李謨珍

（湖南省交通科學(xué)研究院有限公司，湖南 長沙 410000）

一、網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)意義

隨著全國ETC聯(lián)網(wǎng)收費及地區(qū)收費監(jiān)控網(wǎng)絡(luò)框架的構(gòu)成，高速公路開始逐漸構(gòu)建規(guī)模較為系統(tǒng)的數(shù)據(jù)及收費監(jiān)控綜合信息網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全在高速公路運營管理中占據(jù)了非常重要的地位。為了確保全國ETC聯(lián)網(wǎng)收費系統(tǒng)的長期安全穩(wěn)定運行，減少被外部網(wǎng)絡(luò)入侵的幾率，在取消高速公路省界收費站項目網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中，很有必要采用穩(wěn)定、成熟、實用的網(wǎng)絡(luò)安全技術(shù)。以湖南為例，在ETC網(wǎng)絡(luò)安全建設(shè)中，主干網(wǎng)絡(luò)的網(wǎng)絡(luò)平臺、安全系統(tǒng)等部分的設(shè)計和實施工作，能夠保證網(wǎng)絡(luò)層主干網(wǎng)絡(luò)的安全互聯(lián)互通，從而確保湖南高速公路路網(wǎng)的網(wǎng)絡(luò)安全、系統(tǒng)安全，實現(xiàn)安全運維、安全管理，綜合保障業(yè)務(wù)網(wǎng)絡(luò)安全。

二、安全現(xiàn)狀

截至2019年初的統(tǒng)計數(shù)據(jù)顯示,湖南高速公路各路段網(wǎng)絡(luò)設(shè)備共計1947臺,其中安全設(shè)備17臺，路由設(shè)備95臺,交換機1835臺,網(wǎng)絡(luò)設(shè)備中交換機占90%，路由設(shè)備相當少,且都是家用路由設(shè)備,基本沒有企業(yè)級路由設(shè)備。只有少數(shù)幾條路段部署有安全設(shè)備,收費站交換機大多是低端二層交換機。各收費站、區(qū)域分中心網(wǎng)絡(luò)安全建設(shè)較薄弱,只有部分站點安裝了防火墻及防病毒軟件。

三、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

（一）整體網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

湖南高速公路收費網(wǎng)絡(luò)由橫向局域網(wǎng)和縱向廣域網(wǎng)兩部分構(gòu)成，按照行政歸屬劃分，橫向局域網(wǎng)分為省中心局域網(wǎng)、分中心局域網(wǎng)、收費站局域網(wǎng)，縱向廣域網(wǎng)用于縱向互聯(lián)各級局域網(wǎng)?？傮w網(wǎng)絡(luò)安全系統(tǒng)由廣域網(wǎng)與各級局域網(wǎng)邊界安全設(shè)備及局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全運維管理系統(tǒng)構(gòu)成；省中心局域網(wǎng)嚴格按照三級等保要求建設(shè)和等保測評；分中心以下局域網(wǎng)以分中心為單位嚴格按照三級等保要求建設(shè)，ETC門架、收費站、分中心共用安全運維管理設(shè)備，同時分別建設(shè)邊界防護設(shè)備?？傮w網(wǎng)絡(luò)安全架構(gòu)如圖1所示。

圖1 總體網(wǎng)絡(luò)安全架構(gòu)圖

（二）省中心網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

省中心網(wǎng)絡(luò)安全建設(shè)主要是在已有三級等保項目基礎(chǔ)上查漏補缺，強化省中心網(wǎng)絡(luò)安全。

在內(nèi)外網(wǎng)間建立設(shè)備安全隔離區(qū)，實現(xiàn)內(nèi)外網(wǎng)間安全互訪可控。將辦公外網(wǎng)從收費外網(wǎng)中剝離，單獨為辦公外網(wǎng)構(gòu)建互聯(lián)網(wǎng)出口，實現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的隔離。新增安全管理中心，實現(xiàn)省中心收費系統(tǒng)的集中管控和權(quán)限管理。對于關(guān)鍵安全設(shè)備采用雙機冗余布置。

省中心安全區(qū)域分為收費外網(wǎng)、收費內(nèi)網(wǎng)、安全管理中心、辦公外網(wǎng)、安全隔離區(qū)，安全管理中心實現(xiàn)省中心系統(tǒng)的集中管控和權(quán)限管理，安全隔離區(qū)為內(nèi)外網(wǎng)提供安全互訪可控。收費外網(wǎng)分為互聯(lián)網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)、安全管理區(qū)。收費內(nèi)網(wǎng)分為路段接入?yún)^(qū)、內(nèi)網(wǎng)應(yīng)用區(qū)、第三方接入?yún)^(qū)、辦公接入?yún)^(qū)和安全管理區(qū)。

（三）分中心網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

各BOT分中心、區(qū)域分中心嚴格按照等級保護三級要求，在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境中進行必要的建設(shè)。在各BOT分中心、區(qū)域分中心部署兩臺下一代防火墻、一臺日志審計系統(tǒng)、一臺網(wǎng)絡(luò)準入控制系統(tǒng)、一臺數(shù)據(jù)庫審計系統(tǒng)、一臺運維審計系統(tǒng)、一臺漏洞掃描系統(tǒng)及終端安全管理系統(tǒng)。分中心安全架構(gòu)如圖2所示。

圖2 分中心安全架構(gòu)

分中心網(wǎng)絡(luò)安全區(qū)域分為邊界防護區(qū)、核心交換區(qū)、業(yè)務(wù)應(yīng)用區(qū)及安全管理區(qū)。邊界防護區(qū)提供廣域網(wǎng)與分中心局域網(wǎng)之間的安全防護，安全管理區(qū)為收費系統(tǒng)及分中心局域網(wǎng)提供安全運維管理。

在BOT分中心、區(qū)域分中心邊界防護區(qū)，部署一臺下一代防火墻設(shè)備并開啟入侵防御、防病毒功能。

在BOT分中心、區(qū)域分中心安全管理區(qū)部署日志審計系統(tǒng)對BOT分中心、區(qū)域分中心IT資產(chǎn)進行日志采集和分析。部署網(wǎng)絡(luò)準入控制系統(tǒng),實現(xiàn)區(qū)域分中心收費站及ETC門架的準入控制管理,避免區(qū)域分中心、BOT分中心、收費站及ETC門架網(wǎng)絡(luò)非法私自接入設(shè)備,避免安全威脅。部署運維審計系統(tǒng)，對運維人員進行審計記錄，并以錄像的形式存儲操作記錄。部署漏洞掃描系統(tǒng)幫助用戶快速建立針對自己網(wǎng)絡(luò)的安全風險評估體系。

（四）收費站網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

收費站應(yīng)嚴格按照網(wǎng)絡(luò)安全等級保護在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境方面的三級安全保護要求加以建設(shè)。針對收費系統(tǒng)安全保護對象,構(gòu)建從外到內(nèi)的縱深安全防御體系。在統(tǒng)一安全策略指導(dǎo)下，綜合運用互補的安全措施,確保有效安全認證和訪問控制,實現(xiàn)可靠安全通信傳輸和數(shù)據(jù)交換共享，保證收費專網(wǎng)隔離屬性和安全接入,及時監(jiān)測預(yù)警網(wǎng)內(nèi)、網(wǎng)外的攻擊行為,具備數(shù)據(jù)備份恢復(fù)能力,有效抵御較大規(guī)模的惡意攻擊、較為嚴重的自然災(zāi)害,審計重要安全事件和重要用戶行為,保證收費系統(tǒng)整體穩(wěn)定、安全運行。

（五）ETC門架網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

ETC門架應(yīng)嚴格按照網(wǎng)絡(luò)安全等級保護在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境方面的三級安全保護要求加以建設(shè)。針對收費系統(tǒng)安全保護對象,構(gòu)建從外到內(nèi)的縱深安全防御體系。在每個上下行ETC門架系統(tǒng)直連收費站網(wǎng)絡(luò)節(jié)點處各部署一臺下一代防火墻(安裝在收費站),在各ETC門架系統(tǒng)工控機配置終端安全系統(tǒng),終端安全系統(tǒng)共用區(qū)域分中心、BOT分中心終端安全管理控制中心。

四、結(jié)語

網(wǎng)絡(luò)安全系統(tǒng)在ETC項目建設(shè)中發(fā)揮著極其重要的安全防御作用，其應(yīng)用不僅僅局限于以上內(nèi)容，還包括網(wǎng)絡(luò)安全設(shè)備如防火墻、運維審計系統(tǒng)、網(wǎng)絡(luò)準入控制系統(tǒng)、日志審計系統(tǒng)、漏洞掃描系統(tǒng)、終端安全登錄系統(tǒng)的部署方案等。