新陽高速信息安全保障機制的研究及應用

文 / 廣東省南粵交通云湛高速公路管理中心 邱宇

伴隨著高速公路信息化建設速度的加快以及信息網(wǎng)絡的完善，信息安全問題開始受到越來越多的關(guān)注，因為其直接關(guān)系著高速公路的正常運行，關(guān)系著交通系統(tǒng)的安全性和穩(wěn)定性。當前，我國在高速公路信息安全建設和管理方面，取得了較為顯著的成果，不過同樣存在有不少問題，如網(wǎng)絡攻擊檢測應對機制欠缺、沒有專門的管理機構(gòu)和管理人員等。對此，有關(guān)部門應該從高速公路的實際情況出發(fā)，設置科學的信息安全保障機制，最大限度地保障高速公路的運行安全。

引言

伴隨著信息化技術(shù)和數(shù)字化技術(shù)的快速發(fā)展，高速公路服務管理的數(shù)字化和信息化可以說勢在必行，信息網(wǎng)絡系統(tǒng)的建構(gòu)和應用，促進了高速公路通行量的提升，保障了高速公路運營效率的增長，不過也表現(xiàn)出了風險防范及抵抗能力較差的問題。基于此，高速公路運營管理單位應該加強對于信息安全保障機制的研究，提升信息安全防護能力，建立起實時動態(tài)的高速公路信息安全保障體系。

高速公路信息安全保障機制建設的背景

我國高速公路事業(yè)的發(fā)展十分迅速，公路里程在最近幾年呈現(xiàn)出爆發(fā)性增長的態(tài)勢，收費方面則采用了分段建設、聯(lián)網(wǎng)收費模式。新的發(fā)展環(huán)境下，隨著全國取消省界收費站項目的全面完成，各高速公路營運路段均已完成收費系統(tǒng)網(wǎng)絡安全保護系統(tǒng)的搭建，并通過有關(guān)單位的合規(guī)性檢測及驗收，借助ETC門架系統(tǒng)建設的方式，可以實現(xiàn)收費方式的開放化。新的發(fā)展環(huán)境下，以高速公路聯(lián)網(wǎng)收費目標為前提，ETC收費在全國范圍內(nèi)得到了快速的推廣和普及。打造出良好的信息安全保障機制，減少高速公路運行中存在的風險和隱患，能夠保障高速公路運營以及聯(lián)網(wǎng)收費的順利實施。

以往高速公路信息化安全系統(tǒng)建設中，采用的都是與業(yè)務系統(tǒng)對接的方式，然后依照相應的業(yè)務數(shù)據(jù)開展各項工作，以靜態(tài)化體系建設為主，無法實現(xiàn)對整個網(wǎng)絡系統(tǒng)的動態(tài)實時監(jiān)管。

高速公路信息安全保障機制建設強調(diào)對相應的安全信息進行收集，配合大數(shù)據(jù)技術(shù)以及數(shù)據(jù)挖掘技術(shù)做好全面梳理，明確操作系統(tǒng)、軟件環(huán)境以及網(wǎng)絡端口等基礎(chǔ)信息，配合系統(tǒng)漏洞的掃描來得到完善的檢測報告，對系統(tǒng)中存在的薄弱環(huán)節(jié)進行有效防護，形成完善的體系架構(gòu)，其對于信息安全監(jiān)測以及交通運輸網(wǎng)絡優(yōu)化有著不容忽視的作用。伴隨著ETC的推廣和普及，人們越發(fā)重視高速公路建設和發(fā)展中的信息安全問題，強調(diào)數(shù)據(jù)信息的合理性以及系統(tǒng)操作的便捷性，大數(shù)據(jù)技術(shù)的應用，更是對信息系統(tǒng)的安全性提出了更加嚴格的要求。

基于此，有關(guān)部門應該高度重視高速公路信息安全保障機制的建設工作，打造出完善的網(wǎng)絡安全模型，對照實際數(shù)據(jù)，推動信息安全保障機制的標準化和規(guī)范化，配合網(wǎng)絡安全人才隊伍建設，實現(xiàn)高速公路信息保障機制的建設和發(fā)展。

高速公路信息安全保障機制的研究及應用

汕湛高速公路云浮至湛江段及支線工程是廣東省高速公路網(wǎng)規(guī)劃“十縱五橫兩環(huán)”之“第二橫”的重要組成部分，云湛高速公路新陽段起于云浮市新興縣簕竹鎮(zhèn)，順接清云高速公路終點，途經(jīng)新興縣河頭鎮(zhèn)、天堂鎮(zhèn)、陽春市石望鎮(zhèn)、春灣鎮(zhèn)、松柏鎮(zhèn)、春城街道、馬水鎮(zhèn)、潭水鎮(zhèn)、三甲鎮(zhèn)，終于八甲鎮(zhèn)；路線全長85.777km(不含與羅陽高速共線段32.77km)。陽春市春城至八甲段42.877km于2017年12月28日建成通車，新興簕竹至陽春松柏段42.9km于2018年9月26日建成通車。前期，依托汕湛高速新陽段，針對標準化信息安全保障機制，已開展標準化日常運維管理辦法可行性研究，初步得出適用于高速公路生產(chǎn)網(wǎng)的安全運維模型及相關(guān)信息安全保障機制。

前期研究工作

新陽高速根據(jù)養(yǎng)護內(nèi)容不斷打造自動化的服務平臺，不斷完善自動化的服務工具，自動化服務工具分別通過機房智能準入系統(tǒng)、智慧運維專網(wǎng)、信息交換雙重隔離等建設實現(xiàn)，從而達到建設目標的智能化、專業(yè)化。在實踐中，需要做好多個方面的研究：一是打造出了智慧運維專網(wǎng)，設置了養(yǎng)護運維和辦公網(wǎng)絡專用的網(wǎng)段，實現(xiàn)了對系統(tǒng)運維過程的全監(jiān)控和全審計，取代

了以往的遠程控制程序，有效避免了內(nèi)網(wǎng)與外網(wǎng)直連引發(fā)的安全風險；二是對信息交換實施了隔離，如在專網(wǎng)中增加硬盤設備、指定移動介質(zhì)服務器為唯一移動介質(zhì)出入口、全線封堵外場設備USB接口等方式，形成了通過三重保護，有效消除了第三方運維單位可能帶來的病毒入侵隱患；三是通過安裝機房智能準入系統(tǒng)，布設機電系統(tǒng)網(wǎng)絡安全的第一道關(guān)口，推進門禁信息化管理，通過線上預約審批機制，最小化分配人員機房進出權(quán)限，記錄并監(jiān)控維護人員進出時間。

系統(tǒng)開發(fā)方案

1.環(huán)境模擬

模擬高速公路實際環(huán)境，在實驗中心中網(wǎng)絡拓撲可單獨研究。在實踐中，利用舊高速公路設備模擬真實環(huán)境拓撲搭建實驗中心網(wǎng)絡拓撲。實際操作中，通過選擇不同的安全設備、終端設備、信息系統(tǒng)等，拓撲可模擬高速公路機電系統(tǒng)建設、營運全過程拓撲，讓在建路段可根據(jù)設計圖紙模擬營運開展網(wǎng)絡安全壓力測試，及時發(fā)現(xiàn)可能涉及營運問題，提前變更，營運路段可通過模擬新增設備，及時發(fā)現(xiàn)可能涉及的建設和養(yǎng)護問題。同時，拓撲結(jié)構(gòu)的多樣化以及可以靈活切換的特點，能夠為信息化安全體系的安全模型建設提供了更多類型的安全模型搭配，大大縮減了后續(xù)實驗與驗證時間。

2.功能明確

一是應該明確管理的內(nèi)容。實驗中心本身能夠提供網(wǎng)絡知識培訓、網(wǎng)絡安全課程學習以及網(wǎng)絡安全實操環(huán)境等功能，覆蓋的教學內(nèi)容十分豐富，技術(shù)人員可以自主進行學習和實驗，也可以對信息安全相關(guān)的內(nèi)容進行綜合分析，以滿足各方面的要求；二是應該優(yōu)化技術(shù)內(nèi)容，開展相應的安全演練工作，對構(gòu)建起的安全模型進行驗證。流入，可以針對實驗目的設備、拓撲、安全技術(shù)，接入仿真拓撲，開展網(wǎng)絡安全攻擊，聯(lián)合信息安全實驗中心評判安全指標，驗證安全承受風險等級；三是確定相應的技術(shù)路線。

以實驗中心分享為例，可以實現(xiàn)理論學習以及技能實操的全路段接入，提供多樣化的網(wǎng)絡安全工具，通過搭建專線、服務上云方式建立遠程接入?yún)^(qū)。遠程接入?yún)^(qū)能夠滿足用戶通過遠程接入到信息安全演練中心內(nèi)，進行7*24小時的測試和研究，包括理論學習、技能實操、攻防演練等學習內(nèi)容。

3.模型構(gòu)建

在構(gòu)建網(wǎng)絡安全模型，打造標準化體系的過程中，可以將具體的研究對象確定為基線管理，配合相應的盒子測試來保證效果，通過安全實驗的方式，逐步打造出完善可靠的網(wǎng)絡安全模型，通過模型的試運行，最終形成適用于實際使用的技術(shù)、管理標準化信息安全保障機制。

在對模型進行構(gòu)建的過程中，需要依照最低安全配置的要求，結(jié)合不同的資產(chǎn)類型以及業(yè)務環(huán)境，確定相應的安全配置基線，要求其能夠覆蓋訪問控制、安全審計、賬戶與密碼策略、傳輸加密、數(shù)據(jù)備份以及集中管控等多個方面。同時，應該依據(jù)路段實際拓撲及設備參數(shù)，開展攻擊實驗，實驗采取“一票否決”驗證機制，實驗過程中心不斷進行參數(shù)、安全策略、拓撲等基礎(chǔ)信息調(diào)整，逐步構(gòu)建出支撐系統(tǒng)安全運行的最低安全基線，構(gòu)建安全基本模型，通過對安全基本模型的試運行，結(jié)合試運行期間管理、技術(shù)、不可抗力等影響因子，最終建立適用于高速公路的標準化信息安全保障機制。

預期研究成果

一是應該嚴格落實相應的管理制度，針對每個實驗給出具體明確的報告，構(gòu)建起能夠滿足基線管理要求的信息安全保障機制，確保其能夠根據(jù)實際發(fā)展情況，具備延伸拓展功能；二是提出提出高速公路網(wǎng)絡安全基線管理、安全運維、系統(tǒng)準入等網(wǎng)絡安全相關(guān)保障機制，以實驗數(shù)據(jù)為基準提出保障機制網(wǎng)絡安全模型；三是結(jié)合實際情況，打造出適用性較強的網(wǎng)絡安全仿真模型，實現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)建設、管理和養(yǎng)護的一體化，真正做到同步實驗、同步建設和同步運營；四是實驗類型的研究需覆蓋網(wǎng)絡安全行業(yè)類各種網(wǎng)絡安全攻擊手段，同時搭建盒子測試區(qū)域，用于軟、硬上線前后網(wǎng)絡安全測試。建設適用于高速行業(yè)測試及科研專用的模擬環(huán)境，可對軟硬件、信息系統(tǒng)開展性能測試、上線前網(wǎng)絡安全測試、設備安全基線檢測等。

綜合效益評估

一是經(jīng)濟效益評估。在方案中，實現(xiàn)了對于大量舊設備的回收利用，降低了成本消耗。按目前行業(yè)網(wǎng)絡安全管理辦法要求，對于人員培訓、應急演練每年約節(jié)省25萬元/營運項目，此外安全風險評估、漏掃、基線檢測等專項性工作約節(jié)省30萬元/營運項目；二是社會效益評估。

通過安全培訓，可加強技術(shù)管理人會員網(wǎng)絡安全知識技能，為國家、行業(yè)建設網(wǎng)絡安全人才隊伍。通過安全模型及標準化信息安全管理體制，可更好保障關(guān)鍵信息基礎(chǔ)實施網(wǎng)絡安全運行，保障國家基礎(chǔ)設施安全、保障人民群眾，為司乘人員提供更安全的網(wǎng)絡安全服務。

結(jié)語

總而言之，在傳統(tǒng)交通運輸及安全管理系統(tǒng)無法滿足現(xiàn)實發(fā)展需求的情況下，高速公路運營管理機構(gòu)應該及時更新觀念，做好對于高速公路信息安全保障機制的研究和應用，借助先進的技術(shù)手段，明確高速公路運行中存在的信息安全問題，切實做好防護工作，最大限度地保障信息的安全性和可靠性，這樣才能真正實現(xiàn)交通運輸行業(yè)的可持續(xù)健康發(fā)展。