等保2.0標(biāo)準(zhǔn)下交通綜合信息平臺(tái)安全防護(hù)框架

段陳誠(chéng) 李棠迪

（重慶市交通規(guī)劃研究院 重慶市 401147）

近年來(lái)智能交通在發(fā)展的過(guò)程中，新技術(shù)、新數(shù)據(jù)源、新應(yīng)用形態(tài)大量涌現(xiàn)，尤其是基于大數(shù)據(jù)技術(shù)的交通綜合信息平臺(tái)等交通大數(shù)據(jù)應(yīng)用系統(tǒng)快速發(fā)展[1]。目前交通管理、規(guī)劃建設(shè)行業(yè)內(nèi)基于大數(shù)據(jù)技術(shù)的交通綜合信息平臺(tái)架構(gòu)，多使用Apache Hadoop 實(shí)現(xiàn)數(shù)據(jù)分布式存儲(chǔ)和處理[2,3,4]，使用ArcGIS 作為數(shù)據(jù)與位置關(guān)系的可視化呈現(xiàn)[5]，并引入了由物聯(lián)網(wǎng)感知節(jié)點(diǎn)獲取的各類(lèi)型車(chē)輛位置點(diǎn)GPS 數(shù)據(jù)[6,7]、道路RFID 數(shù)據(jù)[8]、路口線圈數(shù)據(jù)[9]、公交刷卡和軌道閘機(jī)刷卡數(shù)據(jù)[10]以及通過(guò)用戶(hù)手機(jī)信令的基站信息獲取的用戶(hù)位置數(shù)據(jù)[11]。交通綜合信息平臺(tái)在引入大數(shù)據(jù)技術(shù)后，系統(tǒng)網(wǎng)絡(luò)安全也面臨愈發(fā)嚴(yán)重的威脅[12]。如Hadoop 未正確配置引起的Hadoop Yarn REST API 未授權(quán)漏洞，導(dǎo)致用戶(hù)系統(tǒng)被控制用于挖礦，數(shù)據(jù)被竊取或被惡意加密[13,14]；部分系統(tǒng)使用的Arcgis 版本過(guò)低缺陷引起的ArcGIS Server 格式化參數(shù)跨網(wǎng)站腳本(XSS)漏洞[15]，攻擊者利用該漏洞實(shí)施釣魚(yú)攻擊，最終取得系統(tǒng)權(quán)限或獲取用戶(hù)數(shù)據(jù)。在此情況下，2007 年國(guó)家四部門(mén)聯(lián)合出臺(tái)的《信息安全等級(jí)保護(hù)管理辦法》已經(jīng)不能完全適用于基于大數(shù)據(jù)技術(shù)的交通綜合信息平臺(tái)的安全防護(hù)要求。為應(yīng)對(duì)安全形勢(shì)和威脅趨勢(shì)的急速變化。

1 等級(jí)保護(hù)2.0標(biāo)準(zhǔn)分析

1.1 等級(jí)保護(hù)2.0實(shí)施背景

自2003 年以來(lái)，等級(jí)保護(hù)工作屬于1.0 時(shí)代，經(jīng)過(guò)近十年信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢(shì)的變化，等保1.0 要求已無(wú)法有效應(yīng)對(duì)新的安全風(fēng)險(xiǎn)和新技術(shù)應(yīng)用所帶來(lái)的新威脅，等保1.0 被動(dòng)防御為主的防御無(wú)法滿(mǎn)足當(dāng)前發(fā)展要求，因此急需建立一套適應(yīng)新的網(wǎng)絡(luò)安全威脅的主動(dòng)防御體。2016 年10 月10 日，第五屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)指出“國(guó)家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新要求，等級(jí)保護(hù)制度進(jìn)入2.0 時(shí)代”。2017 年，《網(wǎng)絡(luò)安全法》正式實(shí)施，該法律規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者等主體的法律義務(wù)和責(zé)任，并明確規(guī)定我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。同年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全保護(hù)基本制度》系列標(biāo)準(zhǔn)，《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》系列標(biāo)準(zhǔn)等征求意見(jiàn)稿，國(guó)家公安部發(fā)布《GA/T 1389-2017》網(wǎng)絡(luò)等級(jí)保護(hù)定級(jí)指南、《GA/T 1390.2-2017 網(wǎng)絡(luò)安全保護(hù)基本要求 第2 部分：云計(jì)算安全擴(kuò)展要求》等4 個(gè)公共安全行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)。2019 年5 月，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0系列標(biāo)準(zhǔn)（簡(jiǎn)稱(chēng)“等保2.0”）正式發(fā)布，并于同年12 月1 日全面實(shí)施。

圖1：重慶市交通綜合信息平臺(tái)系統(tǒng)基本框架

表1：等保2.0 定級(jí)要素與安全保護(hù)等級(jí)關(guān)系

圖2：重慶市交通綜合信息平臺(tái)安全防護(hù)框架

1.2 標(biāo)準(zhǔn)細(xì)則分析

從等保2.0 和等保1.0 的比較進(jìn)行分析，一是五個(gè)級(jí)別不變，即從第一級(jí)到第五級(jí)依次是：用戶(hù)自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)；二是規(guī)定動(dòng)作不變，分別為定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查；三是主體職責(zé)不變，網(wǎng)安對(duì)定級(jí)對(duì)象的備案受理及監(jiān)督檢查職責(zé)、第三方測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的安全評(píng)估職責(zé)、上級(jí)主管單位對(duì)所屬單位的安全管理職責(zé)、運(yùn)營(yíng)使用單位對(duì)定級(jí)對(duì)象的等級(jí)保護(hù)職責(zé)。

等保2.0 和等保1.0 的不同之處，一是標(biāo)準(zhǔn)依據(jù)的變化，等保制度從條例法規(guī)提升到法律層面；二是標(biāo)準(zhǔn)要求變化，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)與等保1.0 標(biāo)準(zhǔn)的測(cè)評(píng)對(duì)象擴(kuò)大，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入應(yīng)用安全擴(kuò)展標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的要求內(nèi)容。此外，未正式在修訂中寫(xiě)入大數(shù)據(jù)安全擴(kuò)展要求，但給出了大數(shù)據(jù)應(yīng)用場(chǎng)景說(shuō)明和可參考的擴(kuò)展技術(shù)要求[16]，標(biāo)準(zhǔn)還基于“一個(gè)中心，三重防御”的思想對(duì)網(wǎng)絡(luò)安全保護(hù)對(duì)象的安全通用要求的分類(lèi)和項(xiàng)目進(jìn)行了較大調(diào)整[17]，等保2.0 標(biāo)準(zhǔn)的核心是優(yōu)化，刪除了過(guò)時(shí)的測(cè)評(píng)項(xiàng)，對(duì)測(cè)評(píng)項(xiàng)進(jìn)行合理改寫(xiě)，新增對(duì)新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求，調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面；三是從等保1.0 被動(dòng)防御的安全體系向事前防御、事中相應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變；四是等級(jí)規(guī)定動(dòng)作的變化，等保2.0 定級(jí)對(duì)象方面，擴(kuò)展至基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái)，定級(jí)級(jí)別方面，公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí)，相應(yīng)系統(tǒng)的等級(jí)保護(hù)級(jí)別從1.0 的第二級(jí)調(diào)整到了第三級(jí)，定級(jí)流程方面，等保2.0 標(biāo)準(zhǔn)不再自主定級(jí)，二級(jí)及以上系統(tǒng)定級(jí)必須經(jīng)過(guò)專(zhuān)家評(píng)審和主管部門(mén)審核，才能到公安機(jī)關(guān)備案，測(cè)評(píng)合格要求方面，70 分以上才算基本符合要求。

1.3 等級(jí)保護(hù)2.0時(shí)代傳統(tǒng)防護(hù)體系面臨的難點(diǎn)

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)框架在推進(jìn)面向等保2.0 標(biāo)準(zhǔn)的升級(jí)上面臨多重考驗(yàn)，一是新環(huán)境下系統(tǒng)設(shè)施、應(yīng)用、數(shù)據(jù)的種類(lèi)和數(shù)量不斷擴(kuò)大，對(duì)應(yīng)的安全防護(hù)技術(shù)也在發(fā)生變化，傳統(tǒng)安全防護(hù)設(shè)備和手段難以滿(mǎn)足現(xiàn)有安全需求，例如在云計(jì)算虛擬平臺(tái)的管理中，虛擬機(jī)間通訊安全無(wú)法使用傳統(tǒng)南北向防火墻管控，也難以使用虛擬平臺(tái)自帶的VLAN/VPC 功能進(jìn)行管理；二是引入新的業(yè)務(wù)必然會(huì)擴(kuò)大業(yè)務(wù)系統(tǒng)受攻擊面，特別是隨著云計(jì)算的參與到業(yè)務(wù)中，業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全邊界將變得模糊，使得信息化管理人員對(duì)系統(tǒng)IT 基礎(chǔ)設(shè)施的管理力下降，僅靠傳統(tǒng)基于邊界防護(hù)的安全設(shè)備已不能應(yīng)對(duì)現(xiàn)今的網(wǎng)絡(luò)威脅；三是隨著各級(jí)政府“打通各部門(mén)、各行業(yè)間數(shù)據(jù)壁壘”的形勢(shì)下，需妥善處理信息系統(tǒng)開(kāi)放和網(wǎng)絡(luò)安全之間的關(guān)系，更需要解決安全法規(guī)、主體安全設(shè)計(jì)與項(xiàng)目應(yīng)用落地之間的實(shí)際差距。

2 重慶市交通綜合信息平臺(tái)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

2.1 系統(tǒng)運(yùn)行狀況

重慶市交通綜合信息平臺(tái)是2010 年起，由重慶市政府安排市規(guī)劃和自然資源局牽頭，市交通局、市公安交管局等部門(mén)配合，建設(shè)成的一個(gè)匯集、共享、應(yīng)用全市各類(lèi)交通數(shù)據(jù)的基礎(chǔ)平臺(tái)。目前系統(tǒng)累計(jì)接入數(shù)據(jù)約350TB，日新增數(shù)據(jù)約12 億條，日新增數(shù)據(jù)量約450G。交通綜合信息平臺(tái)現(xiàn)已實(shí)現(xiàn)跨政府部門(mén)、企業(yè)的數(shù)據(jù)資源匯集和共享，實(shí)現(xiàn)以人員流動(dòng)、各類(lèi)型機(jī)動(dòng)車(chē)、道路和公共交通為基本元素的交通數(shù)據(jù)的整合。建成了集成并行大數(shù)據(jù)計(jì)算能力和海量數(shù)據(jù)存儲(chǔ)資源，包含交通動(dòng)態(tài)運(yùn)行和地理空間數(shù)據(jù)，具備如手機(jī)信令數(shù)據(jù)等各類(lèi)結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化海量數(shù)據(jù)的采集、存儲(chǔ)、處理能力的大數(shù)據(jù)處理平臺(tái)和數(shù)據(jù)挖掘分析平臺(tái)。建成了全市域交通設(shè)施整合一張圖，實(shí)現(xiàn)重慶市市域范圍內(nèi)基礎(chǔ)地理和各類(lèi)交通設(shè)施、建設(shè)用地的現(xiàn)狀、在建、規(guī)劃數(shù)據(jù)的匯聚整合、加工制作、可視化呈現(xiàn)和分析。綜合運(yùn)用各類(lèi)交通大數(shù)據(jù)，建成了重慶市主城區(qū)道路運(yùn)行監(jiān)測(cè)系統(tǒng)、重慶市人口活動(dòng)監(jiān)測(cè)系統(tǒng)、重慶市主城區(qū)車(chē)輛運(yùn)行監(jiān)測(cè)系統(tǒng)、重慶主城軌道客流清分系統(tǒng)以及重慶公共交通客流及服務(wù)監(jiān)測(cè)分析系統(tǒng)，基于人、車(chē)、路和公共交通，實(shí)現(xiàn)交通問(wèn)題預(yù)警、交通運(yùn)行狀態(tài)趨勢(shì)預(yù)判、交通項(xiàng)目實(shí)施效果評(píng)估的監(jiān)測(cè)評(píng)估體系。

2.2 系統(tǒng)基本框架

重慶市交通綜合信息平臺(tái)從業(yè)務(wù)框架上可分為物理設(shè)施層、基礎(chǔ)平臺(tái)層、計(jì)算存儲(chǔ)層和應(yīng)用服務(wù)層（如圖1 所示）。其中物理設(shè)施層由33 臺(tái)裸金屬架構(gòu)服務(wù)器、11 臺(tái)虛擬集群主機(jī)服務(wù)器、4 臺(tái)存儲(chǔ)和相關(guān)網(wǎng)絡(luò)安全設(shè)備組成，其中裸金屬架構(gòu)服務(wù)器用于Apache hadoop 集群NameNode、DataNode 節(jié)點(diǎn)以及hadoop 邊界服務(wù)器。基礎(chǔ)平臺(tái)層由三個(gè)Apache hadoop 集群、兩個(gè)Vmware Vsphere 虛擬化集群組成，基礎(chǔ)環(huán)境層提供海量數(shù)據(jù)存儲(chǔ)與并行處理平臺(tái)環(huán)境、Vmware 虛擬化服務(wù)器環(huán)境，用于向各個(gè)應(yīng)用和服務(wù)提供運(yùn)算、存儲(chǔ)資源。計(jì)算存儲(chǔ)層由Hadoop 的各項(xiàng)服務(wù)如HDFS 等、結(jié)構(gòu)化數(shù)據(jù)庫(kù)如Oracle Database 與非結(jié)構(gòu)化數(shù)據(jù)庫(kù)如MnogoDB 等，用于提供各類(lèi)數(shù)據(jù)的存儲(chǔ)、處理服務(wù)。應(yīng)用服務(wù)層包括交通綜合信息平臺(tái)各項(xiàng)監(jiān)測(cè)評(píng)估系統(tǒng)、服務(wù)和數(shù)據(jù)共享接口、數(shù)據(jù)匯聚系統(tǒng)，用于獲取全市各類(lèi)交通數(shù)據(jù)源，并利用各類(lèi)數(shù)據(jù)通過(guò)平臺(tái)計(jì)算存儲(chǔ)層得出的各項(xiàng)計(jì)算結(jié)果如道路平均車(chē)速、人員流動(dòng)特征等通過(guò)各監(jiān)測(cè)評(píng)估系統(tǒng)進(jìn)行可視化呈現(xiàn)，或按照數(shù)據(jù)共享格式通過(guò)接口對(duì)外提供服務(wù)和數(shù)據(jù)共享。

2.3 系統(tǒng)安全風(fēng)險(xiǎn)分析

以網(wǎng)絡(luò)安全角度進(jìn)行安全風(fēng)險(xiǎn)分析，引入了大數(shù)據(jù)技術(shù)后，交通綜合信息平臺(tái)存在的可供攻擊點(diǎn)將大大擴(kuò)展，將同時(shí)面臨以硬件設(shè)備、控制系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、源數(shù)據(jù)等為目標(biāo)的安全風(fēng)險(xiǎn)。參照等保2.0 在云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)安全擴(kuò)展要求和大數(shù)據(jù)應(yīng)用場(chǎng)景說(shuō)明中的安全防護(hù)部分，重慶市交通綜合信息平臺(tái)系統(tǒng)面臨以下風(fēng)險(xiǎn)：

2.3.1 網(wǎng)絡(luò)通信安全

重慶市交通綜合信息平臺(tái)通過(guò)與相關(guān)道路運(yùn)管部門(mén)、網(wǎng)絡(luò)運(yùn)營(yíng)商、社會(huì)數(shù)據(jù)提供商建立合作渠道獲取數(shù)據(jù)，同時(shí)從互聯(lián)網(wǎng)公開(kāi)頁(yè)面抓取數(shù)據(jù)。平臺(tái)接入不同類(lèi)型數(shù)據(jù)、使用多種運(yùn)算服務(wù)和軟件同時(shí)面向不同類(lèi)型用戶(hù)提供差異化服務(wù)。在此情況下，系統(tǒng)網(wǎng)絡(luò)邊界模糊，傳統(tǒng)基于安全區(qū)域定義安全策略的防火墻等安全設(shè)備難以發(fā)揮作用。系統(tǒng)連接的各個(gè)網(wǎng)絡(luò)的安全等級(jí)差異較大，來(lái)自一個(gè)網(wǎng)絡(luò)中的安全漏洞可能導(dǎo)致所有網(wǎng)絡(luò)受到攻擊。系統(tǒng)部分服務(wù)和數(shù)據(jù)必須與互聯(lián)網(wǎng)交互，存在數(shù)據(jù)被監(jiān)聽(tīng)和流量劫持的風(fēng)險(xiǎn)。同時(shí)分布式計(jì)算業(yè)務(wù)要求實(shí)時(shí)性高，難以實(shí)現(xiàn)復(fù)雜的安全認(rèn)證機(jī)制，易導(dǎo)致認(rèn)證攻擊、非法入侵、信息泄露、拒絕服務(wù)等。

圖3：重慶市交通綜合信息平臺(tái)整體安全防護(hù)體系

2.3.2 設(shè)備與計(jì)算安全

重慶市交通綜合信息平臺(tái)面向多租戶(hù)提供并行計(jì)算服務(wù)以進(jìn)行不同功能的運(yùn)算，部分?jǐn)?shù)據(jù)來(lái)源設(shè)備為物聯(lián)網(wǎng)傳感器，存儲(chǔ)和計(jì)算資源同時(shí)使用了公有云資源、私有云資源、裸金屬架構(gòu)服務(wù)器。接入物聯(lián)網(wǎng)設(shè)備、使用公有云計(jì)算和存儲(chǔ)資源、提供多租戶(hù)計(jì)算環(huán)境將面臨更大的安全挑戰(zhàn)。自物聯(lián)網(wǎng)技術(shù)廣泛投入應(yīng)用以來(lái)，針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊不斷升級(jí)[18]。接入的物聯(lián)網(wǎng)設(shè)備若未更新補(bǔ)丁或安裝配置不當(dāng)，將對(duì)整個(gè)系統(tǒng)帶來(lái)較大安全風(fēng)險(xiǎn)。同時(shí)，交通綜合信息平臺(tái)部分使用公有云存儲(chǔ)和計(jì)算資源，存在被存儲(chǔ)數(shù)據(jù)直接調(diào)用、計(jì)算過(guò)程被篡改的風(fēng)險(xiǎn)。交通綜合信息平臺(tái)提供多租戶(hù)環(huán)境，平臺(tái)對(duì)云計(jì)算資源向租戶(hù)進(jìn)行共享時(shí)，難以對(duì)計(jì)算資源和計(jì)算安全進(jìn)行控制，易導(dǎo)致計(jì)算資源耗盡和甚至因非法用戶(hù)的惡意操作引起數(shù)據(jù)丟失和數(shù)據(jù)泄露。

2.3.3 應(yīng)用與數(shù)據(jù)安全

重慶市交通綜合信息平臺(tái)的計(jì)算和存儲(chǔ)架構(gòu)使用的Hadoop 平臺(tái)，同時(shí)使用了MongoDB 和其他幾種非結(jié)構(gòu)化數(shù)據(jù)庫(kù)。接入了包括各類(lèi)車(chē)輛GPS 點(diǎn)位置數(shù)據(jù)、道路RFID 和線圈數(shù)據(jù)、電召車(chē)輛位置點(diǎn)數(shù)據(jù)、軌道閘機(jī)刷卡數(shù)據(jù)、手機(jī)信令數(shù)據(jù)和從互聯(lián)網(wǎng)公開(kāi)頁(yè)面抓取的數(shù)據(jù)等。平臺(tái)使用了大量開(kāi)源軟件和插件，近年來(lái)開(kāi)源軟件漏洞數(shù)量增長(zhǎng)較快，特別是被利用的0DAY 漏洞事件頻發(fā)[19]，若按照補(bǔ)丁不及時(shí)，應(yīng)用易受到攻擊，導(dǎo)致服務(wù)中斷、數(shù)據(jù)丟失或被竊取。同時(shí)由于交通綜合信息平臺(tái)接入和采集的源數(shù)據(jù)部分來(lái)自互聯(lián)網(wǎng)或其他不可信區(qū)域，源數(shù)據(jù)內(nèi)容不可控，惡意構(gòu)造的源數(shù)據(jù)可能導(dǎo)致系統(tǒng)受到攻擊。

3 重慶市交通綜合信息平臺(tái)系統(tǒng)安全防護(hù)框架

按照《GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》內(nèi)容（如表1 所示），經(jīng)評(píng)估重慶市交通綜合信息平臺(tái)應(yīng)確定為第二級(jí)。

參考 “等保2.0”標(biāo)準(zhǔn)中的第二級(jí)安全通用要求，以及對(duì)云計(jì)算和大數(shù)據(jù)應(yīng)用的安全擴(kuò)展要求，提出交通綜合信息平臺(tái)“以應(yīng)用數(shù)據(jù)安全為目標(biāo)，以安全體系為核心，以安全技術(shù)為支撐，以安全管理審計(jì)為手段”的整體安全防護(hù)體系框架。如圖2、圖3 所示。

其中技術(shù)體系按照等保2.0 強(qiáng)調(diào)的“一個(gè)安全管理中心、三重防護(hù)”思路，根據(jù)等級(jí)保護(hù)安全通用要求和云計(jì)算安全擴(kuò)展要求設(shè)計(jì)，分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境四個(gè)部分。

3.1 安全物理環(huán)境

按照第二級(jí)安全通用要求，采取的措施是，部署機(jī)房動(dòng)環(huán)系統(tǒng)進(jìn)行監(jiān)測(cè)，保障機(jī)房防水防潮、防火、防雷擊、防靜電和溫濕度控制設(shè)備正常工作。安裝機(jī)房門(mén)禁監(jiān)控，并嚴(yán)格做好巡檢記錄，落實(shí)考核制度。同時(shí)使用UPS 和雙路市電接入，保障電力供應(yīng)有效不間斷。

3.2 安全通信網(wǎng)絡(luò)

在Vmware 虛擬集群中部署東西向防火墻，為IaaS 租戶(hù)提供虛擬防火墻服務(wù)，解決各網(wǎng)絡(luò)、各虛擬機(jī)之間安全邊界的防護(hù)。在各個(gè)網(wǎng)絡(luò)入口部署南北向防病毒網(wǎng)關(guān)和入侵檢測(cè)、防御系統(tǒng)。網(wǎng)絡(luò)中各終端操作系統(tǒng)部署防病毒軟件。運(yùn)維人員和租戶(hù)登錄操作系統(tǒng)、數(shù)據(jù)庫(kù)均使用堡壘機(jī)。使用日志審計(jì)系統(tǒng)，審計(jì)覆蓋到每個(gè)用戶(hù)，并對(duì)審計(jì)記錄進(jìn)行備份。部署自動(dòng)監(jiān)控告警系統(tǒng)，在邊界設(shè)備受到破壞時(shí)，將審計(jì)結(jié)果上傳至安全管理中心。

3.3 安全區(qū)域邊界

重要網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備采用冗余結(jié)構(gòu)，如入口網(wǎng)絡(luò)、核心交換機(jī)等。按照業(yè)務(wù)類(lèi)型劃分不同的安全域，不同域之間使用南北向防火墻進(jìn)行安全隔離。核心網(wǎng)絡(luò)與互聯(lián)網(wǎng)出口見(jiàn)采用物理隔離網(wǎng)閘進(jìn)行隔離。采用網(wǎng)管軟件對(duì)通信設(shè)備進(jìn)行可信驗(yàn)證，在設(shè)備受到破壞時(shí)將審計(jì)結(jié)果上傳至安全管理中心。開(kāi)啟Web 服務(wù)、hadoop 各節(jié)點(diǎn)通信的SSL 認(rèn)證。加快推進(jìn)系統(tǒng)中產(chǎn)品的安可替代進(jìn)度。

3.4 安全計(jì)算環(huán)境

為所有應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等配置身份鑒別功能和并配置鑒權(quán)失敗措施，按照最小權(quán)限原則配置用戶(hù)授權(quán)，移除多余、過(guò)期用戶(hù)。配置數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)。在Web 應(yīng)用前端部署Web 防火墻、網(wǎng)頁(yè)防篡改系統(tǒng)。同時(shí)對(duì)冷、熱數(shù)據(jù)分類(lèi)進(jìn)行備份，采用靜態(tài)數(shù)據(jù)備份防止病毒或非法操作對(duì)備份內(nèi)容的篡改。使用自動(dòng)監(jiān)控告警系統(tǒng)監(jiān)測(cè)計(jì)算設(shè)備運(yùn)行情況，在設(shè)備受到破壞時(shí)，將審計(jì)結(jié)果上傳至安全管理中心。

4 結(jié)語(yǔ)

伴隨我國(guó)智能交通的發(fā)展和大數(shù)據(jù)技術(shù)的深入應(yīng)用，既為交通規(guī)劃的跨行業(yè)合作帶來(lái)了契機(jī)，也給網(wǎng)絡(luò)安全保障工作帶來(lái)新的挑戰(zhàn)。本文從交通綜合信息平臺(tái)實(shí)際業(yè)務(wù)模型和未來(lái)擴(kuò)展規(guī)劃出發(fā)，在等保2.0-云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)擴(kuò)展安全要求基礎(chǔ)上，提出面向基于大數(shù)據(jù)技術(shù)的交通綜合信息平臺(tái)安全防護(hù)框架，以保障交通綜合信息平臺(tái)系統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)安全為目標(biāo)，參考等保2.0 新增的安全要求，提出了覆蓋交通綜合信息平臺(tái)系統(tǒng)基礎(chǔ)設(shè)施安全、虛擬化和租戶(hù)管理、監(jiān)控審計(jì)、安全管理的安全防護(hù)技術(shù)。后期將基于人工智能和威脅自動(dòng)化識(shí)別技術(shù)，研究交通綜合信息平臺(tái)在弱人工監(jiān)管環(huán)境下的安全管理，解決交通綜合平臺(tái)擴(kuò)容后的網(wǎng)絡(luò)安全問(wèn)題。