浅析湖南取消高速公路省界收费站过程中的网络安全系统

2022-01-29李谟珍

中国公路 2021年20期

李谟珍

（湖南省交通科学研究院有限公司，湖南长沙 410000）

一、网络安全系统的建设意义

随着全国ETC联网收费及地区收费监控网络框架的构成，高速公路开始逐渐构建规模较为系统的数据及收费监控综合信息网络，因此网络安全在高速公路运营管理中占据了非常重要的地位。为了确保全国ETC联网收费系统的长期安全稳定运行，减少被外部网络入侵的几率，在取消高速公路省界收费站项目网络安全系统建设中，很有必要采用稳定、成熟、实用的网络安全技术。以湖南为例，在ETC网络安全建设中，主干网络的网络平台、安全系统等部分的设计和实施工作，能够保证网络层主干网络的安全互联互通，从而确保湖南高速公路路网的网络安全、系统安全，实现安全运维、安全管理，综合保障业务网络安全。

二、安全现状

截至2019年初的统计数据显示,湖南高速公路各路段网络设备共计1947台,其中安全设备17台，路由设备95台,交换机1835台,网络设备中交换机占90%，路由设备相当少,且都是家用路由设备,基本没有企业级路由设备。只有少数几条路段部署有安全设备,收费站交换机大多是低端二层交换机。各收费站、区域分中心网络安全建设较薄弱,只有部分站点安装了防火墙及防病毒软件。

三、网络安全系统设计

（一）整体网络安全系统设计

湖南高速公路收费网络由横向局域网和纵向广域网两部分构成，按照行政归属划分，横向局域网分为省中心局域网、分中心局域网、收费站局域网，纵向广域网用于纵向互联各级局域网。总体网络安全系统由广域网与各级局域网边界安全设备及局域网内部的网络安全运维管理系统构成；省中心局域网严格按照三级等保要求建设和等保测评；分中心以下局域网以分中心为单位严格按照三级等保要求建设，ETC门架、收费站、分中心共用安全运维管理设备，同时分别建设边界防护设备。总体网络安全架构如图1所示。

图1 总体网络安全架构图

（二）省中心网络安全系统设计

省中心网络安全建设主要是在已有三级等保项目基础上查漏补缺，强化省中心网络安全。

在内外网间建立设备安全隔离区，实现内外网间安全互访可控。将办公外网从收费外网中剥离，单独为办公外网构建互联网出口，实现生产网络与办公网络的隔离。新增安全管理中心，实现省中心收费系统的集中管控和权限管理。对于关键安全设备采用双机冗余布置。

省中心安全区域分为收费外网、收费内网、安全管理中心、办公外网、安全隔离区，安全管理中心实现省中心系统的集中管控和权限管理，安全隔离区为内外网提供安全互访可控。收费外网分为互联网接入区、互联网应用区、安全管理区。收费内网分为路段接入区、内网应用区、第三方接入区、办公接入区和安全管理区。

（三）分中心网络安全系统设计

各BOT分中心、区域分中心严格按照等级保护三级要求，在安全通信网络、安全区域边界、安全计算环境中进行必要的建设。在各BOT分中心、区域分中心部署两台下一代防火墙、一台日志审计系统、一台网络准入控制系统、一台数据库审计系统、一台运维审计系统、一台漏洞扫描系统及终端安全管理系统。分中心安全架构如图2所示。

图2 分中心安全架构

分中心网络安全区域分为边界防护区、核心交换区、业务应用区及安全管理区。边界防护区提供广域网与分中心局域网之间的安全防护，安全管理区为收费系统及分中心局域网提供安全运维管理。

在BOT分中心、区域分中心边界防护区，部署一台下一代防火墙设备并开启入侵防御、防病毒功能。

在BOT分中心、区域分中心安全管理区部署日志审计系统对BOT分中心、区域分中心IT资产进行日志采集和分析。部署网络准入控制系统,实现区域分中心收费站及ETC门架的准入控制管理,避免区域分中心、BOT分中心、收费站及ETC门架网络非法私自接入设备,避免安全威胁。部署运维审计系统，对运维人员进行审计记录，并以录像的形式存储操作记录。部署漏洞扫描系统帮助用户快速建立针对自己网络的安全风险评估体系。

（四）收费站网络安全系统设计

收费站应严格按照网络安全等级保护在安全通信网络、安全区域边界及安全计算环境方面的三级安全保护要求加以建设。针对收费系统安全保护对象,构建从外到内的纵深安全防御体系。在统一安全策略指导下，综合运用互补的安全措施,确保有效安全认证和访问控制,实现可靠安全通信传输和数据交换共享，保证收费专网隔离属性和安全接入,及时监测预警网内、网外的攻击行为,具备数据备份恢复能力,有效抵御较大规模的恶意攻击、较为严重的自然灾害,审计重要安全事件和重要用户行为,保证收费系统整体稳定、安全运行。

（五）ETC门架网络安全系统设计

ETC门架应严格按照网络安全等级保护在安全通信网络、安全区域边界及安全计算环境方面的三级安全保护要求加以建设。针对收费系统安全保护对象,构建从外到内的纵深安全防御体系。在每个上下行ETC门架系统直连收费站网络节点处各部署一台下一代防火墙(安装在收费站),在各ETC门架系统工控机配置终端安全系统,终端安全系统共用区域分中心、BOT分中心终端安全管理控制中心。