收稿日期：2023-05-24

DOI：10.19850/j.cnki.2096-4706.2023.21.025

摘" 要：針對高速公路網(wǎng)絡(luò)安全面臨的問題，在傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制下，面對裸奔訪問公有云服務(wù)等潛在危險(xiǎn)時(shí)顯得無力應(yīng)對，網(wǎng)絡(luò)環(huán)境中用戶、設(shè)備、應(yīng)用以及IT資源之間的連接被暴露在高風(fēng)險(xiǎn)環(huán)境中。傳統(tǒng)網(wǎng)絡(luò)環(huán)境并沒有做到權(quán)限最小化原則，一旦黑客攻入內(nèi)網(wǎng)，或惡意破壞，就可以對內(nèi)網(wǎng)中進(jìn)行大肆攻擊和破壞。零信任架構(gòu)的網(wǎng)絡(luò)安全防護(hù)是以“永不信任，始終驗(yàn)證”原則，提倡以身份為邊界作為權(quán)限管控的基礎(chǔ)。零信任架構(gòu)采用最小特權(quán)訪問策略，嚴(yán)格執(zhí)行訪問控制，提升所有網(wǎng)絡(luò)設(shè)備連接之間的可信關(guān)系，增加了高速公路的網(wǎng)絡(luò)安全保障，解決高速公路上終端設(shè)備、網(wǎng)絡(luò)、控制中心、數(shù)據(jù)云平臺之前的網(wǎng)絡(luò)安全，保證監(jiān)控系統(tǒng)、收費(fèi)系統(tǒng)、通信系統(tǒng)的數(shù)據(jù)及信息安全。

關(guān)鍵詞：零信任架構(gòu)；高速公路；網(wǎng)絡(luò)建設(shè)；網(wǎng)絡(luò)安全

中圖分類號：TP393" 文獻(xiàn)標(biāo)識碼：A" 文章編號：2096-4706（2023）21-0106-05

Research on the Application of Zero Trust Architecture in Expressway Mechanical and Electrical Network Security Management

ZENG Wenbin

（Luda Branch of Guangdong Road and Bridge Construction Development Co.， Ltd.， Meizhou" 514779， China）

Abstract： In response to the problems faced by expressway network security， under traditional network security protection mechanisms， it appears powerless to cope with potential risks such as naked running access to public cloud services. The connections among users， devices， applications and IT resources in the network environment are exposed in high-risk environments. The traditional network environment does not achieve the principle of minimizing permissions. Once hackers break into the internal network or maliciously damage it， they can carry out extensive attacks and destruction on the internal network. The network security protection of zero trust architecture is based on the principle of “never trust， always verify”， advocating the use of identity as the boundary for the basis of permission control. The zero trust architecture adopts the least privilege access strategy， strictly implements access control， improves the trusted relationship among all network equipment connections， increases the network security guarantee of the expressway， solves the network security before the terminal equipment， network， control center and data cloud platform on the expressway， and ensures the data and information security of the monitoring system， toll collection system and communication system.

Keywords： zero trust architecture; expressway; network construction; network security

0" 引" 言

在高速公路的機(jī)電系統(tǒng)運(yùn)營管理中，網(wǎng)絡(luò)安全是一個(gè)非常重要的環(huán)節(jié)，本人從事高速公路技術(shù)開發(fā)及管理近10年，網(wǎng)絡(luò)安全管理一直是技術(shù)管理的重點(diǎn)和難點(diǎn)[1]，我們一直在軟硬件上用了各種網(wǎng)絡(luò)安全的技術(shù)嘗試，并不斷升級優(yōu)化，但對于已在其他行業(yè)應(yīng)用較為成熟的零信任框架未做深入研究和應(yīng)用，本研究從零信任的基本架構(gòu)出發(fā)，結(jié)合高速公路機(jī)電系統(tǒng)中用戶、設(shè)備、應(yīng)用系統(tǒng)等實(shí)際情況，重點(diǎn)研究框架中的訪問主體、控制系統(tǒng)、風(fēng)險(xiǎn)監(jiān)測及評估系統(tǒng)，為零信任架構(gòu)在高速公路機(jī)電系統(tǒng)的網(wǎng)絡(luò)安全管理提供借鑒和參考。

1" 高速公路網(wǎng)絡(luò)安全面臨的問題

1.1" 高速公路網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性方面

截至2022年底，全國高速公路總里程達(dá)17.7萬

千米[2]，高速公路的信息化程度也越來越完善，網(wǎng)絡(luò)結(jié)構(gòu)也迭代升級，設(shè)備功能向網(wǎng)絡(luò)化、智能化轉(zhuǎn)變，近年來，網(wǎng)絡(luò)速度及高速公路信息基礎(chǔ)建設(shè)被列為國家的新基建項(xiàng)目，高速公路物聯(lián)網(wǎng)也得到快速的發(fā)展，同時(shí)高速公路的智能化程度也在快速發(fā)展。因此，高速公路的網(wǎng)絡(luò)安全也變得越來越難，在高速公路機(jī)電系統(tǒng)中，主要包括收費(fèi)網(wǎng)、視頻監(jiān)控網(wǎng)、設(shè)備監(jiān)控網(wǎng)、業(yè)務(wù)數(shù)據(jù)網(wǎng)等信息網(wǎng)絡(luò)，所涵蓋的業(yè)務(wù)場景包括路域、收費(fèi)站、服務(wù)區(qū)、隧道、互通立交、橋梁、ETC門架等，設(shè)備包括攝像機(jī)、路側(cè)設(shè)備、ETC門架設(shè)備、通信設(shè)備、網(wǎng)絡(luò)設(shè)備、工作站、服務(wù)器、工控機(jī)，等等。如此范圍之大的設(shè)備及業(yè)務(wù)需要相應(yīng)的網(wǎng)絡(luò)來支撐，并且逐步上升到云、邊、端的信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，給高速公路網(wǎng)絡(luò)安全防護(hù)帶來極大的挑戰(zhàn)[3，4]。

1.2" 高速公路網(wǎng)絡(luò)體系的完善性方面

我國高速公路與國外的高速公路相比較，雖然起步較晚、但發(fā)展速度較快，高速公路網(wǎng)絡(luò)體系管理模式及網(wǎng)絡(luò)的安全防護(hù)能力還存在較大的差距，相當(dāng)一段時(shí)間，高速公路的網(wǎng)絡(luò)管理模式還處在區(qū)域化、地方化和多元化，缺乏統(tǒng)一、科學(xué)、合理、有效的整體的網(wǎng)絡(luò)安全管理體系；安全防護(hù)方面還處在各自為政傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)水平，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)和規(guī)范對適應(yīng)智能化、物聯(lián)化、數(shù)字化、信息化的需求存在諸多不適應(yīng)性，新的邊緣安全防護(hù)，如物聯(lián)網(wǎng)安全、工控安全防護(hù)的標(biāo)準(zhǔn)及管理規(guī)范有待進(jìn)一步推進(jìn)完善。隨著高速公路走上數(shù)字化、智能化、智慧化的發(fā)展之路，在云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術(shù)對網(wǎng)絡(luò)環(huán)境、用戶隱私的安全攻擊不斷增多，黑客攻擊方式也不斷演進(jìn)，所以高速公路的網(wǎng)絡(luò)安全問題受到更大的關(guān)注和重視，高速公路的網(wǎng)絡(luò)體系急需要進(jìn)行科學(xué)、合理、統(tǒng)一的完善。

1.3" 高速公路網(wǎng)絡(luò)安全的支撐性方面

我國互聯(lián)網(wǎng)高速發(fā)展，也吸引了大量資本的投入，特別是在互聯(lián)網(wǎng)金融行業(yè)、互聯(lián)網(wǎng)電商行業(yè)等平臺型的互聯(lián)網(wǎng)行業(yè)聚集了大量的人才資源，這些金融、電商行業(yè)對網(wǎng)絡(luò)安全要求也特別高，已經(jīng)形成了自身的網(wǎng)絡(luò)安全防范措施。但在交通行業(yè)，由原來傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)過濾到新型的網(wǎng)絡(luò)安全防護(hù)過程中，無論從人力資源、資金投入方面均無法與現(xiàn)在的行業(yè)巨頭相比，在高速公路建設(shè)方面，網(wǎng)絡(luò)安全防護(hù)的組織機(jī)構(gòu)不健全、制度建設(shè)不完善、網(wǎng)絡(luò)安全人才匱乏，資金投入等還存在相當(dāng)大的差距。網(wǎng)絡(luò)安全防護(hù)諸如人才、資金的支撐力度與高速公路未來發(fā)展的智慧高速公路建設(shè)的車路協(xié)同、自動(dòng)駕駛等存在嚴(yán)重不適應(yīng)，如果存在新型的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏，將可能導(dǎo)致不可估量的財(cái)產(chǎn)和生命損失。

2" 零信任架構(gòu)

2.1" 零信任概念

零信任是一種安全模型，基于訪問主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等盡可能多的信任要素對所有用戶進(jìn)行持續(xù)驗(yàn)證和動(dòng)態(tài)授權(quán)。零信任與傳統(tǒng)的安全模型存在很大不同，傳統(tǒng)的安全模型通過“一次驗(yàn)證+靜態(tài)授權(quán)”的方式評估實(shí)體風(fēng)險(xiǎn)，而零信任基于“持續(xù)驗(yàn)證+動(dòng)態(tài)授權(quán)”的模式構(gòu)筑網(wǎng)絡(luò)的安全基石。在默認(rèn)情況下，任何用戶（即使允許進(jìn)入網(wǎng)絡(luò)）都不應(yīng)信任，因?yàn)樗鼈兛赡軙艿綋p害，整個(gè)網(wǎng)絡(luò)中需要標(biāo)識和設(shè)備身份驗(yàn)證，而不僅僅是在邊界進(jìn)行身份驗(yàn)證。零信任在網(wǎng)絡(luò)安全中減少隱式信任，以軟件定義邊界，萬物皆有身份，身份即服務(wù)，身份定義安全[5]。在高速公路的機(jī)電系統(tǒng)網(wǎng)絡(luò)安全管理中，所有場內(nèi)外設(shè)備包括攝像機(jī)、各種感知設(shè)備、網(wǎng)絡(luò)設(shè)備、通信設(shè)備的接入，所有數(shù)據(jù)信息進(jìn)入通信網(wǎng)絡(luò)、所有用戶進(jìn)入系統(tǒng)都要通過“持續(xù)驗(yàn)證+動(dòng)態(tài)授權(quán)”的模式進(jìn)行認(rèn)證。

2.2" 零信任的四項(xiàng)原則

零信任的基本原則包括組織價(jià)值和風(fēng)險(xiǎn)一致原則、護(hù)欄和治理原則、技術(shù)原則和安全控制原則四項(xiàng)，其中組織價(jià)值和風(fēng)險(xiǎn)一致原則，特點(diǎn)是支持工作、目標(biāo)一致和風(fēng)險(xiǎn)一致，該原則是從整體戰(zhàn)略驅(qū)動(dòng)實(shí)現(xiàn)業(yè)務(wù)、IT和安全相關(guān)利益者的關(guān)鍵目標(biāo)；護(hù)欄和治理原則，特點(diǎn)是人員指導(dǎo)、降低風(fēng)險(xiǎn)和復(fù)雜度、一致性和自動(dòng)化、全生命周期的安全性，該原則是解決合規(guī)、風(fēng)險(xiǎn)和信息安全相關(guān)利益者的問題，以指導(dǎo)零信任的采用，并確保其可持續(xù)性和可解決性，該原則有助于將業(yè)務(wù)目標(biāo)和技術(shù)現(xiàn)實(shí)結(jié)合起來；技術(shù)原則，特點(diǎn)是以資產(chǎn)為中心的安全，最小權(quán)限，該原則涉及IT組織、信息安全、風(fēng)險(xiǎn)和合規(guī)的相關(guān)利益者，并為零信任開發(fā)提供技術(shù)決策參考，包括如何解決與身份、訪問和減少威脅表面積相關(guān)的問題；安全控制原則，特點(diǎn)是簡單且普適和顯式信任驗(yàn)證，該原則是解決如何確保安全和IT架構(gòu)中機(jī)密性、完整性和可用性的問題。

2.3" 零信任的四個(gè)特點(diǎn)

零信任的特點(diǎn)包括持續(xù)身份認(rèn)證、以身份為中心、動(dòng)態(tài)訪問控制和智能身份分析四個(gè)特點(diǎn)，分別是持續(xù)身份認(rèn)證即通過持續(xù)誰進(jìn)行信任評估，即便是應(yīng)用多因子高強(qiáng)度認(rèn)證，也無法確保身份的持續(xù)合法性；以身份為中心即身份是零信任實(shí)現(xiàn)的基礎(chǔ)，本質(zhì)是以身份作為態(tài)訪問控制的依據(jù)，抽象用戶、設(shè)備、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等物理實(shí)體作為對象，使其身份化，即對其統(tǒng)一的數(shù)字身份標(biāo)識和治理流程，為構(gòu)筑動(dòng)態(tài)訪問控制體系建立基礎(chǔ)條件，這樣對安全邊界的定義范圍可擴(kuò)展到所有實(shí)體；動(dòng)態(tài)訪問控制即通過對實(shí)體的信任度、環(huán)境的風(fēng)險(xiǎn)度進(jìn)行持續(xù)監(jiān)測并動(dòng)態(tài)判定是否授權(quán)，其思想就是一種微觀判定的一套算法邏輯；智能身份分析即為了提高分析的智能化、自動(dòng)化，克服持續(xù)認(rèn)證及動(dòng)態(tài)訪問控制給服務(wù)器帶來的資源占用而引入的一種算法處理，才能使零信任架構(gòu)在實(shí)際應(yīng)用中得到廣泛使用。

3" 零信任架構(gòu)設(shè)計(jì)

傳統(tǒng)的高速公路網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要從外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)兩個(gè)部分，這種組網(wǎng)方式容易遭到網(wǎng)絡(luò)攻擊，該拓?fù)渚W(wǎng)絡(luò)將存在巨大的網(wǎng)絡(luò)安全威脅，內(nèi)部網(wǎng)絡(luò)通常采取防火墻和DMZ邊界劃分法，是基于邊界和安全而網(wǎng)絡(luò)橫向攻擊并不帶防護(hù)，一次授權(quán)，持續(xù)使用?；诹阈湃伟踩軜?gòu)的網(wǎng)絡(luò)則采用“永不信任，始終驗(yàn)證”的原則，即無論身處外網(wǎng)還是內(nèi)網(wǎng)都不信任，網(wǎng)絡(luò)最小分段，訪問權(quán)限最小化，以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估和動(dòng)態(tài)訪問控制的關(guān)鍵功能；運(yùn)用軟件定義邊界、規(guī)避TCP/IP缺陷、互聯(lián)網(wǎng)資產(chǎn)隱藏、抵御DDOS、APT、木馬、蠕蟲、OWAP等各種風(fēng)險(xiǎn)[6]。零信任架構(gòu)主要包括軟件定義邊界、身份基礎(chǔ)設(shè)施和微分段三個(gè)模塊。零信任框架示意圖如圖1所示。

3.1" 軟件定義邊界模塊

軟件定義邊界（SDP）模塊是一套開放式的技術(shù)架構(gòu)，邊界定義為動(dòng)態(tài)防火墻、單包授權(quán)認(rèn)證和數(shù)據(jù)安全。動(dòng)態(tài)防火墻采用防火墻動(dòng)態(tài)策略，按不同連接端自動(dòng)控制端口的開合；單包授權(quán)認(rèn)證采用網(wǎng)絡(luò)連接建立握手階段進(jìn)行驗(yàn)證，無法認(rèn)證的拒絕建立連接；數(shù)據(jù)安全是基于高強(qiáng)度加密算法，網(wǎng)絡(luò)通信數(shù)據(jù)全鏈路加密。

3.2" 身份基礎(chǔ)設(shè)施模塊

身份基礎(chǔ)設(shè)施模塊包括身份協(xié)議和持續(xù)信任評估兩個(gè)子模塊。

身份協(xié)議子模塊從身份協(xié)議棧自上而下分別是單點(diǎn)登錄、身份聯(lián)合、身份鑒別和用戶管理。其中單點(diǎn)登錄包含OAuth2、JWT、CAS、OIDC、SAML協(xié)議；身份聯(lián)合包含SAML和OIDC協(xié)議；身份鑒別包含靜態(tài)密碼、多重身份驗(yàn)證（MFAamp;FIDO）、基于風(fēng)險(xiǎn)的認(rèn)證；用戶管理包括用戶的崗位變動(dòng)及權(quán)限策略進(jìn)行有效管理。

持續(xù)信任評估子模塊主要從風(fēng)險(xiǎn)、信任、自適應(yīng)、持續(xù)四個(gè)因素進(jìn)行評估。風(fēng)險(xiǎn)因素是判斷網(wǎng)絡(luò)中存在的攻擊、漏洞、違規(guī)、越權(quán)、威脅和異常等進(jìn)行評估；信任是判斷識別身份，進(jìn)行授權(quán)、認(rèn)證、訪問等控制進(jìn)行評估；自適應(yīng)是通過算法模型動(dòng)態(tài)調(diào)整風(fēng)險(xiǎn)判斷，通過智能多因素進(jìn)行身份憑據(jù)校驗(yàn)，綜合研判、動(dòng)態(tài)賦權(quán)、自動(dòng)變更訪問控制權(quán)限；持續(xù)是對風(fēng)險(xiǎn)和信任進(jìn)行持續(xù)不斷研判的過程，通過AI機(jī)器學(xué)習(xí)進(jìn)行算法模型迭代更新。

3.3" 微分段模塊

微分段模塊主要從用戶、粗粒度、細(xì)粒度和應(yīng)用進(jìn)行分段。其中用戶分段如群組、用戶、權(quán)限等；粗粒度分段如地埋、環(huán)境、區(qū)域等；細(xì)粒度如IP/端口協(xié)議、進(jìn)程、窗口等；應(yīng)用分段如應(yīng)用、應(yīng)用組、工作負(fù)載等。

4" 高速公路零信任設(shè)計(jì)要點(diǎn)

4.1" 訪問主體驗(yàn)證系統(tǒng)設(shè)計(jì)

高速公路接入網(wǎng)絡(luò)的訪問主體中，包含使用人員（監(jiān)控人員、養(yǎng)護(hù)人員、監(jiān)管人員等）、各種設(shè)備（攝像機(jī)、傳感器、情報(bào)板、雷達(dá)、路側(cè)設(shè)備等監(jiān)控設(shè)備；網(wǎng)關(guān)、調(diào)制解調(diào)器、路由器、交換機(jī)、集線器、信號放大器、基站等通信設(shè)備及網(wǎng)絡(luò)設(shè)備，門架設(shè)備、車輛識別設(shè)備、車輛控制設(shè)備、讀卡器、ETC設(shè)備等收費(fèi)設(shè)備）、業(yè)務(wù)系統(tǒng)（監(jiān)控系統(tǒng)、收費(fèi)系統(tǒng)等）、業(yè)務(wù)應(yīng)用（設(shè)備狀態(tài)檢測、隧道監(jiān)控、火災(zāi)報(bào)警、事件檢測、緊急通話等），所有需要接入網(wǎng)絡(luò)的主體需要先進(jìn)行驗(yàn)證，以設(shè)備接入為例，需要經(jīng)過以下驗(yàn)證步驟。

4.1.1" 貼標(biāo)簽

在高速公路零信任架構(gòu)中，首先需要以證書的形式對各種設(shè)備進(jìn)行貼上標(biāo)簽，標(biāo)簽內(nèi)容包括設(shè)備的IP地址、編號、設(shè)備種類、品牌、廠商、接口類型、操作系統(tǒng)、風(fēng)險(xiǎn)內(nèi)容等屬性。

4.1.2" 身份識別

身份識別是零信任架構(gòu)在高速公路機(jī)電系統(tǒng)網(wǎng)絡(luò)安全中的重要環(huán)節(jié)，貼完標(biāo)簽后的設(shè)備接入網(wǎng)絡(luò)時(shí)，根據(jù)注冊登記規(guī)則，在控制系統(tǒng)中通過多因素身份驗(yàn)證（Multi-Factor Authentication， MFA）方法，對設(shè)備標(biāo)識（如MAC地址或IMEI號碼）等方式進(jìn)行驗(yàn)證。只有通過身份驗(yàn)證才能確認(rèn)為受信任的設(shè)備，只有受信任的設(shè)備才能夠訪問系統(tǒng)資源。

4.1.3" 動(dòng)態(tài)監(jiān)測

在高速公路零信任架構(gòu)中，建立分析引擎模型，對接入網(wǎng)絡(luò)的各種設(shè)備進(jìn)行動(dòng)態(tài)威脅監(jiān)測，通過模型訓(xùn)練、深度學(xué)習(xí)等技術(shù)手段，快速發(fā)現(xiàn)存在網(wǎng)絡(luò)安全威脅的設(shè)備及數(shù)據(jù)，保證接入網(wǎng)絡(luò)設(shè)備可信任。

4.1.4" 安全確認(rèn)

安全確認(rèn)是零信任架構(gòu)中的重要步驟，可以根據(jù)相關(guān)的法律法規(guī)、安全技術(shù)標(biāo)準(zhǔn)、行業(yè)網(wǎng)絡(luò)安全管理規(guī)范等建立安全評估模型，對評估安全的設(shè)備才可接入到高速公路的各級網(wǎng)絡(luò)中。

4.1.5" 頒發(fā)證書

設(shè)備接入時(shí)會向證書管理中發(fā)出證書申請（Certificate Signing Request， CSR），證書管理中心級設(shè)備頒發(fā)證書，獲得證書的設(shè)備相當(dāng)于拿到了接入網(wǎng)絡(luò)的通行證。

在實(shí)際的項(xiàng)目實(shí)施中，所的接入主體包括設(shè)備、使用人員、接入軟件等都要經(jīng)過以上的層層認(rèn)證，并且要?jiǎng)討B(tài)監(jiān)測，反復(fù)驗(yàn)證，始終對接入主體保持“不信任”的驗(yàn)證方式。

在實(shí)際應(yīng)用中，監(jiān)控設(shè)備只能訪問監(jiān)控子系統(tǒng)、收費(fèi)設(shè)備只能就訪問收費(fèi)子系統(tǒng)、視頻存儲和維護(hù)系統(tǒng)只能視頻播放器用戶使用，使用多重組合權(quán)限可以有效地降低機(jī)電系統(tǒng)各個(gè)子系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。訪問主體驗(yàn)證系統(tǒng)流程如圖2所示。

4.2" 安全訪問控制器系統(tǒng)設(shè)計(jì)

高速公路網(wǎng)絡(luò)安全訪問控制器本質(zhì)是一個(gè)綜合的調(diào)度中心，其功能組件由多因素身份控制、動(dòng)態(tài)訪問控制、微分級別授權(quán)、網(wǎng)絡(luò)隔離和分割、實(shí)時(shí)威脅分析等組成?？刂破饕罁?jù)各組件之間的相互協(xié)調(diào)合作關(guān)系，對接入對象進(jìn)行身份管理、認(rèn)證授權(quán)管理、訪問評估控制、網(wǎng)絡(luò)隔離分割等管理，負(fù)責(zé)管理各種設(shè)備、各類訪問人員、各種應(yīng)用軟件與路段專屬網(wǎng)絡(luò)資源的連接和斷開，通過網(wǎng)關(guān)將控制命令字生成標(biāo)識或證書，智能分析引擎對配置文件、環(huán)境、終端等訪問行為動(dòng)態(tài)信任評估決定是否允許或拒絕會話。如果驗(yàn)證通過，控制器允許代理訪問，拒絕則發(fā)出斷開指令由網(wǎng)管斷開連接。高速公路零信任架構(gòu)控制器組件圖如圖3所示。

4.2.1" 多因素身份驗(yàn)證

對于接入高速公路運(yùn)營網(wǎng)絡(luò)系統(tǒng)的各種機(jī)電設(shè)備、各類操作人員及各類應(yīng)用程序均需要結(jié)合實(shí)際業(yè)務(wù)需要，應(yīng)用多重密碼口令、令牌或者指紋、人臉、聲音等生物識別手段，通過多因素身份驗(yàn)證（Multi-Factor Authentication， MFA）方式，嚴(yán)格把控接入網(wǎng)絡(luò)的各主體的身份，只有通過身份驗(yàn)證的主體才能接入網(wǎng)絡(luò)。

4.2.2" 動(dòng)態(tài)訪問控制（Dynamic Access Control）

根據(jù)高速公路段管理的實(shí)行業(yè)務(wù)情況，構(gòu)建網(wǎng)絡(luò)安全的動(dòng)態(tài)控制模型，模型包括用戶身份、機(jī)電設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境等要素，通過對模型進(jìn)行反復(fù)驗(yàn)證，得到最優(yōu)的動(dòng)態(tài)控制模型。當(dāng)有用戶或設(shè)備接入網(wǎng)絡(luò)時(shí)，控制器根據(jù)預(yù)先設(shè)定的模型規(guī)則，對訪問對象進(jìn)行動(dòng)態(tài)控制，確保只有安全的訪問對象才能訪問特定的網(wǎng)絡(luò)資源；

4.2.3" 微分級別授權(quán)（Granular Authorization）

在高速公路的實(shí)際運(yùn)營管理中，存在監(jiān)控系統(tǒng)、收費(fèi)系統(tǒng)、運(yùn)維系統(tǒng)等運(yùn)營管理平臺，每個(gè)平臺又有不同級別的用戶角色 ，控制器應(yīng)該支持細(xì)粒度的授權(quán)策略，對于管理決策人員、監(jiān)控人員、運(yùn)維人員進(jìn)行不同級別的授權(quán)，對于一些收費(fèi)等敏感數(shù)據(jù)，嚴(yán)格控制用戶權(quán)限，確保不同級別的用戶只能訪問他們需要的資源而不會超越其權(quán)限范圍。

4.2.4" 網(wǎng)絡(luò)隔離和分割（Network Segmentation）

在高速公路網(wǎng)絡(luò)安全設(shè)計(jì)時(shí)，控制器需對不同網(wǎng)絡(luò)進(jìn)行隔離和分割 ，根據(jù)高速公路路段的實(shí)際業(yè)務(wù)需要，對收費(fèi)網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)、運(yùn)維網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)以及不同接入對象進(jìn)行隔離和分割，以確保收費(fèi)數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)、運(yùn)維數(shù)據(jù)以及不同級別的用戶、設(shè)備之相互隔離，減少網(wǎng)絡(luò)內(nèi)部的攻擊風(fēng)險(xiǎn)，并提高整個(gè)高速公路網(wǎng)絡(luò)安全。

4.2.5" 實(shí)時(shí)威脅分析（Real-time Threat Analysis）

控制器除了是調(diào)度中心，同時(shí)也是網(wǎng)絡(luò)安全的監(jiān)督中心，能夠?qū)崟r(shí)監(jiān)測和分析網(wǎng)絡(luò)內(nèi)的潛在風(fēng)險(xiǎn)，實(shí)時(shí)監(jiān)測數(shù)據(jù)流量、用戶行為和設(shè)備狀態(tài)，當(dāng)網(wǎng)絡(luò)內(nèi)出現(xiàn)數(shù)據(jù)流量、用戶行為或者機(jī)電設(shè)備狀態(tài)異常時(shí)，能夠及時(shí)檢測到并發(fā)出預(yù)警信號。

4.3" 動(dòng)態(tài)監(jiān)測與安全評估系統(tǒng)設(shè)計(jì)

高速公路動(dòng)態(tài)監(jiān)測與安全評估系統(tǒng)是指運(yùn)用各類網(wǎng)絡(luò)安全數(shù)據(jù)對所有通過系統(tǒng)的設(shè)備或用戶進(jìn)行動(dòng)態(tài)的監(jiān)測評估，對評估結(jié)果進(jìn)行判斷是否向該設(shè)備或用戶發(fā)送網(wǎng)絡(luò)訪問權(quán)限。高速公路的各類網(wǎng)絡(luò)安全數(shù)據(jù)主要來自三個(gè)方面，一方面是傳統(tǒng)安全監(jiān)測數(shù)據(jù)，即流量監(jiān)測、入侵檢測和漏洞掃描等；另一方面是系統(tǒng)運(yùn)行數(shù)據(jù)，即系統(tǒng)審計(jì)和運(yùn)行狀態(tài)等；第三是威脅報(bào)警數(shù)據(jù)，即攻擊報(bào)警、漏洞報(bào)警等。對接入過系統(tǒng)的設(shè)備和用戶與網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行匹配，并根據(jù)匹配結(jié)果進(jìn)行動(dòng)態(tài)安全監(jiān)測評估，以此來判斷是否允許網(wǎng)絡(luò)訪問，將設(shè)備和用戶作為動(dòng)態(tài)安全監(jiān)測和評估的對象，當(dāng)監(jiān)測到接入設(shè)備存在漏洞報(bào)警時(shí)，可以判斷是否有異常設(shè)備接入網(wǎng)絡(luò)。動(dòng)態(tài)監(jiān)測與安全評估系統(tǒng)能夠?qū)崟r(shí)動(dòng)態(tài)地判斷接入設(shè)備或用戶是否存在安全與威脅，并對接入網(wǎng)絡(luò)的設(shè)備或用戶做出訪問網(wǎng)絡(luò)的權(quán)限。

高速公路零信任架構(gòu)模型核心組件，如圖4所示。

5" 結(jié)" 論

近年來，隨著國家高速公路及信息化的快速發(fā)展，高速公路智慧化程度越來越高，作為網(wǎng)絡(luò)安全一種開放式框架之一，特別是在“云、邊、端”互聯(lián)網(wǎng)環(huán)境下，“零信任”網(wǎng)絡(luò)安全框架在網(wǎng)絡(luò)安全需求方面與傳統(tǒng)網(wǎng)絡(luò)安全模式下的安全保護(hù)和管理模式有著顯著的增強(qiáng)。長期以來，零信任網(wǎng)絡(luò)安全防護(hù)以“永不信任，始終驗(yàn)證”的原則，以身份為邊界作為權(quán)限管控的基礎(chǔ)，采用最小特權(quán)的訪問策略執(zhí)行訪問控制，大大提升所有網(wǎng)絡(luò)設(shè)備連接之間的可信關(guān)系，增加高速公路網(wǎng)絡(luò)的安全保障。本研究從高速公路網(wǎng)絡(luò)安全存在的問題出發(fā)，梳理了零信任架構(gòu)的原則和特點(diǎn)以及各個(gè)模塊的設(shè)計(jì)方法，重點(diǎn)對零信任架構(gòu)在高速公路行業(yè)應(yīng)用的設(shè)計(jì)要點(diǎn)進(jìn)行研究，為高速公路機(jī)電系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)提供參考。但對于零信任架構(gòu)的運(yùn)營成本、網(wǎng)絡(luò)運(yùn)行穩(wěn)定性等方面沒有做深入研究和驗(yàn)證，有待于進(jìn)一步研究和在應(yīng)用中不斷驗(yàn)證。

參考文獻(xiàn)：

[1] 高楊.交通運(yùn)輸部：我國高速公路總里程達(dá)17.7萬公里 [EB/OL].央廣網(wǎng)（2023-02-23）.https：//news.cnr.cn/dj/20230223/

t20230223_526162725.shtml.

[2] 原曉偉.高速公路智能化與信息化管理探究 [J].信息通信，2019（1）：291-292.

[3] 宋杰，李文虎.高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析與建設(shè)思路探討 [J].公路交通科技，2018（5）：142-144.

[4] 褚有才.高速公路網(wǎng)絡(luò)安全面臨的問題及思考 [J].中國交通信息化，2022（11）：152-154.

[5] 吳興勇.什么是零信任？為什么零信任很重要.（2022-09-30）.https：//info.support.huawei.com/info-finder/encyclopedia/zh/%E9%9B%B6%E4%BF%A1%E4%BB%BB.html.

[6] 王文菁，李樹遠(yuǎn).基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)研究 [J].通信電源技術(shù)，2021，38（21）：10-12.

作者簡介：曾文斌（1983.06—），男，漢族，廣東揭陽人，交通工程工程師，本科，研究方向：智能交通。