寧夏高速公路聯網系統網絡安全防護的實現策略與基本技術要求

張玉暉

（寧夏交通信息監控中心,寧夏 銀川 750003）

1 概 述

寧夏高速公路聯網系統網絡安全建設，是我區高速公路運行管理中的一個薄弱環節，實施其網絡安全建設，是通過對收費站、片區綜合管理平臺安全設施的建設和對管理總中心的現有網絡安全設施進行加固，有效解決全網系統病毒感染、內外部惡意滲透攻擊所導致的網絡癱瘓、業務系統崩潰、數據丟失等安全隱患，進一步完善寧夏高速公路聯網系統網絡安全防護體系，提高高速公路運營和維護安全防護水平，為全區高速公路聯網系統的安全穩定運行提供技術保障。

2 網絡安全產品的選型原則

寧夏高速公路聯網系統是一個要求高可靠性和高安全性的網絡系統，應用于寧夏高速公路聯網系統的所有網絡安全產品的招標采購，必須嚴格遵循以下原則：

（1）安全性原則。所有網絡安全產品自身必須安全可靠，保證整個安全體系結構具有牢靠的自身安全基礎。

（2）成熟性、先進性原則。所選擇的產品是技術成熟、先進，而且產品化程度高，能適應各種網絡環境的要求。

（3）開放性、可擴展性原則。所選擇的必須是技術開放、可持續發展、具有可擴展性的產品。

（4）可靠性原則。遵循國家有關規定，所有網絡安全產品必須通過公安部公共信息網絡安全監察局及中國信息安全認證中心的認證，即銷售許可證和3C認證；涉及到密碼技術的網絡安全產品，必須通過國家密碼管理局的批準。

3 安全防護技術要求

3.1 防火墻

（1）實現策略。根據寧夏高速公路聯網系統的三級架構，分別在監控總中心、片區綜合管理平臺部署防火墻系統，收費站邊界部署防病毒網關系統。同時根據高速公路監控總中心、片區綜合管理平臺安全域的劃分情況，分別部署防火墻系統，做到安全域間的訪問控制。

（2）基本技術要求。防火墻產品必須支持多虛擬防火墻系統，支持狀態報文過濾，具有防蠕蟲病毒攻擊等多種功能；支持NAT功能的同時，支持GRE、L2TP、IPSec等VPN協議；支持IPSEC的NAT穿越；支持HTTP URL和內容過濾；支持SMTP郵件地址、標題和內容過濾；支持QoS帶寬管理；支持多級安全管理員權限劃分與管理；支持設備冗余備份；支持多種本地和遠程身份認證；支持路由功能，包括靜態路由、OSPF、策略路由等；高端防火墻還必須支持BGP協議、MPLS協議，保證后期向MPLS新技術遷移的向后兼容性；支持冗余電源；支持接口模塊的熱插拔；同時提供千兆光接口和電接口。

3.2 入侵檢測

（1）實現策略。根據寧夏高速公路聯網系統的三級架構，在管理總中心部署1臺IDS總控臺，管理各片區綜合管理平臺和收費站部署在核心交換機上的IDS探測器；總中心部署萬兆IDS探測器，各片區綜合管理平臺和收費站部署千兆IDS探測器。

（2）基本技術要求。入侵檢測設備具備分布式部署、多級管理，高端入侵檢測設備必須支持接口擴展，可擴展萬兆接口，對常見的攻擊行為具有高精度的檢測能力；可對歷史日志進行對比分析，能自動生成報表，輔助用戶分析一段時間內的威脅；支持冗余電源、接口模塊的熱插拔，能夠被統一網管；設備廠商必須是微軟MAPP計劃戰略合作伙伴及云安全聯盟CSA合作伙伴，具備發現主流操作系統或應用系統新漏洞的能力。

3.3 IPSEC VPN技術

（1）實現策略。在收費站及總中心3G路由器后部署IPSEC VPN網關，收費站VPN網關與總中心VPN網關采用網關對網關模式建立加密隧道，將收費數據進行加密后傳輸。

（2）基本技術要求。VPN設備由VPN安全網關、VPN客戶端以及集中管理平臺組成。VPN網關需要集成SSLVPN、防火墻的功能。

3.4 入侵防護系統

（1）實現策略。在寧夏高速公路聯網系統對外連接子系統區域部署入侵防護設備，對各種病毒、攻擊行為進行防護。

（2）基本技術要求。入侵防護系統具有自主知識產權，集成流狀態跟蹤、協議分析、深度內容解析、異常檢測、關聯分析、主動探測、云防御等多種分析、檢測技術，配合實時更新的特征庫，可攔截2～7層網絡攻擊行為，有效凈化網絡流量。同時提供URL分類過濾和上網行為管理功能，可對網絡應用按照用戶和時間進行阻斷或帶寬限流，合理優化網絡流量。

3.5 日志審計系統

（1）實現策略。在寧夏高速公路監控總中心核心交換機上部署日志審計系統，對重點網絡設備、安全設備、數據庫、應用系統、主機等進行日志收集；對日志進行范式化、分類、過濾、歸并。

（2）基本技術要求。日志審計采用組件式平臺架構，實現分層的邏輯架構，包括審計數據源層、日志采集層、業務層和應用層，通過對數據源、原始日志信息、引擎日志抽取、各功能模塊管理等方式進行邏輯分析和統計。見圖1所示。

圖1 日志審計邏輯架構圖

3.6 防病毒網關

（1）實現策略。在寧夏高速公路監控總中心、片區綜合管理平臺、收費站網絡邊界分別部署防病毒網關。

（2）基本技術要求。為了和現有網絡能夠無縫連接，高端防病毒網關設備必須支持接口擴展，多系統（≥3個）引導，并可配置啟動順序；支持分區備份；支持IPv4和IPv6雙棧協議下的病毒掃描與防護；支持HTTP、SMTP、FTP、POP3、IMAP等多種應用協議下的病毒防護；支持自定義非標準端口下應用協議的病毒防護；支持gzip、rar、zip等壓縮格式的病毒掃描；支持國際國內知名的主流品牌病毒庫，病毒庫提供商通過VB100認證；支持外置USB設備進行補丁包、系統軟件升級。

3.7 數據庫審計

（1）實現策略。在寧夏高速公路監控總中心核心交換機上部署高性能數據中心，集中管理片區綜合管理平臺的數據中心。片區綜合管理平臺提供數據，供上級數據中心匯總，通過多級部署、集中管理，使管理員從單個數據中心可以查看所有的數據和報告，對重要/關鍵數據、重要/關鍵服務器的訪問進行審計。

（2）基本技術要求。針對不同的應用協議，提供基于應用操作、數據庫操作語義解析審計，實現對違規行為的及時監視和告警；提供上百種合規規則，支持自定義規則，實現靈活多樣的響應；提供基于硬件令牌、靜態口令、Radius支持的強身份認證。根據設定輸出不同的安全審計報告，監視并記錄對數據庫服務器的各類操作行為，實時、智能地解析對數據庫服務器的各種操作。系統能夠對采用ODBC、JDBC、OLE-DB、命令行嵌入方式對數據庫的訪問進行審計和響應；支持對SQL Server、DB2、Oracle、Informix等數據庫系統的SQL操作響應時間和返回碼的審計；提供業務系統的3層關聯分析。

3.8 異常流量清洗設備

（1）實現策略。在寧夏高速公路聯網系統，對外連接子系統區域部署抗DDoS設備，阻斷來自互聯網、第三方單位網絡的DDoS攻擊行為。

（2）基本技術要求。DDoS防護設備須能防御流量型flood、應用型flood和DOS攻擊；支持數據包基于五元組的抓包采集功能，對數據包進行在線分析；支持HTTP特征分析，連接分析，數據包內容對比分析等；支持攻擊日志、網絡流量統計日志、網絡包數統計日志、網絡連接數統計日志、系統負載日志；支持攻擊服務器TOP統計；支持攻擊類型TOP統計；支持生成導出安全報告；支持安全管理中心統一管理；支持多臺設備集群部署；支持在大攻擊流量發生時手動或自動啟動集群；支持集群間數據狀態同步；支持集群設備冗余備份；支持集群無限擴容。

4 結語

實現寧夏高速公路聯網系統的網絡安全防護策略與基本技術要求，是完善寧夏高速公路聯網運行管理的重要技術要求之一，是高速公路聯網系統開展信息安全建設和安全運維工作的重要依據，對于實施網絡安全建設具有重要意義。