高速公路信息網絡安全風險與對策探析

李明 中國葛洲壩集團公路運營有限公司

引言

因為高速公路在高效、高速以及高標準等等方面有著極高的要求，所以，一定程度上也促使了它對更多高新技術的應用。在網絡以及信息系統的支持下，使得高速公路系統信息化、自動化水平越來越高，實現了從單業務、單系統、單路段到業務協同、應用綜合以及路網縱橫的有效轉變。與此同時，高速公路網絡信息安全也逐漸暴露其風險，迫切需要針對性的措施，從而將風險發生率降低到最低。

一、現階段我國高速公路信息網絡安全風險概述

(一）通信網絡存在的安全風險

以光纖通信系統為基礎組建了服務于行業管理的高速公路行業專網，涵蓋數據聯網收費、公共服務平臺、健康等等核心業務系統，主要負責數據、語音以及視頻方面的有效傳輸。現階段，我國很多省市已經建立起這類交通行業專網，從而為整個交通行業信息化發展奠定堅實的基礎。

但是，從整個設計來看，我國高速公路行業專業頂層設計方面目前并未設置統一的標準。與此同時，高速公路業務隨著需求而增加，所以整個網絡也處于持續變化之中，但是整體架構、網絡地址分配等等方面都未進行整體規劃設計；尤其是部分省市的網絡信息系統在基礎設置配置中未構建安全體系，意味著將會給信息網絡運行帶來一定的安全威脅。

(二）高速公路聯網收費信息系統可能存在的安全風險

省域內均以實現聯網收費，即一次發卡進展以及一次收卡出站；另外，ETC 聯網收費均以在全國實現（除海南與西藏），目前ETC 用戶數量已經超過5000 萬的數量。高速公路聯網收費相關應用是封閉的，在ETC 出現之后，與銀行開始了合作，使得聯網收費網絡與系統的應用得以有效擴展，同時就充值網點、ETC 運營中心、合作銀行等等方面，配置了用戶服務平臺、網上銀行系統、充值系統、發行系統、認證系統等等。

現階段，與高速公路收費有關的微信、支付寶、App 等等陸續授權以及推出，實現了第三方支付系統與高速公路聯網收費系統的信息互通。同時，也意味著聯網收費的范圍將越來越大，與此相關的應用將越來越多，無疑也給高速公路的網絡與信息安全帶來了巨大的挑戰。

從聯網收費發展的初期來看，高速公路建設與運營單位都非常重視系統安全性；但是信息安全風險并不是一成不變的，而是隨著信息網絡的發展將會出現更多不可預知的風險因素，特別是全面聯網的ETC，隨著移動支付的開通，意味著聯網收費系統將是整個高速公路運輸行業最為重要的系統，這就意味著不能出現一絲風險，所以還有很多配套的工作需要完善。

(三）聯網監控存在的安全風險

在高速公路整個信息網絡體系之中，聯網監控系統扮演著非常重要的角色，主要是幫助運營單位對高速公路的運行情況進行實時監控，這樣能夠快速有效應對一些突發的事件，以期望能夠盡快排除隱患，讓整個高速公路能夠穩定運行，監控系統覆蓋到到事故易發路段、服務區、長大橋梁、隧道、主線、車道、收費廣場、停車服務區等等；同時，還在一些重要的路段設置了全程監控。通過監控所收集到的數據信息為運營單位等等機構作出決策提供有效依據。同時，這些視頻與數據是全網共享的，安監部門、交警部門、公安部門以及運營單位等等，其數據會在這些機構之中進行傳輸，因此，也就有了泄露的風險。

二、加強高速公路信息安全的對策

(一）加強基礎設施層保護

1.加強網絡基本防護

加強網絡基本防護力度，具體要從網絡設備防護、網絡入侵防范、安全審計、訪問權限設置、網絡結構安全、惡意代碼防范等等方面入手，并結合實際業務需求，從而科學、合理架構高速公路的整體網絡結構，對用戶訪問進行權限設置；設置漏洞掃描、IPS 以及防火墻等等基礎安全防范軟件系統，有利于及時掃描以及防范惡意代碼、惡意攻擊等等。如果有明確的保密要求或者是安全等級要求，那么必須做好相關隔離工作；如果沒有明確的保護要求，則采用單向網閘來傳輸數據，有助于防范惡意入侵。

2.加強病毒防護以及系統加固

在聯網環境下為了能夠保障企業應用安全性與穩定性，建議采用正版的防毒軟件。該類防毒軟件應該根據高速公路信息網絡的特點進行布設，在各個終端的客戶端部署殺毒服務器，借助病毒庫動態更新的功能可以對客戶端進行實時防毒，還可以更加便捷地對FTP 站點以及共享文件件進行管理，從而有效防止病毒通過這些途徑進行傳播。此外，還需要定期對高速公路網絡信息系統打補丁、修改配置以及安全機制完善，將系統加固，有利于提升系統抗攻擊的能力。

(二）提升應用系統的防護力度

1.從開發環節入手提升防護力度

要求開發商必須在強化安全性的設計，尤其要注重軟件容錯功能的完善，有利于提升軟件的“健壯性”；特別是一些關鍵應用系統，以聯網收費系統為例，必須要對訪問控制、身份鑒別方面下足功夫，賦予自動加密功能然后進行傳輸。

又例如，在建立多個系統協同實現的這類應用系統時，要特別注重系統之間互相訪問以及互相調動的安全防護；根據具體業務的需求，并充分考慮信息系統安全的實際需求，在業務系統對接之中，通過數據校驗、密碼驗證以及接口間協議認證等等方式，能夠有效提升安全防護力度。

2.最大限度保障數據安全

數據安全需要從審計入手，著重審計數據庫，能夠實時記錄數據庫的實際活動情況，進而對數據庫操作過程中存在的風險行為進行及時的預警、阻斷。此外，要對業務系統之中的關鍵數據信息以及系統所產生的管理文檔做好備份，并對其有效性以及完整性進行定期驗證，為系統有效運行提供良好的保障。

(三）提升工業控制力度

工業自控系統存在于高速公路系統之中，具體從這些方面入手：第一，網絡防護層。在對網絡進行部署時，建議通過防火墻技術將企業網絡與工業控制系統進行隔離；如果兩者之間必須要建立連接，應當只建立一個連接，且以防火墻為基礎，加強身份驗證、訪問控制等等，從而最大限度保障其安全性。從協議安全層面來講，因為工業通信協議，以MODBUS 協議為例，在設計過程中沒有設置安全措施，那么就必須隨著控制系統與外部網絡連接增多的情況下，增添雙方的認證過程。關于協議的安全性提升，可以這些方面入手：第一，對協議直接進行修改，從而增條認證功能；第二，現有的協議不進行修改，并在此基礎上增加對應的信息安全層。從控制器設計來講，要從自控邏輯設計入手，增加入侵檢測算法，可以對網絡之中可能發生的惡意入侵與攻擊進行分析，從而主動積極采取防范措施，可提升整個控制器的穩定性。

三、結語

綜上所述，隨著信息網絡技術的不斷發展與進步，高速公路信息化建設逐步完善，但是信息網絡在快速發展的同時，也伴隨著各類安全風險。因此，有必要從基礎防護、應用系統開發防護以及工業控制等等方面入手，從而提升安全風險防護的有效性，確保高速公路信息網絡系統能夠穩定運行。