淺談高速公路收費系統網絡信息安全管理

陳丹丹

廣州市高速公路有限公司營運分公司

淺談高速公路收費系統網絡信息安全管理

陳丹丹

廣州市高速公路有限公司營運分公司

本文就影響高速公路聯網收費系統網絡安全的主要因素以及針對系統安全采取的主要策略和措施進行了分析與論述，以降低收費系統運行風險，提高運行效率，保證聯網收費業務的正常運行。

高速公路；聯網收費；網絡安全；數據安全；安全風險；安全策略

1.網絡安全風險分析

1.1 物理傳輸鏈路安全分析

物理傳輸鏈路是聯網收費系統的運行基礎平臺，出現安全問題的大部份原因是源于管理不善，如線路被破壞等，直接導致通信中斷。另外，非法入侵者可直接使用竊取裝置從線纜竊取信號，將直接造成數據泄露或者被干擾、篡改。

1.2 網絡結構安全分析

通常，高速公路收費系統網絡是通過專用線纜與Internet相連接，而網絡設備、主機、應用系統等都不同程度地存在安全漏洞，攻擊者可以利用存在的漏洞進行信息竊取甚至破壞。另外，各節點中的網絡設備如路由器、交換機等都存在安全隱患，由于設置較復雜，疏忽了正確的安全性配置將使這些設備存在隱患。

1.3 操作系統安全分析

服務器操作系統在安裝之時，部分技術管理員未考慮系統安全性，因此安裝通常都使用缺省設置，系統會默認安裝很多無需使用的功能模塊，同時也開放了相對應的端口，而端口恰恰是入侵者侵入系統的門戶。操作系統的開發廠商都會在其產品里設置“后門”，加上系統本身不完善存在的漏洞，這些“后門”和漏洞將使聯網收費系統失去最后一道保護屏障。

1.4 數據庫安全分析

對于數據庫應用程序，數據庫的安全是至關重要的。目前聯網收費系統數據的安全性仍未得到足夠的重視，且大多數管理員對數據庫管理不專業、不熟悉，對數據安全關心太少甚至忽略數據安全。

1.5 應用系統安全分析

確保程序的完整性、安全性。在后期應用中，這就需要系統管理員做好系統維護工作了。如果系統安全沒有做好，導致系統被入侵，那么應用程序中做再多的安全防范也仍然難逃被破解、篡改的厄運。但收費系統絕大部分重要信息都在內部網絡收發，因此信息的機密性和完整性相對來說就較為安全。

1.6 網絡安全管理機制分析

對于一個龐大的聯網收費網絡來說，必須具有完善的管理制度并嚴格執行，以減少因內部管理而造成的各種漏洞。而實際維護中，管理制度如同虛設，主要有以下體現：1.系統管理員設置的過于簡單的密碼，或者不設置密碼；2.內部員工或開發人員利用網絡非法侵入系統，泄露數據信息、進入數據庫刪除、破壞數據等；3.管理混亂，如使用相同的用戶名、密碼，容易導致信息泄密；4.管理員誤操作導致系統或應用程序出現錯誤；5.機房可任意進出，給存有惡意的入侵者創造入侵、破壞條件。

2.網絡安全對策

2.1 物理傳輸鏈路安全

物理傳輸鏈路安全主要包括環境和設備安全，包括設備防盜、防止線路截獲、破壞，防電磁信息輻射泄漏、抗電磁干擾等。弱電系統在設計之時，應遵循布線部件標準和設計標準；布線方案設計應遵循布線系統性能、系統設計標準；布線施工安裝應遵循布線測試、安裝、管理標準及防火、防潮、機房及防雷接地等標準。

2.2 網絡結構安全

在架構網絡之時，盡量采用國產且不同品牌網絡設備，并關閉無需使用的端口，以降低被入侵風險。在Internet出入口設置網閘和防火墻，可以實現信息的安全隔離、系統防護、數據交換、病毒查殺等。網絡結構上，可使用VLAN劃分虛擬局域網，以增強局域網安全性，并抑制網絡風暴、隔離含有敏感數據的用戶組、降低信息泄密的可能性。因為不同VLAN之間必須通過路由器或者三層以上交換機傳輸信號，這樣，就能防止一個網段出現問題而影響整個網絡。

2.3 服務器操作系統安全

常見的服務器操作系統有Windows Server、Unix、Linux等，本文以Windows 2003 Server為例論述服務器系統安全策略：

(1)安裝最新補丁；

(2)設置磁盤權限，如：C盤只給administrators和system權限，其他的權限不給，其他的盤也可以這樣設置；

(3)關閉默認共享的空連，禁止Windows系統進行空連接；

(4)關閉不需要使用的端口及服務，如：ComputerBrowser，Taskschedule，RoutingandRemoteAccess等；

(5)使用高強度密碼，并定期更換密碼；

(6)監控系統、查找安全威脅及漏洞。

2.4 數據庫安全

數據庫(本文以SQL Server為例)的安全框架分為3個層次，即登入賬戶、資料庫的管理、連接特定資料庫的權限和使用者對所連接資料庫部分的操作權限。針對以上層次，我們可使用以下方法加強數據庫安全：

(1)數據庫賬戶安全策略：①使用WINDOWS系統認證模式；②使用安全的密碼策略；③使用安全的帳號策略。

(2)數據庫安全管理安全策略：①安裝最新版本的SERVICEPACK；②用安全基準分析器(如MBSA)來評估服務器的安全性；③加強數據庫日志記錄；④管理擴展存儲過程。

(3)數據庫連接安全策略：①使用協議加密；②修改TCP/IP使用的端口，隱藏數據庫TCP/IP端口；③拒絕通過1434端口的探測。

2.5 應用系統安全

在應用系統安全上，主要考慮傳輸信號的加密、通信授權(詳細內容參見國際標準ISO27034)，必須加強登錄過程的安全認證，以確保用戶的合法性；在應用系統設計之初，應該編寫嚴格限制登錄者操作權限的相關程序，控制好操作限制范圍。在應用軟件開發后期，應重點掃描程序是否存在漏洞，認真檢查程序的不足并加以修正。

2.6 網絡安全管理機制

為了保護網絡的安全性，除了在網絡設計上增加安全服務和系統管理員的安全培訓外，還必須制訂嚴格的管理制度，如“用戶授權管理辦法、機房管理辦法、保密措施”等，并嚴格實施。網絡安全一方面從純粹的管理上即安全管理制度來實現，另一方面從技術上建立高效的管理平臺，兩者相輔相成，缺一不可。

[1]金凌.高速公路聯網收費系統的信息安全[J].計算機工程，2013(10).

[2]田保慧.高速公路計算機收費系統管理軟件的開發[J].公路與汽運，2011(11).