ETNS網絡安全分析與關鍵控制技術

李寶敏

(河北省高速公路京秦管理處唐山管理所)

1 國內收費系統當前存在的安全問題

(1)計算機病毒一直是計算機安全的主要威脅。例如在查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統導致嚴重的破壞。

(2)網絡體系方面包括:由于存在路由器級連復接，對于窄帶的多次轉發，其傳輸信息的可靠性和響應速度可能會出現問題;網絡中可能會存在非法機器的接入問題;同時，路由器存在對不同級別、不同路段之間互訪未加以控制，可能會發生系統被攻擊、帶寬被非法數據占用等安全隱患。

(3)數據傳輸方面包括:主干傳輸線路采用光纖專網，并且收費系統對于數據傳輸實時性要求低，線路安全要求低，易出現網絡擁塞問題、數據和口令的加密。

(4)高速公路聯網收費系統還存在相當多的安全技術問題，如:安全訪問控制措施、防病毒安全措施、入侵檢測措施、遠程安全評估技術、信息安全審計技術以及安全管理平臺措施等。

2 安全風險分析

(1)用戶身份假冒:非法用戶假冒合法用戶的身份訪問應用資源，如攻擊者通過各種手段取得應用系統的一個合法用戶的賬號訪問應用資源，或是一個內部的合法用戶盜用領導的用戶賬號訪問應用資源。用戶身份假冒的風險來源主要有兩點:一是應用系統的身份認證機制比較薄弱，如把用戶信息(用戶名、口令)在網上明文傳輸，造成用戶信息泄漏;二是用戶自身安全意識不強，如使用簡單的口令，或把口令記在計算機旁邊。

(2)非授權訪問:非法用戶或者合法用戶訪問在其權限之外的系統資源。其風險來源于兩點:一是應用系統沒有正確設置訪問權限，使合法用戶通過正常手段就可以訪問到不在權限范圍之內的資源;二是應用系統中存在一些后門、隱通道、陷阱等，使非法用戶(特別是系統開發人員)可以通過非法的途徑進入應用系統。

(3)數據竊取、篡改、重放攻擊、抵賴:攻擊者通過偵聽網絡上傳輸的數據，竊取重要數據，或以此為基礎實現進一步的攻擊。包括:攻擊者利用網絡竊聽工具竊取經由網絡傳輸的數據包，通過分析獲得重要的信息;內部用戶通過網絡偵聽獲取在網絡上傳輸的用戶賬號，利用此賬號訪問應用資源;攻擊者篡改網絡上傳輸的數據包，使信息的接收方接收到不正確的信息，影響正常的工作;信息發送方或接收方抵賴曾經發送過或接收到了信息。

(4)在已經制定的安全管理制度內容，個別人員和部門沒有按照規定執行，這個給收費系統的安全性增加了安全漏洞和弱點，由于執行力度中存在的安全漏洞和弱點易于產生安全威脅，這些安全漏洞和弱點容易被不法人員利用，導致安全事件的發生。

(5)操作系統的安裝以正常工作為目標，一般很少考慮其安全性。因此安裝通常都是以缺省選項進行設置。從安全角度考慮，其表現為裝了很多用不著的功能模塊，開放了很多不必開放的端口，其中可能隱含了安全風險。如果系統不進行安全加固，非常容易黑客的攻擊和計算機病毒的破壞。

(6)在物理安全方面，與高速公路收費網絡相關的安全風險主要在于傳輸數據的安全性。由于TCP/IP協議是一種包交換網絡，各個數據包在網絡上都是透明傳輸的，將經過各個不同的網絡，由那些網絡上的路由器轉發，才能到達目的計算機。由于數據包都是直接經過這些網絡，那么這些網絡上的計算機都有可能將其捕獲，從而竊聽到正在傳輸的數據。

3 結構安全關鍵技術

3.1 入侵檢測技術

從目前我國高速公路網絡現狀來看，運行的設備較多，不僅包括計算機、交換機、路由器，還包括不少無線設備，尤其是近年來全國各高速公路系統相繼安裝了自動稱重系統、車牌照抓拍系統、電子支付系統、不停車收費系統之后，網絡的規模越來越大、越來越復雜，可直接訪問網絡的設備也越來越多。同時，高速公路的維護人員會通過遠程連接方式接入到高速公路收費系統網絡中進行設備及軟件系統的調試，聯網收費結算中心也經常會連接到各家高速公路公司網絡上查看拆帳異常情況。由此可見，高速公路網絡的接入點和接入方式很多，對網絡管理人員來說，管理的難度和復雜度都很高，很難實現安全的控制。現在高速公路網絡以及由此引出的許多有關高速公路收費網絡安全的問題都應該引起我們的重視，尤其是高速公路某些不太自律的員工或網管對網絡資源無意或有意的接入，對收費系統網絡會造成巨大的損失，造成很壞的社會影響。而入侵檢測技術能有效保護高速公路聯網收費系統中的安全問題，具體工作有以下幾個方面。

(1)對誤用與異常相結合的入侵檢測系統進行了架構的設計，并詳細描述了該系統的流程;

(2)在具體設計部分，對于各個引擎的實現進行了詳細的描述;

(3)針對實際中的應用，對該入侵檢測系統進行了測試，并取得了較好的測試結果。

3.2 加密技術

(1)對現有加密技術進行了研究，特別是研究了目前流行的兩類加密體制:對稱加密算法DES和公開加密算法RSA，并對其實現原理和過程進行了詳細的描述和分析;

(2)在分析和比較的基礎上，提出了用對稱加密算法來加密明文，用公鑰加密算法加密會話密鑰的混合加密思想，對其實現原理和結構進行了描述;

(3)詳細描述了混合加密的實現算法，特別對于RSA算法中的一些數論算法進行了研究和探討。并進行了初步的試驗。通過試驗，達到了較好的加密效果。

4 結語

高速公路聯網收費系統的安全問題正逐漸成為被關注的焦點，只有在網絡系統的設計、實施到運行管理各階段、多方面采取措施才能真正有效減少系統的不安全因素，才能確保網絡信息的保密性、完整性和可用性。因此對系統進行徹底的網路安全檢測和評估，并及時進行必要的網絡安全整改，將有利于降低運行風險，提高運作效率，保證聯網收費業務的正常運作。

[1] 曹偉.高速公路聯網收費系統網絡安全設計[J].公路，2004，(2).

[2] 陳波龍，全金龍.關于高速公路聯網收費系統管理的探討[J].黑龍江交通科技，2006，(5).

[3] 金凌，錢剛.高速公路聯網收費系統的信息安全[J].計算機工程，2003，29(10).

[4] 宋蕾.高速公路聯網收費系統分析[J].科技情報開發與經濟，2004，14(3).

[5] 韓鴻哲，王志良，費愛國等.內置入侵檢測功能的防火墻設計[J].計算機工程與應用，2003，(25):151-152.

[6] 周克儉，左孝凌.基于DES和RSA的網絡數據安全系統[J].計算機工程與應用，1998，(9).