网络安全防御技术在联网收费系统中的应用研究

朱 青， 戴剑军， 吴智赢， 方 伟

(湖南省交通科学研究院有限公司, 湖南 长沙 410015)

0 引言

如何综合运用互补的安全措施，做好安全域隔离、安全审计、访问和接入控制、监测预警、应急响应等，是保障收费公路联网收费系统整体安全、稳定运行着力点。交通运输部取消高速公路省界收费站总指挥部在《取消高速公路省界收费站总体技术方案》对此给出了规范要求，国家层面发布的相关法律、法规、网络安全等级保护标准等也提供了明确指导意见，本文结合湖南省联网收费系统实际情况，提出网络安全技术应用解决方案。

1 存在问题及分析

在取消高速公路省界收费站工程部署推进之前，湖南省高速公路各路段安全设备共计17台，只在少数的几个路段部署。各区域分中心、收费站网络安全建设比较薄弱，仅部分站点安装防病毒软件及防火墙，缺乏专业的网络安全维保人员。湖南省高速公路监控中心收费网络分为收费内网和外网2部分(见图1)，两张网络相对独立，分别承载不同的业务。收费内网主要承载与收费相关的业务，是中心的核心业务，外网主要承载办公上网以及部分需与互联网交互的业务。

图1 湖南省高速公路省中心网络安全结构示意图(建设前)

从结构上分析可以看出，网络安全上存在的主要问题是： ① 内网的建设没有考虑到重要链路及关键网络设备的冗余，存在多个单点风险;② 外网整体区域划分不明显，没有进行安全域的划分，缺少安全边界防护，不同安全级别间的数据访问没有进行有效控制；③ 出口设计不规范，导致互联网流量需在核心交换机、路由器、防火墙、IPS 间迂回；④ 互联网出口透明部署了一台防火墙和IPS，但防火墙与IPS 没有进行策略更新以及特征库升级，并没有起到有效的安全防护作用。

2019年7月，交通运输部对多个省份的高速公路收费网络进行了安全检测，发现普遍存在网络边界管理混乱、基础安全设备策略缺乏、大量主机终端缺乏防病毒和管控措施、相关管理类系统存在高风险安全隐患、网络安全底数不清、日常安全管理不严等典型问题，主要原因集中在如下几点： ① 基础防护设施薄弱，安全审计、漏洞扫描、边界防护等设施缺失，导致相关管控措施无法落地；② 专业维护人员缺乏，多数安全防护设施已失效，出现专网隔离不严，网络权限控制不严，运维主体较为分散，难以形成安全保障合力[1]；③ 网络安全意识不足，重建设轻管理现象普遍，各管理单位忽视了安全威胁的危害性与重要性，安全管理主体责任未落实，导致内部监管缺失，未能认识到信息安全来自内部的风险要远远大于外部[2]；④ 配套制度缺失及落实不力，未制定网络安全管理制度或制定了制度而未落实，安全“三同步”还停留在口号层面，相关的管控工作推进多是“运动式”，不能常态化。

2 网络安全架构优化

2.1 基本原则

为实现良好的安全保障，省域联网收费系统安全域参照等级保护要求，结合行业成熟经验，按照“保障业务、适度安全、结构简化、等级保护、立体协防”的原则划分[3]，安全区域划分见图2。

图2 安全区域划分示意图

2.2 整体网络安全架构

本次联网中心网络安全架构优化从安全物理环境、安全通信网络、安全区域边界安全计算环境及安全管理中心等5个方面提出通用安全要求，结合云计算、大数据及物联网等3个方面提出扩展安全要求。改造后湖南省高速公路收费网络由纵向广域网和横向局域网构成(见图3)，横向局域网按行政归属可分为省中心局域网、分中心局域网、收费站局域网，纵向广域网用于纵向互联各级局域网。总体网络安全由各级局域网与广域网边界安全设备域以及局域网内部安全运维管理系统组成；省中心局域网严格按三级等保要求进行建设，中心以下分中心参照三级等保要求进行建设，分中收费站、ETC门架分别部署边界防护设备，共用安全运维管理设备。

图3 总体网络安全架构图(改造后)

3 关键防护技术应用

3.1 物理安全防护措施

物理安全是整个联网收费信息系统安全的前提，可能面临的物理安全风险有：地震、水灾、火灾、电源故障、电磁辐射、设备故障、人为物理破坏等，这些风险都可能造成系统崩溃。因此，物理安全必须具备环境安全、设备物理安全和防电磁辐射等物理支撑环境，使网络设备、设施、介质和信息免受自然灾害、环境事故以及人为操作失误导致的破坏、丢失，防止各种以物理手段进行的违法犯罪行为。本次改造优化设计的物理安全防护技术涉及：物理访问控制、防盗窃与防破坏、防雷击、防火、防水与防潮、防静电、温湿度控制、电力供应和电磁防护等。

3.2 安全通信网络建设

安全通信网络包括网络架构安全和网络通信安全。在网络架构上，关键的防护技术包括： ① 构建双设备双链路冗余的网络架构确保网络架构安全，同时确保网络设备的处理能力、网络带宽满足业务高峰期需要;② 通过在路段接入区、互联网接入区、隔离区以及云平台部署防火墙，实现各区域的安全隔离；③ 通过划分VLAN实现区域内部业务系统间的安全隔离；

在网络通信安全上，关键的防护技术包括： ① 基于专线的广域网传输安全,通过专线间物理隔离来保障联网收费系统依托的收费IP网络安全；② 基于互联网的广域网传输安全，通过采用IPSEC VPN技术实现收费站到省级网联中心之间端到端的加密通信安全访问。

3.3 安全区域边界控制

1) 边界访问控制： 当前，下一代防火墙技术已经逐步成熟，通过相关功能实现其策略配置，是应对频繁多发、隐蔽多样、体系化复合型攻击的主要技术手段。以省域联网收费系统为例，各安全域之间访问控制策略如表1所示。

表1 安全域之间访问控制策略目的源核心交换区第三方接入区路段接入区共享交换区安全管理区业务服务器区业务终端区核心交换区—互通互通互通互通互通互通第三方接入区互通—禁止禁止禁止互通互通路段接入区互通禁止—互通互通禁止禁止共享交换区互通禁止互通—禁止禁止互通安全管理区互通禁止互通禁止—互通互通业务服务器区互通互通禁止禁止互通—互通业务终端区互通禁止禁止互通互通互通—

2) 边界入侵防范： 边界入侵防御主要通过部署入侵防御设备对网络攻击行为进行检测阻断，并产生告警与报告，针对高级威胁攻击，通过部署专业的APT检测设备，实现对新型网络攻击行为的发现、分析与追溯。

3) 边界完整性检测： 通过终端准入控制系统实现安全管理、访问控制、终端安全合规检测、访客注册申请、第三方认证联动、强制隔离等措施。

4) 边界恶意代码检测：通过在收费内网路段接入区部署两台防毒墙实现对病毒实时阻断，防毒墙能在网络重要节点处(如互联网入口)进行病毒的检测和清除。通过在路段接入区、互联网接入区启用防毒墙的漏洞防护、防间谍软件、反病毒、URL过滤等功能，能高效拦截常见漏洞入侵，减少间谍软件、病毒、木马、钓鱼网站、恶意URL访问等网络威胁。

5) 网络安全审计:收费内网和收费外网安全管理区均部署网络安全审计系统、日志审计系统，通过分析网络流量实现对用户行为的分析审计。

3.4 安全计算环境管理

安全计算环境主要关注主机和应用安全，但更多地侧重应用安全，属于三重防护之一。所关注的控制点及相关防御技术措施如下。

1) 身份鉴别、访问控制与行为审计：通过堡垒机将运维人员与被管理设备或系统隔离开来，所有的运维管理访问必须通过堡垒机进行，实现了运维管理的集中权限管理和行为审计。

2) 入侵防范：通过部署漏洞扫描系统，不仅可帮助用户快速建立针对自己网络的安全风险评估体系，还可针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试，及时发现系统薄弱点。

3) 恶意代码防范：收费内网和收费外网分别部署网络防病毒系统，实现恶意代码攻击阻断。

4) 数据完整性：在软件层面实现数据完整性校验，当数据完整性受到破坏时实施数据重传，同时对存储的数据采取多重备份。

5) 数据保密性：通过服务器密码、数据库加密系统等实现。

6) 数据备份恢复：建立异地备份机房，结合本地离线加异地镜像方式，实现数据信息和业务系统的数据级灾备。

7) 剩余信息保护：通过设置服务器操作系统策略或在应用系统软件开发中实现。

3.5 安全管理中心实施

通过全省统一部署综合网管系统实现信息安全集中管控；在省中心部署的网络安全监测预警平台可实现安全事件的识别、报警和分析，权限管理方面通过堡垒机对系统管理员、审计管理员、安全管理员等角色进行身份鉴别，实现不同职责不同授权。

4 结语

在这次将主流安全防御技术、设备、理念运用到联网收费系统的优化改造过程中，完善了省联网中心收费系统的网络安全防御能力，也补齐了各区域中心、收费站的安全短板。同时也将上述关键技术、管理理念成功运用到省域交通大数据中心的安全体系建设中，并取得良好成效。但新的发展形势下，传统的交通运输及安全系统管理还不能满足当前发展需求[4]。要充分认识到，安全的环境一直在动态发展，安全的需求也是多维度多层次的[5]，仅靠设备和安全策略来做木桶式建设，还远远不够，落实安全保障体系，做好日常安全审计、查漏补缺、人员安全意识教育等管理工作，才是安全管控的重心，才能构建立体有效的防御体系。