加快高速公路機電系統三網融合建設的網絡與信息安全設計方案

陳靜 楊積冰 馬高琳

摘要：廣西高速公路機電系統三網（收費網、監控網、辦公網）融合的目標提出已久，運營公司、管理部門推進意愿低，根本原因是管理人員對信息化、自動化、智能化技術對基礎設施建設和運營場景的顛覆性改變缺乏認識，技術人員對網絡與信息安全在一個完整系統內的實現缺少理論框架和實踐經驗。文章考察了廣西某個高速公路運營中心的運行狀況，提出一種可行的網絡和信息安全設計方案，以期在廣西全區范圍內推廣。

關鍵詞：高速公路;機電系統;三網融合;網絡與信息安全

中圖分類號：U412.36 6 文獻標識碼：A DOl：10.13282/j.cnki wccst.2019.07.046

文章編號：1673-4874（2019）07-0154-04

0引言

高速公路機電系統分為三個部分：收費系統、監控系統、辦公應用系統。由于機電系統長期以來建設投入較低，而且投資方和建設方對IT系統服務業務乃至驅動業務的能力和關鍵性認識不夠，這三大系統的設計和施工一直沿用傳統的分開建設的方法。這種做法就造成了事實上的三網隔離（收費網、監控網、OA網）。如今隨著IT應用的發展、高速公路智能化建設的加速，這套老的系統架構越來越不適應實際需求。為了解除投資方和建設方對改變系統架構后可能引起的安全問題的擔憂，本文基于廣西高速公路機電系統現狀提出一種可行的網絡與信息安全設計方案。本文以一個高速公路運營中心的運行狀況為例展開考察，是因為廣西高速公路機電系統具有相當高程度的一致性，而且系統的指揮中樞集中在區域性的運營中心，在這個運營中心內，運營者的權力大，網絡、服務器設備高度集中。

1廣西某高速公路運營中心網絡拓撲

將該運營中心的網絡拓撲制圖見圖1。

2系統分析

收費網、監控網和OA網目前是相互獨立、物理隔離的狀態，主要基于三個方面考慮：（1）減少維護工作量，在三網隔離的情況下，網絡邊界更加清晰，便于迅速定位和解決網絡故障;（2）方便集團信息中心的統一管理，通過取消三個網絡在路段運營公司層面的互通，將網絡管理的責權收回信息中心，對網絡資源進行統一分配和調度;（3）某些收費數據安全性的需要，對此采取相對保守的處理方式，將三網隔開。

三網隔離的網絡架構存在方便管理、維護及保障數據安全的優點，但對于增長業務的需求，現有架構沒有辦法很好地應對，簡單的說，就是缺乏可用性和擴展性。主要體現在以下兩點：（1）未來的業務需要監控數據、收費數據、外網數據之間的交互。在大數據、云計算逐漸成熟的背景下，基于增值業務的各種應用蓬勃發展，這些應用都有著跨系統融合、將數據綜合分析、集中展示的特點。（2）現行數據的帶寬壓力集中在集團數據中心機房，存在潛在的性能瓶頸，有可能給運維工作帶來較大的負擔。在運營公司三網隔離的情況下，跨網絡的數據交換將全部經由集團中心機房處理，不僅對各路段到集團的物理通信鏈路的穩定性和速度有極高的要求，也給集團的核心交換機帶來很大的帶寬壓力。

在此基礎上進行三網融合，勢必會在網絡層面的某個節點出現互聯互通的情況，如不進行處理，安全風險將會增加，主要危險有數據泄露、惡意攻擊增加等。

3網絡和信息安全設計方案

3.1設計原則

從近兩年信息安全事件來看，絕大多數安全威脅主要來自于內部，內部的威脅遠大于外部安全威脅，傳統的著重于邊界安全的技術已經不能適應當前嚴峻的安全形勢。

信息安全防護建設必須是全方位、多層次地從技術、管理、運維等方面進行全面的設計和建設，從而有效保證和提高信息系統抵御不斷出現的安全威脅與風險的能力，保證系統安全穩定地運行。

3.2設計拓撲

本設計根據實際情況，從網絡架構安全、主機安全、超融合平臺安全、運維安全、數據安全、接入安全的角度，堅持易用性、先進性、實用性、高安全性和可拓展性設計原則，針對不同級別系統劃分安全域，設計出在保障安全可靠的前提下，具有更豐富的靈活性和擴展性的安全架構，拓撲總體設計如下頁圖2所示。

3.3設計方案

根據運營中心當前網絡結構、業務應用需求，按照技術體系中網絡安全規劃，以零信任網絡為基準，縮小安全區域。新設計的網絡結構劃分了不同的安全區域，將高等級安全區域進行物理隔離，比如收費系統內部，其他系統與收費系統之間都需要專用的物理設備和物理線路進行隔離，將中低等級安全區域進行邏輯隔離。在各區域邊界部署下一代防火墻等安全設備，在安全管理區域部署多種安全管理系統，有效提高了整個信息網絡的安全性。

根據應用、數據、用戶、特定接入的不同安全需求劃分出安全區域，依據安全域劃分原則，同一安全域擁有相同的安全等級和屬性，域內是相互信任的，安全風險主要來自不同的安全域互訪，需要加強安全域邊界的安全防護。區域之間依據業務及安全的需要配置安全策略，有效實現信息系統合理安全域劃分。

為了保障超融合內部之間的安全，需要利用超融合平臺本身提供的安全機制結合第三方安全技術手段對超融合內虛擬機之間的流量微隔離，確保流量可視、可管理和可控。同時，還需考慮運維、終端安全準入、遠程訪問、統一身份認證、數據脫敏、審計、日志保留、感知未知行為等安全技術手段。

3.3.1收費系統安全設計

收費系統是重點保障區域，屬于重要應用業務系統。安全設計如下：

（1）收費系統網出口與高管區之間部署下一代防火墻，進行嚴格的安全訪問控制。

（2）收費應用系統與數據庫進行分離，分別設置不同的安全域，安全域之間部署下一代防火墻，對應用系統與數據庫之間的流量進行嚴格的訪問控制，以確保在應用系統被入侵的情況下，不會波及到數據安全。

（3）收費應用服務器設置不同的API接[33，確保內部用戶讀寫與取數接口分離，并設置不同的安全區域。

（4）數據庫系統設置主數據庫和從數據庫。主數據庫可以讀寫，用于內部收費用戶訪問;從數據庫只能進行讀操作，用于抽數接口訪問。當主數據庫出現故障時，從數據庫升級為主數據庫，不影響數據正常讀寫。

3.3.2監控和96333系統安全設計

監控系統網主要存儲視頻監控數據，數據在本地存有一份，96333系統本地只有應用服務器，數據存儲在高管區，安全設計如下：

（1）監控系統網出口與高管區之間部署下一代防火墻，進行嚴格的安全訪問控制。

（2）監控應用服務器與監控數據服務器進行分離，劃分不同的安全域，中間部署下一代防火墻，嚴格控制應用于數據庫之間的流量。

（3）96333系統網絡出口與高管區之間部署下一代防火墻，以便進行安全控制，確保邊界安全。

3.3.3數據交換區安全設計

數據交換區功能主要用于將收費系統數據、監控系統數據和96333系統數據進行統一抽取存放，該區域是數據三網融合交匯區域，對安全性要求很高，安全設計如下：

（1）部署下一代防火墻，通過三條不同的物理線路，接入到收費系統網、監控系統網和96333系統網抽取數據。建議在有條件的情況下，3條線路分別接入到3臺物理防火墻，也可以將1臺物理防火墻虛擬成3臺邏輯防火墻形成隔離。

（2）在取數區設置一個DMZ區域，部署一臺服務器，用于存放收取的數據，并且設置嚴格的訪問控制策略，也可以選擇在超融合平臺中虛擬一個DMZ安全區域單獨存放抽取的數據。

（3）運營中心核心網絡接入到數據交換區防火墻，需要設置授權訪問數據，精確到源、目和端口控制。

3.3.4OA網接入運營中心公網安全設計

OA網用戶主要是高速收費站工作人員，分布不集中、安全不可控，安全設計如下：

（1）OA用戶通過運營中心直接上互聯網，需要在運營中心互聯網出口部署下一代防火墻。OA網用戶和運營中心網絡通過不同的物理鏈路連接到互聯網，嚴格控制OA網與運營中心網數據流量互通。

（2）為確保出口帶寬高利用率，需要在OA網接入到互聯網區域部署上網行為管理設備，嚴格審計控制OA網用戶上網行為，保障安全上網。

3.3.5超融合系統平臺安全設計

超融合系統在硬件網絡資源高可用的情況下，需要提高業務流量可視性以及虛擬機之間的微隔離，安全設計如下：

（1）利用超融合平臺安全技術，虛擬出下一代防火墻，將虛擬機之間的流量進行安全過濾、微隔離，實現東西向安全防護，避免虛擬機之間交叉感染。

（2）部署安全資源池，并與云平臺進行解耦，將云平臺內ITS系統和其他虛擬機流量引入到安全資源池進行分析、過濾、審計，確保云平臺內所有虛擬機業務流量安全可靠。安全資源池還能進行彈性擴展，可以虛擬出各種安全登保合規產品，如堡壘機、SSLVPN、日志審計、上網行為等。

3.3.6統一身份認證

因為業務系統對外開放，其受到的威脅相對更多，本身的靜態賬號密碼暴露了更多的脆弱性。為了確保訪問業務系統的安全可靠性，建議統一部署進行授權和身份認證，訪問業務系統進行雙因子認證，除了業務系統本身的賬號密碼外，還增加了輸入動態口令、短信驗證碼等手段，極大地提高了業務系統的訪問安全。

3.3.7安全監管區及運維安全設計

安全監管區為整個網絡的各安全區域提供安全控制、安全審計和安全運維服務功能，包括安全資源池、身份認證網關、動態感知系統等。安全設計建議如下：

（1）部署運維堡壘機。所有針對業務系統的運維，必須要求通過堡壘機授權認證，細化權限。可從安全資源池中虛擬。

（2）部署日志審計。將所有業務系統日志、網絡系統日志、安全設備日志統一存儲到日志審計設備，并且日志保留不少于6個月。可從安全資源池中虛擬。

（3）部署SSL VPN。所有針對從互聯網訪問內網的業務必須經過VPN加密，確保數據傳輸過程的安全。可從安全資源池中虛擬。

（4）部署數據庫審計。對所有數據庫的操作指令進行審計，發生異常行為即告警。可從安全資源池中虛擬。

（5）部署身份認證系統。對所有業務系統的訪問進行統一授權管控。

（6）部署動態感知系統。動態感知系統基于人工智能和大數據分析技術，能對所有運營中心的流量進行安全審計，發現潛在的威脅和異常攻擊行為，并對其進行追根溯源，將安全隱患徹底消滅在事故前。

4結語

一種有效、可行的信息安全設計方案必須是全方位的、多層次的，而且必須從技術、管理、運維等方面進行全面的建設，從而有效保證和提高信息系統抵御不斷出現的安全威脅與風險的能力，保證系統安全穩定地運行。本文以廣西某個高速公路運營中心為例，針對收費系統、監控系統、96333系統、數據交換區、OA系統、超融合系統的現行狀況分別提出相應的安全建設方案，從物理層到網絡層，再到傳輸層，多層次保障機電系統的網絡與信息安全，為三網融合的加快建設提供了有力保障。