陳曉彤
摘 要:高速公路監(jiān)控系統(tǒng)的網(wǎng)絡安全,關系著公路交通的安全和通暢以及高效,能直接影響到社會的公共秩序和人民的公共利益,需要實行重點保護。同時,可以進一步普及、推動、完善系統(tǒng)的標準化、規(guī)范化工作,達到信息系統(tǒng)等級保護的要求,對我國的高速公路發(fā)展具有深刻的意義。鑒于此,本文主要分析高速公路監(jiān)控系統(tǒng)網(wǎng)絡信息安全體系建設探討。
關鍵詞:高速公路;監(jiān)控系統(tǒng);網(wǎng)絡信息;安全體系
路段公司監(jiān)控系統(tǒng)已經(jīng)向集中化、智能化、移動化發(fā)展,對于監(jiān)控系統(tǒng)的訪問途徑和方式方法越來越多,業(yè)務系統(tǒng)的安全性和數(shù)據(jù)的保密性也就面臨越來越多的不可控性,龐大的監(jiān)控系統(tǒng)網(wǎng)絡,復雜的網(wǎng)元及系統(tǒng),一旦出現(xiàn)問題,沒有辦法快速定位,快速解決。且隨著節(jié)點增多,各應用級的安全防護只是簡單的累加,缺乏從全局層面對網(wǎng)絡安全做全方位的防護和動態(tài)監(jiān)測,逐漸使網(wǎng)絡信息的安全受到潛在威脅,與之相關的安全事故屢發(fā),主要表現(xiàn)在邊界安全漏洞、非授權訪問、冒充合法用戶、干擾系統(tǒng)正常運行、惡意攻擊網(wǎng)絡、利用網(wǎng)絡傳播病毒、木馬入侵等方面,一旦監(jiān)控系統(tǒng)被互聯(lián)網(wǎng)侵入或者內(nèi)部人員通過非法途徑發(fā)布信息,將會帶來巨大負面影響。
1 高速公路監(jiān)控系統(tǒng)網(wǎng)絡安全體系建設的意義
傳統(tǒng)的監(jiān)控網(wǎng)絡安全系統(tǒng)建設一般跟隨業(yè)務系統(tǒng)進行建設設計,防護架構和安全策略相對靜態(tài),無法對整個監(jiān)控系統(tǒng)進行動態(tài)、實時的漏洞掃描、威脅感知、策略調(diào)整與安全應急響應?;跀?shù)據(jù)驅(qū)動的高速公路網(wǎng)絡信息安全防御體系將建立安全風險探知中心,收集安全運行流數(shù)據(jù),測試記錄、日志數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)、攻擊數(shù)據(jù),進行安全大數(shù)據(jù)的梳理分析;對操作系統(tǒng)、網(wǎng)絡端口、基礎軟件環(huán)境(數(shù)據(jù)庫、中間件等)、業(yè)務應用系統(tǒng)和服務接口等進行漏洞、配置弱點掃描,形成脆弱性探測報告,指出安全防護的薄弱環(huán)節(jié),提出整改加固方案,完善交通運輸行業(yè)網(wǎng)絡與信息安全監(jiān)測管理平臺;落實信息安全等級保護制度,完善信息數(shù)據(jù)的交互、共享等安全管理措施;深化網(wǎng)絡安全防護、態(tài)勢感知、信息通報、預警預防及應急處置能力建設。
2 高速公路監(jiān)控系統(tǒng)的網(wǎng)絡拓撲現(xiàn)狀
目前就廣東省高速公路有限公司所屬各路段公司監(jiān)控網(wǎng)絡的構成來看,主要由集團監(jiān)控中心、路段監(jiān)控中心、站級監(jiān)控組成三級網(wǎng)絡結(jié)構。各路段公司的網(wǎng)絡采用的是分級管理的方式,監(jiān)控網(wǎng)絡基本上是獨立于其他網(wǎng)絡,開放部分對外接口供數(shù)據(jù)傳輸使用(如交警視頻錄像調(diào)度、移動端視頻查看、路政車視頻上傳及病毒庫升級等業(yè)務)。
目前監(jiān)控網(wǎng)絡存在的問題主要有:
(1)路段與集團網(wǎng)絡出入口無防火墻,在網(wǎng)絡邊界缺乏有效的網(wǎng)絡防護措施。
(2)路段監(jiān)控網(wǎng)與辦公網(wǎng)網(wǎng)絡出入口無防火墻,在網(wǎng)絡邊界缺乏有效的網(wǎng)絡防護措施。
(3)沒有運維審計、日志審計、網(wǎng)絡準入、漏洞掃描系統(tǒng)、應急備份及網(wǎng)絡管理等系統(tǒng),無法做到對監(jiān)控系統(tǒng)的安全運維、安全統(tǒng)一的管理、日志收集和分析、高危操作的告警審計和追溯,亦無法對接入網(wǎng)絡的設備進行專用的準入控制和權限管理,當重要系統(tǒng)設備出現(xiàn)故障時無法使用應急設備進行應急切換處理。
(4)情報板信息發(fā)布顯示屏沒有專門劃分區(qū)域,一旦信息發(fā)布系統(tǒng)被非法侵入或者內(nèi)部人員通過非法途徑發(fā)布信息,將會帶來巨大負面影響。
3 高速公路監(jiān)控系統(tǒng)網(wǎng)絡信息安全體系建設
3.1 建設要求
高速公路監(jiān)控系統(tǒng)的信息安全,關系著公路交通的安全和通暢,能直接影響到社會的公共秩序,建議按照信息安全等級保護二級標準,并從技術和管理層面對監(jiān)控系統(tǒng)進行保障體系建設。建設目標覆蓋以下內(nèi)容:
完善基礎安全防護整體架構,開展并完成信息系統(tǒng)等保工作。
加強信息安全管理工作,制訂科學合理的信息安全工作方針、政策,進一步完善信息安全管理制度體系,實現(xiàn)管理制度的標準化、規(guī)范化和流程化。
建立科學、完備的信息安全運維管理體系,實現(xiàn)信息安全事件的全程全周期管理,切實保障信息系統(tǒng)安全、穩(wěn)定運行。
3.2 目標
根據(jù)等級保護的要求,結(jié)合系統(tǒng)的目前現(xiàn)狀,將安全理論轉(zhuǎn)化為具體安全需求,包括網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全以及管理制度等各個層面的安全需求,再依據(jù)現(xiàn)有比較成熟的安全技術及產(chǎn)品,將安全需求轉(zhuǎn)化為可以實現(xiàn)的技術和管理安全防護手段,為應用全面性、及時性、準確性、完整性、保密性、可追溯性等業(yè)務要求提供安全保障。
3.3 網(wǎng)絡區(qū)域間隔離控制與安全防護
3.3.1 監(jiān)控系統(tǒng)邊界安全
路段監(jiān)控與集團監(jiān)控之間的邊界安全:路段監(jiān)控與集團監(jiān)控間部署帶有入侵防護功能、病毒防護功能的防火墻進行隔離控制與威脅防護,防止病毒威脅外延到集團監(jiān)控中心或其它路段公司,通過防火墻的黑白名單策略允許指定監(jiān)控系統(tǒng)進行數(shù)據(jù)通信,同時結(jié)合防病毒引擎對已知未知病毒進行過濾防護,杜絕病毒自動傳播。
路段監(jiān)控與站級監(jiān)控之間的安全:路段監(jiān)控中心與站級監(jiān)控之間部署安全訪問策略進行隔離控制,通過最小權限訪問控制策略和安全防護模塊實現(xiàn)網(wǎng)絡層攻擊防護,將攻擊行為控制在指定的區(qū)域防止外延。
路段監(jiān)控與辦公區(qū)域之間的安全:在路段監(jiān)控中心與辦公網(wǎng)之間部署帶有入侵防護功能、病毒防護功能的防火墻進行隔離控制,防止辦公網(wǎng)安全威脅影響到監(jiān)控網(wǎng)絡系統(tǒng)正常運行。
信息發(fā)布顯示屏DMZ區(qū):中心及站級管理交換機設置專用VLAN,將可變情報板、信息顯示屏及發(fā)布管理端納入DMZ專用區(qū)加強管理,結(jié)合網(wǎng)絡準入系統(tǒng)有效防護。
3.3.2 主要設備功能如下
邊界防火墻:支持訪問控制,應用識別,防病毒網(wǎng)關、資產(chǎn)識別、云管理、入侵防護、高級威脅防護、僵尸網(wǎng)絡發(fā)現(xiàn)、流量監(jiān)控、應用管理等安全功能。
堡壘機--安全運維審計系統(tǒng):堡壘機產(chǎn)品通過邏輯上將人與目標設備分離,建立“人->主賬號(堡壘機用戶賬號)->授權->從賬號(目標設備賬號)->目標設備”的管理模式,實現(xiàn)集中精細化運維操作管控與審計。
日志審計系統(tǒng):可基于主流協(xié)議實時采集不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)以及各種應用系統(tǒng)產(chǎn)生的日志信息,實現(xiàn)對各類設備日志的統(tǒng)一采集、統(tǒng)一存儲、統(tǒng)一審計等各類日志管理工作。
網(wǎng)絡準入系統(tǒng):通過統(tǒng)一認證的方式規(guī)范路段監(jiān)控中心以及站級監(jiān)控中心終端接入。避免非授權用戶或電腦訪問關鍵業(yè)務系統(tǒng),增強監(jiān)控系統(tǒng)保密性同時避免非授權用戶對監(jiān)控系統(tǒng)的惡意破壞。強制入網(wǎng)合規(guī)檢查策略,全面隔離“危險”終端,并支持安全檢查不合規(guī)隔離后的自動修復及引導修復管理流程。對接入監(jiān)控系統(tǒng)的設備終端及啞終端進行安全歸類,控制移動介質(zhì)使用和管理。
漏洞掃描系統(tǒng):根據(jù)需要定期掛接到網(wǎng)絡中,對安全設備、服務器、硬盤錄像機、網(wǎng)絡設備及終端進行掃描,即可發(fā)現(xiàn)安全漏洞,并采取補救措施或者完成整改。
容災備份一體機:具有備份(包括定時及實時)、容災(本地和異地)、統(tǒng)一存儲、虛擬化平臺、虛擬磁帶庫、數(shù)據(jù)重刪、系統(tǒng)應急接管等多功能。
網(wǎng)絡管理系統(tǒng):提供存儲管理模塊、攝像頭管理模塊、資產(chǎn)自動發(fā)現(xiàn)、服務端口管理、業(yè)務系統(tǒng)圖形展示等功能,對監(jiān)控網(wǎng)絡進行實時在線狀態(tài)監(jiān)測與預警,監(jiān)測IT設備、通信鏈路、應用系統(tǒng)是否在線正常,根據(jù)不同類別的信息節(jié)點進行特征化檢查,在資源(如CPU、內(nèi)存、磁盤),狀態(tài)(如設備狀態(tài)、接口流量、丟包率)等多個維度對監(jiān)控網(wǎng)相關系統(tǒng)的狀態(tài)進行綜合分析。同時根據(jù)實際情況建立監(jiān)控系統(tǒng)可用性及安全性模型,對監(jiān)控系統(tǒng)的支撐環(huán)境進行重點關聯(lián)檢測,使整個信息業(yè)務鏈可視化,為下一步信息化建設與運維提供決策依據(jù)。
3.4 物理安全
物理安全體系的建設在技術層面,應采取電子門禁、環(huán)境監(jiān)控、電力冗余等技術措施,在管理層面,應在專業(yè)安全廠商的指導下,制定監(jiān)控機房維護管理、出入登記申報等制度。
3.5 管理制度
根據(jù)系統(tǒng)的實際情況,在信息安全領導小組的負責下,制定和發(fā)布信息安全工作的總體方針、政策、目標、范圍、原則和責任,并定期進行評審和修訂。管理制度方面包括:
(1)制定信息安全工作的總體方針和安全策略,說明機構安全工作的總體目標、范圍、原則和安全框架等。
(2)建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程,注重發(fā)布信息顯示屏的發(fā)布審核機制。
(3)形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。
(4)每年由信息安全領導小組負責對安全管理制度體系的合理性和適用性進行審定。
(5)定期或不定期對安全管理制度進行修訂。
4 結(jié)語
總之,隨著各省高速公路監(jiān)控系統(tǒng)的不斷發(fā)展壯大,網(wǎng)絡安全問題日趨突出,對監(jiān)控系統(tǒng)網(wǎng)絡安全的要求也越來越高。高速公路監(jiān)控系統(tǒng)管理存在技術和管理上的不足,會造成監(jiān)控系統(tǒng)合法用戶被冒充、非授權訪問、系統(tǒng)正常運行被干擾、完整數(shù)據(jù)被破壞、網(wǎng)絡被惡意攻擊、利用網(wǎng)絡傳播病毒、發(fā)布惡意信息等給監(jiān)控系統(tǒng)帶來危害的現(xiàn)象。為保證監(jiān)控系統(tǒng)的安全性,各省市高速公路應加強監(jiān)控系統(tǒng)安全保障體系的建設。
參考文獻:
[1]朱鵬飛,孫興煥,曹小峰,等.省域高速公路網(wǎng)絡信息安全動態(tài)防御體系研究[J].中國交通信息化,2018(1):82-85.
[2]吳麗娟.高速公路機電項目中計算機系統(tǒng)的網(wǎng)絡信息安全管理[J].產(chǎn)業(yè)與科技論壇,2016(16):248-249.
[3]于雷,韓科.高速公路機電系統(tǒng)網(wǎng)絡信息安全探討[J].中國交通信息產(chǎn)業(yè),2007(3):44-45.