朱 青， 戴劍軍， 吳智贏， 方 偉

(湖南省交通科學研究院有限公司, 湖南 長沙 410015)

0 引言

如何綜合運用互補的安全措施，做好安全域隔離、安全審計、訪問和接入控制、監(jiān)測預警、應急響應等，是保障收費公路聯(lián)網(wǎng)收費系統(tǒng)整體安全、穩(wěn)定運行著力點。交通運輸部取消高速公路省界收費站總指揮部在《取消高速公路省界收費站總體技術方案》對此給出了規(guī)范要求，國家層面發(fā)布的相關法律、法規(guī)、網(wǎng)絡安全等級保護標準等也提供了明確指導意見，本文結合湖南省聯(lián)網(wǎng)收費系統(tǒng)實際情況，提出網(wǎng)絡安全技術應用解決方案。

1 存在問題及分析

在取消高速公路省界收費站工程部署推進之前，湖南省高速公路各路段安全設備共計17臺，只在少數(shù)的幾個路段部署。各區(qū)域分中心、收費站網(wǎng)絡安全建設比較薄弱，僅部分站點安裝防病毒軟件及防火墻，缺乏專業(yè)的網(wǎng)絡安全維保人員。湖南省高速公路監(jiān)控中心收費網(wǎng)絡分為收費內網(wǎng)和外網(wǎng)2部分(見圖1)，兩張網(wǎng)絡相對獨立，分別承載不同的業(yè)務。收費內網(wǎng)主要承載與收費相關的業(yè)務，是中心的核心業(yè)務，外網(wǎng)主要承載辦公上網(wǎng)以及部分需與互聯(lián)網(wǎng)交互的業(yè)務。

圖1 湖南省高速公路省中心網(wǎng)絡安全結構示意圖(建設前)

從結構上分析可以看出，網(wǎng)絡安全上存在的主要問題是： ① 內網(wǎng)的建設沒有考慮到重要鏈路及關鍵網(wǎng)絡設備的冗余，存在多個單點風險;② 外網(wǎng)整體區(qū)域劃分不明顯，沒有進行安全域的劃分，缺少安全邊界防護，不同安全級別間的數(shù)據(jù)訪問沒有進行有效控制；③ 出口設計不規(guī)范，導致互聯(lián)網(wǎng)流量需在核心交換機、路由器、防火墻、IPS 間迂回；④ 互聯(lián)網(wǎng)出口透明部署了一臺防火墻和IPS，但防火墻與IPS 沒有進行策略更新以及特征庫升級，并沒有起到有效的安全防護作用。

2019年7月，交通運輸部對多個省份的高速公路收費網(wǎng)絡進行了安全檢測，發(fā)現(xiàn)普遍存在網(wǎng)絡邊界管理混亂、基礎安全設備策略缺乏、大量主機終端缺乏防病毒和管控措施、相關管理類系統(tǒng)存在高風險安全隱患、網(wǎng)絡安全底數(shù)不清、日常安全管理不嚴等典型問題，主要原因集中在如下幾點： ① 基礎防護設施薄弱，安全審計、漏洞掃描、邊界防護等設施缺失，導致相關管控措施無法落地；② 專業(yè)維護人員缺乏，多數(shù)安全防護設施已失效，出現(xiàn)專網(wǎng)隔離不嚴，網(wǎng)絡權限控制不嚴，運維主體較為分散，難以形成安全保障合力[1]；③ 網(wǎng)絡安全意識不足，重建設輕管理現(xiàn)象普遍，各管理單位忽視了安全威脅的危害性與重要性，安全管理主體責任未落實，導致內部監(jiān)管缺失，未能認識到信息安全來自內部的風險要遠遠大于外部[2]；④ 配套制度缺失及落實不力，未制定網(wǎng)絡安全管理制度或制定了制度而未落實，安全“三同步”還停留在口號層面，相關的管控工作推進多是“運動式”，不能常態(tài)化。

2 網(wǎng)絡安全架構優(yōu)化

2.1 基本原則

為實現(xiàn)良好的安全保障，省域聯(lián)網(wǎng)收費系統(tǒng)安全域參照等級保護要求，結合行業(yè)成熟經(jīng)驗，按照“保障業(yè)務、適度安全、結構簡化、等級保護、立體協(xié)防”的原則劃分[3]，安全區(qū)域劃分見圖2。

圖2 安全區(qū)域劃分示意圖

2.2 整體網(wǎng)絡安全架構

本次聯(lián)網(wǎng)中心網(wǎng)絡安全架構優(yōu)化從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界安全計算環(huán)境及安全管理中心等5個方面提出通用安全要求，結合云計算、大數(shù)據(jù)及物聯(lián)網(wǎng)等3個方面提出擴展安全要求。改造后湖南省高速公路收費網(wǎng)絡由縱向廣域網(wǎng)和橫向局域網(wǎng)構成(見圖3)，橫向局域網(wǎng)按行政歸屬可分為省中心局域網(wǎng)、分中心局域網(wǎng)、收費站局域網(wǎng)，縱向廣域網(wǎng)用于縱向互聯(lián)各級局域網(wǎng)?？傮w網(wǎng)絡安全由各級局域網(wǎng)與廣域網(wǎng)邊界安全設備域以及局域網(wǎng)內部安全運維管理系統(tǒng)組成；省中心局域網(wǎng)嚴格按三級等保要求進行建設，中心以下分中心參照三級等保要求進行建設，分中收費站、ETC門架分別部署邊界防護設備，共用安全運維管理設備。

圖3 總體網(wǎng)絡安全架構圖(改造后)

3 關鍵防護技術應用

3.1 物理安全防護措施

物理安全是整個聯(lián)網(wǎng)收費信息系統(tǒng)安全的前提，可能面臨的物理安全風險有：地震、水災、火災、電源故障、電磁輻射、設備故障、人為物理破壞等，這些風險都可能造成系統(tǒng)崩潰。因此，物理安全必須具備環(huán)境安全、設備物理安全和防電磁輻射等物理支撐環(huán)境，使網(wǎng)絡設備、設施、介質和信息免受自然災害、環(huán)境事故以及人為操作失誤導致的破壞、丟失，防止各種以物理手段進行的違法犯罪行為。本次改造優(yōu)化設計的物理安全防護技術涉及：物理訪問控制、防盜竊與防破壞、防雷擊、防火、防水與防潮、防靜電、溫濕度控制、電力供應和電磁防護等。

3.2 安全通信網(wǎng)絡建設

安全通信網(wǎng)絡包括網(wǎng)絡架構安全和網(wǎng)絡通信安全。在網(wǎng)絡架構上，關鍵的防護技術包括： ① 構建雙設備雙鏈路冗余的網(wǎng)絡架構確保網(wǎng)絡架構安全，同時確保網(wǎng)絡設備的處理能力、網(wǎng)絡帶寬滿足業(yè)務高峰期需要;② 通過在路段接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、隔離區(qū)以及云平臺部署防火墻，實現(xiàn)各區(qū)域的安全隔離；③ 通過劃分VLAN實現(xiàn)區(qū)域內部業(yè)務系統(tǒng)間的安全隔離；

在網(wǎng)絡通信安全上，關鍵的防護技術包括： ① 基于專線的廣域網(wǎng)傳輸安全,通過專線間物理隔離來保障聯(lián)網(wǎng)收費系統(tǒng)依托的收費IP網(wǎng)絡安全；② 基于互聯(lián)網(wǎng)的廣域網(wǎng)傳輸安全，通過采用IPSEC VPN技術實現(xiàn)收費站到省級網(wǎng)聯(lián)中心之間端到端的加密通信安全訪問。

3.3 安全區(qū)域邊界控制

1) 邊界訪問控制： 當前，下一代防火墻技術已經(jīng)逐步成熟，通過相關功能實現(xiàn)其策略配置，是應對頻繁多發(fā)、隱蔽多樣、體系化復合型攻擊的主要技術手段。以省域聯(lián)網(wǎng)收費系統(tǒng)為例，各安全域之間訪問控制策略如表1所示。

表1 安全域之間訪問控制策略目的源核心交換區(qū)第三方接入?yún)^(qū)路段接入?yún)^(qū)共享交換區(qū)安全管理區(qū)業(yè)務服務器區(qū)業(yè)務終端區(qū)核心交換區(qū)—互通互通互通互通互通互通第三方接入?yún)^(qū)互通—禁止禁止禁止互通互通路段接入?yún)^(qū)互通禁止—互通互通禁止禁止共享交換區(qū)互通禁止互通—禁止禁止互通安全管理區(qū)互通禁止互通禁止—互通互通業(yè)務服務器區(qū)互通互通禁止禁止互通—互通業(yè)務終端區(qū)互通禁止禁止互通互通互通—

2) 邊界入侵防范： 邊界入侵防御主要通過部署入侵防御設備對網(wǎng)絡攻擊行為進行檢測阻斷，并產生告警與報告，針對高級威脅攻擊，通過部署專業(yè)的APT檢測設備，實現(xiàn)對新型網(wǎng)絡攻擊行為的發(fā)現(xiàn)、分析與追溯。

3) 邊界完整性檢測： 通過終端準入控制系統(tǒng)實現(xiàn)安全管理、訪問控制、終端安全合規(guī)檢測、訪客注冊申請、第三方認證聯(lián)動、強制隔離等措施。

4) 邊界惡意代碼檢測：通過在收費內網(wǎng)路段接入?yún)^(qū)部署兩臺防毒墻實現(xiàn)對病毒實時阻斷，防毒墻能在網(wǎng)絡重要節(jié)點處(如互聯(lián)網(wǎng)入口)進行病毒的檢測和清除。通過在路段接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)啟用防毒墻的漏洞防護、防間諜軟件、反病毒、URL過濾等功能，能高效攔截常見漏洞入侵，減少間諜軟件、病毒、木馬、釣魚網(wǎng)站、惡意URL訪問等網(wǎng)絡威脅。

5) 網(wǎng)絡安全審計:收費內網(wǎng)和收費外網(wǎng)安全管理區(qū)均部署網(wǎng)絡安全審計系統(tǒng)、日志審計系統(tǒng)，通過分析網(wǎng)絡流量實現(xiàn)對用戶行為的分析審計。

3.4 安全計算環(huán)境管理

安全計算環(huán)境主要關注主機和應用安全，但更多地側重應用安全，屬于三重防護之一。所關注的控制點及相關防御技術措施如下。

1) 身份鑒別、訪問控制與行為審計：通過堡壘機將運維人員與被管理設備或系統(tǒng)隔離開來，所有的運維管理訪問必須通過堡壘機進行，實現(xiàn)了運維管理的集中權限管理和行為審計。

2) 入侵防范：通過部署漏洞掃描系統(tǒng)，不僅可幫助用戶快速建立針對自己網(wǎng)絡的安全風險評估體系，還可針對傳統(tǒng)的操作系統(tǒng)、網(wǎng)絡設備、防火墻、遠程服務等系統(tǒng)層漏洞進行滲透性測試，及時發(fā)現(xiàn)系統(tǒng)薄弱點。

3) 惡意代碼防范：收費內網(wǎng)和收費外網(wǎng)分別部署網(wǎng)絡防病毒系統(tǒng)，實現(xiàn)惡意代碼攻擊阻斷。

4) 數(shù)據(jù)完整性：在軟件層面實現(xiàn)數(shù)據(jù)完整性校驗，當數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳，同時對存儲的數(shù)據(jù)采取多重備份。

5) 數(shù)據(jù)保密性：通過服務器密碼、數(shù)據(jù)庫加密系統(tǒng)等實現(xiàn)。

6) 數(shù)據(jù)備份恢復：建立異地備份機房，結合本地離線加異地鏡像方式，實現(xiàn)數(shù)據(jù)信息和業(yè)務系統(tǒng)的數(shù)據(jù)級災備。

7) 剩余信息保護：通過設置服務器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)。

3.5 安全管理中心實施

通過全省統(tǒng)一部署綜合網(wǎng)管系統(tǒng)實現(xiàn)信息安全集中管控；在省中心部署的網(wǎng)絡安全監(jiān)測預警平臺可實現(xiàn)安全事件的識別、報警和分析，權限管理方面通過堡壘機對系統(tǒng)管理員、審計管理員、安全管理員等角色進行身份鑒別，實現(xiàn)不同職責不同授權。

4 結語

在這次將主流安全防御技術、設備、理念運用到聯(lián)網(wǎng)收費系統(tǒng)的優(yōu)化改造過程中，完善了省聯(lián)網(wǎng)中心收費系統(tǒng)的網(wǎng)絡安全防御能力，也補齊了各區(qū)域中心、收費站的安全短板。同時也將上述關鍵技術、管理理念成功運用到省域交通大數(shù)據(jù)中心的安全體系建設中，并取得良好成效。但新的發(fā)展形勢下，傳統(tǒng)的交通運輸及安全系統(tǒng)管理還不能滿足當前發(fā)展需求[4]。要充分認識到，安全的環(huán)境一直在動態(tài)發(fā)展，安全的需求也是多維度多層次的[5]，僅靠設備和安全策略來做木桶式建設，還遠遠不夠，落實安全保障體系，做好日常安全審計、查漏補缺、人員安全意識教育等管理工作，才是安全管控的重心，才能構建立體有效的防御體系。