謝兆勇

摘? 要：隨著路網(wǎng)監(jiān)測設施增加，目前各種外場設施設備數(shù)量龐大，內(nèi)場機房已存在多處安全隱患，外場內(nèi)場設施運維與安全問題日益突出，對現(xiàn)有路網(wǎng)監(jiān)測設施運維管理邊界安全的研究與應用迫在眉睫，建立一套邊界網(wǎng)絡安全管理系統(tǒng)平臺非常必要，通過系統(tǒng)軟件及邊界安全硬件服務器實施，實現(xiàn)對路網(wǎng)設施的前端設備視頻圖像及文字、終端網(wǎng)絡安全、末端設備的漏洞，有效的起到維護及安全保障的統(tǒng)一，解決了中心對路網(wǎng)調(diào)度提升、應急安全管理、路網(wǎng)狀況綜合運維分析、各縣區(qū)路站外場、內(nèi)場的監(jiān)測和管理。

關鍵詞：防護現(xiàn)狀;安全應用;準入控制;網(wǎng)絡安全邊界管理

中圖分類號：TM73

引言：隨著道路（包括高速公路、省道、國道等）規(guī)模的快速發(fā)展，路網(wǎng)監(jiān)測設施每年都在按照省中心的要求部署增加，同時路網(wǎng)監(jiān)測、管理、安全、運行設施運維、故障處理等提到了更高的要求，因此，提升路網(wǎng)監(jiān)測設施運維工作以及設備安全保障的手段，建設研究一套路網(wǎng)運維管理邊界安全信息化將成為路網(wǎng)監(jiān)測設施行業(yè)發(fā)展的趨勢所在。

設施設備的維護、網(wǎng)絡安全管理都是整個維保的重點核心，隨著路網(wǎng)設施點位的增多，外場設備網(wǎng)絡、內(nèi)場設備網(wǎng)絡系統(tǒng)日趨大型化、復雜化，攻擊者的入侵行為也越來越綜合駁雜，且具有了分布式攻擊的特點，表現(xiàn)在外場前端、中端、內(nèi)場終端，目前入侵檢測系統(tǒng)在性能上對此類入侵行為的檢測有些困難，很難被發(fā)現(xiàn)，而把不同安全級別的網(wǎng)絡相連接，就產(chǎn)生了網(wǎng)絡邊界，防止來自網(wǎng)絡外界的入侵就要在網(wǎng)絡邊界上建立可靠的安全防御措施。我們通過運維系統(tǒng)和邊界硬件服務器相連接，能夠及時的響應事件，排除故障，能夠有效的監(jiān)測網(wǎng)絡邊界的安全性，在最短的時間內(nèi)找到被攻擊的路網(wǎng)的實施設備，如視頻監(jiān)控設備等，能夠及時的進行預測分析和實時報警，這就是當前道路監(jiān)測設施運維需要解決和關注的重要方向。

一、背景介紹

習總書記在十九大報告中強調(diào)：“黨的一切工作必須以最廣大人民根本利益為最高標準，從讓人民群眾滿意的事情做起，帶領人民不斷創(chuàng)造美好生活”。對廣大人民來說，公共安全是人民群眾最關注的事情，迫切需要新的技術和平臺及時發(fā)現(xiàn)路網(wǎng)中的異常事件，實時掌握路網(wǎng)傳輸?shù)陌踩闆r，從整體動態(tài)反映路網(wǎng)的安全狀態(tài)，并對網(wǎng)絡的發(fā)展趨勢進行預測和預警，對成千上萬的網(wǎng)絡行為、攻擊等信息進行自動處理和深度挖掘，對路網(wǎng)的安全狀態(tài)進行分析評價，感知網(wǎng)絡中的異常事件與整體安全態(tài)勢，自動評估預測，降低網(wǎng)絡安全風險，提高網(wǎng)絡安全防護的能力。為保證業(yè)務系統(tǒng)的持續(xù)性及數(shù)據(jù)的完整性，各省市路網(wǎng)應加強網(wǎng)絡信息安全保障體系的建設。

二、政策解讀

1.《交通運輸信息化“十三五” 發(fā)展規(guī)劃》高度重視網(wǎng)絡與信息安全體系建設， 堅持自主可控， 強化監(jiān)測預警， 確保行業(yè)網(wǎng)絡基礎設施和重要信息系統(tǒng)安全可靠和穩(wěn)定運行。

2.《數(shù)字交通發(fā)展規(guī)劃綱要》加強網(wǎng)絡安全與信息系統(tǒng)同步建設，提高交通運輸關鍵信息基礎設施和重要信息系統(tǒng)的網(wǎng)絡安全防護能力。

3.《交通運輸 信息安全規(guī)范》 （GBT 37378-2019 ）用戶終端安全、載運裝備單元安全、基礎設施單元安全、計算中心安全、網(wǎng)絡和通信安全、安全通用技術。

三、問題分析

路網(wǎng)前端設備安全問題：高速公路大量攝像頭部署分散，容易發(fā)生設備替換、冒用、入侵監(jiān)控專網(wǎng);前端設備存在脆弱性安全問題，如弱口令、設備系統(tǒng)高危漏洞;前端設備缺失有效的安全準入機制：

（1）非法分子使用筆記本替換攝像頭，非法入侵國家路網(wǎng)，盜取涉密信息;

（2）攝像頭弱口令風險，設備被非法控制，發(fā)起網(wǎng)絡攻擊;

（3）攝像頭裸露在外，出現(xiàn)挾持破壞事件，甚至設備盜取;

（4）攝像頭數(shù)量未完全上報，資產(chǎn)數(shù)量不清晰，出現(xiàn)設備遺失、盜取后無從得知;

（5）攝像頭數(shù)量巨大，設備損壞、設備流量、圖像質(zhì)量、離線等異常狀態(tài)，無法及時得知處理，遺漏緊急需要的信息，影響業(yè)務;

1.攝像頭裸露在外，頻頻出現(xiàn)設備替換、挾持、破壞等事件

由于攝像頭等前端設備部署分布極為廣泛，大多處于道路或其它戶外場所，這些公共場所因無人看守頻頻出現(xiàn)惡意替換、侵入網(wǎng)絡、設備被盜取等事件，盜取涉密文件，或是攻擊網(wǎng)絡。視頻監(jiān)控系統(tǒng)已經(jīng)進入了IPC時代，非授權人員只要簡單地用計算機替換前端攝像頭就可以輕松地實現(xiàn)網(wǎng)絡的入侵和非法數(shù)據(jù)的訪問。

2.設備流量、圖像質(zhì)量、離線、攝像頭時間不準確等異常狀態(tài)，不能及時獲取

復雜而龐大的路網(wǎng)中，對于大量終端設備或者前端攝像頭缺少統(tǒng)一管理手段。由于攝像頭都是安裝在特定的地方，分布極為廣泛，當發(fā)生安全事故時，無法在第一時間直接定位網(wǎng)絡內(nèi)計算機或者攝像頭的具體位置，應急響應不及時導致安全風險的擴大。

3.攝像頭的數(shù)量未完全上報，資產(chǎn)數(shù)量不清晰

設備數(shù)量不斷增加，且接入環(huán)境復雜，包含下級部門、其他單位、社會資源等多種接入放入，還存在設部分以租代建設備，設備更新頻繁，原本的設備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成設備管理的混亂，資產(chǎn)未完全上報，設備的安全性、可用性都無法保障，甚至在資產(chǎn)流失后渾然不知。

四、建設目標

推進交通運輸領域數(shù)據(jù)分類分級管理，加強重要數(shù)據(jù)和個人信息安全保護，制定數(shù)據(jù)分級安全管理、數(shù)據(jù)脫敏等制度規(guī)范。推進重要信息系統(tǒng)密碼技術應用和重要軟硬件設備自主可控。

全面識別梳理交通運輸領域國家關鍵數(shù)據(jù)資源，將重要數(shù)據(jù)保護納入交通運輸關鍵信息基礎設施安全規(guī)劃，推進國家關鍵數(shù)據(jù)資源全面實現(xiàn)異地容災備份，推進去標識化、云安全防護、大數(shù)據(jù)平臺安全等數(shù)據(jù)安全技術普及應用。

此次建設，重點完善路網(wǎng)邊界接入安全、接入設備身份認證、信息綁定，實現(xiàn)對路網(wǎng)設備的準入控制管理、NAT設備使用管理。解決非法設備隨意接入路網(wǎng)的問題，視頻監(jiān)控網(wǎng)絡內(nèi)的所有設備智能發(fā)現(xiàn)與識別，識別設備的合法性，對設備運行情況進行實時監(jiān)控，檢測是否存在設備異常、偽冒、替換、入侵，對非法接入的設備系統(tǒng)自動郵件報警、短信報警、地圖定位、網(wǎng)絡位置顯示，并阻斷入侵設備的網(wǎng)絡通信。分析圖像質(zhì)量，攝像頭設備圖像模糊、被遮擋、雪花、黑屏等異常狀態(tài)時，視頻圖像質(zhì)量發(fā)生變化，立即產(chǎn)生質(zhì)量異常報警，并支持進一步查看實時視頻圖像信息，精準確認圖像質(zhì)量問題。達到“信任接入、接入可知、接入可管”的管理規(guī)范。

推動交通感知網(wǎng)絡與交通基礎設施同步規(guī)劃建設，深化各地路網(wǎng)等路側智能終端應用，建立云端互聯(lián)的感知網(wǎng)絡，讓“啞設施”具備多維監(jiān)測、智能網(wǎng)聯(lián)、精準管控、協(xié)同服務能力。

五、解決方案

邊界網(wǎng)絡安全管理系統(tǒng)對網(wǎng)絡內(nèi)接入的各類設備進行識別、過濾、阻斷，確保接入視頻監(jiān)控網(wǎng)絡設備的合法性和安全性，與此同時對運行中的設備進行實時監(jiān)控，利用獨有的感知發(fā)現(xiàn)技術，及時發(fā)現(xiàn)網(wǎng)絡中偽冒、入侵、異常的設備，從而保障整體網(wǎng)絡安全運行。

1.邊界網(wǎng)絡安全管理系統(tǒng)

入網(wǎng)規(guī)范化：入網(wǎng)身份鑒別、安全測評、違規(guī)行為報警;

管理全面化：終端行為規(guī)范、UBS介質(zhì)管理、終端通信管理;

審計精細化：違規(guī)報警統(tǒng)計、入網(wǎng)狀態(tài)分析、測評狀態(tài)分析、資產(chǎn)統(tǒng)計、行為審計。

2.系統(tǒng)功能

身份認證：終端入網(wǎng)強制身份認證，未經(jīng)授權禁止接入網(wǎng)絡，確保只有合法終端才能入網(wǎng)

安全測評：終端安全技術測評，安全隱患項目隔離修復，確保入網(wǎng)終端始終處于安全狀態(tài)

違規(guī)報警：終端安全狀態(tài)動態(tài)保護，存在危險異常項目及時處理并報警通知，防止安全隱患

行為規(guī)范：終端安全規(guī)范，嚴控各類外設使用，明確網(wǎng)絡訪問細則權限，確保用戶擁有網(wǎng)絡使用的“最小授權”

報表統(tǒng)計：全網(wǎng)安全事件圖表化分析匯總，既可提供針對特定行為的分析報告，也可對全網(wǎng)安全趨勢分析

3.網(wǎng)絡邊界監(jiān)管

對網(wǎng)絡接入的多網(wǎng)卡邊界、網(wǎng)絡出口、NAT 邊界、無線 AP、上網(wǎng)代理等各類邊界的檢查和管理，實現(xiàn)對路網(wǎng)設備私自連接其它網(wǎng)絡，如：在路網(wǎng)中擅自設立網(wǎng)中網(wǎng)，非法使用多網(wǎng)卡連接外網(wǎng)，同時可對其進行隔離等防護操作。防止外來計算機、設備、網(wǎng)絡等通過非法手段入侵路網(wǎng)。對合法子網(wǎng)下的設備進行展示、管理，可自動根據(jù)子網(wǎng)環(huán)境繪制子拓撲展示。

4.設備發(fā)現(xiàn)與識別

能夠快速識別網(wǎng)絡內(nèi)的設備信息，分析出設備的類型、IP、MAC、廠商等信息，并自動綁定設備信息，作為入網(wǎng)憑證。

5.設備運行實時監(jiān)控

對網(wǎng)絡內(nèi)設備的運行情況進行實時監(jiān)測，發(fā)現(xiàn)設備運行異常及時更新運行狀態(tài)并發(fā)送報警提醒。

6.違規(guī)檢測報警定位

對網(wǎng)絡內(nèi)的冒用偽造終端、異常終端、入侵終端進行自動識別，第一時間發(fā)送報警消息，并在網(wǎng)絡拓撲、GIS地圖上進行精確定位，與此同時向管轄區(qū)的管理員發(fā)送報警消息。

7.違規(guī)事件自動阻斷

檢測到網(wǎng)絡內(nèi)的入侵、偽冒、異常事件后能夠第一時間阻斷設備的通訊。

8.全網(wǎng)資產(chǎn)實時統(tǒng)計

基于設備的自動發(fā)現(xiàn)與識別分類，實現(xiàn)對所有入網(wǎng)設備的注冊管理，理清臺帳，對全網(wǎng)IP地址使用及終端軟硬件狀況進行上報統(tǒng)計。

六、結語

路網(wǎng)檢監(jiān)測設施運維管理邊界安全保障系統(tǒng)作為安防領域的革新產(chǎn)品，是視頻分析技術及最新的各類IT技術在視頻監(jiān)控系統(tǒng)運行維護方面的典型應用。該系統(tǒng)集狀態(tài)監(jiān)測、故障報警、故障分析、運維管理于一體，能夠實現(xiàn)對各類視頻監(jiān)控系統(tǒng)相關的設備運行狀態(tài)的監(jiān)測與查詢，如攝像機、視音頻編解碼設備、傳輸設備（SDHEPON、交換機、路由器）、業(yè)務服務器。運維系統(tǒng)一旦發(fā)現(xiàn)視頻監(jiān)控系統(tǒng)設備運行狀態(tài)出現(xiàn)異常，立刻自動向運維管理中心發(fā)出故障報警。運維系統(tǒng)管理中心收到設備故障報警后，自動進行故障分析，初步分析出是什么原因造成該故障的發(fā)生。同時通過統(tǒng)一的運維服務營運平臺，對運維系統(tǒng)自動發(fā)現(xiàn)的故障、人工保修的故障、日常維護保養(yǎng)等工作進行統(tǒng)一規(guī)范的管理，對故障處理進行全程跟蹤，完成先進、合理的故障保修、任務派工電子流程系統(tǒng)，以更快響應、完成故障修復任務。

路網(wǎng)監(jiān)測設施運維管理邊界安全應用系統(tǒng)能夠全面、系統(tǒng)、規(guī)范、及時的保障路網(wǎng)監(jiān)測系統(tǒng)的正常運行，改變現(xiàn)在路網(wǎng)監(jiān)測設施運維困難，有效使用率不高的情況。路網(wǎng)監(jiān)測設施運維管理之于邊界安全的應用意義，全局資源統(tǒng)一管理，快速精準定位故障，減少運維壓力，提高運維效率;主動進行視頻數(shù)據(jù)質(zhì)量評估分析，異常視頻圖像及異常數(shù)據(jù)篡改及時警告，減少安全危害的影響;實時掌握設備在線率、完好率、故障率等數(shù)據(jù)，滿足考核管理要求。

參考文獻

[1] 《推進綜合交通運輸大數(shù)據(jù)發(fā)展行動綱要（2020—2025年）》. 交科技發(fā)【2019】161號， 2019.12.

[2]《數(shù)字交通發(fā)展規(guī)劃綱要》. 交規(guī)劃發(fā)【2019】89號，2019.07