高速公路信息網(wǎng)絡(luò)安全風險與對策探析

李明 中國葛洲壩集團公路運營有限公司

引言

因為高速公路在高效、高速以及高標準等等方面有著極高的要求，所以，一定程度上也促使了它對更多高新技術(shù)的應(yīng)用。在網(wǎng)絡(luò)以及信息系統(tǒng)的支持下，使得高速公路系統(tǒng)信息化、自動化水平越來越高，實現(xiàn)了從單業(yè)務(wù)、單系統(tǒng)、單路段到業(yè)務(wù)協(xié)同、應(yīng)用綜合以及路網(wǎng)縱橫的有效轉(zhuǎn)變。與此同時，高速公路網(wǎng)絡(luò)信息安全也逐漸暴露其風險，迫切需要針對性的措施，從而將風險發(fā)生率降低到最低。

一、現(xiàn)階段我國高速公路信息網(wǎng)絡(luò)安全風險概述

(一）通信網(wǎng)絡(luò)存在的安全風險

以光纖通信系統(tǒng)為基礎(chǔ)組建了服務(wù)于行業(yè)管理的高速公路行業(yè)專網(wǎng)，涵蓋數(shù)據(jù)聯(lián)網(wǎng)收費、公共服務(wù)平臺、健康等等核心業(yè)務(wù)系統(tǒng)，主要負責數(shù)據(jù)、語音以及視頻方面的有效傳輸?，F(xiàn)階段，我國很多省市已經(jīng)建立起這類交通行業(yè)專網(wǎng)，從而為整個交通行業(yè)信息化發(fā)展奠定堅實的基礎(chǔ)。

但是，從整個設(shè)計來看，我國高速公路行業(yè)專業(yè)頂層設(shè)計方面目前并未設(shè)置統(tǒng)一的標準。與此同時，高速公路業(yè)務(wù)隨著需求而增加，所以整個網(wǎng)絡(luò)也處于持續(xù)變化之中，但是整體架構(gòu)、網(wǎng)絡(luò)地址分配等等方面都未進行整體規(guī)劃設(shè)計；尤其是部分省市的網(wǎng)絡(luò)信息系統(tǒng)在基礎(chǔ)設(shè)置配置中未構(gòu)建安全體系，意味著將會給信息網(wǎng)絡(luò)運行帶來一定的安全威脅。

(二）高速公路聯(lián)網(wǎng)收費信息系統(tǒng)可能存在的安全風險

省域內(nèi)均以實現(xiàn)聯(lián)網(wǎng)收費，即一次發(fā)卡進展以及一次收卡出站；另外，ETC 聯(lián)網(wǎng)收費均以在全國實現(xiàn)（除海南與西藏），目前ETC 用戶數(shù)量已經(jīng)超過5000 萬的數(shù)量。高速公路聯(lián)網(wǎng)收費相關(guān)應(yīng)用是封閉的，在ETC 出現(xiàn)之后，與銀行開始了合作，使得聯(lián)網(wǎng)收費網(wǎng)絡(luò)與系統(tǒng)的應(yīng)用得以有效擴展，同時就充值網(wǎng)點、ETC 運營中心、合作銀行等等方面，配置了用戶服務(wù)平臺、網(wǎng)上銀行系統(tǒng)、充值系統(tǒng)、發(fā)行系統(tǒng)、認證系統(tǒng)等等。

現(xiàn)階段，與高速公路收費有關(guān)的微信、支付寶、App 等等陸續(xù)授權(quán)以及推出，實現(xiàn)了第三方支付系統(tǒng)與高速公路聯(lián)網(wǎng)收費系統(tǒng)的信息互通。同時，也意味著聯(lián)網(wǎng)收費的范圍將越來越大，與此相關(guān)的應(yīng)用將越來越多，無疑也給高速公路的網(wǎng)絡(luò)與信息安全帶來了巨大的挑戰(zhàn)。

從聯(lián)網(wǎng)收費發(fā)展的初期來看，高速公路建設(shè)與運營單位都非常重視系統(tǒng)安全性；但是信息安全風險并不是一成不變的，而是隨著信息網(wǎng)絡(luò)的發(fā)展將會出現(xiàn)更多不可預(yù)知的風險因素，特別是全面聯(lián)網(wǎng)的ETC，隨著移動支付的開通，意味著聯(lián)網(wǎng)收費系統(tǒng)將是整個高速公路運輸行業(yè)最為重要的系統(tǒng)，這就意味著不能出現(xiàn)一絲風險，所以還有很多配套的工作需要完善。

(三）聯(lián)網(wǎng)監(jiān)控存在的安全風險

在高速公路整個信息網(wǎng)絡(luò)體系之中，聯(lián)網(wǎng)監(jiān)控系統(tǒng)扮演著非常重要的角色，主要是幫助運營單位對高速公路的運行情況進行實時監(jiān)控，這樣能夠快速有效應(yīng)對一些突發(fā)的事件，以期望能夠盡快排除隱患，讓整個高速公路能夠穩(wěn)定運行，監(jiān)控系統(tǒng)覆蓋到到事故易發(fā)路段、服務(wù)區(qū)、長大橋梁、隧道、主線、車道、收費廣場、停車服務(wù)區(qū)等等；同時，還在一些重要的路段設(shè)置了全程監(jiān)控。通過監(jiān)控所收集到的數(shù)據(jù)信息為運營單位等等機構(gòu)作出決策提供有效依據(jù)。同時，這些視頻與數(shù)據(jù)是全網(wǎng)共享的，安監(jiān)部門、交警部門、公安部門以及運營單位等等，其數(shù)據(jù)會在這些機構(gòu)之中進行傳輸，因此，也就有了泄露的風險。

二、加強高速公路信息安全的對策

(一）加強基礎(chǔ)設(shè)施層保護

1.加強網(wǎng)絡(luò)基本防護

加強網(wǎng)絡(luò)基本防護力度，具體要從網(wǎng)絡(luò)設(shè)備防護、網(wǎng)絡(luò)入侵防范、安全審計、訪問權(quán)限設(shè)置、網(wǎng)絡(luò)結(jié)構(gòu)安全、惡意代碼防范等等方面入手，并結(jié)合實際業(yè)務(wù)需求，從而科學(xué)、合理架構(gòu)高速公路的整體網(wǎng)絡(luò)結(jié)構(gòu)，對用戶訪問進行權(quán)限設(shè)置；設(shè)置漏洞掃描、IPS 以及防火墻等等基礎(chǔ)安全防范軟件系統(tǒng)，有利于及時掃描以及防范惡意代碼、惡意攻擊等等。如果有明確的保密要求或者是安全等級要求，那么必須做好相關(guān)隔離工作；如果沒有明確的保護要求，則采用單向網(wǎng)閘來傳輸數(shù)據(jù)，有助于防范惡意入侵。

2.加強病毒防護以及系統(tǒng)加固

在聯(lián)網(wǎng)環(huán)境下為了能夠保障企業(yè)應(yīng)用安全性與穩(wěn)定性，建議采用正版的防毒軟件。該類防毒軟件應(yīng)該根據(jù)高速公路信息網(wǎng)絡(luò)的特點進行布設(shè)，在各個終端的客戶端部署殺毒服務(wù)器，借助病毒庫動態(tài)更新的功能可以對客戶端進行實時防毒，還可以更加便捷地對FTP 站點以及共享文件件進行管理，從而有效防止病毒通過這些途徑進行傳播。此外，還需要定期對高速公路網(wǎng)絡(luò)信息系統(tǒng)打補丁、修改配置以及安全機制完善，將系統(tǒng)加固，有利于提升系統(tǒng)抗攻擊的能力。

(二）提升應(yīng)用系統(tǒng)的防護力度

1.從開發(fā)環(huán)節(jié)入手提升防護力度

要求開發(fā)商必須在強化安全性的設(shè)計，尤其要注重軟件容錯功能的完善，有利于提升軟件的“健壯性”；特別是一些關(guān)鍵應(yīng)用系統(tǒng)，以聯(lián)網(wǎng)收費系統(tǒng)為例，必須要對訪問控制、身份鑒別方面下足功夫，賦予自動加密功能然后進行傳輸。

又例如，在建立多個系統(tǒng)協(xié)同實現(xiàn)的這類應(yīng)用系統(tǒng)時，要特別注重系統(tǒng)之間互相訪問以及互相調(diào)動的安全防護；根據(jù)具體業(yè)務(wù)的需求，并充分考慮信息系統(tǒng)安全的實際需求，在業(yè)務(wù)系統(tǒng)對接之中，通過數(shù)據(jù)校驗、密碼驗證以及接口間協(xié)議認證等等方式，能夠有效提升安全防護力度。

2.最大限度保障數(shù)據(jù)安全

數(shù)據(jù)安全需要從審計入手，著重審計數(shù)據(jù)庫，能夠?qū)崟r記錄數(shù)據(jù)庫的實際活動情況，進而對數(shù)據(jù)庫操作過程中存在的風險行為進行及時的預(yù)警、阻斷。此外，要對業(yè)務(wù)系統(tǒng)之中的關(guān)鍵數(shù)據(jù)信息以及系統(tǒng)所產(chǎn)生的管理文檔做好備份，并對其有效性以及完整性進行定期驗證，為系統(tǒng)有效運行提供良好的保障。

(三）提升工業(yè)控制力度

工業(yè)自控系統(tǒng)存在于高速公路系統(tǒng)之中，具體從這些方面入手：第一，網(wǎng)絡(luò)防護層。在對網(wǎng)絡(luò)進行部署時，建議通過防火墻技術(shù)將企業(yè)網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)進行隔離；如果兩者之間必須要建立連接，應(yīng)當只建立一個連接，且以防火墻為基礎(chǔ)，加強身份驗證、訪問控制等等，從而最大限度保障其安全性。從協(xié)議安全層面來講，因為工業(yè)通信協(xié)議，以MODBUS 協(xié)議為例，在設(shè)計過程中沒有設(shè)置安全措施，那么就必須隨著控制系統(tǒng)與外部網(wǎng)絡(luò)連接增多的情況下，增添雙方的認證過程。關(guān)于協(xié)議的安全性提升，可以這些方面入手：第一，對協(xié)議直接進行修改，從而增條認證功能；第二，現(xiàn)有的協(xié)議不進行修改，并在此基礎(chǔ)上增加對應(yīng)的信息安全層。從控制器設(shè)計來講，要從自控邏輯設(shè)計入手，增加入侵檢測算法，可以對網(wǎng)絡(luò)之中可能發(fā)生的惡意入侵與攻擊進行分析，從而主動積極采取防范措施，可提升整個控制器的穩(wěn)定性。

三、結(jié)語

綜上所述，隨著信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進步，高速公路信息化建設(shè)逐步完善，但是信息網(wǎng)絡(luò)在快速發(fā)展的同時，也伴隨著各類安全風險。因此，有必要從基礎(chǔ)防護、應(yīng)用系統(tǒng)開發(fā)防護以及工業(yè)控制等等方面入手，從而提升安全風險防護的有效性，確保高速公路信息網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定運行。