福建省高速公路聯網系統網絡安全探析

摘 要：文章針對福建省高速公路機電系統網絡結構特點，分析了網絡系統可能存在的安全隱患，并給出一些完善聯網系統網絡安全方面的探索經驗。

關鍵詞：高速公路；機電系統；網絡安全

1 網絡結構分析

福建省高速公路監控中心負責全省高速公路收費、通信、監控、信息化系統的日常運營管理，是福建省高速公路收費、通信、監控和信息化系統聯網的總中心。

聯網系統主要包含內外網系統。內網信息管理系統主要包括辦公自動化系統、道路綜合信息管理系統、GIS地理信息系統、路政管理系統、財務系統、機電管理系統、養護管理系統等，可以通過相關終端進行相關的功能操作、數據分析及查詢統計。外網信息管理系統可通過Internet向外界發布相關信息，提供基本管理、信息查詢等功能。

網絡結構包含了收費網絡、監控網絡、通信網絡、信息化網絡等，架構上是一個內外網互聯、開放私密互聯的聯網系統。網絡承載內容的擴大使得計算機收費業務不再獨享廣域高速公路數據網絡的資源，數據網絡已經成為多業務共用的信息平臺[1]。下文以收費系統網絡（圖1所示）為例闡述網絡安全的分析和防范。

圖1 福建高速公路聯網收費系統結構圖

2 網絡安全隱患

網絡安全隱患是指網絡中可能遇受到的：系統的硬件、軟件和數據受到偶然的或者惡意的原因而被破壞，被更改、中斷，從而系統無法連續可靠地運行。網絡安全從根本上說，就是網絡信息安全，包括信息的靜態存儲安全和動態傳輸安全。

2.1 線路物理安全

線路物理安全是整個網絡系統安全的前提，線路物理安全包括：（1）環境因素，如地震、雷擊、火災、靜電、蟲鼠等因素造成的系統故障；（2）保障因素，如電源、人為管理操作不當、偷盜等因素造成系統故障或損失。

2.2 數據傳輸安全

一個穩定、安全、可靠的數據傳輸安全對高速公路聯網系統來說必不可少。企業的信息傳輸過程，會遭受不可預測的某些因素給企業帶來損失，建立安全傳輸策略是很有必要的。

2.2.1 病毒防范。高速公路計算機網絡是一個龐大的網絡體系，擁有眾多的節點，這就導致各個節點的防病毒體系存在薄弱點，例如，病毒可能存在于某個局域網辦公室電腦上，或者存在于某個外網節點上，不停攻擊整個網絡，卻較難被檢測和發現。

2.2.2 數據完整性。如圖1所示，收費數據的傳輸要經過數個中間站，才能到達省聯網結算中心。數據在傳輸過程中，可能出現丟失、攔截、或者被篡改。因此，保障數據的完整性是安全的一個重要環節。

2.3 數據存儲安全

數據主要是通過本地備份實現。近年來大熱的云備份由于云的開放性，使得數據的私密性需求存在安全擔憂?？紤]到省高速信息數據涉及用戶的私密性，因此數據更多依賴于本地備份。

3 網絡安全措施

網絡安全非常重要，應同時做到保證信息的準確、及時傳輸。

3.1 線路安全建設

線路安全建設是一個系統工程，涉及到各方面的建設，例如環境安全、保障、管理等方面。

3.1.1 環境安全。監控中心中控室機房選擇環境清潔、無強振源和噪聲源、無強強電磁場的地點建設專業機房。機房建設應符合GB9361-88《計算站場地安全要求》、GB2887-89《計算站場地技術條件》、國標GB50173-93《電子計算機機房設計規范》規范建設。配套輔助房間有配電進線室、穩壓電源室、新風機房、消防二氧化碳氣體鋼瓶間、開水房等。地面采用600* 600 *35全鋼抗靜電活動地板鋪設。

3.1.2 電源系統。穩定的電源系統是設備正常運行避免故障的保證。考慮到機房供電的穩定性，采用冗余電源方案，對機房供電采用雙電源，輔以UPS保護的方式：以市電（雙回路）為主，配備柴油發電機作為備用電源。同時，系統的重要設備均接入UPS不間斷電源，作為斷電的保護。

3.2 數據傳輸安全

安全數據傳輸是網絡安全非常重要的一個環節，對高速公路聯網系統網絡而言，尤其對信息數據的準確性有更嚴苛的要求。

3.2.1 病毒漏洞。收費系統中各個節點或終端，例如車道收費工作站、收費站服務器、報表打印、視頻監控等計算機系統，采用的幾乎都是微軟的Windows 操作系統。不斷出現新病毒和漏洞是防不勝防的情況（防火墻也不可能擋住所有的病毒和漏洞）。一勞永逸的安全從技術理論上講不可能實現， 在實踐中也不存在[2]。所以從現實情況出發，采用勤殺毒、勤打補丁，不安裝和使用來歷不明的軟件等措施。

3.2.2 入口堵截。將病毒在入口堵截，是隔離網絡攻擊的有效途徑。應將辦公網絡與互聯網連接的端點視為控制重點，設置防火墻。外網與內網用防火墻隔離，例如，互聯網和高速公路收費系統網絡要設立防火墻和網閘。在各收費系統網絡內部的不同區域，例如，結算中心服務器、數據庫也應該設置防火墻隔離、過濾數據，對網絡的操作進行限制，抵御網絡攻擊等。

3.2.3 數據保護。通過加密提高數據安全，例如對車道的上傳金額和拆賬金額通過加密算法處理，加密后再傳輸；通過對數據庫表格添加校驗字段，來實現傳輸數據的完整性檢驗；通過傳輸過程的權級口令身份驗證或者數字簽名，增加黑客介入的難度；通過引入第三方審計，驗證和記賬，提高數據保護的等級。

3.3 數據備份

數據備份是容災的基礎，是為了防止系統因操作失誤或者故障，而導致的數據丟失后果。數據備份分為冷備份和熱備份，目的是將全部或部分數據從當前工作系統主機的硬盤或磁盤陣列，復制轉儲到其它的存儲介質。

3.3.1 RAID 磁盤陣列。通過配置磁盤陣列，提高磁盤的安全性和速度。一般應要求當前工作的服務器（生產機）配備有RAID 磁盤陣列，以滿足用戶實時訪問請求需求。

3.3.2 磁帶庫。磁帶庫適合用來長久存放數據，作為數據倉庫，磁帶庫中多個磁帶被共同存取，相當于磁帶陣列。磁帶庫讀取性能上雖不如磁盤陣列，但是它容量大，經濟性較好，適合存儲長期少用的數據。在本公司網絡安全建設中，使用一臺TS3100磁帶庫備份歷史大數據。

3.3.3 雙機熱備份。使用兩臺小型機構成一套收費系統生產平臺，視為一臺整體機。配置當前服務器的備份機（以下稱為備份機），作為當前生產機的熱備份，備份機與當前生產服務器安裝一樣的操作系統版本，一樣的數據庫軟件版本，一樣的數據保存量。當生產機遇到故障，短時間不可修復正常時，安排備份機作為生產機。備份機保存的是從收費系統開通至今為止的全部數據。除了熱備份任務，備份機平時可兼作為歷史查詢機使用。

4 結束語

福建高速公路信息化建設正在不斷加強，信息安全問題正在逐漸成為被關注的對象。在當前信息網絡建設過程中，本文提出了網絡建設中存在的一些安全隱患，并在施工建設中給出一些提高網絡安全性的措施和建議，在福建高速網絡信息化建設過程中得到了應用。網絡安全措施應針對具體的網絡情況，具體分析，隨著聯網系統的不斷發展，網絡安全也應與時俱進，為信息化建設保駕護航。

參考文獻

[1]關積珍.ITS共用信息平臺系統結構及集成[J].交通運輸系統工程與信息，2002（04）：11-16.

[2]何偉，靖勃.陜西高速公路聯網系統網絡安全與管理[J].中國交通信息產業，2009（06）：119-121.