陳丹丹

廣州市高速公路有限公司營運(yùn)分公司

淺談高速公路收費(fèi)系統(tǒng)網(wǎng)絡(luò)信息安全管理

陳丹丹

廣州市高速公路有限公司營運(yùn)分公司

本文就影響高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全的主要因素以及針對(duì)系統(tǒng)安全采取的主要策略和措施進(jìn)行了分析與論述，以降低收費(fèi)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)，提高運(yùn)行效率，保證聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)的正常運(yùn)行。

高速公路；聯(lián)網(wǎng)收費(fèi)；網(wǎng)絡(luò)安全；數(shù)據(jù)安全；安全風(fēng)險(xiǎn)；安全策略

1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

1.1 物理傳輸鏈路安全分析

物理傳輸鏈路是聯(lián)網(wǎng)收費(fèi)系統(tǒng)的運(yùn)行基礎(chǔ)平臺(tái)，出現(xiàn)安全問題的大部份原因是源于管理不善，如線路被破壞等，直接導(dǎo)致通信中斷。另外，非法入侵者可直接使用竊取裝置從線纜竊取信號(hào)，將直接造成數(shù)據(jù)泄露或者被干擾、篡改。

1.2 網(wǎng)絡(luò)結(jié)構(gòu)安全分析

通常，高速公路收費(fèi)系統(tǒng)網(wǎng)絡(luò)是通過專用線纜與Internet相連接，而網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等都不同程度地存在安全漏洞，攻擊者可以利用存在的漏洞進(jìn)行信息竊取甚至破壞。另外，各節(jié)點(diǎn)中的網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)等都存在安全隱患，由于設(shè)置較復(fù)雜，疏忽了正確的安全性配置將使這些設(shè)備存在隱患。

1.3 操作系統(tǒng)安全分析

服務(wù)器操作系統(tǒng)在安裝之時(shí)，部分技術(shù)管理員未考慮系統(tǒng)安全性，因此安裝通常都使用缺省設(shè)置，系統(tǒng)會(huì)默認(rèn)安裝很多無需使用的功能模塊，同時(shí)也開放了相對(duì)應(yīng)的端口，而端口恰恰是入侵者侵入系統(tǒng)的門戶。操作系統(tǒng)的開發(fā)廠商都會(huì)在其產(chǎn)品里設(shè)置“后門”，加上系統(tǒng)本身不完善存在的漏洞，這些“后門”和漏洞將使聯(lián)網(wǎng)收費(fèi)系統(tǒng)失去最后一道保護(hù)屏障。

1.4 數(shù)據(jù)庫安全分析

對(duì)于數(shù)據(jù)庫應(yīng)用程序，數(shù)據(jù)庫的安全是至關(guān)重要的。目前聯(lián)網(wǎng)收費(fèi)系統(tǒng)數(shù)據(jù)的安全性仍未得到足夠的重視，且大多數(shù)管理員對(duì)數(shù)據(jù)庫管理不專業(yè)、不熟悉，對(duì)數(shù)據(jù)安全關(guān)心太少甚至忽略數(shù)據(jù)安全。

1.5 應(yīng)用系統(tǒng)安全分析

確保程序的完整性、安全性。在后期應(yīng)用中，這就需要系統(tǒng)管理員做好系統(tǒng)維護(hù)工作了。如果系統(tǒng)安全沒有做好，導(dǎo)致系統(tǒng)被入侵，那么應(yīng)用程序中做再多的安全防范也仍然難逃被破解、篡改的厄運(yùn)。但收費(fèi)系統(tǒng)絕大部分重要信息都在內(nèi)部網(wǎng)絡(luò)收發(fā)，因此信息的機(jī)密性和完整性相對(duì)來說就較為安全。

1.6 網(wǎng)絡(luò)安全管理機(jī)制分析

對(duì)于一個(gè)龐大的聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)來說，必須具有完善的管理制度并嚴(yán)格執(zhí)行，以減少因內(nèi)部管理而造成的各種漏洞。而實(shí)際維護(hù)中，管理制度如同虛設(shè)，主要有以下體現(xiàn)：1.系統(tǒng)管理員設(shè)置的過于簡(jiǎn)單的密碼，或者不設(shè)置密碼；2.內(nèi)部員工或開發(fā)人員利用網(wǎng)絡(luò)非法侵入系統(tǒng)，泄露數(shù)據(jù)信息、進(jìn)入數(shù)據(jù)庫刪除、破壞數(shù)據(jù)等；3.管理混亂，如使用相同的用戶名、密碼，容易導(dǎo)致信息泄密；4.管理員誤操作導(dǎo)致系統(tǒng)或應(yīng)用程序出現(xiàn)錯(cuò)誤；5.機(jī)房可任意進(jìn)出，給存有惡意的入侵者創(chuàng)造入侵、破壞條件。

2.網(wǎng)絡(luò)安全對(duì)策

2.1 物理傳輸鏈路安全

物理傳輸鏈路安全主要包括環(huán)境和設(shè)備安全，包括設(shè)備防盜、防止線路截獲、破壞，防電磁信息輻射泄漏、抗電磁干擾等。弱電系統(tǒng)在設(shè)計(jì)之時(shí)，應(yīng)遵循布線部件標(biāo)準(zhǔn)和設(shè)計(jì)標(biāo)準(zhǔn)；布線方案設(shè)計(jì)應(yīng)遵循布線系統(tǒng)性能、系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)；布線施工安裝應(yīng)遵循布線測(cè)試、安裝、管理標(biāo)準(zhǔn)及防火、防潮、機(jī)房及防雷接地等標(biāo)準(zhǔn)。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)安全

在架構(gòu)網(wǎng)絡(luò)之時(shí)，盡量采用國產(chǎn)且不同品牌網(wǎng)絡(luò)設(shè)備，并關(guān)閉無需使用的端口，以降低被入侵風(fēng)險(xiǎn)。在Internet出入口設(shè)置網(wǎng)閘和防火墻，可以實(shí)現(xiàn)信息的安全隔離、系統(tǒng)防護(hù)、數(shù)據(jù)交換、病毒查殺等。網(wǎng)絡(luò)結(jié)構(gòu)上，可使用VLAN劃分虛擬局域網(wǎng)，以增強(qiáng)局域網(wǎng)安全性，并抑制網(wǎng)絡(luò)風(fēng)暴、隔離含有敏感數(shù)據(jù)的用戶組、降低信息泄密的可能性。因?yàn)椴煌琕LAN之間必須通過路由器或者三層以上交換機(jī)傳輸信號(hào)，這樣，就能防止一個(gè)網(wǎng)段出現(xiàn)問題而影響整個(gè)網(wǎng)絡(luò)。

2.3 服務(wù)器操作系統(tǒng)安全

常見的服務(wù)器操作系統(tǒng)有Windows Server、Unix、Linux等，本文以Windows 2003 Server為例論述服務(wù)器系統(tǒng)安全策略：

(1)安裝最新補(bǔ)?。?/p>

(2)設(shè)置磁盤權(quán)限，如：C盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置；

(3)關(guān)閉默認(rèn)共享的空連，禁止Windows系統(tǒng)進(jìn)行空連接；

(4)關(guān)閉不需要使用的端口及服務(wù)，如：ComputerBrowser，Taskschedule，RoutingandRemoteAccess等；

(5)使用高強(qiáng)度密碼，并定期更換密碼；

(6)監(jiān)控系統(tǒng)、查找安全威脅及漏洞。

2.4 數(shù)據(jù)庫安全

數(shù)據(jù)庫(本文以SQL Server為例)的安全框架分為3個(gè)層次，即登入賬戶、資料庫的管理、連接特定資料庫的權(quán)限和使用者對(duì)所連接資料庫部分的操作權(quán)限。針對(duì)以上層次，我們可使用以下方法加強(qiáng)數(shù)據(jù)庫安全：

(1)數(shù)據(jù)庫賬戶安全策略：①使用WINDOWS系統(tǒng)認(rèn)證模式；②使用安全的密碼策略；③使用安全的帳號(hào)策略。

(2)數(shù)據(jù)庫安全管理安全策略：①安裝最新版本的SERVICEPACK；②用安全基準(zhǔn)分析器(如MBSA)來評(píng)估服務(wù)器的安全性；③加強(qiáng)數(shù)據(jù)庫日志記錄；④管理擴(kuò)展存儲(chǔ)過程。

(3)數(shù)據(jù)庫連接安全策略：①使用協(xié)議加密；②修改TCP/IP使用的端口，隱藏?cái)?shù)據(jù)庫TCP/IP端口；③拒絕通過1434端口的探測(cè)。

2.5 應(yīng)用系統(tǒng)安全

在應(yīng)用系統(tǒng)安全上，主要考慮傳輸信號(hào)的加密、通信授權(quán)(詳細(xì)內(nèi)容參見國際標(biāo)準(zhǔn)ISO27034)，必須加強(qiáng)登錄過程的安全認(rèn)證，以確保用戶的合法性；在應(yīng)用系統(tǒng)設(shè)計(jì)之初，應(yīng)該編寫嚴(yán)格限制登錄者操作權(quán)限的相關(guān)程序，控制好操作限制范圍。在應(yīng)用軟件開發(fā)后期，應(yīng)重點(diǎn)掃描程序是否存在漏洞，認(rèn)真檢查程序的不足并加以修正。

2.6 網(wǎng)絡(luò)安全管理機(jī)制

為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)和系統(tǒng)管理員的安全培訓(xùn)外，還必須制訂嚴(yán)格的管理制度，如“用戶授權(quán)管理辦法、機(jī)房管理辦法、保密措施”等，并嚴(yán)格實(shí)施。網(wǎng)絡(luò)安全一方面從純粹的管理上即安全管理制度來實(shí)現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺(tái)，兩者相輔相成，缺一不可。

[1]金凌.高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)的信息安全[J].計(jì)算機(jī)工程，2013(10).

[2]田保慧.高速公路計(jì)算機(jī)收費(fèi)系統(tǒng)管理軟件的開發(fā)[J].公路與汽運(yùn)，2011(11).