小議高速公路信息系統的安全問題

摘 要:隨著山東省高速公路路網建設的迅猛發展，并由原來的人工收費發展到了全省聯網收費，收費信息網絡越來越龐大，信息系統的安全性和數據的保密性變得越來越重要。本文針對高速公路聯網收費系統信息的安全問題，提出了多種解決方案。

關鍵詞:高速公路信息系統安全

中圖分類號:TP39文獻標識碼:A文章編號:1674-098X(2011)08(c)-0087-01

1 前言

隨著山東省高速公路路網建設的迅猛發展，并由原來的人工收費發展到了全省聯網收費，我省的高速公路信息系統網絡為廣域網結構，傳輸、存儲的信息數量龐大。近年來，隨著計算機技術、通信設備智能化技術等方面的飛速發展，“黑客”的攻擊手越來越高明，各種計算機病毒和木馬程序層出不窮。如不能及時防范，輕則使整個收費系統癱瘓，重則使收費數據被泄漏、篡改，從而給收費工作帶來重大經濟損失。

2 高速公路信息系統特點及威脅

高速公路收費系統是一個相對封閉的廣域網系統，收費系統沒有連接Internet，減少了網絡被攻擊的機會;但是在高速公路信息系統中，傳輸、存儲的信息很多，而且數據交換量大，包括話音、數據、文字、靜態圖片、活動圖像、數據等，而這些信息又各有特征。因此在網絡組建、使用時，須特別考慮系統的安全。對于數據庫而言，一方面希望實現資源最大程度的共享，保證數據庫操作的方便和實時性;另一方面也要保證數據庫的安全保密。

我省高速公路收費系統，經歷了從單機到聯網的演變。收費模式上升到網絡交換、網絡經營、網絡進行資金賬務拆分后，所有網絡信息的登錄點、信息交換通道、網絡開發或應用工作人員的業務行為、網絡內置的應用軟件或系統等，均需進行必要的關注。收費系統應當被保護的資源有:基于TCP/IP的廣域網平臺、網絡操作系統、數據庫、應用軟件以及操作者的行為。計算機網絡系統的安全威脅主要來自未授權的訪問、信息泄露和拒絕服務三個方面。

3 信息系統安全問題解決方案

按目前聯網收費較為普遍的模式來看，收費網絡一般由省總中心、各收費中心、收費分中心、收費站四個層次組成。要防范收費數據的安全，可從五個方面著手。

3.1 收費系統網絡層的安全性

網絡層的安全性問題在于網絡是否得到控制，即是不是對于任何一個IP地址來源的用戶都能夠進入網絡。

在收費系統中，信息總中心、各信息中心、分中心以及收費站都按統一規劃分配有固定的IP地址，通過網絡通道對網絡系統進行訪問時，根據IP地址即能分辨出用戶的來源。目標網站通過對來源IP進行分析，便能初步判斷來自這一IP的數據是否安全，是否有權使用本網絡的數據，是否會對本網絡系統造成危害等，一旦發現某些數據來自于不可信任的IP地址，系統便會自動將這些數據阻擋在外。

3.2 系統的安全性

在系統的安全性問題中，主要考慮兩個問題:一是病毒對于網絡的威脅;二是黑客對于網絡的破壞和侵入。

病毒的主要傳播途徑已由軟盤、光盤等存儲介質轉成了網絡，多數病毒不僅能夠直接感染網絡上的計算機，而且能將自身在網絡上進行復制，傳播和破壞的途徑多種多樣，一旦感染，后果不堪設想。所以，在網絡環境下，防病毒工作就更加復雜，它必須能夠針對網絡中各個可能的病毒入口來進行防護。

網絡黑客，其主要目的是竊取數據和非法修改系統。他們常用的手段為:一是竊取合法用戶的口令，在合法身份的掩護下進行非法操作;二是利用網絡操作系統的某些合法但不為系統管理員和合法用戶所熟知的操作指令。所以一方面須加強口令的管理，另一方面，在系統安裝時，須弄清哪些指令可以不安裝，哪些指令的使用權限須限制，做好這些工作后，可在一定程度上提高操作系統本身的安全性。

3.3 用戶的安全性

對用戶的安全性問題，要考慮的就是:被授權的用戶，能使用系統中哪些資源和數據？按照收費系統的網絡特點，可以按照不同的等級設置不同的安全級別，每一等級的用戶只能訪問與其等級相對應的系統資源和數據。如總中心的用戶根據需要可訪問分中心和收費站的數據，分中心用戶可訪問收費站數據，而收費站用戶卻無權訪問分中心和路公司的數據，當然，各系統等級的不同用戶也應有不同的訪問權限。

4 應用程序的安全性

應用程序的安全性需解決的是:是否只有合法的用戶才能夠對特定的數據進行合法的操作？對高速公路收費系統而言，上級部門的應用程序一般能夠訪問下級部門的數據，而下級部門的應用程序一般不允許訪問上級部門的數據，對同一部門不同業務的應用程序，也應限制數據的互訪，避免數據的意外損壞。

5 數據的安全性

數據的安全性所要解決的是:數據是否處于保密狀態？在數據的保存過程中，機密的數據即使處于安全的空間，也要對其進行加密處理。這樣即使數據不幸失竊，盜竊者也不能讀懂其中的內容。

收費數據的安全是收費業務最根本的安全，所以我們必須從多方面著手，保證數據的安全。

(a)使用安全的密碼

我們把密碼策略放在安全方案的第一位，在日常工作中，密碼保護分兩個方面:一是操作系統的登錄密碼保護;二是數據庫的賬號密碼保護。

(b)使用安全的賬號

每一個系統操作員都應有自己的登陸帳號及密碼，在登陸系統時應使用自己的帳號登陸，這樣系統就可根據帳號的不同將不同的人員的操作記錄下來。

(c)加強數據庫的日志記錄

通過查看數據庫的日志記錄，可以追查故障發生的原因，從而找到排除的方法。

(d)使用協議加密

(e)對網絡連接進行IP限制

(f)數據庫的備份

數據備份有以下兩種:(1)手工磁帶備份、(2)自動備份。對我們高速公路而言，目前普遍采用的方案應是自動備份。但是在自動備份的環境下，我們對數據的安全仍不能掉以輕心，還需要手工備份，把數據存放到一個更安全的可控環境中。

(g)病毒防護

病毒防護應包括技術和管理兩個方面。技術上在服務器上安裝服務器端防病毒系統，在客戶端則安裝單機版或網絡版的客戶端防病毒軟件，實現病毒的實時檢測、清除或隔離。安裝了防病毒軟件后，并非萬事大吉，必須做好病毒定義的實時更新;否則，防病毒軟件形同虛設。在管理上，須制定一套行之有效的規章制度，嚴禁使用來歷不明的軟件，嚴禁使用外帶的軟盤或光盤，提高各級人員的安全意識，才能從根本上防止病毒對網絡的侵害。

6結語

通過以上措施，可以在一定程度上提高高速公路信息系統本身的安全防范能力。但最為主要的還是各信息中心、收費站要加強內部的安全控制和管理員的安全培訓，制定各類管理制度，明確各級人員對收費網絡系統的使用和訪問權限，制定系統安全保密等級及保護規范，制定數據安全管理辦法，避免內部數據的外泄。只有真正將數據的安全性在管理上落到實處，才能真正保障數據的安全。

參考文獻

[1]鄒國平，黃錚.高速公路機電工程軟件開發技術編著[M].電子工業出版社.

[2]許宏科，趙祥模，關克.[M].高速公路收費系統理論及應用.