陳曉彤

摘 要：高速公路監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，關(guān)系著公路交通的安全和通暢以及高效，能直接影響到社會(huì)的公共秩序和人民的公共利益，需要實(shí)行重點(diǎn)保護(hù)。同時(shí)，可以進(jìn)一步普及、推動(dòng)、完善系統(tǒng)的標(biāo)準(zhǔn)化、規(guī)范化工作，達(dá)到信息系統(tǒng)等級(jí)保護(hù)的要求，對(duì)我國(guó)的高速公路發(fā)展具有深刻的意義。鑒于此，本文主要分析高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全體系建設(shè)探討。

關(guān)鍵詞：高速公路;監(jiān)控系統(tǒng);網(wǎng)絡(luò)信息;安全體系

路段公司監(jiān)控系統(tǒng)已經(jīng)向集中化、智能化、移動(dòng)化發(fā)展，對(duì)于監(jiān)控系統(tǒng)的訪問途徑和方式方法越來越多，業(yè)務(wù)系統(tǒng)的安全性和數(shù)據(jù)的保密性也就面臨越來越多的不可控性，龐大的監(jiān)控系統(tǒng)網(wǎng)絡(luò)，復(fù)雜的網(wǎng)元及系統(tǒng)，一旦出現(xiàn)問題，沒有辦法快速定位，快速解決。且隨著節(jié)點(diǎn)增多，各應(yīng)用級(jí)的安全防護(hù)只是簡(jiǎn)單的累加，缺乏從全局層面對(duì)網(wǎng)絡(luò)安全做全方位的防護(hù)和動(dòng)態(tài)監(jiān)測(cè)，逐漸使網(wǎng)絡(luò)信息的安全受到潛在威脅，與之相關(guān)的安全事故屢發(fā)，主要表現(xiàn)在邊界安全漏洞、非授權(quán)訪問、冒充合法用戶、干擾系統(tǒng)正常運(yùn)行、惡意攻擊網(wǎng)絡(luò)、利用網(wǎng)絡(luò)傳播病毒、木馬入侵等方面，一旦監(jiān)控系統(tǒng)被互聯(lián)網(wǎng)侵入或者內(nèi)部人員通過非法途徑發(fā)布信息，將會(huì)帶來巨大負(fù)面影響。

1 高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)的意義

傳統(tǒng)的監(jiān)控網(wǎng)絡(luò)安全系統(tǒng)建設(shè)一般跟隨業(yè)務(wù)系統(tǒng)進(jìn)行建設(shè)設(shè)計(jì)，防護(hù)架構(gòu)和安全策略相對(duì)靜態(tài)，無法對(duì)整個(gè)監(jiān)控系統(tǒng)進(jìn)行動(dòng)態(tài)、實(shí)時(shí)的漏洞掃描、威脅感知、策略調(diào)整與安全應(yīng)急響應(yīng)。基于數(shù)據(jù)驅(qū)動(dòng)的高速公路網(wǎng)絡(luò)信息安全防御體系將建立安全風(fēng)險(xiǎn)探知中心，收集安全運(yùn)行流數(shù)據(jù)，測(cè)試記錄、日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、攻擊數(shù)據(jù)，進(jìn)行安全大數(shù)據(jù)的梳理分析;對(duì)操作系統(tǒng)、網(wǎng)絡(luò)端口、基礎(chǔ)軟件環(huán)境（數(shù)據(jù)庫(kù)、中間件等）、業(yè)務(wù)應(yīng)用系統(tǒng)和服務(wù)接口等進(jìn)行漏洞、配置弱點(diǎn)掃描，形成脆弱性探測(cè)報(bào)告，指出安全防護(hù)的薄弱環(huán)節(jié)，提出整改加固方案，完善交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)測(cè)管理平臺(tái);落實(shí)信息安全等級(jí)保護(hù)制度，完善信息數(shù)據(jù)的交互、共享等安全管理措施;深化網(wǎng)絡(luò)安全防護(hù)、態(tài)勢(shì)感知、信息通報(bào)、預(yù)警預(yù)防及應(yīng)急處置能力建設(shè)。

2 高速公路監(jiān)控系統(tǒng)的網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀

目前就廣東省高速公路有限公司所屬各路段公司監(jiān)控網(wǎng)絡(luò)的構(gòu)成來看，主要由集團(tuán)監(jiān)控中心、路段監(jiān)控中心、站級(jí)監(jiān)控組成三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。各路段公司的網(wǎng)絡(luò)采用的是分級(jí)管理的方式，監(jiān)控網(wǎng)絡(luò)基本上是獨(dú)立于其他網(wǎng)絡(luò)，開放部分對(duì)外接口供數(shù)據(jù)傳輸使用（如交警視頻錄像調(diào)度、移動(dòng)端視頻查看、路政車視頻上傳及病毒庫(kù)升級(jí)等業(yè)務(wù)）。

目前監(jiān)控網(wǎng)絡(luò)存在的問題主要有：

（1）路段與集團(tuán)網(wǎng)絡(luò)出入口無防火墻，在網(wǎng)絡(luò)邊界缺乏有效的網(wǎng)絡(luò)防護(hù)措施。

（2）路段監(jiān)控網(wǎng)與辦公網(wǎng)網(wǎng)絡(luò)出入口無防火墻，在網(wǎng)絡(luò)邊界缺乏有效的網(wǎng)絡(luò)防護(hù)措施。

（3）沒有運(yùn)維審計(jì)、日志審計(jì)、網(wǎng)絡(luò)準(zhǔn)入、漏洞掃描系統(tǒng)、應(yīng)急備份及網(wǎng)絡(luò)管理等系統(tǒng)，無法做到對(duì)監(jiān)控系統(tǒng)的安全運(yùn)維、安全統(tǒng)一的管理、日志收集和分析、高危操作的告警審計(jì)和追溯，亦無法對(duì)接入網(wǎng)絡(luò)的設(shè)備進(jìn)行專用的準(zhǔn)入控制和權(quán)限管理，當(dāng)重要系統(tǒng)設(shè)備出現(xiàn)故障時(shí)無法使用應(yīng)急設(shè)備進(jìn)行應(yīng)急切換處理。

（4）情報(bào)板信息發(fā)布顯示屏沒有專門劃分區(qū)域，一旦信息發(fā)布系統(tǒng)被非法侵入或者內(nèi)部人員通過非法途徑發(fā)布信息，將會(huì)帶來巨大負(fù)面影響。

3 高速公路監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全體系建設(shè)

3.1 建設(shè)要求

高速公路監(jiān)控系統(tǒng)的信息安全，關(guān)系著公路交通的安全和通暢，能直接影響到社會(huì)的公共秩序，建議按照信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)，并從技術(shù)和管理層面對(duì)監(jiān)控系統(tǒng)進(jìn)行保障體系建設(shè)。建設(shè)目標(biāo)覆蓋以下內(nèi)容：

完善基礎(chǔ)安全防護(hù)整體架構(gòu)，開展并完成信息系統(tǒng)等保工作。

加強(qiáng)信息安全管理工作，制訂科學(xué)合理的信息安全工作方針、政策，進(jìn)一步完善信息安全管理制度體系，實(shí)現(xiàn)管理制度的標(biāo)準(zhǔn)化、規(guī)范化和流程化。

建立科學(xué)、完備的信息安全運(yùn)維管理體系，實(shí)現(xiàn)信息安全事件的全程全周期管理，切實(shí)保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。

3.2 目標(biāo)

根據(jù)等級(jí)保護(hù)的要求，結(jié)合系統(tǒng)的目前現(xiàn)狀，將安全理論轉(zhuǎn)化為具體安全需求，包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及管理制度等各個(gè)層面的安全需求，再依據(jù)現(xiàn)有比較成熟的安全技術(shù)及產(chǎn)品，將安全需求轉(zhuǎn)化為可以實(shí)現(xiàn)的技術(shù)和管理安全防護(hù)手段，為應(yīng)用全面性、及時(shí)性、準(zhǔn)確性、完整性、保密性、可追溯性等業(yè)務(wù)要求提供安全保障。

3.3 網(wǎng)絡(luò)區(qū)域間隔離控制與安全防護(hù)

3.3.1 監(jiān)控系統(tǒng)邊界安全

路段監(jiān)控與集團(tuán)監(jiān)控之間的邊界安全：路段監(jiān)控與集團(tuán)監(jiān)控間部署帶有入侵防護(hù)功能、病毒防護(hù)功能的防火墻進(jìn)行隔離控制與威脅防護(hù)，防止病毒威脅外延到集團(tuán)監(jiān)控中心或其它路段公司，通過防火墻的黑白名單策略允許指定監(jiān)控系統(tǒng)進(jìn)行數(shù)據(jù)通信，同時(shí)結(jié)合防病毒引擎對(duì)已知未知病毒進(jìn)行過濾防護(hù)，杜絕病毒自動(dòng)傳播。

路段監(jiān)控與站級(jí)監(jiān)控之間的安全：路段監(jiān)控中心與站級(jí)監(jiān)控之間部署安全訪問策略進(jìn)行隔離控制，通過最小權(quán)限訪問控制策略和安全防護(hù)模塊實(shí)現(xiàn)網(wǎng)絡(luò)層攻擊防護(hù)，將攻擊行為控制在指定的區(qū)域防止外延。

路段監(jiān)控與辦公區(qū)域之間的安全：在路段監(jiān)控中心與辦公網(wǎng)之間部署帶有入侵防護(hù)功能、病毒防護(hù)功能的防火墻進(jìn)行隔離控制，防止辦公網(wǎng)安全威脅影響到監(jiān)控網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

信息發(fā)布顯示屏DMZ區(qū)：中心及站級(jí)管理交換機(jī)設(shè)置專用VLAN，將可變情報(bào)板、信息顯示屏及發(fā)布管理端納入DMZ專用區(qū)加強(qiáng)管理，結(jié)合網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)有效防護(hù)。

3.3.2 主要設(shè)備功能如下

邊界防火墻：支持訪問控制，應(yīng)用識(shí)別，防病毒網(wǎng)關(guān)、資產(chǎn)識(shí)別、云管理、入侵防護(hù)、高級(jí)威脅防護(hù)、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、流量監(jiān)控、應(yīng)用管理等安全功能。

堡壘機(jī)--安全運(yùn)維審計(jì)系統(tǒng)：堡壘機(jī)產(chǎn)品通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人->主賬號(hào)（堡壘機(jī)用戶賬號(hào)）->授權(quán)->從賬號(hào)（目標(biāo)設(shè)備賬號(hào)）->目標(biāo)設(shè)備”的管理模式，實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)。

日志審計(jì)系統(tǒng)：可基于主流協(xié)議實(shí)時(shí)采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息，實(shí)現(xiàn)對(duì)各類設(shè)備日志的統(tǒng)一采集、統(tǒng)一存儲(chǔ)、統(tǒng)一審計(jì)等各類日志管理工作。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)：通過統(tǒng)一認(rèn)證的方式規(guī)范路段監(jiān)控中心以及站級(jí)監(jiān)控中心終端接入。避免非授權(quán)用戶或電腦訪問關(guān)鍵業(yè)務(wù)系統(tǒng)，增強(qiáng)監(jiān)控系統(tǒng)保密性同時(shí)避免非授權(quán)用戶對(duì)監(jiān)控系統(tǒng)的惡意破壞。強(qiáng)制入網(wǎng)合規(guī)檢查策略，全面隔離“危險(xiǎn)”終端，并支持安全檢查不合規(guī)隔離后的自動(dòng)修復(fù)及引導(dǎo)修復(fù)管理流程。對(duì)接入監(jiān)控系統(tǒng)的設(shè)備終端及啞終端進(jìn)行安全歸類，控制移動(dòng)介質(zhì)使用和管理。

漏洞掃描系統(tǒng)：根據(jù)需要定期掛接到網(wǎng)絡(luò)中，對(duì)安全設(shè)備、服務(wù)器、硬盤錄像機(jī)、網(wǎng)絡(luò)設(shè)備及終端進(jìn)行掃描，即可發(fā)現(xiàn)安全漏洞，并采取補(bǔ)救措施或者完成整改。

容災(zāi)備份一體機(jī)：具有備份（包括定時(shí)及實(shí)時(shí)）、容災(zāi)（本地和異地）、統(tǒng)一存儲(chǔ)、虛擬化平臺(tái)、虛擬磁帶庫(kù)、數(shù)據(jù)重刪、系統(tǒng)應(yīng)急接管等多功能。

網(wǎng)絡(luò)管理系統(tǒng)：提供存儲(chǔ)管理模塊、攝像頭管理模塊、資產(chǎn)自動(dòng)發(fā)現(xiàn)、服務(wù)端口管理、業(yè)務(wù)系統(tǒng)圖形展示等功能，對(duì)監(jiān)控網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)在線狀態(tài)監(jiān)測(cè)與預(yù)警，監(jiān)測(cè)IT設(shè)備、通信鏈路、應(yīng)用系統(tǒng)是否在線正常，根據(jù)不同類別的信息節(jié)點(diǎn)進(jìn)行特征化檢查，在資源（如CPU、內(nèi)存、磁盤），狀態(tài)（如設(shè)備狀態(tài)、接口流量、丟包率）等多個(gè)維度對(duì)監(jiān)控網(wǎng)相關(guān)系統(tǒng)的狀態(tài)進(jìn)行綜合分析。同時(shí)根據(jù)實(shí)際情況建立監(jiān)控系統(tǒng)可用性及安全性模型，對(duì)監(jiān)控系統(tǒng)的支撐環(huán)境進(jìn)行重點(diǎn)關(guān)聯(lián)檢測(cè)，使整個(gè)信息業(yè)務(wù)鏈可視化，為下一步信息化建設(shè)與運(yùn)維提供決策依據(jù)。

3.4 物理安全

物理安全體系的建設(shè)在技術(shù)層面，應(yīng)采取電子門禁、環(huán)境監(jiān)控、電力冗余等技術(shù)措施，在管理層面，應(yīng)在專業(yè)安全廠商的指導(dǎo)下，制定監(jiān)控機(jī)房維護(hù)管理、出入登記申報(bào)等制度。

3.5 管理制度

根據(jù)系統(tǒng)的實(shí)際情況，在信息安全領(lǐng)導(dǎo)小組的負(fù)責(zé)下，制定和發(fā)布信息安全工作的總體方針、政策、目標(biāo)、范圍、原則和責(zé)任，并定期進(jìn)行評(píng)審和修訂。管理制度方面包括：

（1）制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。

（2）建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程，注重發(fā)布信息顯示屏的發(fā)布審核機(jī)制。

（3）形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。

（4）每年由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。

（5）定期或不定期對(duì)安全管理制度進(jìn)行修訂。

4 結(jié)語

總之，隨著各省高速公路監(jiān)控系統(tǒng)的不斷發(fā)展壯大，網(wǎng)絡(luò)安全問題日趨突出，對(duì)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的要求也越來越高。高速公路監(jiān)控系統(tǒng)管理存在技術(shù)和管理上的不足，會(huì)造成監(jiān)控系統(tǒng)合法用戶被冒充、非授權(quán)訪問、系統(tǒng)正常運(yùn)行被干擾、完整數(shù)據(jù)被破壞、網(wǎng)絡(luò)被惡意攻擊、利用網(wǎng)絡(luò)傳播病毒、發(fā)布惡意信息等給監(jiān)控系統(tǒng)帶來危害的現(xiàn)象。為保證監(jiān)控系統(tǒng)的安全性，各省市高速公路應(yīng)加強(qiáng)監(jiān)控系統(tǒng)安全保障體系的建設(shè)。

參考文獻(xiàn)：

[1]朱鵬飛，孫興煥，曹小峰，等.省域高速公路網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系研究[J].中國(guó)交通信息化，2018（1）：82-85.

[2]吳麗娟.高速公路機(jī)電項(xiàng)目中計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)信息安全管理[J].產(chǎn)業(yè)與科技論壇，2016（16）：248-249.

[3]于雷，韓科.高速公路機(jī)電系統(tǒng)網(wǎng)絡(luò)信息安全探討[J].中國(guó)交通信息產(chǎn)業(yè)，2007（3）：44-45.