新陽高速信息安全保障機(jī)制的研究及應(yīng)用

文 / 廣東省南粵交通云湛高速公路管理中心 邱宇

伴隨著高速公路信息化建設(shè)速度的加快以及信息網(wǎng)絡(luò)的完善，信息安全問題開始受到越來越多的關(guān)注，因?yàn)槠渲苯雨P(guān)系著高速公路的正常運(yùn)行，關(guān)系著交通系統(tǒng)的安全性和穩(wěn)定性。當(dāng)前，我國在高速公路信息安全建設(shè)和管理方面，取得了較為顯著的成果，不過同樣存在有不少問題，如網(wǎng)絡(luò)攻擊檢測應(yīng)對機(jī)制欠缺、沒有專門的管理機(jī)構(gòu)和管理人員等。對此，有關(guān)部門應(yīng)該從高速公路的實(shí)際情況出發(fā)，設(shè)置科學(xué)的信息安全保障機(jī)制，最大限度地保障高速公路的運(yùn)行安全。

引言

伴隨著信息化技術(shù)和數(shù)字化技術(shù)的快速發(fā)展，高速公路服務(wù)管理的數(shù)字化和信息化可以說勢在必行，信息網(wǎng)絡(luò)系統(tǒng)的建構(gòu)和應(yīng)用，促進(jìn)了高速公路通行量的提升，保障了高速公路運(yùn)營效率的增長，不過也表現(xiàn)出了風(fēng)險(xiǎn)防范及抵抗能力較差的問題。基于此，高速公路運(yùn)營管理單位應(yīng)該加強(qiáng)對于信息安全保障機(jī)制的研究，提升信息安全防護(hù)能力，建立起實(shí)時(shí)動(dòng)態(tài)的高速公路信息安全保障體系。

高速公路信息安全保障機(jī)制建設(shè)的背景

我國高速公路事業(yè)的發(fā)展十分迅速，公路里程在最近幾年呈現(xiàn)出爆發(fā)性增長的態(tài)勢，收費(fèi)方面則采用了分段建設(shè)、聯(lián)網(wǎng)收費(fèi)模式。新的發(fā)展環(huán)境下，隨著全國取消省界收費(fèi)站項(xiàng)目的全面完成，各高速公路營運(yùn)路段均已完成收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的搭建，并通過有關(guān)單位的合規(guī)性檢測及驗(yàn)收，借助ETC門架系統(tǒng)建設(shè)的方式，可以實(shí)現(xiàn)收費(fèi)方式的開放化。新的發(fā)展環(huán)境下，以高速公路聯(lián)網(wǎng)收費(fèi)目標(biāo)為前提，ETC收費(fèi)在全國范圍內(nèi)得到了快速的推廣和普及。打造出良好的信息安全保障機(jī)制，減少高速公路運(yùn)行中存在的風(fēng)險(xiǎn)和隱患，能夠保障高速公路運(yùn)營以及聯(lián)網(wǎng)收費(fèi)的順利實(shí)施。

以往高速公路信息化安全系統(tǒng)建設(shè)中，采用的都是與業(yè)務(wù)系統(tǒng)對接的方式，然后依照相應(yīng)的業(yè)務(wù)數(shù)據(jù)開展各項(xiàng)工作，以靜態(tài)化體系建設(shè)為主，無法實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)實(shí)時(shí)監(jiān)管。

高速公路信息安全保障機(jī)制建設(shè)強(qiáng)調(diào)對相應(yīng)的安全信息進(jìn)行收集，配合大數(shù)據(jù)技術(shù)以及數(shù)據(jù)挖掘技術(shù)做好全面梳理，明確操作系統(tǒng)、軟件環(huán)境以及網(wǎng)絡(luò)端口等基礎(chǔ)信息，配合系統(tǒng)漏洞的掃描來得到完善的檢測報(bào)告，對系統(tǒng)中存在的薄弱環(huán)節(jié)進(jìn)行有效防護(hù)，形成完善的體系架構(gòu)，其對于信息安全監(jiān)測以及交通運(yùn)輸網(wǎng)絡(luò)優(yōu)化有著不容忽視的作用。伴隨著ETC的推廣和普及，人們越發(fā)重視高速公路建設(shè)和發(fā)展中的信息安全問題，強(qiáng)調(diào)數(shù)據(jù)信息的合理性以及系統(tǒng)操作的便捷性，大數(shù)據(jù)技術(shù)的應(yīng)用，更是對信息系統(tǒng)的安全性提出了更加嚴(yán)格的要求。

基于此，有關(guān)部門應(yīng)該高度重視高速公路信息安全保障機(jī)制的建設(shè)工作，打造出完善的網(wǎng)絡(luò)安全模型，對照實(shí)際數(shù)據(jù)，推動(dòng)信息安全保障機(jī)制的標(biāo)準(zhǔn)化和規(guī)范化，配合網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)，實(shí)現(xiàn)高速公路信息保障機(jī)制的建設(shè)和發(fā)展。

高速公路信息安全保障機(jī)制的研究及應(yīng)用

汕湛高速公路云浮至湛江段及支線工程是廣東省高速公路網(wǎng)規(guī)劃“十縱五橫兩環(huán)”之“第二橫”的重要組成部分，云湛高速公路新陽段起于云浮市新興縣簕竹鎮(zhèn)，順接清云高速公路終點(diǎn)，途經(jīng)新興縣河頭鎮(zhèn)、天堂鎮(zhèn)、陽春市石望鎮(zhèn)、春灣鎮(zhèn)、松柏鎮(zhèn)、春城街道、馬水鎮(zhèn)、潭水鎮(zhèn)、三甲鎮(zhèn)，終于八甲鎮(zhèn)；路線全長85.777km(不含與羅陽高速共線段32.77km)。陽春市春城至八甲段42.877km于2017年12月28日建成通車，新興簕竹至陽春松柏段42.9km于2018年9月26日建成通車。前期，依托汕湛高速新陽段，針對標(biāo)準(zhǔn)化信息安全保障機(jī)制，已開展標(biāo)準(zhǔn)化日常運(yùn)維管理辦法可行性研究，初步得出適用于高速公路生產(chǎn)網(wǎng)的安全運(yùn)維模型及相關(guān)信息安全保障機(jī)制。

前期研究工作

新陽高速根據(jù)養(yǎng)護(hù)內(nèi)容不斷打造自動(dòng)化的服務(wù)平臺(tái)，不斷完善自動(dòng)化的服務(wù)工具，自動(dòng)化服務(wù)工具分別通過機(jī)房智能準(zhǔn)入系統(tǒng)、智慧運(yùn)維專網(wǎng)、信息交換雙重隔離等建設(shè)實(shí)現(xiàn)，從而達(dá)到建設(shè)目標(biāo)的智能化、專業(yè)化。在實(shí)踐中，需要做好多個(gè)方面的研究：一是打造出了智慧運(yùn)維專網(wǎng)，設(shè)置了養(yǎng)護(hù)運(yùn)維和辦公網(wǎng)絡(luò)專用的網(wǎng)段，實(shí)現(xiàn)了對系統(tǒng)運(yùn)維過程的全監(jiān)控和全審計(jì)，取代

了以往的遠(yuǎn)程控制程序，有效避免了內(nèi)網(wǎng)與外網(wǎng)直連引發(fā)的安全風(fēng)險(xiǎn)；二是對信息交換實(shí)施了隔離，如在專網(wǎng)中增加硬盤設(shè)備、指定移動(dòng)介質(zhì)服務(wù)器為唯一移動(dòng)介質(zhì)出入口、全線封堵外場設(shè)備USB接口等方式，形成了通過三重保護(hù)，有效消除了第三方運(yùn)維單位可能帶來的病毒入侵隱患；三是通過安裝機(jī)房智能準(zhǔn)入系統(tǒng)，布設(shè)機(jī)電系統(tǒng)網(wǎng)絡(luò)安全的第一道關(guān)口，推進(jìn)門禁信息化管理，通過線上預(yù)約審批機(jī)制，最小化分配人員機(jī)房進(jìn)出權(quán)限，記錄并監(jiān)控維護(hù)人員進(jìn)出時(shí)間。

系統(tǒng)開發(fā)方案

1.環(huán)境模擬

模擬高速公路實(shí)際環(huán)境，在實(shí)驗(yàn)中心中網(wǎng)絡(luò)拓?fù)淇蓡为?dú)研究。在實(shí)踐中，利用舊高速公路設(shè)備模擬真實(shí)環(huán)境拓?fù)浯罱▽?shí)驗(yàn)中心網(wǎng)絡(luò)拓?fù)洹?shí)際操作中，通過選擇不同的安全設(shè)備、終端設(shè)備、信息系統(tǒng)等，拓?fù)淇赡M高速公路機(jī)電系統(tǒng)建設(shè)、營運(yùn)全過程拓?fù)洌屧诮范慰筛鶕?jù)設(shè)計(jì)圖紙模擬營運(yùn)開展網(wǎng)絡(luò)安全壓力測試，及時(shí)發(fā)現(xiàn)可能涉及營運(yùn)問題，提前變更，營運(yùn)路段可通過模擬新增設(shè)備，及時(shí)發(fā)現(xiàn)可能涉及的建設(shè)和養(yǎng)護(hù)問題。同時(shí)，拓?fù)浣Y(jié)構(gòu)的多樣化以及可以靈活切換的特點(diǎn)，能夠?yàn)樾畔⒒踩w系的安全模型建設(shè)提供了更多類型的安全模型搭配，大大縮減了后續(xù)實(shí)驗(yàn)與驗(yàn)證時(shí)間。

2.功能明確

一是應(yīng)該明確管理的內(nèi)容。實(shí)驗(yàn)中心本身能夠提供網(wǎng)絡(luò)知識(shí)培訓(xùn)、網(wǎng)絡(luò)安全課程學(xué)習(xí)以及網(wǎng)絡(luò)安全實(shí)操環(huán)境等功能，覆蓋的教學(xué)內(nèi)容十分豐富，技術(shù)人員可以自主進(jìn)行學(xué)習(xí)和實(shí)驗(yàn)，也可以對信息安全相關(guān)的內(nèi)容進(jìn)行綜合分析，以滿足各方面的要求；二是應(yīng)該優(yōu)化技術(shù)內(nèi)容，開展相應(yīng)的安全演練工作，對構(gòu)建起的安全模型進(jìn)行驗(yàn)證。流入，可以針對實(shí)驗(yàn)?zāi)康脑O(shè)備、拓?fù)洹踩夹g(shù)，接入仿真拓?fù)洌_展網(wǎng)絡(luò)安全攻擊，聯(lián)合信息安全實(shí)驗(yàn)中心評判安全指標(biāo)，驗(yàn)證安全承受風(fēng)險(xiǎn)等級(jí)；三是確定相應(yīng)的技術(shù)路線。

以實(shí)驗(yàn)中心分享為例，可以實(shí)現(xiàn)理論學(xué)習(xí)以及技能實(shí)操的全路段接入，提供多樣化的網(wǎng)絡(luò)安全工具，通過搭建專線、服務(wù)上云方式建立遠(yuǎn)程接入?yún)^(qū)。遠(yuǎn)程接入?yún)^(qū)能夠滿足用戶通過遠(yuǎn)程接入到信息安全演練中心內(nèi)，進(jìn)行7*24小時(shí)的測試和研究，包括理論學(xué)習(xí)、技能實(shí)操、攻防演練等學(xué)習(xí)內(nèi)容。

3.模型構(gòu)建

在構(gòu)建網(wǎng)絡(luò)安全模型，打造標(biāo)準(zhǔn)化體系的過程中，可以將具體的研究對象確定為基線管理，配合相應(yīng)的盒子測試來保證效果，通過安全實(shí)驗(yàn)的方式，逐步打造出完善可靠的網(wǎng)絡(luò)安全模型，通過模型的試運(yùn)行，最終形成適用于實(shí)際使用的技術(shù)、管理標(biāo)準(zhǔn)化信息安全保障機(jī)制。

在對模型進(jìn)行構(gòu)建的過程中，需要依照最低安全配置的要求，結(jié)合不同的資產(chǎn)類型以及業(yè)務(wù)環(huán)境，確定相應(yīng)的安全配置基線，要求其能夠覆蓋訪問控制、安全審計(jì)、賬戶與密碼策略、傳輸加密、數(shù)據(jù)備份以及集中管控等多個(gè)方面。同時(shí)，應(yīng)該依據(jù)路段實(shí)際拓?fù)浼霸O(shè)備參數(shù)，開展攻擊實(shí)驗(yàn)，實(shí)驗(yàn)采取“一票否決”驗(yàn)證機(jī)制，實(shí)驗(yàn)過程中心不斷進(jìn)行參數(shù)、安全策略、拓?fù)涞然A(chǔ)信息調(diào)整，逐步構(gòu)建出支撐系統(tǒng)安全運(yùn)行的最低安全基線，構(gòu)建安全基本模型，通過對安全基本模型的試運(yùn)行，結(jié)合試運(yùn)行期間管理、技術(shù)、不可抗力等影響因子，最終建立適用于高速公路的標(biāo)準(zhǔn)化信息安全保障機(jī)制。

預(yù)期研究成果

一是應(yīng)該嚴(yán)格落實(shí)相應(yīng)的管理制度，針對每個(gè)實(shí)驗(yàn)給出具體明確的報(bào)告，構(gòu)建起能夠滿足基線管理要求的信息安全保障機(jī)制，確保其能夠根據(jù)實(shí)際發(fā)展情況，具備延伸拓展功能；二是提出提出高速公路網(wǎng)絡(luò)安全基線管理、安全運(yùn)維、系統(tǒng)準(zhǔn)入等網(wǎng)絡(luò)安全相關(guān)保障機(jī)制，以實(shí)驗(yàn)數(shù)據(jù)為基準(zhǔn)提出保障機(jī)制網(wǎng)絡(luò)安全模型；三是結(jié)合實(shí)際情況，打造出適用性較強(qiáng)的網(wǎng)絡(luò)安全仿真模型，實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)建設(shè)、管理和養(yǎng)護(hù)的一體化，真正做到同步實(shí)驗(yàn)、同步建設(shè)和同步運(yùn)營；四是實(shí)驗(yàn)類型的研究需覆蓋網(wǎng)絡(luò)安全行業(yè)類各種網(wǎng)絡(luò)安全攻擊手段，同時(shí)搭建盒子測試區(qū)域，用于軟、硬上線前后網(wǎng)絡(luò)安全測試。建設(shè)適用于高速行業(yè)測試及科研專用的模擬環(huán)境，可對軟硬件、信息系統(tǒng)開展性能測試、上線前網(wǎng)絡(luò)安全測試、設(shè)備安全基線檢測等。

綜合效益評估

一是經(jīng)濟(jì)效益評估。在方案中，實(shí)現(xiàn)了對于大量舊設(shè)備的回收利用，降低了成本消耗。按目前行業(yè)網(wǎng)絡(luò)安全管理辦法要求，對于人員培訓(xùn)、應(yīng)急演練每年約節(jié)省25萬元/營運(yùn)項(xiàng)目，此外安全風(fēng)險(xiǎn)評估、漏掃、基線檢測等專項(xiàng)性工作約節(jié)省30萬元/營運(yùn)項(xiàng)目；二是社會(huì)效益評估。

通過安全培訓(xùn)，可加強(qiáng)技術(shù)管理人會(huì)員網(wǎng)絡(luò)安全知識(shí)技能，為國家、行業(yè)建設(shè)網(wǎng)絡(luò)安全人才隊(duì)伍。通過安全模型及標(biāo)準(zhǔn)化信息安全管理體制，可更好保障關(guān)鍵信息基礎(chǔ)實(shí)施網(wǎng)絡(luò)安全運(yùn)行，保障國家基礎(chǔ)設(shè)施安全、保障人民群眾，為司乘人員提供更安全的網(wǎng)絡(luò)安全服務(wù)。

結(jié)語

總而言之，在傳統(tǒng)交通運(yùn)輸及安全管理系統(tǒng)無法滿足現(xiàn)實(shí)發(fā)展需求的情況下，高速公路運(yùn)營管理機(jī)構(gòu)應(yīng)該及時(shí)更新觀念，做好對于高速公路信息安全保障機(jī)制的研究和應(yīng)用，借助先進(jìn)的技術(shù)手段，明確高速公路運(yùn)行中存在的信息安全問題，切實(shí)做好防護(hù)工作，最大限度地保障信息的安全性和可靠性，這樣才能真正實(shí)現(xiàn)交通運(yùn)輸行業(yè)的可持續(xù)健康發(fā)展。