淺析湖南取消高速公路省界收費站過程中的網絡安全系統

李謨珍

（湖南省交通科學研究院有限公司，湖南 長沙 410000）

一、網絡安全系統的建設意義

隨著全國ETC聯網收費及地區收費監控網絡框架的構成，高速公路開始逐漸構建規模較為系統的數據及收費監控綜合信息網絡，因此網絡安全在高速公路運營管理中占據了非常重要的地位。為了確保全國ETC聯網收費系統的長期安全穩定運行，減少被外部網絡入侵的幾率，在取消高速公路省界收費站項目網絡安全系統建設中，很有必要采用穩定、成熟、實用的網絡安全技術。以湖南為例，在ETC網絡安全建設中，主干網絡的網絡平臺、安全系統等部分的設計和實施工作，能夠保證網絡層主干網絡的安全互聯互通，從而確保湖南高速公路路網的網絡安全、系統安全，實現安全運維、安全管理，綜合保障業務網絡安全。

二、安全現狀

截至2019年初的統計數據顯示,湖南高速公路各路段網絡設備共計1947臺,其中安全設備17臺，路由設備95臺,交換機1835臺,網絡設備中交換機占90%，路由設備相當少,且都是家用路由設備,基本沒有企業級路由設備。只有少數幾條路段部署有安全設備,收費站交換機大多是低端二層交換機。各收費站、區域分中心網絡安全建設較薄弱,只有部分站點安裝了防火墻及防病毒軟件。

三、網絡安全系統設計

（一）整體網絡安全系統設計

湖南高速公路收費網絡由橫向局域網和縱向廣域網兩部分構成，按照行政歸屬劃分，橫向局域網分為省中心局域網、分中心局域網、收費站局域網，縱向廣域網用于縱向互聯各級局域網。總體網絡安全系統由廣域網與各級局域網邊界安全設備及局域網內部的網絡安全運維管理系統構成；省中心局域網嚴格按照三級等保要求建設和等保測評；分中心以下局域網以分中心為單位嚴格按照三級等保要求建設，ETC門架、收費站、分中心共用安全運維管理設備，同時分別建設邊界防護設備。總體網絡安全架構如圖1所示。

圖1 總體網絡安全架構圖

（二）省中心網絡安全系統設計

省中心網絡安全建設主要是在已有三級等保項目基礎上查漏補缺，強化省中心網絡安全。

在內外網間建立設備安全隔離區，實現內外網間安全互訪可控。將辦公外網從收費外網中剝離，單獨為辦公外網構建互聯網出口，實現生產網絡與辦公網絡的隔離。新增安全管理中心，實現省中心收費系統的集中管控和權限管理。對于關鍵安全設備采用雙機冗余布置。

省中心安全區域分為收費外網、收費內網、安全管理中心、辦公外網、安全隔離區，安全管理中心實現省中心系統的集中管控和權限管理，安全隔離區為內外網提供安全互訪可控。收費外網分為互聯網接入區、互聯網應用區、安全管理區。收費內網分為路段接入區、內網應用區、第三方接入區、辦公接入區和安全管理區。

（三）分中心網絡安全系統設計

各BOT分中心、區域分中心嚴格按照等級保護三級要求，在安全通信網絡、安全區域邊界、安全計算環境中進行必要的建設。在各BOT分中心、區域分中心部署兩臺下一代防火墻、一臺日志審計系統、一臺網絡準入控制系統、一臺數據庫審計系統、一臺運維審計系統、一臺漏洞掃描系統及終端安全管理系統。分中心安全架構如圖2所示。

圖2 分中心安全架構

分中心網絡安全區域分為邊界防護區、核心交換區、業務應用區及安全管理區。邊界防護區提供廣域網與分中心局域網之間的安全防護，安全管理區為收費系統及分中心局域網提供安全運維管理。

在BOT分中心、區域分中心邊界防護區，部署一臺下一代防火墻設備并開啟入侵防御、防病毒功能。

在BOT分中心、區域分中心安全管理區部署日志審計系統對BOT分中心、區域分中心IT資產進行日志采集和分析。部署網絡準入控制系統,實現區域分中心收費站及ETC門架的準入控制管理,避免區域分中心、BOT分中心、收費站及ETC門架網絡非法私自接入設備,避免安全威脅。部署運維審計系統，對運維人員進行審計記錄，并以錄像的形式存儲操作記錄。部署漏洞掃描系統幫助用戶快速建立針對自己網絡的安全風險評估體系。

（四）收費站網絡安全系統設計

收費站應嚴格按照網絡安全等級保護在安全通信網絡、安全區域邊界及安全計算環境方面的三級安全保護要求加以建設。針對收費系統安全保護對象,構建從外到內的縱深安全防御體系。在統一安全策略指導下，綜合運用互補的安全措施,確保有效安全認證和訪問控制,實現可靠安全通信傳輸和數據交換共享，保證收費專網隔離屬性和安全接入,及時監測預警網內、網外的攻擊行為,具備數據備份恢復能力,有效抵御較大規模的惡意攻擊、較為嚴重的自然災害,審計重要安全事件和重要用戶行為,保證收費系統整體穩定、安全運行。

（五）ETC門架網絡安全系統設計

ETC門架應嚴格按照網絡安全等級保護在安全通信網絡、安全區域邊界及安全計算環境方面的三級安全保護要求加以建設。針對收費系統安全保護對象,構建從外到內的縱深安全防御體系。在每個上下行ETC門架系統直連收費站網絡節點處各部署一臺下一代防火墻(安裝在收費站),在各ETC門架系統工控機配置終端安全系統,終端安全系統共用區域分中心、BOT分中心終端安全管理控制中心。

四、結語

網絡安全系統在ETC項目建設中發揮著極其重要的安全防御作用，其應用不僅僅局限于以上內容，還包括網絡安全設備如防火墻、運維審計系統、網絡準入控制系統、日志審計系統、漏洞掃描系統、終端安全登錄系統的部署方案等。