高速公路收費網絡安全建設實踐與研究

文章結合工作實際，分析廣西區內高速公路聯網收費系統現有網絡及數據安全面臨的問題，立足高速公路行業網絡與數據安全防護政策，針對路段中心及收費站級場景，研究聯網收費網絡安全架構及網絡信息安全體系，以完善路網信息安全建設，保障公眾出行安全。

聯網收費；網絡安全；數據安全；高速公路

U491.2A501752

作者簡介：

蘇文琦（1990—），碩士，工程師，主要從事高速公路機電工程網絡規劃建設及信息安全管理工作。

0" 引言

截至2022年底，我國公路總里程達535.48×104 km，高速公路總里程達17.73×104 km［1］，為滿足經濟發展和人民生產生活需要，我國公路總里程仍在持續增長。高速公路聯網收費系統是管理高速公路通行費用及服務信息的關鍵基礎。該系統涵蓋了從部聯網中心、省聯網中心到路段中心、收費站及門架等各級子系統，承擔了包括車輛通行費清分結算、費率管理、稽核、出入口信息登記及費用收繳等業務。一旦數據安全受到威脅，將直接影響高速公路運行效率及車主與運營方的利益。此外，隨著信息技術的發展，聯網收費系統融合了云平臺、大數據等新技術，為系統使用帶來了便利，也增加了新型的數據安全風險。因此如何在使用新技術提升高速公路服務便捷性的同時，確保聯網收費系統網絡及數據安全已成為一個日益重要的問題。

1" 聯網收費系統安全現狀

在取消高速公路省界收費站工程實施后，廣西高速公路各路段中心及收費站都部署了一系列網絡安全管理系統，涵蓋綜合防火墻、數據庫審計、堡壘機、網絡準入、漏洞掃描、安全態勢感知、防病毒系統等，在設備級防護上獲得了一定的保障效果。但由于各業主單位與機電施工單位在網絡規劃及安全防護方案存在差異性，以及網絡安全威脅伴隨新技術的演進而不段升級、加劇，數據安全、密碼安全、云安全、資產安全等新安全技術保障方式的應用，跨多平臺、多層級、多環節安全管理的趨勢已不可避免。

2" 存在的安全問題及風險

在2023年部公路局、科技司組織開展的聯網收費系統安全評估報告中指出，省中心、區域/路段中心、收費站、門架存在如表1所示的共性安全問題。

3" 聯網收費網絡安全架構

依據《網絡安全法》《網絡安全等級保護基本要求》及業內相關標準規范，遵照“專網專用、分區分域、縱向認證、橫向隔離”的安全運營思路，在《聯網收費系統省域系統并網接入網絡安全基本要求》基礎上，針對區域中心及收費站及場景的聯網收費系統實行分級、分域安全管理，構建高速公路聯網收費系統一體化網絡安全防護體系（圖1）。

（1）專網專用：由于高速公路通行信息、交易流水、路側信息等數據具有較高的敏感性，聯網收費系統車主信息、出入口信息、行駛軌跡、交通路況等信息與人的個人生活、社會活動以及國家生產運營息息相關，并直接影響實體交通運輸的控制、調度及指揮，因此高速公路行業在信息化建設中對網絡的穩定性及運行的安全性具有較高的要求。其核心通信系統普遍沿公路主線建成，形成了為滿足高速公路運營使用要求的聯網收費專網、監控專網等，以全面保障業務數據在采集、傳輸、存儲、共享和使用等全使用周期的安全。

（2）分區分域：對路段中心、收費站、ETC門架、車道實現分區管理，網絡實現分域管控。在網絡安全領域，絕對安全是不存在的，每種安全措施都可能面臨被攻破的風險。針對不同的網絡攻擊行為，需要合理規劃和綜合采用多種防護措施，以形成多層次的安全防護體系。通過多層和多重防護，并根據信息系統的重要程度和業務特點，對不同的系統和數據進行合理劃分安全防護等級，以實現不同強度的安全保護。而對于關鍵業務系統和重要數據，可以集中資源，優先保護其安全，確保其不受到攻擊和威脅。即使某一層的安全措施被攻破，其他層次的安全措施仍然可以發揮作用，從而防范網絡攻擊行為造成整個系統被破壞的風險。

（3）縱向認證：聯網收費各層之間通過建立數字加密認證，實現路段中心、收費站、ETC門架系統的安全通信。數字加密是保障網絡信息安全的核心技術及基礎支撐，是解決網絡信息安全問題的最有效、最可靠的手段。聯網收費系統作為高速公路至關重要的信息基礎設施，需全面對數據傳輸與存儲、身份鑒別、接入認證等方面采用數字加密技術進行保護，以安全保障聯網收費系統重要業務數據的機密性、完整性、真實性。

（4）橫向隔離：聯網收費各區域之間通過部署防火墻系統，實現各個區域之間的邏輯隔離，通信流量受到管控。明確定義各安全區域的物理邊界和邏輯邊界，并對不同安全域之間的信任關系進行明確定義，對不同安全域之間的訪問進行身份驗證和授權，同時在安全域的網絡邊界建立有效的訪問控制策略，以限制安全域之間的通信和數據交換，防止未經授權的訪問。安全區域邊界主要是通過邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計方面實現［2］，結合對通信網絡和計算環境的安全策略進行合理設置，以有效防范安全區域邊界網絡攻擊，保證網絡系統的持續、穩定、可靠運行。

4" 網絡信息安全體系

規范的安全管理制度、先進的安全技術以及完善的安全運營及維護是實現網絡信息安全體系的基礎。為了保障信息安全，必須構建以網絡態勢感知系統為主要技術平臺、信息安全管理部門為業務載體、安全運營人員與安全管理制度為核心的全方位全周期保障網信息安全體系（圖2），實現從被動處置向主動干預、從靜態檢測向動態感知、從單點保障向全局部署、從粗放管理向精準防御轉變，以實時監測和及時阻斷已知的網絡攻擊及未知的入侵滲透風險，防范來自內外部的多樣性攻擊。

4.1" 安全技術體系

按照《聯網收費系統省域系統并網接入網絡安全基本技術要求》《聯網收費系統網絡分區分域管理指南（試行）》等文件要求，建立圍繞安全計算環境、安全通信網絡、安全區域邊界三個方面的安全技術體系。其中，安全計算環境主要是對系統的信息進行存儲處理，并應用安全策略保障信息在存儲和處理過程中的安全；安全通信網絡主要實現在網絡通信過程中的機密性、完整性防護，重點對系統安全計算環境之間的信息傳輸進行安全防護；安全區域邊界主要針對安全計算環境與安全通信網絡之間的雙向網絡攻擊的檢測、告警和阻斷［3］，并在此基礎上結合新技術的引進與擴展，構建可信、可控、可管的安全體系。

4.2" 安全管理體系

結合聯網收費業務實際需要，依據法律法規、行業規章制度要求，體系化推動制度機制、技術手段建設、人才培養等多方面工作落地，可以有效提高信息系統的防護、檢測、響應和恢復能力，保障聯網收費業務的安全穩定運行。完善網絡與數據安全管理制度，包括明確安全責任、權限管理、數據備份和恢復等方面的規定，并制定相應的工作流程；實施網絡安全風險評估并加強安全監測和響應能力，及時發現并解決潛在的安全風險；建立嚴格的身份認證和訪問控制機制，采用多因素認證、單點登錄等技術手段，確保只有合法用戶能夠訪問系統，并對不同用戶進行不同權限的訪問控制；同時需定期組織重要系統排查，對系統進行漏洞掃描和安全審計，及時修復安全漏洞，保障系統的安全穩定運行。

4.3" 安全運營體系

安全運營體系和安全技術體系、安全管理體系相輔相成，可以使安全運營體系更加規范高效，安全技術體系更加全面可靠，安全管理體系更加嚴密完善，從而保障信息系統的安全風險始終處于可控、可管的安全狀態。因此需完善聯網安全運行機制，規范網絡安全防護、預警監測、應急處置、系統資產管理、安全事件管理的工作流程，實施標準化安全運營，組建以本地團隊為主，外部支撐團隊為輔的專業化網絡安全運維團隊，將網絡安全監測轉為日常性業務工作，提升聯網收費系統網絡安全總體安全防護能力，有效提升對網絡安全事件的應對能力。持續開展安全檢查和治理，重點對通信網絡、數據庫、網絡安全系統、供配電、機房消防等方面進行檢查，及時修復各系統的安全隱患和漏洞。

4.4" 網絡攻防演練

在推進交通強國建設的戰略背景下，高速公路行業對信息化系統的依賴日益加深，構建一套兼容性好、穩定性強、安全長效的網絡系統，是保障高速公路各類信息化業務尤其是智慧化業務發展的前提條件。而網絡信息安全本質上是人與人、技術與技術間的攻防對抗，因此體系化、常態化及實戰化的網絡攻防演練是必不可少的。在不斷夯實網絡技術知識的基礎上，以真實網絡攻擊場景進行攻防演練模擬，動態地將理論培訓和實踐操作結合，可以讓網絡安全人員實景體驗并學習網絡攻擊應對之法，從而有效提升人員技能水平，并增強其面對攻擊時的應急處置能力及冷靜沉著面對攻擊的心理素質。

5" 結語

取消高速公路省界收費站工程的實施開創了“一張網運行、一體化服務”的新局面，有力推動了高速公路交通運輸的轉型升級與提質增效。未來高速公路行業的網絡信息安全建設需要結合實際業務場景，在交通運輸部整體部署的基礎上，采取綜合性的技術措施及管理手段，結合并網接入技術要求，對聯網收費系統網絡安全和數據安全進行優化升級，以實現聯網收費系統安全防護能力的專項提升，有效提高信息系統的安全防護、監測、應對和恢復能力，以抵御日益復雜的網絡攻擊與威脅，提高系統的承載能力，強化系統支持保障、防護能力，確保高速公路行業的網絡信息安全與穩定發展。

［1］2022年交通運輸行業發展統計公報［EB/OL］.https：//xxgk.mot.gov.cn/2020/jigou/zhghs/202306/t20230615_3847023.html，2023-12-02.

［2］GB/T22239-2019，信息安全技術網絡安全等級保護基本要求［S］.

［3］安恒信息.智能公路行業解決方案藍皮書［EB/OL］.https：//max.book118.com/html/2024/0306/504000433401114.shtm，2024-03-08.

20240326