為，確保寧夏高速公路聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行，這需要對(duì)系統(tǒng)網(wǎng)絡(luò)安全有一個(gè)長(zhǎng)期建設(shè)和優(yōu)化的過程。結(jié)合寧夏高速公路聯(lián)網(wǎng)系統(tǒng)現(xiàn)狀，應(yīng)確定網(wǎng)絡(luò)安全建設(shè)短期和長(zhǎng)期目標(biāo)：

短期目標(biāo)：通過網(wǎng)絡(luò)安全改造對(duì)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的安全狀況進(jìn)行加固，解決目前急迫和關(guān)鍵的安全隱患問題；

長(zhǎng)期目標(biāo)：通過“試點(diǎn)、推廣和提升”三步走實(shí)施，實(shí)現(xiàn)“管理標(biāo)準(zhǔn)化、業(yè)務(wù)協(xié)同化、決策科學(xué)化、系統(tǒng)集成化、數(shù)據(jù)規(guī)范化”五個(gè)目標(biāo)，保障寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)能夠長(zhǎng)期安全、穩(wěn)定、可靠運(yùn)行。

6 系統(tǒng)網(wǎng)絡(luò)安全總體防護(hù)策略

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)信息安全防護(hù)要貫徹國家、自治區(qū)和交通運(yùn)輸部有關(guān)信息安全防護(hù)的要求和政策，要綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化高速公路聯(lián)網(wǎng)系統(tǒng)資源配置，實(shí)行高速公路聯(lián)網(wǎng)系統(tǒng)等級(jí)保護(hù)，確定重點(diǎn)保護(hù)工作。而信息安全策略是高速公路聯(lián)網(wǎng)系統(tǒng)信息安全工作遵循的基本依據(jù)，根據(jù)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)特點(diǎn)和安全需求，總體安全策略可分成四部分：

6.1 系統(tǒng)分級(jí)。根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)的使命、目標(biāo)及重要程度，對(duì)系統(tǒng)進(jìn)行安全等級(jí)劃分。

6.2 防護(hù)分域。劃分網(wǎng)絡(luò)安全域，將單個(gè)或多個(gè)業(yè)務(wù)系統(tǒng)分成不同網(wǎng)絡(luò)防護(hù)區(qū)域，根據(jù)網(wǎng)絡(luò)安全域內(nèi)的業(yè)務(wù)系統(tǒng)定級(jí)情況和業(yè)務(wù)系統(tǒng)的服務(wù)對(duì)象，采取不同強(qiáng)度的安全防護(hù)措施。

6.3 預(yù)防為主。信息安全防護(hù)應(yīng)以預(yù)防為主，要把預(yù)防信息安全事故作為防護(hù)的出發(fā)點(diǎn)和落腳點(diǎn)，從信息安全風(fēng)險(xiǎn)管理的角度、信息系統(tǒng)安全生命周期各階段的特點(diǎn)和業(yè)務(wù)系統(tǒng)的安全特性出發(fā)，有組織、有計(jì)劃地采取主動(dòng)、嚴(yán)密的預(yù)防措施，達(dá)到防患于未然的目的。

6.4 積極管控。由于信息安全事件具有動(dòng)態(tài)變化、突然爆發(fā)、持續(xù)破壞、高度不可預(yù)測(cè)等特性，為了全面應(yīng)對(duì)信息安全事件，就需要建立積極的管控機(jī)制、融合技術(shù)和管理手段，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的主動(dòng)跟蹤、及時(shí)掌握、有效處理，達(dá)到可控、能控、在控的管理效果。

7 結(jié)束語

隨著國家對(duì)信息安全工作的不斷重視，寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全保障水平也引起了寧夏交通運(yùn)輸廳相關(guān)部門的關(guān)注，要求最大限度地實(shí)現(xiàn)信息的保密性、完整性、可用性和有效性，提高寧夏高速公路聯(lián)網(wǎng)系統(tǒng)整體信息安全管理水平和抗風(fēng)險(xiǎn)能力，支撐寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的信息安全。

Analysis and Discussion on the current situation of network security of Ningxia expressway networking system

Zhang Hongtao
（Ningxia traffic information monitoring center,750001）

At present,Ningxia has built a network system covering the existing highway in the autonomous region,in order to ensure the highway information system security,need to gradually establish a network security system,to meet the needs of rapid development of information technology. Network security situation and the construction of Ningxia expressway network the idea of this system is discussed.

expressway;networking; network security