小議高速公路信息系統(tǒng)的安全問題

摘 要:隨著山東省高速公路路網(wǎng)建設(shè)的迅猛發(fā)展，并由原來的人工收費(fèi)發(fā)展到了全省聯(lián)網(wǎng)收費(fèi)，收費(fèi)信息網(wǎng)絡(luò)越來越龐大，信息系統(tǒng)的安全性和數(shù)據(jù)的保密性變得越來越重要。本文針對高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)信息的安全問題，提出了多種解決方案。

關(guān)鍵詞:高速公路信息系統(tǒng)安全

中圖分類號:TP39文獻(xiàn)標(biāo)識碼:A文章編號:1674-098X(2011)08(c)-0087-01

1 前言

隨著山東省高速公路路網(wǎng)建設(shè)的迅猛發(fā)展，并由原來的人工收費(fèi)發(fā)展到了全省聯(lián)網(wǎng)收費(fèi)，我省的高速公路信息系統(tǒng)網(wǎng)絡(luò)為廣域網(wǎng)結(jié)構(gòu)，傳輸、存儲(chǔ)的信息數(shù)量龐大。近年來，隨著計(jì)算機(jī)技術(shù)、通信設(shè)備智能化技術(shù)等方面的飛速發(fā)展，“黑客”的攻擊手越來越高明，各種計(jì)算機(jī)病毒和木馬程序?qū)映霾桓F。如不能及時(shí)防范，輕則使整個(gè)收費(fèi)系統(tǒng)癱瘓，重則使收費(fèi)數(shù)據(jù)被泄漏、篡改，從而給收費(fèi)工作帶來重大經(jīng)濟(jì)損失。

2 高速公路信息系統(tǒng)特點(diǎn)及威脅

高速公路收費(fèi)系統(tǒng)是一個(gè)相對封閉的廣域網(wǎng)系統(tǒng)，收費(fèi)系統(tǒng)沒有連接Internet，減少了網(wǎng)絡(luò)被攻擊的機(jī)會(huì);但是在高速公路信息系統(tǒng)中，傳輸、存儲(chǔ)的信息很多，而且數(shù)據(jù)交換量大，包括話音、數(shù)據(jù)、文字、靜態(tài)圖片、活動(dòng)圖像、數(shù)據(jù)等，而這些信息又各有特征。因此在網(wǎng)絡(luò)組建、使用時(shí)，須特別考慮系統(tǒng)的安全。對于數(shù)據(jù)庫而言，一方面希望實(shí)現(xiàn)資源最大程度的共享，保證數(shù)據(jù)庫操作的方便和實(shí)時(shí)性;另一方面也要保證數(shù)據(jù)庫的安全保密。

我省高速公路收費(fèi)系統(tǒng)，經(jīng)歷了從單機(jī)到聯(lián)網(wǎng)的演變。收費(fèi)模式上升到網(wǎng)絡(luò)交換、網(wǎng)絡(luò)經(jīng)營、網(wǎng)絡(luò)進(jìn)行資金賬務(wù)拆分后，所有網(wǎng)絡(luò)信息的登錄點(diǎn)、信息交換通道、網(wǎng)絡(luò)開發(fā)或應(yīng)用工作人員的業(yè)務(wù)行為、網(wǎng)絡(luò)內(nèi)置的應(yīng)用軟件或系統(tǒng)等，均需進(jìn)行必要的關(guān)注。收費(fèi)系統(tǒng)應(yīng)當(dāng)被保護(hù)的資源有:基于TCP/IP的廣域網(wǎng)平臺(tái)、網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件以及操作者的行為。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自未授權(quán)的訪問、信息泄露和拒絕服務(wù)三個(gè)方面。

3 信息系統(tǒng)安全問題解決方案

按目前聯(lián)網(wǎng)收費(fèi)較為普遍的模式來看，收費(fèi)網(wǎng)絡(luò)一般由省總中心、各收費(fèi)中心、收費(fèi)分中心、收費(fèi)站四個(gè)層次組成。要防范收費(fèi)數(shù)據(jù)的安全，可從五個(gè)方面著手。

3.1 收費(fèi)系統(tǒng)網(wǎng)絡(luò)層的安全性

網(wǎng)絡(luò)層的安全性問題在于網(wǎng)絡(luò)是否得到控制，即是不是對于任何一個(gè)IP地址來源的用戶都能夠進(jìn)入網(wǎng)絡(luò)。

在收費(fèi)系統(tǒng)中，信息總中心、各信息中心、分中心以及收費(fèi)站都按統(tǒng)一規(guī)劃分配有固定的IP地址，通過網(wǎng)絡(luò)通道對網(wǎng)絡(luò)系統(tǒng)進(jìn)行訪問時(shí)，根據(jù)IP地址即能分辨出用戶的來源。目標(biāo)網(wǎng)站通過對來源IP進(jìn)行分析，便能初步判斷來自這一IP的數(shù)據(jù)是否安全，是否有權(quán)使用本網(wǎng)絡(luò)的數(shù)據(jù)，是否會(huì)對本網(wǎng)絡(luò)系統(tǒng)造成危害等，一旦發(fā)現(xiàn)某些數(shù)據(jù)來自于不可信任的IP地址，系統(tǒng)便會(huì)自動(dòng)將這些數(shù)據(jù)阻擋在外。

3.2 系統(tǒng)的安全性

在系統(tǒng)的安全性問題中，主要考慮兩個(gè)問題:一是病毒對于網(wǎng)絡(luò)的威脅;二是黑客對于網(wǎng)絡(luò)的破壞和侵入。

病毒的主要傳播途徑已由軟盤、光盤等存儲(chǔ)介質(zhì)轉(zhuǎn)成了網(wǎng)絡(luò)，多數(shù)病毒不僅能夠直接感染網(wǎng)絡(luò)上的計(jì)算機(jī)，而且能將自身在網(wǎng)絡(luò)上進(jìn)行復(fù)制，傳播和破壞的途徑多種多樣，一旦感染，后果不堪設(shè)想。所以，在網(wǎng)絡(luò)環(huán)境下，防病毒工作就更加復(fù)雜，它必須能夠針對網(wǎng)絡(luò)中各個(gè)可能的病毒入口來進(jìn)行防護(hù)。

網(wǎng)絡(luò)黑客，其主要目的是竊取數(shù)據(jù)和非法修改系統(tǒng)。他們常用的手段為:一是竊取合法用戶的口令，在合法身份的掩護(hù)下進(jìn)行非法操作;二是利用網(wǎng)絡(luò)操作系統(tǒng)的某些合法但不為系統(tǒng)管理員和合法用戶所熟知的操作指令。所以一方面須加強(qiáng)口令的管理，另一方面，在系統(tǒng)安裝時(shí)，須弄清哪些指令可以不安裝，哪些指令的使用權(quán)限須限制，做好這些工作后，可在一定程度上提高操作系統(tǒng)本身的安全性。

3.3 用戶的安全性

對用戶的安全性問題，要考慮的就是:被授權(quán)的用戶，能使用系統(tǒng)中哪些資源和數(shù)據(jù)？按照收費(fèi)系統(tǒng)的網(wǎng)絡(luò)特點(diǎn)，可以按照不同的等級設(shè)置不同的安全級別，每一等級的用戶只能訪問與其等級相對應(yīng)的系統(tǒng)資源和數(shù)據(jù)。如總中心的用戶根據(jù)需要可訪問分中心和收費(fèi)站的數(shù)據(jù)，分中心用戶可訪問收費(fèi)站數(shù)據(jù)，而收費(fèi)站用戶卻無權(quán)訪問分中心和路公司的數(shù)據(jù)，當(dāng)然，各系統(tǒng)等級的不同用戶也應(yīng)有不同的訪問權(quán)限。

4 應(yīng)用程序的安全性

應(yīng)用程序的安全性需解決的是:是否只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn)行合法的操作？對高速公路收費(fèi)系統(tǒng)而言，上級部門的應(yīng)用程序一般能夠訪問下級部門的數(shù)據(jù)，而下級部門的應(yīng)用程序一般不允許訪問上級部門的數(shù)據(jù)，對同一部門不同業(yè)務(wù)的應(yīng)用程序，也應(yīng)限制數(shù)據(jù)的互訪，避免數(shù)據(jù)的意外損壞。

5 數(shù)據(jù)的安全性

數(shù)據(jù)的安全性所要解決的是:數(shù)據(jù)是否處于保密狀態(tài)？在數(shù)據(jù)的保存過程中，機(jī)密的數(shù)據(jù)即使處于安全的空間，也要對其進(jìn)行加密處理。這樣即使數(shù)據(jù)不幸失竊，盜竊者也不能讀懂其中的內(nèi)容。

收費(fèi)數(shù)據(jù)的安全是收費(fèi)業(yè)務(wù)最根本的安全，所以我們必須從多方面著手，保證數(shù)據(jù)的安全。

(a)使用安全的密碼

我們把密碼策略放在安全方案的第一位，在日常工作中，密碼保護(hù)分兩個(gè)方面:一是操作系統(tǒng)的登錄密碼保護(hù);二是數(shù)據(jù)庫的賬號密碼保護(hù)。

(b)使用安全的賬號

每一個(gè)系統(tǒng)操作員都應(yīng)有自己的登陸帳號及密碼，在登陸系統(tǒng)時(shí)應(yīng)使用自己的帳號登陸，這樣系統(tǒng)就可根據(jù)帳號的不同將不同的人員的操作記錄下來。

(c)加強(qiáng)數(shù)據(jù)庫的日志記錄

通過查看數(shù)據(jù)庫的日志記錄，可以追查故障發(fā)生的原因，從而找到排除的方法。

(d)使用協(xié)議加密

(e)對網(wǎng)絡(luò)連接進(jìn)行IP限制

(f)數(shù)據(jù)庫的備份

數(shù)據(jù)備份有以下兩種:(1)手工磁帶備份、(2)自動(dòng)備份。對我們高速公路而言，目前普遍采用的方案應(yīng)是自動(dòng)備份。但是在自動(dòng)備份的環(huán)境下，我們對數(shù)據(jù)的安全仍不能掉以輕心，還需要手工備份，把數(shù)據(jù)存放到一個(gè)更安全的可控環(huán)境中。

(g)病毒防護(hù)

病毒防護(hù)應(yīng)包括技術(shù)和管理兩個(gè)方面。技術(shù)上在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng)，在客戶端則安裝單機(jī)版或網(wǎng)絡(luò)版的客戶端防病毒軟件，實(shí)現(xiàn)病毒的實(shí)時(shí)檢測、清除或隔離。安裝了防病毒軟件后，并非萬事大吉，必須做好病毒定義的實(shí)時(shí)更新;否則，防病毒軟件形同虛設(shè)。在管理上，須制定一套行之有效的規(guī)章制度，嚴(yán)禁使用來歷不明的軟件，嚴(yán)禁使用外帶的軟盤或光盤，提高各級人員的安全意識，才能從根本上防止病毒對網(wǎng)絡(luò)的侵害。

6結(jié)語

通過以上措施，可以在一定程度上提高高速公路信息系統(tǒng)本身的安全防范能力。但最為主要的還是各信息中心、收費(fèi)站要加強(qiáng)內(nèi)部的安全控制和管理員的安全培訓(xùn)，制定各類管理制度，明確各級人員對收費(fèi)網(wǎng)絡(luò)系統(tǒng)的使用和訪問權(quán)限，制定系統(tǒng)安全保密等級及保護(hù)規(guī)范，制定數(shù)據(jù)安全管理辦法，避免內(nèi)部數(shù)據(jù)的外泄。只有真正將數(shù)據(jù)的安全性在管理上落到實(shí)處，才能真正保障數(shù)據(jù)的安全。

參考文獻(xiàn)

[1]鄒國平，黃錚.高速公路機(jī)電工程軟件開發(fā)技術(shù)編著[M].電子工業(yè)出版社.

[2]許宏科，趙祥模，關(guān)克.[M].高速公路收費(fèi)系統(tǒng)理論及應(yīng)用.