淺析當代高速公路網絡安全建設

劉佳元 姚琴 徐祥 張子豪

關鍵詞 高速公路;網絡安全;安全漏洞

中圖分類號 U495 文獻標識碼 A 文章編號 2096-8949（2022）04-0010-04

0 引言

隨著全國高速公路快速發展，高速公路建設運營已經基本覆蓋到全國的各個省、市、縣、鄉、村，與此同時形成了部、省、分中心、收費站、ETC門架的數據傳輸網絡系統。網絡系統離不開網絡設備和網絡傳輸，其中保障數據傳輸安全的就是網絡安全設備。按照我國高速公路聯網收費系統“專網專用、分區分域、縱向認證、橫向隔離”的方針，由各運營公司負責本路段高速公路網絡安全。通過制定網絡安全保障相關要求以及建立實時網絡監測系統對網絡安全態勢進行全面的評估，對網絡攻擊、漏洞、隱患等發出預警，及時處置，并做好記錄，實現多方位對高速公路網絡的保護。

1 網絡信息安全及高速公路網絡安全建設的意義

1.1 網絡信息安全

狹義上的網絡信息安全特指網絡信息系統的各組成要素符合安全屬性的要求，即機密性、完整性、可用性、抗抵賴性、可控性。廣義上的網絡信息安全是涉及國家安全、城市安全、經濟安全、社會安全、生產安全、人身安全等在內的“大安全”，網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。網絡信息安全主要存在的問題包括：網絡強依賴性及網絡安全關聯風險凸顯;網絡信息產品供應鏈與安全質量風險;網絡信息產品技術同質性與技術濫用風險;網絡安全建設與管理發展不平衡、不充分風險;網絡數據安全風險;高級持續威脅風險;惡意代碼風險;軟件代碼和安全漏洞風險;人員的網絡安全意識風險;網絡信息技術復雜性和運營安全風險;網絡地下黑產經濟風險;網絡間諜與網絡戰風險等[1]。

1.2 高速公路網絡安全建設的意義

信息技術高速發展的今天，大數據時代已悄然來臨，在這個信息化的時代，作為客運量最大的高速公路行業，網絡安全建設就顯得尤為重要。高速公路網絡安全建設是為了保障高速公路運營公司數據傳輸安全、存儲信息安全、涉密創新安全等。當下，由于各種軟硬件存在系統漏洞同時可能遭黑客或病毒入侵等不穩定因素的影響，導致高速公路運營企業存在數據丟失、系統癱瘓等風險，直接或間接造成無法挽回的經濟、名譽等損失，更有甚者可能造成國家涉密信息泄露，如何提高高速公路網絡安全建設，成為高速公路運營公司亟須解決的問題。

2 高速公路網絡架構

2.1 ETC門架數據傳輸系統

ETC門架系統主要由數據傳輸機柜、門架兩大塊組成，其中主要包括高清車牌識別儀、網絡攝像機、門架天線、防火墻、服務器、交換機等設備。由于現行交通運輸廳相關要求，門架主要以監控道路安全、數據收集以及計費為主（未來會取代收費站進行收費）。信息和數據主要靠以太網交換機和光纜進行數據傳輸。

2.2 收費站數據傳輸系統

收費站收費系統主要由機房和車道組成，車道使用網絡的設備主要有工控機、交換機、銀聯支付等，收費站網絡傳輸主要靠交換機將數據上傳至收費站機房。機房主要網絡設備包括交換機、服務器、服務商數據傳輸路由器、防火墻等，機房將各車道的數據匯總之后通過防火墻由線纜通過環路將數據傳輸給分中心。

2.3 中心機房數據傳輸系統

中心機房主要由管理機和機柜組成，管理機主要用來對各服務器數據傳輸情況以及門架信息、PSAM授權服務器狀態、計重設備傳輸情況及各站級中心級防火墻運行狀態進行監控并進行檢測和遠程調試。機柜內各交換機以及服務器主要負責匯總各收費站數據（包括圖像、信息、視頻等）以及將數據發往省聯網中心和部聯網中心，起到中轉作用，其主要架構如圖1。

2.4 監控中心

監控中心主要負責對外信息發布、道路情況通報、投訴單處理等工作。例如投訴處理，需要通過外網接受投訴工單后，在內網數據平臺查詢相關車輛信息（包括車牌、車型、上下站時間、地點等）然后下載相關數據返回外網處理相關投訴工單。除此之外還包括情報板發送提示語、稽查數據統計等需要通過網絡數據傳輸，傳輸方式主要通過交換機以及互聯網傳輸。

3 高速公路網絡安全及存在的風險

3.1 高速公路網絡安全現狀

高速公路網絡安全主要包含防護安全和數據傳輸安全兩大塊，防護安全主要指高速公路運營公司使用的殺毒軟件及防火墻防護，而數據傳輸安全主要是指線纜及傳輸設備安全。近兩年，由于全國取消省界收費站工程的完工，高速公路行業步入了全面智能化的時代，各省交通廳制定相關網絡安全政策并落實到位，同時各高速公路運營公司嚴格把關，行業網絡安全得到了充分的保障，但是由于黑客、病毒入侵日益猖獗，人員網絡安全管理不能做到盡善盡美，高速公路行業還是存在較大的網絡安全風險。

3.2 高速公路網絡防護安全風險

當前，高速公路網絡安全防護主要包含兩種，一種是殺毒軟件防護，一種是防火墻及堡壘機聯合防護。殺毒軟件主要應用于車道收費電腦以及中心管理機、監控電腦、內業管理機、日常辦公電腦等，主要針對可能產生的系統漏洞進行修復以及防護人為造成的病毒入侵，從外部來保障數據保存及傳輸的安全。防火墻及堡壘機防護主要是針對從各收費站匯總的各車道的數據流、信息流等，對由內部線纜傳輸的數據可能攜帶的木馬病毒進行防護，同時對可能存在的外部黑客攻擊（ddos、針對TCP協議的惡意攻擊等）進行防護。[2]但是由于爬蟲、木馬等病毒以及黑客日益猖獗，經常在不經意間人為地入侵到各種網絡設備中，再加上防火墻沒有日常維護升級，防護能力不足以抵擋住入侵，可能導致參數數據丟失、系統癱瘓等，造成經濟損失。

3.3 高速公路數據傳輸網絡安全風險

高速公路數據網絡傳輸，要經過車道、站級機房、中心機房，由于傳輸距離較遠、傳輸設備較多，可能存在較多風險，比如設備故障，請運營商遠程協助調試時可能存在木馬病毒。服務器版本無法正常自動升級，須外接移動設備進行人為更新時同樣可能存在病毒。主備防火墻由于宕機無法自動主備切換，當出現主防火墻故障時會出現網絡安全防護空白。網絡是一個開放的世界，高速公路行業又是信息安全相對薄弱的行業，不法分子及黑客可能會抓住這種漏洞對高速公路服務進行攻擊。ETC收費系統運行離不開計算機網絡的支持，而計算機病毒總在不經意之間感染上并對服務器等進行無差別攻擊。這些風險一旦發生，會產生較大的影響，從一個車道無法收費，到一個收費站網絡崩潰，甚至影響到整條高速的運營收費業務。所以高速公務網絡安全建設要從根本出發，將所有可能存在的人為風險和漏洞進行根除。

4 降低網絡安全風險

4.1 制定高速公路網絡安全管理制度

制定高速公路網絡安全制度，可以有效降低人為造成的網絡安全事故發生概率。在實際管理的過程中，由于不能明確系統網絡的權限，過度依賴第三方服務單位，運維管理不規范，不能對專有網絡進行有效的管理。針對此類問題應根據不同的區域制度制定不同的管理對策，相關管理人員應嚴格按照相關管理制度進行管理工作，完善機房進出及使用相關制度。例如制定《機房管理辦法》《收費系統機電設備維護維修辦法》《防火墻維護維修治理體系》等。同時，定期對高速公路網絡安全進行評估，分別通過以下5個方面進行：

（1）物理安全評估：對高速公路運營公司、管理分中心、收費站的機房從物理位置選擇、物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面進行評估。

（2）網絡安全評估：按照等級保護三級要求，對高速公路聯網系統從結構安全、網絡訪問控制、安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼、網絡設備防護等方面進行評估。

（3）主機安全評估：按照等級保護三級要求對高速公路聯網系統內的主機，從操作系統身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、系統資源控制等方面進行評估。

（4）應用安全評估：按照等級保護三級要求對聯網收費系統、監控系統，分別從身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制等方面進行評估。

（5）數據安全評估：按照等級保護三級要求對高速公路聯網系統的數據安全，從數據保密性、數據完整性和數據備份與恢復等方面進行評估[3]。

4.2 提高應用系統的安全等級

數據庫和應用系統在整個高速公路網絡架構中是重要的組成部分，為避免可能存在的網絡安全風險，首先實時監控數據庫網絡安全情況，并定期對數據庫進行版本升級，減少自身漏洞，提高網絡安全防護等級;其次應不定期對賬戶密碼進行更換并適當增加系統認證、實名認證以及密鑰認證等方式。此方法主要針對由于長時間使用同一密碼加上公司人員存在流動性，可能造成賬戶密碼外泄等，存在較大安全隱患;最后由于大多數高速公路運營公司網絡安全建設及運維以代維為主，通常在進行網絡安全調試時應不暴露數據庫的端口，并將TCP/IP進行隱藏，避免由于較多無關人員知道數據端口以及IP協議等，利用產生的安全漏洞進行入侵造成直接或間接的損失。

4.3 提高設備安全

提高防火墻防護級別，對非法入侵等惡意代碼等攻擊行為進行更加合理有效地甄別，提高篩查效率、降低傳輸延遲，并隨時處于防護狀態，定期對防火墻進行壓力測試，保證防火墻的防御質量。定時派專業工程師對網絡安全設備的配置和日志進行審查，對異常情況及時處理，發現漏洞須及時修復。

有條件的高速運營單位可以更換最新的防火墻，最新一代防火墻的主要功能為入侵防御及服務器保護。高速公路行業的防火墻主要保護的是服務器群，不僅防范日常的WEB攻擊，更采用多種威脅檢測機制，防止緩沖區溢出攻擊、利用漏洞的攻擊、協議異常、木馬、后門、DoS/DDoS攻擊探測，以及IPS逃逸等各類攻擊，防范安全威脅事件的發生，全面保證內網的安全。隨著網絡技術的更新，網絡攻擊變得更加高級和先進，網絡設備變為“肉雞”（指能隨意被控制的電腦）的風險也逐漸增加，新一代防火墻所具備的APT檢測功能，便能檢測內網中的“肉雞”，APT攻擊的主要特點為潛伏性、針對性、持續性、有計劃性、多態性，通過探測期、入侵期、潛伏期、退出期，不留痕跡的通過網絡竊取數據，APT檢測則針對APT攻擊的特點，通過大數據分析技術，在防御APT攻擊時，充分發揮大數據分析技術的優勢，針對網絡系統中出現的日志數據，通過數據挖掘、態勢分析、日志統計技術，分析歷史數據，獲取其中可能存在的APT攻擊痕跡，從而以一種彌補方式加強傳統安全防御技術，對服務器群進行全方位防護，保障內部網絡安全。

定期對所使用的殺毒軟件進行升級。由于信息化時代發展迅速，在網絡安全防護不斷升級的同時，木馬、蠕蟲等病毒也在飛速的發展。作為最前端的軟件一定程度上需要保障設備網絡安全，為了抵御新時代黑客的入侵，殺毒軟件也會根據當前網絡形式進行升級。

4.4 建立數據備份

當下，無法從技術和制度要求上保證網絡安全防護做到百分之百，但是可以通過數據備份機制快速恢復丟失的參數和數據以此來減少由于黑客、病毒入侵等造成的損失。建立數據備份體系能有效地對重要數據、重要參數等通過安全的方式恢復，有效減少因數據參數丟失造成的系統癱瘓的可能，及時減少造成的損失，同時通過備份的數據系統參數與故障時的進行對比，可以查找出系統參數及數據丟失的原因及發生的時間，從而避免下次發生同樣的事故。現行高速公路運營公司主要使用雙機熱備的方式進行數據及參數的備份。

4.5 明確高速網絡安全防范要求

根據部省聯網中心要求，各高速公路運營公司已經建立了較為明確的網絡安全防范規定，但是還是存在較多的漏洞，網絡安全防范不夠完善。應結合實際打造綜合網絡安全防御體系，針對發現的各類網絡安全攻擊，應盡快掌握并修補系統中存在的漏洞，確保不會再發生相同的安全問題，將網絡安全漏洞造成的損失降到最低。同時需要根據高速公路行業特點，有針對性地對可能存在網絡安全漏洞的地方進行重點防護，嚴格按照上級單位及行業主管部門要求，構建收費系統網絡安全體系，保障高速公路行業網絡安全。

5 結語

信息時代網絡快速發展的今天網絡安全的整體形式還是相對比較嚴峻，作為高速公路建設運營公司，需要加快優化網絡安全管理制度建設和員工網絡安全意識培訓，完善網絡安全管理要求，降低風險。并發揮網絡安全優勢，利用其可靠性、可用性、保密性、完整性、不可抵賴性、可控性、可審查性、真實性保障高速公路網絡數據傳輸安全。

參考文獻

[1]蔣建春. 信息安全工程師教程[M]. 北京：清華大學出版社， 2020.

[2]周楚斯. 高速公路ETC收費系統的網絡安全防護[J]. 價值工程， 2021（3）： 206-207.

[3]張晶. 寧夏高速公路聯網系統網絡安全建設研究[J]. 科教導刊， 2017（34）： 163-164.

1698501705274