李明 中國葛洲壩集團公路運營有限公司
因為高速公路在高效、高速以及高標準等等方面有著極高的要求,所以,一定程度上也促使了它對更多高新技術(shù)的應(yīng)用。在網(wǎng)絡(luò)以及信息系統(tǒng)的支持下,使得高速公路系統(tǒng)信息化、自動化水平越來越高,實現(xiàn)了從單業(yè)務(wù)、單系統(tǒng)、單路段到業(yè)務(wù)協(xié)同、應(yīng)用綜合以及路網(wǎng)縱橫的有效轉(zhuǎn)變。與此同時,高速公路網(wǎng)絡(luò)信息安全也逐漸暴露其風險,迫切需要針對性的措施,從而將風險發(fā)生率降低到最低。
以光纖通信系統(tǒng)為基礎(chǔ)組建了服務(wù)于行業(yè)管理的高速公路行業(yè)專網(wǎng),涵蓋數(shù)據(jù)聯(lián)網(wǎng)收費、公共服務(wù)平臺、健康等等核心業(yè)務(wù)系統(tǒng),主要負責數(shù)據(jù)、語音以及視頻方面的有效傳輸?,F(xiàn)階段,我國很多省市已經(jīng)建立起這類交通行業(yè)專網(wǎng),從而為整個交通行業(yè)信息化發(fā)展奠定堅實的基礎(chǔ)。
但是,從整個設(shè)計來看,我國高速公路行業(yè)專業(yè)頂層設(shè)計方面目前并未設(shè)置統(tǒng)一的標準。與此同時,高速公路業(yè)務(wù)隨著需求而增加,所以整個網(wǎng)絡(luò)也處于持續(xù)變化之中,但是整體架構(gòu)、網(wǎng)絡(luò)地址分配等等方面都未進行整體規(guī)劃設(shè)計;尤其是部分省市的網(wǎng)絡(luò)信息系統(tǒng)在基礎(chǔ)設(shè)置配置中未構(gòu)建安全體系,意味著將會給信息網(wǎng)絡(luò)運行帶來一定的安全威脅。
省域內(nèi)均以實現(xiàn)聯(lián)網(wǎng)收費,即一次發(fā)卡進展以及一次收卡出站;另外,ETC 聯(lián)網(wǎng)收費均以在全國實現(xiàn)(除海南與西藏),目前ETC 用戶數(shù)量已經(jīng)超過5000 萬的數(shù)量。高速公路聯(lián)網(wǎng)收費相關(guān)應(yīng)用是封閉的,在ETC 出現(xiàn)之后,與銀行開始了合作,使得聯(lián)網(wǎng)收費網(wǎng)絡(luò)與系統(tǒng)的應(yīng)用得以有效擴展,同時就充值網(wǎng)點、ETC 運營中心、合作銀行等等方面,配置了用戶服務(wù)平臺、網(wǎng)上銀行系統(tǒng)、充值系統(tǒng)、發(fā)行系統(tǒng)、認證系統(tǒng)等等。
現(xiàn)階段,與高速公路收費有關(guān)的微信、支付寶、App 等等陸續(xù)授權(quán)以及推出,實現(xiàn)了第三方支付系統(tǒng)與高速公路聯(lián)網(wǎng)收費系統(tǒng)的信息互通。同時,也意味著聯(lián)網(wǎng)收費的范圍將越來越大,與此相關(guān)的應(yīng)用將越來越多,無疑也給高速公路的網(wǎng)絡(luò)與信息安全帶來了巨大的挑戰(zhàn)。
從聯(lián)網(wǎng)收費發(fā)展的初期來看,高速公路建設(shè)與運營單位都非常重視系統(tǒng)安全性;但是信息安全風險并不是一成不變的,而是隨著信息網(wǎng)絡(luò)的發(fā)展將會出現(xiàn)更多不可預(yù)知的風險因素,特別是全面聯(lián)網(wǎng)的ETC,隨著移動支付的開通,意味著聯(lián)網(wǎng)收費系統(tǒng)將是整個高速公路運輸行業(yè)最為重要的系統(tǒng),這就意味著不能出現(xiàn)一絲風險,所以還有很多配套的工作需要完善。
在高速公路整個信息網(wǎng)絡(luò)體系之中,聯(lián)網(wǎng)監(jiān)控系統(tǒng)扮演著非常重要的角色,主要是幫助運營單位對高速公路的運行情況進行實時監(jiān)控,這樣能夠快速有效應(yīng)對一些突發(fā)的事件,以期望能夠盡快排除隱患,讓整個高速公路能夠穩(wěn)定運行,監(jiān)控系統(tǒng)覆蓋到到事故易發(fā)路段、服務(wù)區(qū)、長大橋梁、隧道、主線、車道、收費廣場、停車服務(wù)區(qū)等等;同時,還在一些重要的路段設(shè)置了全程監(jiān)控。通過監(jiān)控所收集到的數(shù)據(jù)信息為運營單位等等機構(gòu)作出決策提供有效依據(jù)。同時,這些視頻與數(shù)據(jù)是全網(wǎng)共享的,安監(jiān)部門、交警部門、公安部門以及運營單位等等,其數(shù)據(jù)會在這些機構(gòu)之中進行傳輸,因此,也就有了泄露的風險。
1.加強網(wǎng)絡(luò)基本防護
加強網(wǎng)絡(luò)基本防護力度,具體要從網(wǎng)絡(luò)設(shè)備防護、網(wǎng)絡(luò)入侵防范、安全審計、訪問權(quán)限設(shè)置、網(wǎng)絡(luò)結(jié)構(gòu)安全、惡意代碼防范等等方面入手,并結(jié)合實際業(yè)務(wù)需求,從而科學(xué)、合理架構(gòu)高速公路的整體網(wǎng)絡(luò)結(jié)構(gòu),對用戶訪問進行權(quán)限設(shè)置;設(shè)置漏洞掃描、IPS 以及防火墻等等基礎(chǔ)安全防范軟件系統(tǒng),有利于及時掃描以及防范惡意代碼、惡意攻擊等等。如果有明確的保密要求或者是安全等級要求,那么必須做好相關(guān)隔離工作;如果沒有明確的保護要求,則采用單向網(wǎng)閘來傳輸數(shù)據(jù),有助于防范惡意入侵。
2.加強病毒防護以及系統(tǒng)加固
在聯(lián)網(wǎng)環(huán)境下為了能夠保障企業(yè)應(yīng)用安全性與穩(wěn)定性,建議采用正版的防毒軟件。該類防毒軟件應(yīng)該根據(jù)高速公路信息網(wǎng)絡(luò)的特點進行布設(shè),在各個終端的客戶端部署殺毒服務(wù)器,借助病毒庫動態(tài)更新的功能可以對客戶端進行實時防毒,還可以更加便捷地對FTP 站點以及共享文件件進行管理,從而有效防止病毒通過這些途徑進行傳播。此外,還需要定期對高速公路網(wǎng)絡(luò)信息系統(tǒng)打補丁、修改配置以及安全機制完善,將系統(tǒng)加固,有利于提升系統(tǒng)抗攻擊的能力。
1.從開發(fā)環(huán)節(jié)入手提升防護力度
要求開發(fā)商必須在強化安全性的設(shè)計,尤其要注重軟件容錯功能的完善,有利于提升軟件的“健壯性”;特別是一些關(guān)鍵應(yīng)用系統(tǒng),以聯(lián)網(wǎng)收費系統(tǒng)為例,必須要對訪問控制、身份鑒別方面下足功夫,賦予自動加密功能然后進行傳輸。
又例如,在建立多個系統(tǒng)協(xié)同實現(xiàn)的這類應(yīng)用系統(tǒng)時,要特別注重系統(tǒng)之間互相訪問以及互相調(diào)動的安全防護;根據(jù)具體業(yè)務(wù)的需求,并充分考慮信息系統(tǒng)安全的實際需求,在業(yè)務(wù)系統(tǒng)對接之中,通過數(shù)據(jù)校驗、密碼驗證以及接口間協(xié)議認證等等方式,能夠有效提升安全防護力度。
2.最大限度保障數(shù)據(jù)安全
數(shù)據(jù)安全需要從審計入手,著重審計數(shù)據(jù)庫,能夠?qū)崟r記錄數(shù)據(jù)庫的實際活動情況,進而對數(shù)據(jù)庫操作過程中存在的風險行為進行及時的預(yù)警、阻斷。此外,要對業(yè)務(wù)系統(tǒng)之中的關(guān)鍵數(shù)據(jù)信息以及系統(tǒng)所產(chǎn)生的管理文檔做好備份,并對其有效性以及完整性進行定期驗證,為系統(tǒng)有效運行提供良好的保障。
工業(yè)自控系統(tǒng)存在于高速公路系統(tǒng)之中,具體從這些方面入手:第一,網(wǎng)絡(luò)防護層。在對網(wǎng)絡(luò)進行部署時,建議通過防火墻技術(shù)將企業(yè)網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)進行隔離;如果兩者之間必須要建立連接,應(yīng)當只建立一個連接,且以防火墻為基礎(chǔ),加強身份驗證、訪問控制等等,從而最大限度保障其安全性。從協(xié)議安全層面來講,因為工業(yè)通信協(xié)議,以MODBUS 協(xié)議為例,在設(shè)計過程中沒有設(shè)置安全措施,那么就必須隨著控制系統(tǒng)與外部網(wǎng)絡(luò)連接增多的情況下,增添雙方的認證過程。關(guān)于協(xié)議的安全性提升,可以這些方面入手:第一,對協(xié)議直接進行修改,從而增條認證功能;第二,現(xiàn)有的協(xié)議不進行修改,并在此基礎(chǔ)上增加對應(yīng)的信息安全層。從控制器設(shè)計來講,要從自控邏輯設(shè)計入手,增加入侵檢測算法,可以對網(wǎng)絡(luò)之中可能發(fā)生的惡意入侵與攻擊進行分析,從而主動積極采取防范措施,可提升整個控制器的穩(wěn)定性。
綜上所述,隨著信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進步,高速公路信息化建設(shè)逐步完善,但是信息網(wǎng)絡(luò)在快速發(fā)展的同時,也伴隨著各類安全風險。因此,有必要從基礎(chǔ)防護、應(yīng)用系統(tǒng)開發(fā)防護以及工業(yè)控制等等方面入手,從而提升安全風險防護的有效性,確保高速公路信息網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定運行。