增強高速收費系統信息安全性的探析

張凱

[摘要]由于隨著全國高速通車里程的不斷增加，路路間的收費信息網絡已經初步建立，高速公路收費信息網絡已經成為由眾多分路段分支網絡組成的龐大的系統。所以其安全性特別重要，本文就其安全系統存在的問題提出建議。

[關鍵詞]高速收費 系統 安全性

高速收費系統在整個高速公路運營過程中發揮著重要的作用，如果發生重大的事故，都將會給系統帶來不可估量的損失。下面，我們將就針對信息化建設的特點，從技術層面、管理層面分析及探討如何加強高速收費系統的信息安全。

一、網絡的安全性分析

針對高速公路聯網收費系統的特點，通過對路網規劃目標和業務實現目標的進一步分析，發現高速公路信息系統存在安全風險如下：

1.網絡入侵包括對內部網進行攻擊、竊取和其他類型破壞。各個分支局域網采用的是五類雙絞線布線方式，入侵者可在傳輸線路上安裝特殊的裝置（如竊聽裝置等），以此方式來盜取系統傳輸的重要數據，通過信息的復讀，對數據進行復寫和篡改。

2.高速收費專網是中等規模的、相對封閉的網絡，但因為管理機構的不同，造成網絡分支較多。分路之間的網絡因行政關系不同在技術管理和配置管理上都相對獨立。但因為省級聯網，又使得這些分支通過省級中心可以互相聯接和訪問，從而可能出現分支終端攻擊其他路段或區域管理中主機的可能。

3.由于路間支點多又需要同省級網絡互聯，因此在高速信息網絡中應用了大量的路由器、交換機等設備，這些設備的設置相對比較復雜，如果在設備的日常管理上存在疏忽，將對網絡的整體安全造成極大的維護困難。

二、系統的安全風險分析

項重要工作之一。

1.應用系統的安全風險分析。應用的安全性還會關系到信息、數據的安全，而信息安全又可以分為信息泄露、未授權訪問、信息完整性及系統的破壞等幾個方面。高速收費系統網絡跨度較小，重要信息多在內部傳遞，故而可以保證信息的私密性、完整性。但對于其它的信息網絡，我們可以在應用級進行加密，或者在應用系統研發時對系統進行加密。

2.機房安全風險分析。信息系統的物理核心是機房，因此機房中計算機等設備的物理安全顯得尤為重要，設備如果受到物理損壞，就會導致設備癱瘓，進而造成信息系統的混亂。

3.員工的認識風險分析。先進的科技可以大大降低員工的勞動強度，但也容易造成員工思想上的松懈，降低對網絡安全保密的重視程度，又由于員工不可能都具備專業的素質，在缺少專業指導和培訓的前提下，網絡安全不容樂觀。

三、信息系統安全解決的方案

1.從網絡的拓樸結構。將各個路段的業務網絡劃分若干區域，基于中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。必要時采用防火墻和網閘等安全設備進行業務端口的轉換隔離。

2.系統安裝維護。在系統安裝維護過程中，要進行必要的安全配置，并經常性地填補一些安全漏洞，通過對系統軟件進行修補，減少漏洞，降低了病毒利用漏洞的可能，減少了安全隱患。此外，還應該關閉一些不常用的服務、禁止開放一些不常用而又比較敏感的端口等。

再有，對一些網絡中可能會受到病毒攻擊的點設置對應的防病毒軟件，通過多層次的防病毒系統的配置，定期、不定期地對防毒軟件進行自動升級，最大程度上減少病毒的侵襲。對于已感染病毒的計算機要立即進行斷網，進行單獨查殺處理的同時，還要對整個網絡采取相應的處理。

3.系統管理層面。實行嚴格的權限分散管理制度。嚴禁任何非授權人員管理、操縱運行信息應用系統的計算機。計算機應用信息系統的使用人員分為管理人員和應用人員，明確管理人員、應用人員的權限和操作范圍。信息系統的管理人員確定一個人或一個管理小組。應用人員的使用權限由使用系統主管確定并備案。管理人員或應用人員使用的加長口令或用數字和字母的組合，不容易被破解。禁止管理人員把內部網絡結構、管理員用戶名及口令等系統的一些重要信息傳播給外人：不得在應用信息系統的計算機上使用、瀏覽任何與系統無關的程序、游戲、文檔等資料；不得使用任何不明來歷的磁帶、光盤、軟盤等外部存儲設備；不得制造、復制、傳播任何色情、暴力、迷信等有害資料及計算機病毒。安裝網管軟件，方便配置維護路由器和交換機，并建立日志文件存檔。

4.機房安全層面。首先是建立機房出入安全制度，禁止機房重地任何人都可以進進出出，來去自由。其次是建立全視角的機房管理和監控系統。最后是要建立機房設備的定期監控、監測制度，對機房的設備運行情況、物理環境做相應的記錄，為機房安全、可靠地運行提供有力的保障。此外，建立應急備份方案及恢復機制也很有必要。我們可以采用可熱插拔的SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份，并通過建立數據庫觸發器以備份重要數據的刪除操作，防止人為的失誤或破壞。上述措施可以保證在任何情況下，重要數據都可以最大限度地得到恢復。

5.網絡安全教育和管理層面。定期進行硬件、軟件和網絡數據等安全問題教育，進行業務和技能方面的培訓，提高安全意識；避免發生人為事故，傳輸過程中，要保證傳輸線路安全，要設置露天保護措施或埋于地下，與輻射源保持一定的距離，盡量減少各種輻射導致的數據錯誤。應盡可能地使用光纖鋪設線纜，減少輻射引起的干擾，定期檢查連接情況，檢查是否非法外連或破壞行為。定期對整個網絡的運行進行動態監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題，如定位網絡故障點、捉住IP盜用者、控制網絡訪問范圍等。

高速聯網收費系統的安全問題正逐漸被高速公路的管理者所關注，在網絡系統的設計、實施到運行管理各階段，多方面采取措施，如此才能真正有效減少系統的不安全因素。