高速公路業務專網邊界防護的應用研究

摘 要：文章在列舉了多種網絡邊界安全防護技術的基礎上，提出了高速公路業務專網邊界防護系統體系架構方案，可以實時掃描邊界網絡結構的變化情況，及時掌握網絡設備的各項動態，實現對業務專網邊界網絡的監控和管理，將業務專網拓撲結構的改變以可視化方式展示給系統管理員，能夠檢測出違規接入業務專網的情況，確保高速公路業務專網的安全性和保密性。該系統界面友好、操作性高、靈活性強，具有良好的擴展性。

關鍵詞：高速公路；網絡安全；邊界防護

1 概述

隨著國家大力推進高速公路建設工作，ETC（不停車收費系統）聯網工作也取得了有效進展。ETC的正常穩定運行必須依靠一個性能強大的業務專網系統進行實時監控和控制管理。但是，我國各省份高速公路ETC聯網使得網絡邊界結構比較模糊，承載著重要業務的專網結構面臨著各種安全威脅，以及ETC聯網邊界存在的收費設備誤操作等問題，進一步導致了高速公路業務專網失去有效的安全監管。因此，只有構建完善的高速公路業務專網邊界防護體系，才能確保高速公路整體業務專網安全、穩定、正常的運營。

2 網絡邊界安全防護技術

2.1 防火墻系統

防火墻系統主要依靠包過濾技術、應用網關和子網屏蔽等手段來阻止外部網絡地址對內部網絡發起訪問，以保證內部網絡不會受到安全威脅。各個省份高速公路業務專網的聯通使得其需要連接公共網絡，因此，只有在不同網絡之間配置安全可靠的防火墻系統，才能確保高速公路業務專網數據的保密性。但是，防火墻系統對于內部網絡并不能起到良好的安全防護作用，無法對應用層數據信息進行識別，如果惡意入侵者將木馬病毒嵌入到應用層軟件中，很容易繞過防火墻系統進入內部網絡。同時，防火墻系統的靜態安全技術根本無法檢測內部網絡中的安全威脅，導致高速公路業務專網受到各種安全威脅。

2.2 入侵檢測系統

IDS（入侵檢測系統）是由網絡設備和應用軟件共同構成的安全防護技術。入侵檢測系統采用的是動態安全技術，主要通過實時監測網絡流量、判斷系統性能等手段來檢測是否有外部惡意入侵者對網絡發起攻擊，以及是否存在非授權用戶違規操作等。入侵檢測系統可以及時攔截網絡攻擊行為，防止誤操作帶來的安全威脅問題，是對防火墻系統安全防護功能的進一步完善。

在我國高速公路ETC聯網工作的大力推進背景下，防火墻系統與入侵檢測系統在高速公路業務專網邊界防護中的聯動應用還比較欠缺。ETC聯網進一步導致了高速公路業務專網邊界越來越模糊，防火墻系統設置的網絡結構范圍已經無法滿足現實需求。不同省份之間采用的防火墻系統和入侵檢測設備生產廠商各不相同，不同銀行之間的收費業務流程和要求也存在差異，使得防火墻系統與入侵檢測系統之間沒有統一有效的定義，外部惡意入侵者很可能進行偽裝后進入高速公路業務專網，此時，入侵檢測系統無法檢測偽裝數據包的合法性，防火墻系統也無法阻止外部惡意入侵者的非法接入。

2.3 統一威脅管理系統

目前，網絡攻擊手段形式多樣，當人們開始整合利用網絡安全防護技術，以達到提高網絡安全性能的同時，網絡攻擊也越來越復雜多變。因此，網絡安全防護策略需要一種綜合性的安全防護設備進行統一管理，防止混合型網絡攻擊的肆意蔓延。

UTM（統一威脅管理系統）是一種將防火墻技術、入侵檢測技術、防病毒技術結合應用的安全網關系統，具有高效的安全防護功能，可以全面應對混合型網絡攻擊，確保網絡信息安全可靠。統一威脅管理系統將防火墻技術、入侵檢測技術、防病毒技術等整合于同一個網絡安全管理平臺中，解決了防火墻系統和入侵檢測系統之間存在的設備廠家不同、型號不同的問題，有效提高了統一管理效率。用戶采用該平臺可以實現對各種網絡安全防護功能的控制和管理，隨時查看網絡流量分析日志等。

3 高速公路業務專網邊界防護系統需求

（1）對與外部公共網絡連接的高速公路業務專網的網絡拓撲結構進行系統掃描，得到可視化圖形，在人機交互頁面上直接顯示發生變化的網絡拓撲結構。

（2）能夠對高速公路業務專網的邊界進行實時監測，監測需要接入業務專網的網絡設備類型，及時發現網絡設備的異常狀態。

（3）對于需要接入到高速公路業務專網的各種設備采取認證手段，確保接入的網絡設備均是合法且注冊過的。

（4）及時采集于高速公路業務專網邊界防護系統的報警信息，根據類型采取對應的操作處理措施，保證業務專網正常穩定的運行。

（5）由于高速公路業務專網需要與很多公共網絡進行連接，其運行始終處于復雜的網絡環境下，各種網絡設備的生產廠家和型號各不相同，需要完善統一的體系結構實現安全防護，因此系統需要良好的通用性。

（6）能夠將高速公路業務專網系統的網絡結構變化以網絡拓撲結構的方式展示在可視化界面上，具有實時性。

（7）為了確保高速公路業務專網始終處于正常穩定的運行狀態中，需要對其進行動態實時監測，此時要求系統的穩定性較強。

（8）系統能夠對業務專網內各種網絡設備發來的故障報警信息進行實時采集，并且以最快速度采取相應的處理措施，要求系統具有強大的數據處理分析能力。

4 高速公路業務專網邊界防護系統體系構建

文章提出的高速公路業務專網邊界防護系統體系架構由系統服務器、工作主機和系統監測終端共同構成。可以實現對高速公路業務專網實際運行情況的實時動態監測，對業務專網內的數據信息進行分析后獲得網絡拓撲結構，以及各種網絡設備的工作狀態等，最后將這些信息存儲到系統數據庫中，方便系統管理員的隨時調取和查詢。

在高速公路管理控制中心部署系統服務器模塊，可以對整個高速公路業務專網的變化情況進行實時動態監控，并存儲掃描信息，生成可視化圖表，實現對高速公路業務專網的邊界防護。系統監測終端負責監控高速公路業務專網的運行情況，及時處理各種報警信息。工作主機負責對接入業務專網身份的驗證。

通常情況下，系統管理員可以運行實時監測系統來實現對網絡工作主機的管理。系統數據庫服務器負責保存業務專網掃描原始信息，以及網絡拓撲結構變化情況的存儲。在高速公路業務專網配置監測終端，負責對接入業務專網的數據信息進行掃描和驗證，根據動態監測數據來判斷高速公路業務專網是否安全。

5 結束語

綜上所述，文章提出的高速公路業務專網邊界防護系統可以實時掃描邊界網絡結構的變化情況，及時掌握網絡設備的各項動態，實現對業務專網邊界網絡的監控和管理，將業務專網拓撲結構的改變以可視化方式展示給系統管理員，能夠檢測出違規接入業務專網的情況，確保高速公路業務專網的安全性和保密性。同時，該系統界面友好、操作性高、靈活性強，具有良好的擴展性。

參考文獻

[1]柳愛民.淺析高速公路機電通訊網絡故障的診斷及排除方法[J].科技尚品，2015，7：37-38.

[2]劉建龍.淺談計算機和網絡通訊技術在高速公路建設管理中的應用分析[J].信息化建設，2016，1：91.

[3]趙朝部，蘭良.高速公路聯網收費系統網絡安全優化分析[J].網絡安全技術與應用，2015，3：128+131.

[4]戚奇衛.論網絡數字化視頻傳輸系統在高速公路監控中的應用[J].中國新技術新產品，2015，13：23.