陳曉彤

摘 要：高速公路監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，關(guān)系著公路交通的安全和通暢以及高效，能直接影響到社會的公共秩序和人民的公共利益，需要實行重點保護(hù)。同時，可以進(jìn)一步普及、推動、完善系統(tǒng)的標(biāo)準(zhǔn)化、規(guī)范化工作，達(dá)到信息系統(tǒng)等級保護(hù)的要求，對我國的高速公路發(fā)展具有深刻的意義。鑒于此，本文主要分析高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全體系建設(shè)探討。

關(guān)鍵詞：高速公路;監(jiān)控系統(tǒng);網(wǎng)絡(luò)信息;安全體系

路段公司監(jiān)控系統(tǒng)已經(jīng)向集中化、智能化、移動化發(fā)展，對于監(jiān)控系統(tǒng)的訪問途徑和方式方法越來越多，業(yè)務(wù)系統(tǒng)的安全性和數(shù)據(jù)的保密性也就面臨越來越多的不可控性，龐大的監(jiān)控系統(tǒng)網(wǎng)絡(luò)，復(fù)雜的網(wǎng)元及系統(tǒng)，一旦出現(xiàn)問題，沒有辦法快速定位，快速解決。且隨著節(jié)點增多，各應(yīng)用級的安全防護(hù)只是簡單的累加，缺乏從全局層面對網(wǎng)絡(luò)安全做全方位的防護(hù)和動態(tài)監(jiān)測，逐漸使網(wǎng)絡(luò)信息的安全受到潛在威脅，與之相關(guān)的安全事故屢發(fā)，主要表現(xiàn)在邊界安全漏洞、非授權(quán)訪問、冒充合法用戶、干擾系統(tǒng)正常運行、惡意攻擊網(wǎng)絡(luò)、利用網(wǎng)絡(luò)傳播病毒、木馬入侵等方面，一旦監(jiān)控系統(tǒng)被互聯(lián)網(wǎng)侵入或者內(nèi)部人員通過非法途徑發(fā)布信息，將會帶來巨大負(fù)面影響。

1 高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)的意義

傳統(tǒng)的監(jiān)控網(wǎng)絡(luò)安全系統(tǒng)建設(shè)一般跟隨業(yè)務(wù)系統(tǒng)進(jìn)行建設(shè)設(shè)計，防護(hù)架構(gòu)和安全策略相對靜態(tài)，無法對整個監(jiān)控系統(tǒng)進(jìn)行動態(tài)、實時的漏洞掃描、威脅感知、策略調(diào)整與安全應(yīng)急響應(yīng)?；跀?shù)據(jù)驅(qū)動的高速公路網(wǎng)絡(luò)信息安全防御體系將建立安全風(fēng)險探知中心，收集安全運行流數(shù)據(jù)，測試記錄、日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、攻擊數(shù)據(jù)，進(jìn)行安全大數(shù)據(jù)的梳理分析;對操作系統(tǒng)、網(wǎng)絡(luò)端口、基礎(chǔ)軟件環(huán)境（數(shù)據(jù)庫、中間件等）、業(yè)務(wù)應(yīng)用系統(tǒng)和服務(wù)接口等進(jìn)行漏洞、配置弱點掃描，形成脆弱性探測報告，指出安全防護(hù)的薄弱環(huán)節(jié)，提出整改加固方案，完善交通運輸行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)測管理平臺;落實信息安全等級保護(hù)制度，完善信息數(shù)據(jù)的交互、共享等安全管理措施;深化網(wǎng)絡(luò)安全防護(hù)、態(tài)勢感知、信息通報、預(yù)警預(yù)防及應(yīng)急處置能力建設(shè)。

2 高速公路監(jiān)控系統(tǒng)的網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀

目前就廣東省高速公路有限公司所屬各路段公司監(jiān)控網(wǎng)絡(luò)的構(gòu)成來看，主要由集團(tuán)監(jiān)控中心、路段監(jiān)控中心、站級監(jiān)控組成三級網(wǎng)絡(luò)結(jié)構(gòu)。各路段公司的網(wǎng)絡(luò)采用的是分級管理的方式，監(jiān)控網(wǎng)絡(luò)基本上是獨立于其他網(wǎng)絡(luò)，開放部分對外接口供數(shù)據(jù)傳輸使用（如交警視頻錄像調(diào)度、移動端視頻查看、路政車視頻上傳及病毒庫升級等業(yè)務(wù)）。

目前監(jiān)控網(wǎng)絡(luò)存在的問題主要有：

（1）路段與集團(tuán)網(wǎng)絡(luò)出入口無防火墻，在網(wǎng)絡(luò)邊界缺乏有效的網(wǎng)絡(luò)防護(hù)措施。

（2）路段監(jiān)控網(wǎng)與辦公網(wǎng)網(wǎng)絡(luò)出入口無防火墻，在網(wǎng)絡(luò)邊界缺乏有效的網(wǎng)絡(luò)防護(hù)措施。

（3）沒有運維審計、日志審計、網(wǎng)絡(luò)準(zhǔn)入、漏洞掃描系統(tǒng)、應(yīng)急備份及網(wǎng)絡(luò)管理等系統(tǒng)，無法做到對監(jiān)控系統(tǒng)的安全運維、安全統(tǒng)一的管理、日志收集和分析、高危操作的告警審計和追溯，亦無法對接入網(wǎng)絡(luò)的設(shè)備進(jìn)行專用的準(zhǔn)入控制和權(quán)限管理，當(dāng)重要系統(tǒng)設(shè)備出現(xiàn)故障時無法使用應(yīng)急設(shè)備進(jìn)行應(yīng)急切換處理。

（4）情報板信息發(fā)布顯示屏沒有專門劃分區(qū)域，一旦信息發(fā)布系統(tǒng)被非法侵入或者內(nèi)部人員通過非法途徑發(fā)布信息，將會帶來巨大負(fù)面影響。

3 高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全體系建設(shè)

3.1 建設(shè)要求

高速公路監(jiān)控系統(tǒng)的信息安全，關(guān)系著公路交通的安全和通暢，能直接影響到社會的公共秩序，建議按照信息安全等級保護(hù)二級標(biāo)準(zhǔn)，并從技術(shù)和管理層面對監(jiān)控系統(tǒng)進(jìn)行保障體系建設(shè)。建設(shè)目標(biāo)覆蓋以下內(nèi)容：

完善基礎(chǔ)安全防護(hù)整體架構(gòu)，開展并完成信息系統(tǒng)等保工作。

加強(qiáng)信息安全管理工作，制訂科學(xué)合理的信息安全工作方針、政策，進(jìn)一步完善信息安全管理制度體系，實現(xiàn)管理制度的標(biāo)準(zhǔn)化、規(guī)范化和流程化。

建立科學(xué)、完備的信息安全運維管理體系，實現(xiàn)信息安全事件的全程全周期管理，切實保障信息系統(tǒng)安全、穩(wěn)定運行。

3.2 目標(biāo)

根據(jù)等級保護(hù)的要求，結(jié)合系統(tǒng)的目前現(xiàn)狀，將安全理論轉(zhuǎn)化為具體安全需求，包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及管理制度等各個層面的安全需求，再依據(jù)現(xiàn)有比較成熟的安全技術(shù)及產(chǎn)品，將安全需求轉(zhuǎn)化為可以實現(xiàn)的技術(shù)和管理安全防護(hù)手段，為應(yīng)用全面性、及時性、準(zhǔn)確性、完整性、保密性、可追溯性等業(yè)務(wù)要求提供安全保障。

3.3 網(wǎng)絡(luò)區(qū)域間隔離控制與安全防護(hù)

3.3.1 監(jiān)控系統(tǒng)邊界安全

路段監(jiān)控與集團(tuán)監(jiān)控之間的邊界安全：路段監(jiān)控與集團(tuán)監(jiān)控間部署帶有入侵防護(hù)功能、病毒防護(hù)功能的防火墻進(jìn)行隔離控制與威脅防護(hù)，防止病毒威脅外延到集團(tuán)監(jiān)控中心或其它路段公司，通過防火墻的黑白名單策略允許指定監(jiān)控系統(tǒng)進(jìn)行數(shù)據(jù)通信，同時結(jié)合防病毒引擎對已知未知病毒進(jìn)行過濾防護(hù)，杜絕病毒自動傳播。

路段監(jiān)控與站級監(jiān)控之間的安全：路段監(jiān)控中心與站級監(jiān)控之間部署安全訪問策略進(jìn)行隔離控制，通過最小權(quán)限訪問控制策略和安全防護(hù)模塊實現(xiàn)網(wǎng)絡(luò)層攻擊防護(hù)，將攻擊行為控制在指定的區(qū)域防止外延。

路段監(jiān)控與辦公區(qū)域之間的安全：在路段監(jiān)控中心與辦公網(wǎng)之間部署帶有入侵防護(hù)功能、病毒防護(hù)功能的防火墻進(jìn)行隔離控制，防止辦公網(wǎng)安全威脅影響到監(jiān)控網(wǎng)絡(luò)系統(tǒng)正常運行。

信息發(fā)布顯示屏DMZ區(qū)：中心及站級管理交換機(jī)設(shè)置專用VLAN，將可變情報板、信息顯示屏及發(fā)布管理端納入DMZ專用區(qū)加強(qiáng)管理，結(jié)合網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)有效防護(hù)。

3.3.2 主要設(shè)備功能如下

邊界防火墻：支持訪問控制，應(yīng)用識別，防病毒網(wǎng)關(guān)、資產(chǎn)識別、云管理、入侵防護(hù)、高級威脅防護(hù)、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、流量監(jiān)控、應(yīng)用管理等安全功能。

堡壘機(jī)--安全運維審計系統(tǒng)：堡壘機(jī)產(chǎn)品通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人->主賬號（堡壘機(jī)用戶賬號）->授權(quán)->從賬號（目標(biāo)設(shè)備賬號）->目標(biāo)設(shè)備”的管理模式，實現(xiàn)集中精細(xì)化運維操作管控與審計。

日志審計系統(tǒng)：可基于主流協(xié)議實時采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息，實現(xiàn)對各類設(shè)備日志的統(tǒng)一采集、統(tǒng)一存儲、統(tǒng)一審計等各類日志管理工作。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)：通過統(tǒng)一認(rèn)證的方式規(guī)范路段監(jiān)控中心以及站級監(jiān)控中心終端接入。避免非授權(quán)用戶或電腦訪問關(guān)鍵業(yè)務(wù)系統(tǒng)，增強(qiáng)監(jiān)控系統(tǒng)保密性同時避免非授權(quán)用戶對監(jiān)控系統(tǒng)的惡意破壞。強(qiáng)制入網(wǎng)合規(guī)檢查策略，全面隔離“危險”終端，并支持安全檢查不合規(guī)隔離后的自動修復(fù)及引導(dǎo)修復(fù)管理流程。對接入監(jiān)控系統(tǒng)的設(shè)備終端及啞終端進(jìn)行安全歸類，控制移動介質(zhì)使用和管理。

漏洞掃描系統(tǒng)：根據(jù)需要定期掛接到網(wǎng)絡(luò)中，對安全設(shè)備、服務(wù)器、硬盤錄像機(jī)、網(wǎng)絡(luò)設(shè)備及終端進(jìn)行掃描，即可發(fā)現(xiàn)安全漏洞，并采取補(bǔ)救措施或者完成整改。

容災(zāi)備份一體機(jī)：具有備份（包括定時及實時）、容災(zāi)（本地和異地）、統(tǒng)一存儲、虛擬化平臺、虛擬磁帶庫、數(shù)據(jù)重刪、系統(tǒng)應(yīng)急接管等多功能。

網(wǎng)絡(luò)管理系統(tǒng)：提供存儲管理模塊、攝像頭管理模塊、資產(chǎn)自動發(fā)現(xiàn)、服務(wù)端口管理、業(yè)務(wù)系統(tǒng)圖形展示等功能，對監(jiān)控網(wǎng)絡(luò)進(jìn)行實時在線狀態(tài)監(jiān)測與預(yù)警，監(jiān)測IT設(shè)備、通信鏈路、應(yīng)用系統(tǒng)是否在線正常，根據(jù)不同類別的信息節(jié)點進(jìn)行特征化檢查，在資源（如CPU、內(nèi)存、磁盤），狀態(tài)（如設(shè)備狀態(tài)、接口流量、丟包率）等多個維度對監(jiān)控網(wǎng)相關(guān)系統(tǒng)的狀態(tài)進(jìn)行綜合分析。同時根據(jù)實際情況建立監(jiān)控系統(tǒng)可用性及安全性模型，對監(jiān)控系統(tǒng)的支撐環(huán)境進(jìn)行重點關(guān)聯(lián)檢測，使整個信息業(yè)務(wù)鏈可視化，為下一步信息化建設(shè)與運維提供決策依據(jù)。

3.4 物理安全

物理安全體系的建設(shè)在技術(shù)層面，應(yīng)采取電子門禁、環(huán)境監(jiān)控、電力冗余等技術(shù)措施，在管理層面，應(yīng)在專業(yè)安全廠商的指導(dǎo)下，制定監(jiān)控機(jī)房維護(hù)管理、出入登記申報等制度。

3.5 管理制度

根據(jù)系統(tǒng)的實際情況，在信息安全領(lǐng)導(dǎo)小組的負(fù)責(zé)下，制定和發(fā)布信息安全工作的總體方針、政策、目標(biāo)、范圍、原則和責(zé)任，并定期進(jìn)行評審和修訂。管理制度方面包括：

（1）制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。

（2）建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程，注重發(fā)布信息顯示屏的發(fā)布審核機(jī)制。

（3）形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。

（4）每年由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對安全管理制度體系的合理性和適用性進(jìn)行審定。

（5）定期或不定期對安全管理制度進(jìn)行修訂。

4 結(jié)語

總之，隨著各省高速公路監(jiān)控系統(tǒng)的不斷發(fā)展壯大，網(wǎng)絡(luò)安全問題日趨突出，對監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的要求也越來越高。高速公路監(jiān)控系統(tǒng)管理存在技術(shù)和管理上的不足，會造成監(jiān)控系統(tǒng)合法用戶被冒充、非授權(quán)訪問、系統(tǒng)正常運行被干擾、完整數(shù)據(jù)被破壞、網(wǎng)絡(luò)被惡意攻擊、利用網(wǎng)絡(luò)傳播病毒、發(fā)布惡意信息等給監(jiān)控系統(tǒng)帶來危害的現(xiàn)象。為保證監(jiān)控系統(tǒng)的安全性，各省市高速公路應(yīng)加強(qiáng)監(jiān)控系統(tǒng)安全保障體系的建設(shè)。

參考文獻(xiàn)：

[1]朱鵬飛，孫興煥，曹小峰，等.省域高速公路網(wǎng)絡(luò)信息安全動態(tài)防御體系研究[J].中國交通信息化，2018（1）：82-85.

[2]吳麗娟.高速公路機(jī)電項目中計算機(jī)系統(tǒng)的網(wǎng)絡(luò)信息安全管理[J].產(chǎn)業(yè)與科技論壇，2016（16）：248-249.

[3]于雷，韓科.高速公路機(jī)電系統(tǒng)網(wǎng)絡(luò)信息安全探討[J].中國交通信息產(chǎn)業(yè)，2007（3）：44-45.