寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全防護的實現(xiàn)策略與基本技術要求

張玉暉

（寧夏交通信息監(jiān)控中心,寧夏 銀川 750003）

1 概 述

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全建設，是我區(qū)高速公路運行管理中的一個薄弱環(huán)節(jié)，實施其網(wǎng)絡安全建設，是通過對收費站、片區(qū)綜合管理平臺安全設施的建設和對管理總中心的現(xiàn)有網(wǎng)絡安全設施進行加固，有效解決全網(wǎng)系統(tǒng)病毒感染、內(nèi)外部惡意滲透攻擊所導致的網(wǎng)絡癱瘓、業(yè)務系統(tǒng)崩潰、數(shù)據(jù)丟失等安全隱患，進一步完善寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全防護體系，提高高速公路運營和維護安全防護水平，為全區(qū)高速公路聯(lián)網(wǎng)系統(tǒng)的安全穩(wěn)定運行提供技術保障。

2 網(wǎng)絡安全產(chǎn)品的選型原則

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)是一個要求高可靠性和高安全性的網(wǎng)絡系統(tǒng)，應用于寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的所有網(wǎng)絡安全產(chǎn)品的招標采購，必須嚴格遵循以下原則：

（1）安全性原則。所有網(wǎng)絡安全產(chǎn)品自身必須安全可靠，保證整個安全體系結構具有牢靠的自身安全基礎。

（2）成熟性、先進性原則。所選擇的產(chǎn)品是技術成熟、先進，而且產(chǎn)品化程度高，能適應各種網(wǎng)絡環(huán)境的要求。

（3）開放性、可擴展性原則。所選擇的必須是技術開放、可持續(xù)發(fā)展、具有可擴展性的產(chǎn)品。

（4）可靠性原則。遵循國家有關規(guī)定，所有網(wǎng)絡安全產(chǎn)品必須通過公安部公共信息網(wǎng)絡安全監(jiān)察局及中國信息安全認證中心的認證，即銷售許可證和3C認證；涉及到密碼技術的網(wǎng)絡安全產(chǎn)品，必須通過國家密碼管理局的批準。

3 安全防護技術要求

3.1 防火墻

（1）實現(xiàn)策略。根據(jù)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的三級架構，分別在監(jiān)控總中心、片區(qū)綜合管理平臺部署防火墻系統(tǒng)，收費站邊界部署防病毒網(wǎng)關系統(tǒng)。同時根據(jù)高速公路監(jiān)控總中心、片區(qū)綜合管理平臺安全域的劃分情況，分別部署防火墻系統(tǒng)，做到安全域間的訪問控制。

（2）基本技術要求。防火墻產(chǎn)品必須支持多虛擬防火墻系統(tǒng)，支持狀態(tài)報文過濾，具有防蠕蟲病毒攻擊等多種功能；支持NAT功能的同時，支持GRE、L2TP、IPSec等VPN協(xié)議；支持IPSEC的NAT穿越；支持HTTP URL和內(nèi)容過濾；支持SMTP郵件地址、標題和內(nèi)容過濾；支持QoS帶寬管理；支持多級安全管理員權限劃分與管理；支持設備冗余備份；支持多種本地和遠程身份認證；支持路由功能，包括靜態(tài)路由、OSPF、策略路由等；高端防火墻還必須支持BGP協(xié)議、MPLS協(xié)議，保證后期向MPLS新技術遷移的向后兼容性；支持冗余電源；支持接口模塊的熱插拔；同時提供千兆光接口和電接口。

3.2 入侵檢測

（1）實現(xiàn)策略。根據(jù)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的三級架構，在管理總中心部署1臺IDS總控臺，管理各片區(qū)綜合管理平臺和收費站部署在核心交換機上的IDS探測器；總中心部署萬兆IDS探測器，各片區(qū)綜合管理平臺和收費站部署千兆IDS探測器。

（2）基本技術要求。入侵檢測設備具備分布式部署、多級管理，高端入侵檢測設備必須支持接口擴展，可擴展萬兆接口，對常見的攻擊行為具有高精度的檢測能力；可對歷史日志進行對比分析，能自動生成報表，輔助用戶分析一段時間內(nèi)的威脅；支持冗余電源、接口模塊的熱插拔，能夠被統(tǒng)一網(wǎng)管；設備廠商必須是微軟MAPP計劃戰(zhàn)略合作伙伴及云安全聯(lián)盟CSA合作伙伴，具備發(fā)現(xiàn)主流操作系統(tǒng)或應用系統(tǒng)新漏洞的能力。

3.3 IPSEC VPN技術

（1）實現(xiàn)策略。在收費站及總中心3G路由器后部署IPSEC VPN網(wǎng)關，收費站VPN網(wǎng)關與總中心VPN網(wǎng)關采用網(wǎng)關對網(wǎng)關模式建立加密隧道，將收費數(shù)據(jù)進行加密后傳輸。

（2）基本技術要求。VPN設備由VPN安全網(wǎng)關、VPN客戶端以及集中管理平臺組成。VPN網(wǎng)關需要集成SSLVPN、防火墻的功能。

3.4 入侵防護系統(tǒng)

（1）實現(xiàn)策略。在寧夏高速公路聯(lián)網(wǎng)系統(tǒng)對外連接子系統(tǒng)區(qū)域部署入侵防護設備，對各種病毒、攻擊行為進行防護。

（2）基本技術要求。入侵防護系統(tǒng)具有自主知識產(chǎn)權，集成流狀態(tài)跟蹤、協(xié)議分析、深度內(nèi)容解析、異常檢測、關聯(lián)分析、主動探測、云防御等多種分析、檢測技術，配合實時更新的特征庫，可攔截2～7層網(wǎng)絡攻擊行為，有效凈化網(wǎng)絡流量。同時提供URL分類過濾和上網(wǎng)行為管理功能，可對網(wǎng)絡應用按照用戶和時間進行阻斷或帶寬限流，合理優(yōu)化網(wǎng)絡流量。

3.5 日志審計系統(tǒng)

（1）實現(xiàn)策略。在寧夏高速公路監(jiān)控總中心核心交換機上部署日志審計系統(tǒng)，對重點網(wǎng)絡設備、安全設備、數(shù)據(jù)庫、應用系統(tǒng)、主機等進行日志收集；對日志進行范式化、分類、過濾、歸并。

（2）基本技術要求。日志審計采用組件式平臺架構，實現(xiàn)分層的邏輯架構，包括審計數(shù)據(jù)源層、日志采集層、業(yè)務層和應用層，通過對數(shù)據(jù)源、原始日志信息、引擎日志抽取、各功能模塊管理等方式進行邏輯分析和統(tǒng)計。見圖1所示。

圖1 日志審計邏輯架構圖

3.6 防病毒網(wǎng)關

（1）實現(xiàn)策略。在寧夏高速公路監(jiān)控總中心、片區(qū)綜合管理平臺、收費站網(wǎng)絡邊界分別部署防病毒網(wǎng)關。

（2）基本技術要求。為了和現(xiàn)有網(wǎng)絡能夠無縫連接，高端防病毒網(wǎng)關設備必須支持接口擴展，多系統(tǒng)（≥3個）引導，并可配置啟動順序；支持分區(qū)備份；支持IPv4和IPv6雙棧協(xié)議下的病毒掃描與防護；支持HTTP、SMTP、FTP、POP3、IMAP等多種應用協(xié)議下的病毒防護；支持自定義非標準端口下應用協(xié)議的病毒防護；支持gzip、rar、zip等壓縮格式的病毒掃描；支持國際國內(nèi)知名的主流品牌病毒庫，病毒庫提供商通過VB100認證；支持外置USB設備進行補丁包、系統(tǒng)軟件升級。

3.7 數(shù)據(jù)庫審計

（1）實現(xiàn)策略。在寧夏高速公路監(jiān)控總中心核心交換機上部署高性能數(shù)據(jù)中心，集中管理片區(qū)綜合管理平臺的數(shù)據(jù)中心。片區(qū)綜合管理平臺提供數(shù)據(jù)，供上級數(shù)據(jù)中心匯總，通過多級部署、集中管理，使管理員從單個數(shù)據(jù)中心可以查看所有的數(shù)據(jù)和報告，對重要/關鍵數(shù)據(jù)、重要/關鍵服務器的訪問進行審計。

（2）基本技術要求。針對不同的應用協(xié)議，提供基于應用操作、數(shù)據(jù)庫操作語義解析審計，實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警；提供上百種合規(guī)規(guī)則，支持自定義規(guī)則，實現(xiàn)靈活多樣的響應；提供基于硬件令牌、靜態(tài)口令、Radius支持的強身份認證。根據(jù)設定輸出不同的安全審計報告，監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，實時、智能地解析對數(shù)據(jù)庫服務器的各種操作。系統(tǒng)能夠對采用ODBC、JDBC、OLE-DB、命令行嵌入方式對數(shù)據(jù)庫的訪問進行審計和響應；支持對SQL Server、DB2、Oracle、Informix等數(shù)據(jù)庫系統(tǒng)的SQL操作響應時間和返回碼的審計；提供業(yè)務系統(tǒng)的3層關聯(lián)分析。

3.8 異常流量清洗設備

（1）實現(xiàn)策略。在寧夏高速公路聯(lián)網(wǎng)系統(tǒng)，對外連接子系統(tǒng)區(qū)域部署抗DDoS設備，阻斷來自互聯(lián)網(wǎng)、第三方單位網(wǎng)絡的DDoS攻擊行為。

（2）基本技術要求。DDoS防護設備須能防御流量型flood、應用型flood和DOS攻擊；支持數(shù)據(jù)包基于五元組的抓包采集功能，對數(shù)據(jù)包進行在線分析；支持HTTP特征分析，連接分析，數(shù)據(jù)包內(nèi)容對比分析等；支持攻擊日志、網(wǎng)絡流量統(tǒng)計日志、網(wǎng)絡包數(shù)統(tǒng)計日志、網(wǎng)絡連接數(shù)統(tǒng)計日志、系統(tǒng)負載日志；支持攻擊服務器TOP統(tǒng)計；支持攻擊類型TOP統(tǒng)計；支持生成導出安全報告；支持安全管理中心統(tǒng)一管理；支持多臺設備集群部署；支持在大攻擊流量發(fā)生時手動或自動啟動集群；支持集群間數(shù)據(jù)狀態(tài)同步；支持集群設備冗余備份；支持集群無限擴容。

4 結語

實現(xiàn)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡安全防護策略與基本技術要求，是完善寧夏高速公路聯(lián)網(wǎng)運行管理的重要技術要求之一，是高速公路聯(lián)網(wǎng)系統(tǒng)開展信息安全建設和安全運維工作的重要依據(jù)，對于實施網(wǎng)絡安全建設具有重要意義。