高速公路監控系統網絡安全體系建設探討

陳曉彤

摘 要：高速公路監控系統的網絡安全，關系著公路交通的安全和通暢以及高效，能直接影響到社會的公共秩序和人民的公共利益，需要實行重點保護。同時，可以進一步普及、推動、完善系統的標準化、規范化工作，達到信息系統等級保護的要求，對我國的高速公路發展具有深刻的意義。鑒于此，本文主要分析高速公路監控系統網絡信息安全體系建設探討。

關鍵詞：高速公路;監控系統;網絡信息;安全體系

路段公司監控系統已經向集中化、智能化、移動化發展，對于監控系統的訪問途徑和方式方法越來越多，業務系統的安全性和數據的保密性也就面臨越來越多的不可控性，龐大的監控系統網絡，復雜的網元及系統，一旦出現問題，沒有辦法快速定位，快速解決。且隨著節點增多，各應用級的安全防護只是簡單的累加，缺乏從全局層面對網絡安全做全方位的防護和動態監測，逐漸使網絡信息的安全受到潛在威脅，與之相關的安全事故屢發，主要表現在邊界安全漏洞、非授權訪問、冒充合法用戶、干擾系統正常運行、惡意攻擊網絡、利用網絡傳播病毒、木馬入侵等方面，一旦監控系統被互聯網侵入或者內部人員通過非法途徑發布信息，將會帶來巨大負面影響。

1 高速公路監控系統網絡安全體系建設的意義

傳統的監控網絡安全系統建設一般跟隨業務系統進行建設設計，防護架構和安全策略相對靜態，無法對整個監控系統進行動態、實時的漏洞掃描、威脅感知、策略調整與安全應急響應。基于數據驅動的高速公路網絡信息安全防御體系將建立安全風險探知中心，收集安全運行流數據，測試記錄、日志數據、網絡數據、攻擊數據，進行安全大數據的梳理分析;對操作系統、網絡端口、基礎軟件環境（數據庫、中間件等）、業務應用系統和服務接口等進行漏洞、配置弱點掃描，形成脆弱性探測報告，指出安全防護的薄弱環節，提出整改加固方案，完善交通運輸行業網絡與信息安全監測管理平臺;落實信息安全等級保護制度，完善信息數據的交互、共享等安全管理措施;深化網絡安全防護、態勢感知、信息通報、預警預防及應急處置能力建設。

2 高速公路監控系統的網絡拓撲現狀

目前就廣東省高速公路有限公司所屬各路段公司監控網絡的構成來看，主要由集團監控中心、路段監控中心、站級監控組成三級網絡結構。各路段公司的網絡采用的是分級管理的方式，監控網絡基本上是獨立于其他網絡，開放部分對外接口供數據傳輸使用（如交警視頻錄像調度、移動端視頻查看、路政車視頻上傳及病毒庫升級等業務）。

目前監控網絡存在的問題主要有：

（1）路段與集團網絡出入口無防火墻，在網絡邊界缺乏有效的網絡防護措施。

（2）路段監控網與辦公網網絡出入口無防火墻，在網絡邊界缺乏有效的網絡防護措施。

（3）沒有運維審計、日志審計、網絡準入、漏洞掃描系統、應急備份及網絡管理等系統，無法做到對監控系統的安全運維、安全統一的管理、日志收集和分析、高危操作的告警審計和追溯，亦無法對接入網絡的設備進行專用的準入控制和權限管理，當重要系統設備出現故障時無法使用應急設備進行應急切換處理。

（4）情報板信息發布顯示屏沒有專門劃分區域，一旦信息發布系統被非法侵入或者內部人員通過非法途徑發布信息，將會帶來巨大負面影響。

3 高速公路監控系統網絡信息安全體系建設

3.1 建設要求

高速公路監控系統的信息安全，關系著公路交通的安全和通暢，能直接影響到社會的公共秩序，建議按照信息安全等級保護二級標準，并從技術和管理層面對監控系統進行保障體系建設。建設目標覆蓋以下內容：

完善基礎安全防護整體架構，開展并完成信息系統等保工作。

加強信息安全管理工作，制訂科學合理的信息安全工作方針、政策，進一步完善信息安全管理制度體系，實現管理制度的標準化、規范化和流程化。

建立科學、完備的信息安全運維管理體系，實現信息安全事件的全程全周期管理，切實保障信息系統安全、穩定運行。

3.2 目標

根據等級保護的要求，結合系統的目前現狀，將安全理論轉化為具體安全需求，包括網絡安全、主機安全、應用安全、數據安全以及管理制度等各個層面的安全需求，再依據現有比較成熟的安全技術及產品，將安全需求轉化為可以實現的技術和管理安全防護手段，為應用全面性、及時性、準確性、完整性、保密性、可追溯性等業務要求提供安全保障。

3.3 網絡區域間隔離控制與安全防護

3.3.1 監控系統邊界安全

路段監控與集團監控之間的邊界安全：路段監控與集團監控間部署帶有入侵防護功能、病毒防護功能的防火墻進行隔離控制與威脅防護，防止病毒威脅外延到集團監控中心或其它路段公司，通過防火墻的黑白名單策略允許指定監控系統進行數據通信，同時結合防病毒引擎對已知未知病毒進行過濾防護，杜絕病毒自動傳播。

路段監控與站級監控之間的安全：路段監控中心與站級監控之間部署安全訪問策略進行隔離控制，通過最小權限訪問控制策略和安全防護模塊實現網絡層攻擊防護，將攻擊行為控制在指定的區域防止外延。

路段監控與辦公區域之間的安全：在路段監控中心與辦公網之間部署帶有入侵防護功能、病毒防護功能的防火墻進行隔離控制，防止辦公網安全威脅影響到監控網絡系統正常運行。

信息發布顯示屏DMZ區：中心及站級管理交換機設置專用VLAN，將可變情報板、信息顯示屏及發布管理端納入DMZ專用區加強管理，結合網絡準入系統有效防護。

3.3.2 主要設備功能如下

邊界防火墻：支持訪問控制，應用識別，防病毒網關、資產識別、云管理、入侵防護、高級威脅防護、僵尸網絡發現、流量監控、應用管理等安全功能。

堡壘機--安全運維審計系統：堡壘機產品通過邏輯上將人與目標設備分離，建立“人->主賬號（堡壘機用戶賬號）->授權->從賬號（目標設備賬號）->目標設備”的管理模式，實現集中精細化運維操作管控與審計。

日志審計系統：可基于主流協議實時采集不同廠商的安全設備、網絡設備、主機、操作系統以及各種應用系統產生的日志信息，實現對各類設備日志的統一采集、統一存儲、統一審計等各類日志管理工作。

網絡準入系統：通過統一認證的方式規范路段監控中心以及站級監控中心終端接入。避免非授權用戶或電腦訪問關鍵業務系統，增強監控系統保密性同時避免非授權用戶對監控系統的惡意破壞。強制入網合規檢查策略，全面隔離“危險”終端，并支持安全檢查不合規隔離后的自動修復及引導修復管理流程。對接入監控系統的設備終端及啞終端進行安全歸類，控制移動介質使用和管理。

漏洞掃描系統：根據需要定期掛接到網絡中，對安全設備、服務器、硬盤錄像機、網絡設備及終端進行掃描，即可發現安全漏洞，并采取補救措施或者完成整改。

容災備份一體機：具有備份（包括定時及實時）、容災（本地和異地）、統一存儲、虛擬化平臺、虛擬磁帶庫、數據重刪、系統應急接管等多功能。

網絡管理系統：提供存儲管理模塊、攝像頭管理模塊、資產自動發現、服務端口管理、業務系統圖形展示等功能，對監控網絡進行實時在線狀態監測與預警，監測IT設備、通信鏈路、應用系統是否在線正常，根據不同類別的信息節點進行特征化檢查，在資源（如CPU、內存、磁盤），狀態（如設備狀態、接口流量、丟包率）等多個維度對監控網相關系統的狀態進行綜合分析。同時根據實際情況建立監控系統可用性及安全性模型，對監控系統的支撐環境進行重點關聯檢測，使整個信息業務鏈可視化，為下一步信息化建設與運維提供決策依據。

3.4 物理安全

物理安全體系的建設在技術層面，應采取電子門禁、環境監控、電力冗余等技術措施，在管理層面，應在專業安全廠商的指導下，制定監控機房維護管理、出入登記申報等制度。

3.5 管理制度

根據系統的實際情況，在信息安全領導小組的負責下，制定和發布信息安全工作的總體方針、政策、目標、范圍、原則和責任，并定期進行評審和修訂。管理制度方面包括：

（1）制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等。

（2）建立管理人員或操作人員執行的日常管理操作規程，注重發布信息顯示屏的發布審核機制。

（3）形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。

（4）每年由信息安全領導小組負責對安全管理制度體系的合理性和適用性進行審定。

（5）定期或不定期對安全管理制度進行修訂。

4 結語

總之，隨著各省高速公路監控系統的不斷發展壯大，網絡安全問題日趨突出，對監控系統網絡安全的要求也越來越高。高速公路監控系統管理存在技術和管理上的不足，會造成監控系統合法用戶被冒充、非授權訪問、系統正常運行被干擾、完整數據被破壞、網絡被惡意攻擊、利用網絡傳播病毒、發布惡意信息等給監控系統帶來危害的現象。為保證監控系統的安全性，各省市高速公路應加強監控系統安全保障體系的建設。

參考文獻：

[1]朱鵬飛，孫興煥，曹小峰，等.省域高速公路網絡信息安全動態防御體系研究[J].中國交通信息化，2018（1）：82-85.

[2]吳麗娟.高速公路機電項目中計算機系統的網絡信息安全管理[J].產業與科技論壇，2016（16）：248-249.

[3]于雷，韓科.高速公路機電系統網絡信息安全探討[J].中國交通信息產業，2007（3）：44-45.