高速公路業(yè)務(wù)專網(wǎng)邊界防護的應(yīng)用研究

摘 要：文章在列舉了多種網(wǎng)絡(luò)邊界安全防護技術(shù)的基礎(chǔ)上，提出了高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)體系架構(gòu)方案，可以實時掃描邊界網(wǎng)絡(luò)結(jié)構(gòu)的變化情況，及時掌握網(wǎng)絡(luò)設(shè)備的各項動態(tài)，實現(xiàn)對業(yè)務(wù)專網(wǎng)邊界網(wǎng)絡(luò)的監(jiān)控和管理，將業(yè)務(wù)專網(wǎng)拓撲結(jié)構(gòu)的改變以可視化方式展示給系統(tǒng)管理員，能夠檢測出違規(guī)接入業(yè)務(wù)專網(wǎng)的情況，確保高速公路業(yè)務(wù)專網(wǎng)的安全性和保密性。該系統(tǒng)界面友好、操作性高、靈活性強，具有良好的擴展性。

關(guān)鍵詞：高速公路；網(wǎng)絡(luò)安全；邊界防護

1 概述

隨著國家大力推進高速公路建設(shè)工作，ETC（不停車收費系統(tǒng)）聯(lián)網(wǎng)工作也取得了有效進展。ETC的正常穩(wěn)定運行必須依靠一個性能強大的業(yè)務(wù)專網(wǎng)系統(tǒng)進行實時監(jiān)控和控制管理。但是，我國各省份高速公路ETC聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界結(jié)構(gòu)比較模糊，承載著重要業(yè)務(wù)的專網(wǎng)結(jié)構(gòu)面臨著各種安全威脅，以及ETC聯(lián)網(wǎng)邊界存在的收費設(shè)備誤操作等問題，進一步導(dǎo)致了高速公路業(yè)務(wù)專網(wǎng)失去有效的安全監(jiān)管。因此，只有構(gòu)建完善的高速公路業(yè)務(wù)專網(wǎng)邊界防護體系，才能確保高速公路整體業(yè)務(wù)專網(wǎng)安全、穩(wěn)定、正常的運營。

2 網(wǎng)絡(luò)邊界安全防護技術(shù)

2.1 防火墻系統(tǒng)

防火墻系統(tǒng)主要依靠包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)和子網(wǎng)屏蔽等手段來阻止外部網(wǎng)絡(luò)地址對內(nèi)部網(wǎng)絡(luò)發(fā)起訪問，以保證內(nèi)部網(wǎng)絡(luò)不會受到安全威脅。各個省份高速公路業(yè)務(wù)專網(wǎng)的聯(lián)通使得其需要連接公共網(wǎng)絡(luò)，因此，只有在不同網(wǎng)絡(luò)之間配置安全可靠的防火墻系統(tǒng)，才能確保高速公路業(yè)務(wù)專網(wǎng)數(shù)據(jù)的保密性。但是，防火墻系統(tǒng)對于內(nèi)部網(wǎng)絡(luò)并不能起到良好的安全防護作用，無法對應(yīng)用層數(shù)據(jù)信息進行識別，如果惡意入侵者將木馬病毒嵌入到應(yīng)用層軟件中，很容易繞過防火墻系統(tǒng)進入內(nèi)部網(wǎng)絡(luò)。同時，防火墻系統(tǒng)的靜態(tài)安全技術(shù)根本無法檢測內(nèi)部網(wǎng)絡(luò)中的安全威脅，導(dǎo)致高速公路業(yè)務(wù)專網(wǎng)受到各種安全威脅。

2.2 入侵檢測系統(tǒng)

IDS（入侵檢測系統(tǒng)）是由網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件共同構(gòu)成的安全防護技術(shù)。入侵檢測系統(tǒng)采用的是動態(tài)安全技術(shù)，主要通過實時監(jiān)測網(wǎng)絡(luò)流量、判斷系統(tǒng)性能等手段來檢測是否有外部惡意入侵者對網(wǎng)絡(luò)發(fā)起攻擊，以及是否存在非授權(quán)用戶違規(guī)操作等。入侵檢測系統(tǒng)可以及時攔截網(wǎng)絡(luò)攻擊行為，防止誤操作帶來的安全威脅問題，是對防火墻系統(tǒng)安全防護功能的進一步完善。

在我國高速公路ETC聯(lián)網(wǎng)工作的大力推進背景下，防火墻系統(tǒng)與入侵檢測系統(tǒng)在高速公路業(yè)務(wù)專網(wǎng)邊界防護中的聯(lián)動應(yīng)用還比較欠缺。ETC聯(lián)網(wǎng)進一步導(dǎo)致了高速公路業(yè)務(wù)專網(wǎng)邊界越來越模糊，防火墻系統(tǒng)設(shè)置的網(wǎng)絡(luò)結(jié)構(gòu)范圍已經(jīng)無法滿足現(xiàn)實需求。不同省份之間采用的防火墻系統(tǒng)和入侵檢測設(shè)備生產(chǎn)廠商各不相同，不同銀行之間的收費業(yè)務(wù)流程和要求也存在差異，使得防火墻系統(tǒng)與入侵檢測系統(tǒng)之間沒有統(tǒng)一有效的定義，外部惡意入侵者很可能進行偽裝后進入高速公路業(yè)務(wù)專網(wǎng)，此時，入侵檢測系統(tǒng)無法檢測偽裝數(shù)據(jù)包的合法性，防火墻系統(tǒng)也無法阻止外部惡意入侵者的非法接入。

2.3 統(tǒng)一威脅管理系統(tǒng)

目前，網(wǎng)絡(luò)攻擊手段形式多樣，當人們開始整合利用網(wǎng)絡(luò)安全防護技術(shù)，以達到提高網(wǎng)絡(luò)安全性能的同時，網(wǎng)絡(luò)攻擊也越來越復(fù)雜多變。因此，網(wǎng)絡(luò)安全防護策略需要一種綜合性的安全防護設(shè)備進行統(tǒng)一管理，防止混合型網(wǎng)絡(luò)攻擊的肆意蔓延。

UTM（統(tǒng)一威脅管理系統(tǒng)）是一種將防火墻技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)結(jié)合應(yīng)用的安全網(wǎng)關(guān)系統(tǒng)，具有高效的安全防護功能，可以全面應(yīng)對混合型網(wǎng)絡(luò)攻擊，確保網(wǎng)絡(luò)信息安全可靠。統(tǒng)一威脅管理系統(tǒng)將防火墻技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等整合于同一個網(wǎng)絡(luò)安全管理平臺中，解決了防火墻系統(tǒng)和入侵檢測系統(tǒng)之間存在的設(shè)備廠家不同、型號不同的問題，有效提高了統(tǒng)一管理效率。用戶采用該平臺可以實現(xiàn)對各種網(wǎng)絡(luò)安全防護功能的控制和管理，隨時查看網(wǎng)絡(luò)流量分析日志等。

3 高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)需求

（1）對與外部公共網(wǎng)絡(luò)連接的高速公路業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行系統(tǒng)掃描，得到可視化圖形，在人機交互頁面上直接顯示發(fā)生變化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

（2）能夠?qū)Ω咚俟窐I(yè)務(wù)專網(wǎng)的邊界進行實時監(jiān)測，監(jiān)測需要接入業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)設(shè)備類型，及時發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備的異常狀態(tài)。

（3）對于需要接入到高速公路業(yè)務(wù)專網(wǎng)的各種設(shè)備采取認證手段，確保接入的網(wǎng)絡(luò)設(shè)備均是合法且注冊過的。

（4）及時采集于高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)的報警信息，根據(jù)類型采取對應(yīng)的操作處理措施，保證業(yè)務(wù)專網(wǎng)正常穩(wěn)定的運行。

（5）由于高速公路業(yè)務(wù)專網(wǎng)需要與很多公共網(wǎng)絡(luò)進行連接，其運行始終處于復(fù)雜的網(wǎng)絡(luò)環(huán)境下，各種網(wǎng)絡(luò)設(shè)備的生產(chǎn)廠家和型號各不相同，需要完善統(tǒng)一的體系結(jié)構(gòu)實現(xiàn)安全防護，因此系統(tǒng)需要良好的通用性。

（6）能夠?qū)⒏咚俟窐I(yè)務(wù)專網(wǎng)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)變化以網(wǎng)絡(luò)拓撲結(jié)構(gòu)的方式展示在可視化界面上，具有實時性。

（7）為了確保高速公路業(yè)務(wù)專網(wǎng)始終處于正常穩(wěn)定的運行狀態(tài)中，需要對其進行動態(tài)實時監(jiān)測，此時要求系統(tǒng)的穩(wěn)定性較強。

（8）系統(tǒng)能夠?qū)I(yè)務(wù)專網(wǎng)內(nèi)各種網(wǎng)絡(luò)設(shè)備發(fā)來的故障報警信息進行實時采集，并且以最快速度采取相應(yīng)的處理措施，要求系統(tǒng)具有強大的數(shù)據(jù)處理分析能力。

4 高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)體系構(gòu)建

文章提出的高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)體系架構(gòu)由系統(tǒng)服務(wù)器、工作主機和系統(tǒng)監(jiān)測終端共同構(gòu)成?？梢詫崿F(xiàn)對高速公路業(yè)務(wù)專網(wǎng)實際運行情況的實時動態(tài)監(jiān)測，對業(yè)務(wù)專網(wǎng)內(nèi)的數(shù)據(jù)信息進行分析后獲得網(wǎng)絡(luò)拓撲結(jié)構(gòu)，以及各種網(wǎng)絡(luò)設(shè)備的工作狀態(tài)等，最后將這些信息存儲到系統(tǒng)數(shù)據(jù)庫中，方便系統(tǒng)管理員的隨時調(diào)取和查詢。

在高速公路管理控制中心部署系統(tǒng)服務(wù)器模塊，可以對整個高速公路業(yè)務(wù)專網(wǎng)的變化情況進行實時動態(tài)監(jiān)控，并存儲掃描信息，生成可視化圖表，實現(xiàn)對高速公路業(yè)務(wù)專網(wǎng)的邊界防護。系統(tǒng)監(jiān)測終端負責監(jiān)控高速公路業(yè)務(wù)專網(wǎng)的運行情況，及時處理各種報警信息。工作主機負責對接入業(yè)務(wù)專網(wǎng)身份的驗證。

通常情況下，系統(tǒng)管理員可以運行實時監(jiān)測系統(tǒng)來實現(xiàn)對網(wǎng)絡(luò)工作主機的管理。系統(tǒng)數(shù)據(jù)庫服務(wù)器負責保存業(yè)務(wù)專網(wǎng)掃描原始信息，以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化情況的存儲。在高速公路業(yè)務(wù)專網(wǎng)配置監(jiān)測終端，負責對接入業(yè)務(wù)專網(wǎng)的數(shù)據(jù)信息進行掃描和驗證，根據(jù)動態(tài)監(jiān)測數(shù)據(jù)來判斷高速公路業(yè)務(wù)專網(wǎng)是否安全。

5 結(jié)束語

綜上所述，文章提出的高速公路業(yè)務(wù)專網(wǎng)邊界防護系統(tǒng)可以實時掃描邊界網(wǎng)絡(luò)結(jié)構(gòu)的變化情況，及時掌握網(wǎng)絡(luò)設(shè)備的各項動態(tài)，實現(xiàn)對業(yè)務(wù)專網(wǎng)邊界網(wǎng)絡(luò)的監(jiān)控和管理，將業(yè)務(wù)專網(wǎng)拓撲結(jié)構(gòu)的改變以可視化方式展示給系統(tǒng)管理員，能夠檢測出違規(guī)接入業(yè)務(wù)專網(wǎng)的情況，確保高速公路業(yè)務(wù)專網(wǎng)的安全性和保密性。同時，該系統(tǒng)界面友好、操作性高、靈活性強，具有良好的擴展性。

參考文獻

[1]柳愛民.淺析高速公路機電通訊網(wǎng)絡(luò)故障的診斷及排除方法[J].科技尚品，2015，7：37-38.

[2]劉建龍.淺談計算機和網(wǎng)絡(luò)通訊技術(shù)在高速公路建設(shè)管理中的應(yīng)用分析[J].信息化建設(shè)，2016，1：91.

[3]趙朝部，蘭良.高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全優(yōu)化分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，3：128+131.

[4]戚奇衛(wèi).論網(wǎng)絡(luò)數(shù)字化視頻傳輸系統(tǒng)在高速公路監(jiān)控中的應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2015，13：23.