邊界網絡安全管理系統研究與應用

謝兆勇

摘? 要：隨著路網監測設施增加，目前各種外場設施設備數量龐大，內場機房已存在多處安全隱患，外場內場設施運維與安全問題日益突出，對現有路網監測設施運維管理邊界安全的研究與應用迫在眉睫，建立一套邊界網絡安全管理系統平臺非常必要，通過系統軟件及邊界安全硬件服務器實施，實現對路網設施的前端設備視頻圖像及文字、終端網絡安全、末端設備的漏洞，有效的起到維護及安全保障的統一，解決了中心對路網調度提升、應急安全管理、路網狀況綜合運維分析、各縣區路站外場、內場的監測和管理。

關鍵詞：防護現狀;安全應用;準入控制;網絡安全邊界管理

中圖分類號：TM73

引言：隨著道路（包括高速公路、省道、國道等）規模的快速發展，路網監測設施每年都在按照省中心的要求部署增加，同時路網監測、管理、安全、運行設施運維、故障處理等提到了更高的要求，因此，提升路網監測設施運維工作以及設備安全保障的手段，建設研究一套路網運維管理邊界安全信息化將成為路網監測設施行業發展的趨勢所在。

設施設備的維護、網絡安全管理都是整個維保的重點核心，隨著路網設施點位的增多，外場設備網絡、內場設備網絡系統日趨大型化、復雜化，攻擊者的入侵行為也越來越綜合駁雜，且具有了分布式攻擊的特點，表現在外場前端、中端、內場終端，目前入侵檢測系統在性能上對此類入侵行為的檢測有些困難，很難被發現，而把不同安全級別的網絡相連接，就產生了網絡邊界，防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防御措施。我們通過運維系統和邊界硬件服務器相連接，能夠及時的響應事件，排除故障，能夠有效的監測網絡邊界的安全性，在最短的時間內找到被攻擊的路網的實施設備，如視頻監控設備等，能夠及時的進行預測分析和實時報警，這就是當前道路監測設施運維需要解決和關注的重要方向。

一、背景介紹

習總書記在十九大報告中強調：“黨的一切工作必須以最廣大人民根本利益為最高標準，從讓人民群眾滿意的事情做起，帶領人民不斷創造美好生活”。對廣大人民來說，公共安全是人民群眾最關注的事情，迫切需要新的技術和平臺及時發現路網中的異常事件，實時掌握路網傳輸的安全情況，從整體動態反映路網的安全狀態，并對網絡的發展趨勢進行預測和預警，對成千上萬的網絡行為、攻擊等信息進行自動處理和深度挖掘，對路網的安全狀態進行分析評價，感知網絡中的異常事件與整體安全態勢，自動評估預測，降低網絡安全風險，提高網絡安全防護的能力。為保證業務系統的持續性及數據的完整性，各省市路網應加強網絡信息安全保障體系的建設。

二、政策解讀

1.《交通運輸信息化“十三五” 發展規劃》高度重視網絡與信息安全體系建設， 堅持自主可控， 強化監測預警， 確保行業網絡基礎設施和重要信息系統安全可靠和穩定運行。

2.《數字交通發展規劃綱要》加強網絡安全與信息系統同步建設，提高交通運輸關鍵信息基礎設施和重要信息系統的網絡安全防護能力。

3.《交通運輸 信息安全規范》 （GBT 37378-2019 ）用戶終端安全、載運裝備單元安全、基礎設施單元安全、計算中心安全、網絡和通信安全、安全通用技術。

三、問題分析

路網前端設備安全問題：高速公路大量攝像頭部署分散，容易發生設備替換、冒用、入侵監控專網;前端設備存在脆弱性安全問題，如弱口令、設備系統高危漏洞;前端設備缺失有效的安全準入機制：

（1）非法分子使用筆記本替換攝像頭，非法入侵國家路網，盜取涉密信息;

（2）攝像頭弱口令風險，設備被非法控制，發起網絡攻擊;

（3）攝像頭裸露在外，出現挾持破壞事件，甚至設備盜取;

（4）攝像頭數量未完全上報，資產數量不清晰，出現設備遺失、盜取后無從得知;

（5）攝像頭數量巨大，設備損壞、設備流量、圖像質量、離線等異常狀態，無法及時得知處理，遺漏緊急需要的信息，影響業務;

1.攝像頭裸露在外，頻頻出現設備替換、挾持、破壞等事件

由于攝像頭等前端設備部署分布極為廣泛，大多處于道路或其它戶外場所，這些公共場所因無人看守頻頻出現惡意替換、侵入網絡、設備被盜取等事件，盜取涉密文件，或是攻擊網絡。視頻監控系統已經進入了IPC時代，非授權人員只要簡單地用計算機替換前端攝像頭就可以輕松地實現網絡的入侵和非法數據的訪問。

2.設備流量、圖像質量、離線、攝像頭時間不準確等異常狀態，不能及時獲取

復雜而龐大的路網中，對于大量終端設備或者前端攝像頭缺少統一管理手段。由于攝像頭都是安裝在特定的地方，分布極為廣泛，當發生安全事故時，無法在第一時間直接定位網絡內計算機或者攝像頭的具體位置，應急響應不及時導致安全風險的擴大。

3.攝像頭的數量未完全上報，資產數量不清晰

設備數量不斷增加，且接入環境復雜，包含下級部門、其他單位、社會資源等多種接入放入，還存在設部分以租代建設備，設備更新頻繁，原本的設備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成設備管理的混亂，資產未完全上報，設備的安全性、可用性都無法保障，甚至在資產流失后渾然不知。

四、建設目標

推進交通運輸領域數據分類分級管理，加強重要數據和個人信息安全保護，制定數據分級安全管理、數據脫敏等制度規范。推進重要信息系統密碼技術應用和重要軟硬件設備自主可控。

全面識別梳理交通運輸領域國家關鍵數據資源，將重要數據保護納入交通運輸關鍵信息基礎設施安全規劃，推進國家關鍵數據資源全面實現異地容災備份，推進去標識化、云安全防護、大數據平臺安全等數據安全技術普及應用。

此次建設，重點完善路網邊界接入安全、接入設備身份認證、信息綁定，實現對路網設備的準入控制管理、NAT設備使用管理。解決非法設備隨意接入路網的問題，視頻監控網絡內的所有設備智能發現與識別，識別設備的合法性，對設備運行情況進行實時監控，檢測是否存在設備異常、偽冒、替換、入侵，對非法接入的設備系統自動郵件報警、短信報警、地圖定位、網絡位置顯示，并阻斷入侵設備的網絡通信。分析圖像質量，攝像頭設備圖像模糊、被遮擋、雪花、黑屏等異常狀態時，視頻圖像質量發生變化，立即產生質量異常報警，并支持進一步查看實時視頻圖像信息，精準確認圖像質量問題。達到“信任接入、接入可知、接入可管”的管理規范。

推動交通感知網絡與交通基礎設施同步規劃建設，深化各地路網等路側智能終端應用，建立云端互聯的感知網絡，讓“啞設施”具備多維監測、智能網聯、精準管控、協同服務能力。

五、解決方案

邊界網絡安全管理系統對網絡內接入的各類設備進行識別、過濾、阻斷，確保接入視頻監控網絡設備的合法性和安全性，與此同時對運行中的設備進行實時監控，利用獨有的感知發現技術，及時發現網絡中偽冒、入侵、異常的設備，從而保障整體網絡安全運行。

1.邊界網絡安全管理系統

入網規范化：入網身份鑒別、安全測評、違規行為報警;

管理全面化：終端行為規范、UBS介質管理、終端通信管理;

審計精細化：違規報警統計、入網狀態分析、測評狀態分析、資產統計、行為審計。

2.系統功能

身份認證：終端入網強制身份認證，未經授權禁止接入網絡，確保只有合法終端才能入網

安全測評：終端安全技術測評，安全隱患項目隔離修復，確保入網終端始終處于安全狀態

違規報警：終端安全狀態動態保護，存在危險異常項目及時處理并報警通知，防止安全隱患

行為規范：終端安全規范，嚴控各類外設使用，明確網絡訪問細則權限，確保用戶擁有網絡使用的“最小授權”

報表統計：全網安全事件圖表化分析匯總，既可提供針對特定行為的分析報告，也可對全網安全趨勢分析

3.網絡邊界監管

對網絡接入的多網卡邊界、網絡出口、NAT 邊界、無線 AP、上網代理等各類邊界的檢查和管理，實現對路網設備私自連接其它網絡，如：在路網中擅自設立網中網，非法使用多網卡連接外網，同時可對其進行隔離等防護操作。防止外來計算機、設備、網絡等通過非法手段入侵路網。對合法子網下的設備進行展示、管理，可自動根據子網環境繪制子拓撲展示。

4.設備發現與識別

能夠快速識別網絡內的設備信息，分析出設備的類型、IP、MAC、廠商等信息，并自動綁定設備信息，作為入網憑證。

5.設備運行實時監控

對網絡內設備的運行情況進行實時監測，發現設備運行異常及時更新運行狀態并發送報警提醒。

6.違規檢測報警定位

對網絡內的冒用偽造終端、異常終端、入侵終端進行自動識別，第一時間發送報警消息，并在網絡拓撲、GIS地圖上進行精確定位，與此同時向管轄區的管理員發送報警消息。

7.違規事件自動阻斷

檢測到網絡內的入侵、偽冒、異常事件后能夠第一時間阻斷設備的通訊。

8.全網資產實時統計

基于設備的自動發現與識別分類，實現對所有入網設備的注冊管理，理清臺帳，對全網IP地址使用及終端軟硬件狀況進行上報統計。

六、結語

路網檢監測設施運維管理邊界安全保障系統作為安防領域的革新產品，是視頻分析技術及最新的各類IT技術在視頻監控系統運行維護方面的典型應用。該系統集狀態監測、故障報警、故障分析、運維管理于一體，能夠實現對各類視頻監控系統相關的設備運行狀態的監測與查詢，如攝像機、視音頻編解碼設備、傳輸設備（SDHEPON、交換機、路由器）、業務服務器。運維系統一旦發現視頻監控系統設備運行狀態出現異常，立刻自動向運維管理中心發出故障報警。運維系統管理中心收到設備故障報警后，自動進行故障分析，初步分析出是什么原因造成該故障的發生。同時通過統一的運維服務營運平臺，對運維系統自動發現的故障、人工保修的故障、日常維護保養等工作進行統一規范的管理，對故障處理進行全程跟蹤，完成先進、合理的故障保修、任務派工電子流程系統，以更快響應、完成故障修復任務。

路網監測設施運維管理邊界安全應用系統能夠全面、系統、規范、及時的保障路網監測系統的正常運行，改變現在路網監測設施運維困難，有效使用率不高的情況。路網監測設施運維管理之于邊界安全的應用意義，全局資源統一管理，快速精準定位故障，減少運維壓力，提高運維效率;主動進行視頻數據質量評估分析，異常視頻圖像及異常數據篡改及時警告，減少安全危害的影響;實時掌握設備在線率、完好率、故障率等數據，滿足考核管理要求。

參考文獻

[1] 《推進綜合交通運輸大數據發展行動綱要（2020—2025年）》. 交科技發【2019】161號， 2019.12.

[2]《數字交通發展規劃綱要》. 交規劃發【2019】89號，2019.07