ETNS網(wǎng)絡(luò)安全分析與關(guān)鍵控制技術(shù)

李寶敏

(河北省高速公路京秦管理處唐山管理所)

1 國內(nèi)收費(fèi)系統(tǒng)當(dāng)前存在的安全問題

(1)計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。例如在查看文檔、瀏覽圖像或在Web上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。

(2)網(wǎng)絡(luò)體系方面包括:由于存在路由器級(jí)連復(fù)接，對(duì)于窄帶的多次轉(zhuǎn)發(fā)，其傳輸信息的可靠性和響應(yīng)速度可能會(huì)出現(xiàn)問題;網(wǎng)絡(luò)中可能會(huì)存在非法機(jī)器的接入問題;同時(shí)，路由器存在對(duì)不同級(jí)別、不同路段之間互訪未加以控制，可能會(huì)發(fā)生系統(tǒng)被攻擊、帶寬被非法數(shù)據(jù)占用等安全隱患。

(3)數(shù)據(jù)傳輸方面包括:主干傳輸線路采用光纖專網(wǎng)，并且收費(fèi)系統(tǒng)對(duì)于數(shù)據(jù)傳輸實(shí)時(shí)性要求低，線路安全要求低，易出現(xiàn)網(wǎng)絡(luò)擁塞問題、數(shù)據(jù)和口令的加密。

(4)高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)還存在相當(dāng)多的安全技術(shù)問題，如:安全訪問控制措施、防病毒安全措施、入侵檢測(cè)措施、遠(yuǎn)程安全評(píng)估技術(shù)、信息安全審計(jì)技術(shù)以及安全管理平臺(tái)措施等。

2 安全風(fēng)險(xiǎn)分析

(1)用戶身份假冒:非法用戶假冒合法用戶的身份訪問應(yīng)用資源，如攻擊者通過各種手段取得應(yīng)用系統(tǒng)的一個(gè)合法用戶的賬號(hào)訪問應(yīng)用資源，或是一個(gè)內(nèi)部的合法用戶盜用領(lǐng)導(dǎo)的用戶賬號(hào)訪問應(yīng)用資源。用戶身份假冒的風(fēng)險(xiǎn)來源主要有兩點(diǎn):一是應(yīng)用系統(tǒng)的身份認(rèn)證機(jī)制比較薄弱，如把用戶信息(用戶名、口令)在網(wǎng)上明文傳輸，造成用戶信息泄漏;二是用戶自身安全意識(shí)不強(qiáng)，如使用簡(jiǎn)單的口令，或把口令記在計(jì)算機(jī)旁邊。

(2)非授權(quán)訪問:非法用戶或者合法用戶訪問在其權(quán)限之外的系統(tǒng)資源。其風(fēng)險(xiǎn)來源于兩點(diǎn):一是應(yīng)用系統(tǒng)沒有正確設(shè)置訪問權(quán)限，使合法用戶通過正常手段就可以訪問到不在權(quán)限范圍之內(nèi)的資源;二是應(yīng)用系統(tǒng)中存在一些后門、隱通道、陷阱等，使非法用戶(特別是系統(tǒng)開發(fā)人員)可以通過非法的途徑進(jìn)入應(yīng)用系統(tǒng)。

(3)數(shù)據(jù)竊取、篡改、重放攻擊、抵賴:攻擊者通過偵聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，竊取重要數(shù)據(jù)，或以此為基礎(chǔ)實(shí)現(xiàn)進(jìn)一步的攻擊。包括:攻擊者利用網(wǎng)絡(luò)竊聽工具竊取經(jīng)由網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，通過分析獲得重要的信息;內(nèi)部用戶通過網(wǎng)絡(luò)偵聽獲取在網(wǎng)絡(luò)上傳輸?shù)挠脩糍~號(hào)，利用此賬號(hào)訪問應(yīng)用資源;攻擊者篡改網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，使信息的接收方接收到不正確的信息，影響正常的工作;信息發(fā)送方或接收方抵賴曾經(jīng)發(fā)送過或接收到了信息。

(4)在已經(jīng)制定的安全管理制度內(nèi)容，個(gè)別人員和部門沒有按照規(guī)定執(zhí)行，這個(gè)給收費(fèi)系統(tǒng)的安全性增加了安全漏洞和弱點(diǎn)，由于執(zhí)行力度中存在的安全漏洞和弱點(diǎn)易于產(chǎn)生安全威脅，這些安全漏洞和弱點(diǎn)容易被不法人員利用，導(dǎo)致安全事件的發(fā)生。

(5)操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性。因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的功能模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。如果系統(tǒng)不進(jìn)行安全加固，非常容易黑客的攻擊和計(jì)算機(jī)病毒的破壞。

(6)在物理安全方面，與高速公路收費(fèi)網(wǎng)絡(luò)相關(guān)的安全風(fēng)險(xiǎn)主要在于傳輸數(shù)據(jù)的安全性。由于TCP/IP協(xié)議是一種包交換網(wǎng)絡(luò)，各個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)模瑢⒔?jīng)過各個(gè)不同的網(wǎng)絡(luò)，由那些網(wǎng)絡(luò)上的路由器轉(zhuǎn)發(fā)，才能到達(dá)目的計(jì)算機(jī)。由于數(shù)據(jù)包都是直接經(jīng)過這些網(wǎng)絡(luò)，那么這些網(wǎng)絡(luò)上的計(jì)算機(jī)都有可能將其捕獲，從而竊聽到正在傳輸?shù)臄?shù)據(jù)。

3 結(jié)構(gòu)安全關(guān)鍵技術(shù)

3.1 入侵檢測(cè)技術(shù)

從目前我國高速公路網(wǎng)絡(luò)現(xiàn)狀來看，運(yùn)行的設(shè)備較多，不僅包括計(jì)算機(jī)、交換機(jī)、路由器，還包括不少無線設(shè)備，尤其是近年來全國各高速公路系統(tǒng)相繼安裝了自動(dòng)稱重系統(tǒng)、車牌照抓拍系統(tǒng)、電子支付系統(tǒng)、不停車收費(fèi)系統(tǒng)之后，網(wǎng)絡(luò)的規(guī)模越來越大、越來越復(fù)雜，可直接訪問網(wǎng)絡(luò)的設(shè)備也越來越多。同時(shí)，高速公路的維護(hù)人員會(huì)通過遠(yuǎn)程連接方式接入到高速公路收費(fèi)系統(tǒng)網(wǎng)絡(luò)中進(jìn)行設(shè)備及軟件系統(tǒng)的調(diào)試，聯(lián)網(wǎng)收費(fèi)結(jié)算中心也經(jīng)常會(huì)連接到各家高速公路公司網(wǎng)絡(luò)上查看拆帳異常情況。由此可見，高速公路網(wǎng)絡(luò)的接入點(diǎn)和接入方式很多，對(duì)網(wǎng)絡(luò)管理人員來說，管理的難度和復(fù)雜度都很高，很難實(shí)現(xiàn)安全的控制。現(xiàn)在高速公路網(wǎng)絡(luò)以及由此引出的許多有關(guān)高速公路收費(fèi)網(wǎng)絡(luò)安全的問題都應(yīng)該引起我們的重視，尤其是高速公路某些不太自律的員工或網(wǎng)管對(duì)網(wǎng)絡(luò)資源無意或有意的接入，對(duì)收費(fèi)系統(tǒng)網(wǎng)絡(luò)會(huì)造成巨大的損失，造成很壞的社會(huì)影響。而入侵檢測(cè)技術(shù)能有效保護(hù)高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)中的安全問題，具體工作有以下幾個(gè)方面。

(1)對(duì)誤用與異常相結(jié)合的入侵檢測(cè)系統(tǒng)進(jìn)行了架構(gòu)的設(shè)計(jì)，并詳細(xì)描述了該系統(tǒng)的流程;

(2)在具體設(shè)計(jì)部分，對(duì)于各個(gè)引擎的實(shí)現(xiàn)進(jìn)行了詳細(xì)的描述;

(3)針對(duì)實(shí)際中的應(yīng)用，對(duì)該入侵檢測(cè)系統(tǒng)進(jìn)行了測(cè)試，并取得了較好的測(cè)試結(jié)果。

3.2 加密技術(shù)

(1)對(duì)現(xiàn)有加密技術(shù)進(jìn)行了研究，特別是研究了目前流行的兩類加密體制:對(duì)稱加密算法DES和公開加密算法RSA，并對(duì)其實(shí)現(xiàn)原理和過程進(jìn)行了詳細(xì)的描述和分析;

(2)在分析和比較的基礎(chǔ)上，提出了用對(duì)稱加密算法來加密明文，用公鑰加密算法加密會(huì)話密鑰的混合加密思想，對(duì)其實(shí)現(xiàn)原理和結(jié)構(gòu)進(jìn)行了描述;

(3)詳細(xì)描述了混合加密的實(shí)現(xiàn)算法，特別對(duì)于RSA算法中的一些數(shù)論算法進(jìn)行了研究和探討。并進(jìn)行了初步的試驗(yàn)。通過試驗(yàn)，達(dá)到了較好的加密效果。

4 結(jié)語

高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)的安全問題正逐漸成為被關(guān)注的焦點(diǎn)，只有在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)施到運(yùn)行管理各階段、多方面采取措施才能真正有效減少系統(tǒng)的不安全因素，才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。因此對(duì)系統(tǒng)進(jìn)行徹底的網(wǎng)路安全檢測(cè)和評(píng)估，并及時(shí)進(jìn)行必要的網(wǎng)絡(luò)安全整改，將有利于降低運(yùn)行風(fēng)險(xiǎn)，提高運(yùn)作效率，保證聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)的正常運(yùn)作。

[1] 曹偉.高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)[J].公路，2004，(2).

[2] 陳波龍，全金龍.關(guān)于高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)管理的探討[J].黑龍江交通科技，2006，(5).

[3] 金凌，錢剛.高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)的信息安全[J].計(jì)算機(jī)工程，2003，29(10).

[4] 宋蕾.高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)分析[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2004，14(3).

[5] 韓鴻哲，王志良，費(fèi)愛國等.內(nèi)置入侵檢測(cè)功能的防火墻設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2003，(25):151-152.

[6] 周克儉，左孝凌.基于DES和RSA的網(wǎng)絡(luò)數(shù)據(jù)安全系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用，1998，(9).