張凱

[摘要]由于隨著全國(guó)高速通車?yán)锍痰牟粩嘣黾?，路路間的收費(fèi)信息網(wǎng)絡(luò)已經(jīng)初步建立，高速公路收費(fèi)信息網(wǎng)絡(luò)已經(jīng)成為由眾多分路段分支網(wǎng)絡(luò)組成的龐大的系統(tǒng)。所以其安全性特別重要，本文就其安全系統(tǒng)存在的問題提出建議。

[關(guān)鍵詞]高速收費(fèi) 系統(tǒng) 安全性

高速收費(fèi)系統(tǒng)在整個(gè)高速公路運(yùn)營(yíng)過程中發(fā)揮著重要的作用，如果發(fā)生重大的事故，都將會(huì)給系統(tǒng)帶來不可估量的損失。下面，我們將就針對(duì)信息化建設(shè)的特點(diǎn)，從技術(shù)層面、管理層面分析及探討如何加強(qiáng)高速收費(fèi)系統(tǒng)的信息安全。

一、網(wǎng)絡(luò)的安全性分析

針對(duì)高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)的特點(diǎn)，通過對(duì)路網(wǎng)規(guī)劃目標(biāo)和業(yè)務(wù)實(shí)現(xiàn)目標(biāo)的進(jìn)一步分析，發(fā)現(xiàn)高速公路信息系統(tǒng)存在安全風(fēng)險(xiǎn)如下：

1.網(wǎng)絡(luò)入侵包括對(duì)內(nèi)部網(wǎng)進(jìn)行攻擊、竊取和其他類型破壞。各個(gè)分支局域網(wǎng)采用的是五類雙絞線布線方式，入侵者可在傳輸線路上安裝特殊的裝置（如竊聽裝置等），以此方式來盜取系統(tǒng)傳輸?shù)闹匾獢?shù)據(jù)，通過信息的復(fù)讀，對(duì)數(shù)據(jù)進(jìn)行復(fù)寫和篡改。

2.高速收費(fèi)專網(wǎng)是中等規(guī)模的、相對(duì)封閉的網(wǎng)絡(luò)，但因?yàn)楣芾頇C(jī)構(gòu)的不同，造成網(wǎng)絡(luò)分支較多。分路之間的網(wǎng)絡(luò)因行政關(guān)系不同在技術(shù)管理和配置管理上都相對(duì)獨(dú)立。但因?yàn)槭〖?jí)聯(lián)網(wǎng)，又使得這些分支通過省級(jí)中心可以互相聯(lián)接和訪問，從而可能出現(xiàn)分支終端攻擊其他路段或區(qū)域管理中主機(jī)的可能。

3.由于路間支點(diǎn)多又需要同省級(jí)網(wǎng)絡(luò)互聯(lián)，因此在高速信息網(wǎng)絡(luò)中應(yīng)用了大量的路由器、交換機(jī)等設(shè)備，這些設(shè)備的設(shè)置相對(duì)比較復(fù)雜，如果在設(shè)備的日常管理上存在疏忽，將對(duì)網(wǎng)絡(luò)的整體安全造成極大的維護(hù)困難。

二、系統(tǒng)的安全風(fēng)險(xiǎn)分析

項(xiàng)重要工作之一。

1.應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)分析。應(yīng)用的安全性還會(huì)關(guān)系到信息、數(shù)據(jù)的安全，而信息安全又可以分為信息泄露、未授權(quán)訪問、信息完整性及系統(tǒng)的破壞等幾個(gè)方面。高速收費(fèi)系統(tǒng)網(wǎng)絡(luò)跨度較小，重要信息多在內(nèi)部傳遞，故而可以保證信息的私密性、完整性。但對(duì)于其它的信息網(wǎng)絡(luò)，我們可以在應(yīng)用級(jí)進(jìn)行加密，或者在應(yīng)用系統(tǒng)研發(fā)時(shí)對(duì)系統(tǒng)進(jìn)行加密。

2.機(jī)房安全風(fēng)險(xiǎn)分析。信息系統(tǒng)的物理核心是機(jī)房，因此機(jī)房中計(jì)算機(jī)等設(shè)備的物理安全顯得尤為重要，設(shè)備如果受到物理損壞，就會(huì)導(dǎo)致設(shè)備癱瘓，進(jìn)而造成信息系統(tǒng)的混亂。

3.員工的認(rèn)識(shí)風(fēng)險(xiǎn)分析。先進(jìn)的科技可以大大降低員工的勞動(dòng)強(qiáng)度，但也容易造成員工思想上的松懈，降低對(duì)網(wǎng)絡(luò)安全保密的重視程度，又由于員工不可能都具備專業(yè)的素質(zhì)，在缺少專業(yè)指導(dǎo)和培訓(xùn)的前提下，網(wǎng)絡(luò)安全不容樂觀。

三、信息系統(tǒng)安全解決的方案

1.從網(wǎng)絡(luò)的拓樸結(jié)構(gòu)。將各個(gè)路段的業(yè)務(wù)網(wǎng)絡(luò)劃分若干區(qū)域，基于中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。必要時(shí)采用防火墻和網(wǎng)閘等安全設(shè)備進(jìn)行業(yè)務(wù)端口的轉(zhuǎn)換隔離。

2.系統(tǒng)安裝維護(hù)。在系統(tǒng)安裝維護(hù)過程中，要進(jìn)行必要的安全配置，并經(jīng)常性地填補(bǔ)一些安全漏洞，通過對(duì)系統(tǒng)軟件進(jìn)行修補(bǔ)，減少漏洞，降低了病毒利用漏洞的可能，減少了安全隱患。此外，還應(yīng)該關(guān)閉一些不常用的服務(wù)、禁止開放一些不常用而又比較敏感的端口等。

再有，對(duì)一些網(wǎng)絡(luò)中可能會(huì)受到病毒攻擊的點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，通過多層次的防病毒系統(tǒng)的配置，定期、不定期地對(duì)防毒軟件進(jìn)行自動(dòng)升級(jí)，最大程度上減少病毒的侵襲。對(duì)于已感染病毒的計(jì)算機(jī)要立即進(jìn)行斷網(wǎng)，進(jìn)行單獨(dú)查殺處理的同時(shí)，還要對(duì)整個(gè)網(wǎng)絡(luò)采取相應(yīng)的處理。

3.系統(tǒng)管理層面。實(shí)行嚴(yán)格的權(quán)限分散管理制度。嚴(yán)禁任何非授權(quán)人員管理、操縱運(yùn)行信息應(yīng)用系統(tǒng)的計(jì)算機(jī)。計(jì)算機(jī)應(yīng)用信息系統(tǒng)的使用人員分為管理人員和應(yīng)用人員，明確管理人員、應(yīng)用人員的權(quán)限和操作范圍。信息系統(tǒng)的管理人員確定一個(gè)人或一個(gè)管理小組。應(yīng)用人員的使用權(quán)限由使用系統(tǒng)主管確定并備案。管理人員或應(yīng)用人員使用的加長(zhǎng)口令或用數(shù)字和字母的組合，不容易被破解。禁止管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令等系統(tǒng)的一些重要信息傳播給外人：不得在應(yīng)用信息系統(tǒng)的計(jì)算機(jī)上使用、瀏覽任何與系統(tǒng)無關(guān)的程序、游戲、文檔等資料；不得使用任何不明來歷的磁帶、光盤、軟盤等外部存儲(chǔ)設(shè)備；不得制造、復(fù)制、傳播任何色情、暴力、迷信等有害資料及計(jì)算機(jī)病毒。安裝網(wǎng)管軟件，方便配置維護(hù)路由器和交換機(jī)，并建立日志文件存檔。

4.機(jī)房安全層面。首先是建立機(jī)房出入安全制度，禁止機(jī)房重地任何人都可以進(jìn)進(jìn)出出，來去自由。其次是建立全視角的機(jī)房管理和監(jiān)控系統(tǒng)。最后是要建立機(jī)房設(shè)備的定期監(jiān)控、監(jiān)測(cè)制度，對(duì)機(jī)房的設(shè)備運(yùn)行情況、物理環(huán)境做相應(yīng)的記錄，為機(jī)房安全、可靠地運(yùn)行提供有力的保障。此外，建立應(yīng)急備份方案及恢復(fù)機(jī)制也很有必要。我們可以采用可熱插拔的SCSI硬盤所組成的磁盤容錯(cuò)陣列，以RAID5的方式進(jìn)行系統(tǒng)的實(shí)時(shí)熱備份，并通過建立數(shù)據(jù)庫觸發(fā)器以備份重要數(shù)據(jù)的刪除操作，防止人為的失誤或破壞。上述措施可以保證在任何情況下，重要數(shù)據(jù)都可以最大限度地得到恢復(fù)。

5.網(wǎng)絡(luò)安全教育和管理層面。定期進(jìn)行硬件、軟件和網(wǎng)絡(luò)數(shù)據(jù)等安全問題教育，進(jìn)行業(yè)務(wù)和技能方面的培訓(xùn)，提高安全意識(shí)；避免發(fā)生人為事故，傳輸過程中，要保證傳輸線路安全，要設(shè)置露天保護(hù)措施或埋于地下，與輻射源保持一定的距離，盡量減少各種輻射導(dǎo)致的數(shù)據(jù)錯(cuò)誤。應(yīng)盡可能地使用光纖鋪設(shè)線纜，減少輻射引起的干擾，定期檢查連接情況，檢查是否非法外連或破壞行為。定期對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)監(jiān)視并及時(shí)處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡(jiǎn)單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉住IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。

高速聯(lián)網(wǎng)收費(fèi)系統(tǒng)的安全問題正逐漸被高速公路的管理者所關(guān)注，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)施到運(yùn)行管理各階段，多方面采取措施，如此才能真正有效減少系統(tǒng)的不安全因素。