李謨珍

（湖南省交通科學(xué)研究院有限公司，湖南 長(zhǎng)沙 410000）

一、網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)意義

隨著全國(guó)ETC聯(lián)網(wǎng)收費(fèi)及地區(qū)收費(fèi)監(jiān)控網(wǎng)絡(luò)框架的構(gòu)成，高速公路開(kāi)始逐漸構(gòu)建規(guī)模較為系統(tǒng)的數(shù)據(jù)及收費(fèi)監(jiān)控綜合信息網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全在高速公路運(yùn)營(yíng)管理中占據(jù)了非常重要的地位。為了確保全國(guó)ETC聯(lián)網(wǎng)收費(fèi)系統(tǒng)的長(zhǎng)期安全穩(wěn)定運(yùn)行，減少被外部網(wǎng)絡(luò)入侵的幾率，在取消高速公路省界收費(fèi)站項(xiàng)目網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中，很有必要采用穩(wěn)定、成熟、實(shí)用的網(wǎng)絡(luò)安全技術(shù)。以湖南為例，在ETC網(wǎng)絡(luò)安全建設(shè)中，主干網(wǎng)絡(luò)的網(wǎng)絡(luò)平臺(tái)、安全系統(tǒng)等部分的設(shè)計(jì)和實(shí)施工作，能夠保證網(wǎng)絡(luò)層主干網(wǎng)絡(luò)的安全互聯(lián)互通，從而確保湖南高速公路路網(wǎng)的網(wǎng)絡(luò)安全、系統(tǒng)安全，實(shí)現(xiàn)安全運(yùn)維、安全管理，綜合保障業(yè)務(wù)網(wǎng)絡(luò)安全。

二、安全現(xiàn)狀

截至2019年初的統(tǒng)計(jì)數(shù)據(jù)顯示,湖南高速公路各路段網(wǎng)絡(luò)設(shè)備共計(jì)1947臺(tái),其中安全設(shè)備17臺(tái)，路由設(shè)備95臺(tái),交換機(jī)1835臺(tái),網(wǎng)絡(luò)設(shè)備中交換機(jī)占90%，路由設(shè)備相當(dāng)少,且都是家用路由設(shè)備,基本沒(méi)有企業(yè)級(jí)路由設(shè)備。只有少數(shù)幾條路段部署有安全設(shè)備,收費(fèi)站交換機(jī)大多是低端二層交換機(jī)。各收費(fèi)站、區(qū)域分中心網(wǎng)絡(luò)安全建設(shè)較薄弱,只有部分站點(diǎn)安裝了防火墻及防病毒軟件。

三、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

（一）整體網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

湖南高速公路收費(fèi)網(wǎng)絡(luò)由橫向局域網(wǎng)和縱向廣域網(wǎng)兩部分構(gòu)成，按照行政歸屬劃分，橫向局域網(wǎng)分為省中心局域網(wǎng)、分中心局域網(wǎng)、收費(fèi)站局域網(wǎng)，縱向廣域網(wǎng)用于縱向互聯(lián)各級(jí)局域網(wǎng)?？傮w網(wǎng)絡(luò)安全系統(tǒng)由廣域網(wǎng)與各級(jí)局域網(wǎng)邊界安全設(shè)備及局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全運(yùn)維管理系統(tǒng)構(gòu)成；省中心局域網(wǎng)嚴(yán)格按照三級(jí)等保要求建設(shè)和等保測(cè)評(píng)；分中心以下局域網(wǎng)以分中心為單位嚴(yán)格按照三級(jí)等保要求建設(shè)，ETC門架、收費(fèi)站、分中心共用安全運(yùn)維管理設(shè)備，同時(shí)分別建設(shè)邊界防護(hù)設(shè)備?？傮w網(wǎng)絡(luò)安全架構(gòu)如圖1所示。

圖1 總體網(wǎng)絡(luò)安全架構(gòu)圖

（二）省中心網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

省中心網(wǎng)絡(luò)安全建設(shè)主要是在已有三級(jí)等保項(xiàng)目基礎(chǔ)上查漏補(bǔ)缺，強(qiáng)化省中心網(wǎng)絡(luò)安全。

在內(nèi)外網(wǎng)間建立設(shè)備安全隔離區(qū)，實(shí)現(xiàn)內(nèi)外網(wǎng)間安全互訪可控。將辦公外網(wǎng)從收費(fèi)外網(wǎng)中剝離，單獨(dú)為辦公外網(wǎng)構(gòu)建互聯(lián)網(wǎng)出口，實(shí)現(xiàn)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的隔離。新增安全管理中心，實(shí)現(xiàn)省中心收費(fèi)系統(tǒng)的集中管控和權(quán)限管理。對(duì)于關(guān)鍵安全設(shè)備采用雙機(jī)冗余布置。

省中心安全區(qū)域分為收費(fèi)外網(wǎng)、收費(fèi)內(nèi)網(wǎng)、安全管理中心、辦公外網(wǎng)、安全隔離區(qū)，安全管理中心實(shí)現(xiàn)省中心系統(tǒng)的集中管控和權(quán)限管理，安全隔離區(qū)為內(nèi)外網(wǎng)提供安全互訪可控。收費(fèi)外網(wǎng)分為互聯(lián)網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)、安全管理區(qū)。收費(fèi)內(nèi)網(wǎng)分為路段接入?yún)^(qū)、內(nèi)網(wǎng)應(yīng)用區(qū)、第三方接入?yún)^(qū)、辦公接入?yún)^(qū)和安全管理區(qū)。

（三）分中心網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

各BOT分中心、區(qū)域分中心嚴(yán)格按照等級(jí)保護(hù)三級(jí)要求，在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境中進(jìn)行必要的建設(shè)。在各BOT分中心、區(qū)域分中心部署兩臺(tái)下一代防火墻、一臺(tái)日志審計(jì)系統(tǒng)、一臺(tái)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、一臺(tái)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、一臺(tái)運(yùn)維審計(jì)系統(tǒng)、一臺(tái)漏洞掃描系統(tǒng)及終端安全管理系統(tǒng)。分中心安全架構(gòu)如圖2所示。

圖2 分中心安全架構(gòu)

分中心網(wǎng)絡(luò)安全區(qū)域分為邊界防護(hù)區(qū)、核心交換區(qū)、業(yè)務(wù)應(yīng)用區(qū)及安全管理區(qū)。邊界防護(hù)區(qū)提供廣域網(wǎng)與分中心局域網(wǎng)之間的安全防護(hù)，安全管理區(qū)為收費(fèi)系統(tǒng)及分中心局域網(wǎng)提供安全運(yùn)維管理。

在BOT分中心、區(qū)域分中心邊界防護(hù)區(qū)，部署一臺(tái)下一代防火墻設(shè)備并開(kāi)啟入侵防御、防病毒功能。

在BOT分中心、區(qū)域分中心安全管理區(qū)部署日志審計(jì)系統(tǒng)對(duì)BOT分中心、區(qū)域分中心IT資產(chǎn)進(jìn)行日志采集和分析。部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),實(shí)現(xiàn)區(qū)域分中心收費(fèi)站及ETC門架的準(zhǔn)入控制管理,避免區(qū)域分中心、BOT分中心、收費(fèi)站及ETC門架網(wǎng)絡(luò)非法私自接入設(shè)備,避免安全威脅。部署運(yùn)維審計(jì)系統(tǒng)，對(duì)運(yùn)維人員進(jìn)行審計(jì)記錄，并以錄像的形式存儲(chǔ)操作記錄。部署漏洞掃描系統(tǒng)幫助用戶快速建立針對(duì)自己網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估體系。

（四）收費(fèi)站網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

收費(fèi)站應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全等級(jí)保護(hù)在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計(jì)算環(huán)境方面的三級(jí)安全保護(hù)要求加以建設(shè)。針對(duì)收費(fèi)系統(tǒng)安全保護(hù)對(duì)象,構(gòu)建從外到內(nèi)的縱深安全防御體系。在統(tǒng)一安全策略指導(dǎo)下，綜合運(yùn)用互補(bǔ)的安全措施,確保有效安全認(rèn)證和訪問(wèn)控制,實(shí)現(xiàn)可靠安全通信傳輸和數(shù)據(jù)交換共享，保證收費(fèi)專網(wǎng)隔離屬性和安全接入,及時(shí)監(jiān)測(cè)預(yù)警網(wǎng)內(nèi)、網(wǎng)外的攻擊行為,具備數(shù)據(jù)備份恢復(fù)能力,有效抵御較大規(guī)模的惡意攻擊、較為嚴(yán)重的自然災(zāi)害,審計(jì)重要安全事件和重要用戶行為,保證收費(fèi)系統(tǒng)整體穩(wěn)定、安全運(yùn)行。

（五）ETC門架網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

ETC門架應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全等級(jí)保護(hù)在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計(jì)算環(huán)境方面的三級(jí)安全保護(hù)要求加以建設(shè)。針對(duì)收費(fèi)系統(tǒng)安全保護(hù)對(duì)象,構(gòu)建從外到內(nèi)的縱深安全防御體系。在每個(gè)上下行ETC門架系統(tǒng)直連收費(fèi)站網(wǎng)絡(luò)節(jié)點(diǎn)處各部署一臺(tái)下一代防火墻(安裝在收費(fèi)站),在各ETC門架系統(tǒng)工控機(jī)配置終端安全系統(tǒng),終端安全系統(tǒng)共用區(qū)域分中心、BOT分中心終端安全管理控制中心。

四、結(jié)語(yǔ)

網(wǎng)絡(luò)安全系統(tǒng)在ETC項(xiàng)目建設(shè)中發(fā)揮著極其重要的安全防御作用，其應(yīng)用不僅僅局限于以上內(nèi)容，還包括網(wǎng)絡(luò)安全設(shè)備如防火墻、運(yùn)維審計(jì)系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、日志審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、終端安全登錄系統(tǒng)的部署方案等。