寧夏高速公路聯網系統網絡安全現狀分析與建設思路探討

張洪韜（寧夏交通信息監控中心,750001）

寧夏高速公路聯網系統網絡安全現狀分析與建設思路探討

張洪韜
（寧夏交通信息監控中心,750001）

目前寧夏已建成了覆蓋自治區內現有高速公路的聯網系統，為了保障高速公路信息系統安全，需要逐步建立起網絡安全保障體系，滿足信息化高速發展需求。本文對寧夏高速公路聯網系統的網絡安全現狀和建設思路進行探討。

高速公路 聯網 網絡安全

1 概況

隨著對信息技術和網絡的依賴程度不斷提高，網絡與信息系統的基礎性、全局性作用日益增強，信息安全逐步成為寧夏高速公路聯網系統信息化建設的重要組成部分。

網絡安全保障是寧夏高速公路聯網系統信息化發展中需要長期堅持的重要工作。為了保障高速公路信息系統安全，立足于高速公路聯網系統的現狀和具體特點，結合網絡安全保障建設的自身規律和特點，抓住組織、管理、技術三個要素，逐步建立起積極的網絡安全保障體系，促進和滿足信息化高速發展的要求。

2 系統網絡安全防護現狀

寧夏高速公路聯網系統網絡安全建設伴隨著寧夏高速公路的建設同期進行，目前已建成了覆蓋寧夏區內現有高速公路的聯網系統。系統在網絡結構上屬于專網形式，通過安全隔離設備向互聯網提供信息發布服務。整個系統采用三級樹狀結構，“寧夏監控總中心——分中心——收費站”。

2.1 寧夏監控總中心網絡安全防護現狀

2.1.1 服務器區域。該區域主要包括寧夏高速公路聯網系統的收費系統、IC卡管理子系統、ETC子系統的數據庫服務器、各種應用服務器及監控系統服務器。區域防護重點是防病毒攻擊、防內部人員/黑客入侵、防誤操作導致數據丟失/篡改/損壞，防DDOS 攻擊。目前區域內部署了入侵檢測系統和防病毒網關。

2.1.2 網站信息發布區域。該區域實現與互聯網網站系統的信息傳輸，防護重點是保證數據傳輸過程的保密性、完整性以及限制非授權的連接。目前區域內部署了防火墻和安全隔離網閘設備，實現訪問控制、傳輸加密、信息交換等功能。

2.1.3 終端、工作站區域。該區域主要包括日常工作使用和運維管理的終端計算機，該區域防護重點是病毒防護、非法外聯、越權使用等，目前區域內沒有采取安全防范措施。

2.1.4 外聯系統接入區域。該區域根據業務需求是與銀行、氣象、國土、公安等多個單位的系統互聯，實現資源共享。在此區域接入邊界部署了防火墻和密碼機等設備，能夠為外聯系統和單位的數據訪問和傳輸提供身份認證、訪問控制、傳輸加密等安全保障。

2.2 分中心網絡安全防護現狀

2.2.1 服務器區域。包括分中心的收費系統服務器、監控系統服務器及流媒體設備等，該區域防護重點是防DDOS 攻擊、防病毒攻擊、防內部人員/黑客入侵、核心數據保護等，目前區域內采取有限安全防范措施。

2.2.2 分中心管理終端區域。包括分中心的管理工作站，該區域的防護重點是病毒防護、越權使用等，目前這些工作站只采用登陸密碼及身份認證IC卡進行權限控制。

2.3 收費站網絡安全防護現狀

2.3.1 服務器區域。包括收費站的收費數據服務器、NVR及監控系統服務器，防護重點是DDOS 攻擊、病毒攻擊、內部人員/黑客入侵、核心數據保護等，目前該區域采取有限安全防范措施。

2.3.2 收費站終端區域。包括工作站和收費終端，該部位的防護重點是病毒防護、越權使用等，目前這些工作站只采用登陸密碼及身份認證IC卡進行權限控制。

2.3.3 收費站與寧夏監控總中心無線備份鏈路。為保障數據能夠及時準確地傳輸到寧夏監控總中心，各收費站在主網絡出現故障時采用移動無線備份鏈路進行收費數據傳輸，該區域的防護重點是數據防泄漏、防篡改及安全路由備份等。

3 系統網絡存在的安全風險

3.1 技術方面安全風險

3.1.1 網絡劃分不夠直觀。目前系統網絡VLAN劃分存在安全風險，劃分不夠直觀，沒有按區域進行劃分，部分區域有重復VLAN，并且收費系統和監控系統沒有徹底分開，如果監控系統的組播傳輸模式將帶寬耗盡，將影響收費系統數據傳輸。

3.1.2 安全域劃分不明晰。寧夏監控總中心在網絡出口處部署了訪問控制設備，但是沒有分層次分區域進行詳細的安全域劃分，無法對核心數據進行重點防護，并且對外鏈接子系統沒有建立安全區域，存在外連攻擊和入侵的隱患。其次，由于整個系統在內部是互連互通的，內部人員或維護單位人員會存在越權訪問相關信息，對數據進行篡改或破壞，并且在安全域之間沒有采取隔離措施的情況下，蠕蟲病毒爆發時會在本網段內大量復制數據包，迅速波及到其他相連網段，造成系統大面積癱瘓。

3.1.3 補丁分發不及時。通過對寧夏高速公路聯網系統漏洞掃描，發現存在系統漏洞，這些漏洞基本是由于系統補丁更新不及時造成的。無論是網絡設備、操作系統還是應用軟件，由于商業或人為因素，都會存在一定的漏洞或錯誤代碼，隨著時間的推移和技術的發展，這些漏洞會被逐步發現，各安全設備廠商也會及時推出相應更新程序或補丁，用于更正或消除這些漏洞。

3.2 網絡安全防護方面安全風險

3.2.1 缺少整體防病毒系統。病毒的泛濫和擴散已經成為聯網系統網絡安全的一個重要威脅，由于病毒的隱蔽性、擴散性和破壞性等特點，病毒對于計算機網絡系統的破壞往往是大面積的、同時性的爆發，這將會對高速公路聯網系統正常運行造成很大影響。

3.2.2 缺少網絡安全審計系統。堡壘最容易從內部攻破，內部人員比外部人員更加容易進行數據非授權訪問，系統網絡內僅部署訪問控制設備、入侵檢測設備等相關網絡安全設備無法對內部人員實行有效控制和審計。

3.3 數據應用方面安全風險

3.3.1 沒有安全運行一體化、可視化系統。隨著網絡規模日漸龐大，網絡管理也日趨復雜，迫切需要對全網整體安全運行狀況有一個直觀的了解、清晰的掌控，能夠獲悉當前的安全態勢、攻擊分布、防護缺陷，掌握安全防護體系建設和安全管理能力建設的水平，目前系統內缺少對全網進行綜合網絡安全分析和管理的手段。

3.3.2 高速公路聯網系統中數據備份不能滿足數據日益增長的需求。在進行系統網絡安全規劃和實施時，要考慮到各種可能性因素，包括不可抗拒突發性行為和黑客攻擊、人為破壞等故意或過失行為。目前高速公路聯網系統數據備份還主要依靠磁盤進行，相對而言無法滿足未來大量數據的及時備份和介質保存等需求。

3.4 安全管理方面安全風險

寧夏高速公路聯網系統制定有相關的網絡安全管理制度，但是現有制度內容的完整性與國家重要信息系統等級保護的要求還有差距，同時高速公路聯網系統安全崗位人員不足，無法保證專人專崗，特別是關鍵崗位，缺乏職責行使分離機制，無法保護關鍵業務的安全。

4 系統網絡安全建設行業依據

交通運輸部辦公廳下發的《關于進一步開展交通運輸行業信息安全等級保護工作的通知》（廳科技字[2012]120號）明確指出，加強信息安全，保障信息系統穩定運行要有統一的安全管理要求，建立信息系統安全應急處理機制，重特大風險識別、防范和控制機制，重要信息的保密和防護機制，信息系統的災難恢復機制，信息安全崗位職責規范要按照國家信息安全等級保護要求，完善信息安全運行和場地安全。《交通運輸部辦公廳關于推進交通運輸信息化智能化發展的指導意見》（廳科技字[2013]257號）指出到2020年，基本形成目標一致、功能協調、運轉高效、有機銜接的交通運輸信息化智能化發展總體格局，交通運輸信息化普及程度大幅度提升，重點領域智能化發展取得突破，交通運輸信息化智能化發展水平顯著提高，基本建成適應信息化智能化發展要求的技術支撐體系和可信可控的網絡與網絡安全保障體系。

5 系統網絡安全建設目標

必須從管理與技術層面提升寧夏高速公路聯網系統信息安全防護水平，防止高速公路聯網系統網絡癱瘓、應用系統遭受破壞、業務數據丟失、終端病毒感染、有害信息傳播和惡意滲透攻擊等行為，確保寧夏高速公路聯網系統安全穩定運行，這需要對系統網絡安全有一個長期建設和優化的過程。結合寧夏高速公路聯網系統現狀，應確定網絡安全建設短期和長期目標：

短期目標：通過網絡安全改造對寧夏高速公路聯網系統的安全狀況進行加固，解決目前急迫和關鍵的安全隱患問題；

長期目標：通過“試點、推廣和提升”三步走實施，實現“管理標準化、業務協同化、決策科學化、系統集成化、數據規范化”五個目標，保障寧夏高速公路聯網系統網絡能夠長期安全、穩定、可靠運行。

6 系統網絡安全總體防護策略

寧夏高速公路聯網系統信息安全防護要貫徹國家、自治區和交通運輸部有關信息安全防護的要求和政策，要綜合平衡安全成本和風險，優化高速公路聯網系統資源配置，實行高速公路聯網系統等級保護，確定重點保護工作。而信息安全策略是高速公路聯網系統信息安全工作遵循的基本依據，根據寧夏高速公路聯網系統特點和安全需求，總體安全策略可分成四部分：

6.1 系統分級。根據業務應用系統的使命、目標及重要程度，對系統進行安全等級劃分。

6.2 防護分域。劃分網絡安全域，將單個或多個業務系統分成不同網絡防護區域，根據網絡安全域內的業務系統定級情況和業務系統的服務對象，采取不同強度的安全防護措施。

6.3 預防為主。信息安全防護應以預防為主，要把預防信息安全事故作為防護的出發點和落腳點，從信息安全風險管理的角度、信息系統安全生命周期各階段的特點和業務系統的安全特性出發，有組織、有計劃地采取主動、嚴密的預防措施，達到防患于未然的目的。

6.4 積極管控。由于信息安全事件具有動態變化、突然爆發、持續破壞、高度不可預測等特性，為了全面應對信息安全事件，就需要建立積極的管控機制、融合技術和管理手段，實現對信息安全風險的主動跟蹤、及時掌握、有效處理，達到可控、能控、在控的管理效果。

7 結束語

隨著國家對信息安全工作的不斷重視，寧夏高速公路聯網系統網絡安全保障水平也引起了寧夏交通運輸廳相關部門的關注，要求最大限度地實現信息的保密性、完整性、可用性和有效性，提高寧夏高速公路聯網系統整體信息安全管理水平和抗風險能力，支撐寧夏高速公路聯網系統的信息安全。

Analysis and Discussion on the current situation of network security of Ningxia expressway networking system

Zhang Hongtao
（Ningxia traffic information monitoring center,750001）

At present,Ningxia has built a network system covering the existing highway in the autonomous region,in order to ensure the highway information system security,need to gradually establish a network security system,to meet the needs of rapid development of information technology. Network security situation and the construction of Ningxia expressway network the idea of this system is discussed.

expressway;networking; network security