張玉暉

（寧夏交通信息監(jiān)控中心,寧夏 銀川 750003）

1 概 述

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，是我區(qū)高速公路運(yùn)行管理中的一個(gè)薄弱環(huán)節(jié)，實(shí)施其網(wǎng)絡(luò)安全建設(shè)，是通過對收費(fèi)站、片區(qū)綜合管理平臺安全設(shè)施的建設(shè)和對管理總中心的現(xiàn)有網(wǎng)絡(luò)安全設(shè)施進(jìn)行加固，有效解決全網(wǎng)系統(tǒng)病毒感染、內(nèi)外部惡意滲透攻擊所導(dǎo)致的網(wǎng)絡(luò)癱瘓、業(yè)務(wù)系統(tǒng)崩潰、數(shù)據(jù)丟失等安全隱患，進(jìn)一步完善寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，提高高速公路運(yùn)營和維護(hù)安全防護(hù)水平，為全區(qū)高速公路聯(lián)網(wǎng)系統(tǒng)的安全穩(wěn)定運(yùn)行提供技術(shù)保障。

2 網(wǎng)絡(luò)安全產(chǎn)品的選型原則

寧夏高速公路聯(lián)網(wǎng)系統(tǒng)是一個(gè)要求高可靠性和高安全性的網(wǎng)絡(luò)系統(tǒng)，應(yīng)用于寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的所有網(wǎng)絡(luò)安全產(chǎn)品的招標(biāo)采購，必須嚴(yán)格遵循以下原則：

（1）安全性原則。所有網(wǎng)絡(luò)安全產(chǎn)品自身必須安全可靠，保證整個(gè)安全體系結(jié)構(gòu)具有牢靠的自身安全基礎(chǔ)。

（2）成熟性、先進(jìn)性原則。所選擇的產(chǎn)品是技術(shù)成熟、先進(jìn)，而且產(chǎn)品化程度高，能適應(yīng)各種網(wǎng)絡(luò)環(huán)境的要求。

（3）開放性、可擴(kuò)展性原則。所選擇的必須是技術(shù)開放、可持續(xù)發(fā)展、具有可擴(kuò)展性的產(chǎn)品。

（4）可靠性原則。遵循國家有關(guān)規(guī)定，所有網(wǎng)絡(luò)安全產(chǎn)品必須通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及中國信息安全認(rèn)證中心的認(rèn)證，即銷售許可證和3C認(rèn)證；涉及到密碼技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品，必須通過國家密碼管理局的批準(zhǔn)。

3 安全防護(hù)技術(shù)要求

3.1 防火墻

（1）實(shí)現(xiàn)策略。根據(jù)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的三級架構(gòu)，分別在監(jiān)控總中心、片區(qū)綜合管理平臺部署防火墻系統(tǒng)，收費(fèi)站邊界部署防病毒網(wǎng)關(guān)系統(tǒng)。同時(shí)根據(jù)高速公路監(jiān)控總中心、片區(qū)綜合管理平臺安全域的劃分情況，分別部署防火墻系統(tǒng)，做到安全域間的訪問控制。

（2）基本技術(shù)要求。防火墻產(chǎn)品必須支持多虛擬防火墻系統(tǒng)，支持狀態(tài)報(bào)文過濾，具有防蠕蟲病毒攻擊等多種功能；支持NAT功能的同時(shí)，支持GRE、L2TP、IPSec等VPN協(xié)議；支持IPSEC的NAT穿越；支持HTTP URL和內(nèi)容過濾；支持SMTP郵件地址、標(biāo)題和內(nèi)容過濾；支持QoS帶寬管理；支持多級安全管理員權(quán)限劃分與管理；支持設(shè)備冗余備份；支持多種本地和遠(yuǎn)程身份認(rèn)證；支持路由功能，包括靜態(tài)路由、OSPF、策略路由等；高端防火墻還必須支持BGP協(xié)議、MPLS協(xié)議，保證后期向MPLS新技術(shù)遷移的向后兼容性；支持冗余電源；支持接口模塊的熱插拔；同時(shí)提供千兆光接口和電接口。

3.2 入侵檢測

（1）實(shí)現(xiàn)策略。根據(jù)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的三級架構(gòu)，在管理總中心部署1臺IDS總控臺，管理各片區(qū)綜合管理平臺和收費(fèi)站部署在核心交換機(jī)上的IDS探測器；總中心部署萬兆IDS探測器，各片區(qū)綜合管理平臺和收費(fèi)站部署千兆IDS探測器。

（2）基本技術(shù)要求。入侵檢測設(shè)備具備分布式部署、多級管理，高端入侵檢測設(shè)備必須支持接口擴(kuò)展，可擴(kuò)展萬兆接口，對常見的攻擊行為具有高精度的檢測能力；可對歷史日志進(jìn)行對比分析，能自動生成報(bào)表，輔助用戶分析一段時(shí)間內(nèi)的威脅；支持冗余電源、接口模塊的熱插拔，能夠被統(tǒng)一網(wǎng)管；設(shè)備廠商必須是微軟MAPP計(jì)劃戰(zhàn)略合作伙伴及云安全聯(lián)盟CSA合作伙伴，具備發(fā)現(xiàn)主流操作系統(tǒng)或應(yīng)用系統(tǒng)新漏洞的能力。

3.3 IPSEC VPN技術(shù)

（1）實(shí)現(xiàn)策略。在收費(fèi)站及總中心3G路由器后部署IPSEC VPN網(wǎng)關(guān)，收費(fèi)站VPN網(wǎng)關(guān)與總中心VPN網(wǎng)關(guān)采用網(wǎng)關(guān)對網(wǎng)關(guān)模式建立加密隧道，將收費(fèi)數(shù)據(jù)進(jìn)行加密后傳輸。

（2）基本技術(shù)要求。VPN設(shè)備由VPN安全網(wǎng)關(guān)、VPN客戶端以及集中管理平臺組成。VPN網(wǎng)關(guān)需要集成SSLVPN、防火墻的功能。

3.4 入侵防護(hù)系統(tǒng)

（1）實(shí)現(xiàn)策略。在寧夏高速公路聯(lián)網(wǎng)系統(tǒng)對外連接子系統(tǒng)區(qū)域部署入侵防護(hù)設(shè)備，對各種病毒、攻擊行為進(jìn)行防護(hù)。

（2）基本技術(shù)要求。入侵防護(hù)系統(tǒng)具有自主知識產(chǎn)權(quán)，集成流狀態(tài)跟蹤、協(xié)議分析、深度內(nèi)容解析、異常檢測、關(guān)聯(lián)分析、主動探測、云防御等多種分析、檢測技術(shù)，配合實(shí)時(shí)更新的特征庫，可攔截2～7層網(wǎng)絡(luò)攻擊行為，有效凈化網(wǎng)絡(luò)流量。同時(shí)提供URL分類過濾和上網(wǎng)行為管理功能，可對網(wǎng)絡(luò)應(yīng)用按照用戶和時(shí)間進(jìn)行阻斷或帶寬限流，合理優(yōu)化網(wǎng)絡(luò)流量。

3.5 日志審計(jì)系統(tǒng)

（1）實(shí)現(xiàn)策略。在寧夏高速公路監(jiān)控總中心核心交換機(jī)上部署日志審計(jì)系統(tǒng)，對重點(diǎn)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、主機(jī)等進(jìn)行日志收集；對日志進(jìn)行范式化、分類、過濾、歸并。

（2）基本技術(shù)要求。日志審計(jì)采用組件式平臺架構(gòu)，實(shí)現(xiàn)分層的邏輯架構(gòu)，包括審計(jì)數(shù)據(jù)源層、日志采集層、業(yè)務(wù)層和應(yīng)用層，通過對數(shù)據(jù)源、原始日志信息、引擎日志抽取、各功能模塊管理等方式進(jìn)行邏輯分析和統(tǒng)計(jì)。見圖1所示。

圖1 日志審計(jì)邏輯架構(gòu)圖

3.6 防病毒網(wǎng)關(guān)

（1）實(shí)現(xiàn)策略。在寧夏高速公路監(jiān)控總中心、片區(qū)綜合管理平臺、收費(fèi)站網(wǎng)絡(luò)邊界分別部署防病毒網(wǎng)關(guān)。

（2）基本技術(shù)要求。為了和現(xiàn)有網(wǎng)絡(luò)能夠無縫連接，高端防病毒網(wǎng)關(guān)設(shè)備必須支持接口擴(kuò)展，多系統(tǒng)（≥3個(gè)）引導(dǎo)，并可配置啟動順序；支持分區(qū)備份；支持IPv4和IPv6雙棧協(xié)議下的病毒掃描與防護(hù)；支持HTTP、SMTP、FTP、POP3、IMAP等多種應(yīng)用協(xié)議下的病毒防護(hù)；支持自定義非標(biāo)準(zhǔn)端口下應(yīng)用協(xié)議的病毒防護(hù)；支持gzip、rar、zip等壓縮格式的病毒掃描；支持國際國內(nèi)知名的主流品牌病毒庫，病毒庫提供商通過VB100認(rèn)證；支持外置USB設(shè)備進(jìn)行補(bǔ)丁包、系統(tǒng)軟件升級。

3.7 數(shù)據(jù)庫審計(jì)

（1）實(shí)現(xiàn)策略。在寧夏高速公路監(jiān)控總中心核心交換機(jī)上部署高性能數(shù)據(jù)中心，集中管理片區(qū)綜合管理平臺的數(shù)據(jù)中心。片區(qū)綜合管理平臺提供數(shù)據(jù)，供上級數(shù)據(jù)中心匯總，通過多級部署、集中管理，使管理員從單個(gè)數(shù)據(jù)中心可以查看所有的數(shù)據(jù)和報(bào)告，對重要/關(guān)鍵數(shù)據(jù)、重要/關(guān)鍵服務(wù)器的訪問進(jìn)行審計(jì)。

（2）基本技術(shù)要求。針對不同的應(yīng)用協(xié)議，提供基于應(yīng)用操作、數(shù)據(jù)庫操作語義解析審計(jì)，實(shí)現(xiàn)對違規(guī)行為的及時(shí)監(jiān)視和告警；提供上百種合規(guī)規(guī)則，支持自定義規(guī)則，實(shí)現(xiàn)靈活多樣的響應(yīng)；提供基于硬件令牌、靜態(tài)口令、Radius支持的強(qiáng)身份認(rèn)證。根據(jù)設(shè)定輸出不同的安全審計(jì)報(bào)告，監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，實(shí)時(shí)、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作。系統(tǒng)能夠?qū)Σ捎肙DBC、JDBC、OLE-DB、命令行嵌入方式對數(shù)據(jù)庫的訪問進(jìn)行審計(jì)和響應(yīng)；支持對SQL Server、DB2、Oracle、Informix等數(shù)據(jù)庫系統(tǒng)的SQL操作響應(yīng)時(shí)間和返回碼的審計(jì)；提供業(yè)務(wù)系統(tǒng)的3層關(guān)聯(lián)分析。

3.8 異常流量清洗設(shè)備

（1）實(shí)現(xiàn)策略。在寧夏高速公路聯(lián)網(wǎng)系統(tǒng)，對外連接子系統(tǒng)區(qū)域部署抗DDoS設(shè)備，阻斷來自互聯(lián)網(wǎng)、第三方單位網(wǎng)絡(luò)的DDoS攻擊行為。

（2）基本技術(shù)要求。DDoS防護(hù)設(shè)備須能防御流量型flood、應(yīng)用型flood和DOS攻擊；支持?jǐn)?shù)據(jù)包基于五元組的抓包采集功能，對數(shù)據(jù)包進(jìn)行在線分析；支持HTTP特征分析，連接分析，數(shù)據(jù)包內(nèi)容對比分析等；支持攻擊日志、網(wǎng)絡(luò)流量統(tǒng)計(jì)日志、網(wǎng)絡(luò)包數(shù)統(tǒng)計(jì)日志、網(wǎng)絡(luò)連接數(shù)統(tǒng)計(jì)日志、系統(tǒng)負(fù)載日志；支持攻擊服務(wù)器TOP統(tǒng)計(jì)；支持攻擊類型TOP統(tǒng)計(jì)；支持生成導(dǎo)出安全報(bào)告；支持安全管理中心統(tǒng)一管理；支持多臺設(shè)備集群部署；支持在大攻擊流量發(fā)生時(shí)手動或自動啟動集群；支持集群間數(shù)據(jù)狀態(tài)同步；支持集群設(shè)備冗余備份；支持集群無限擴(kuò)容。

4 結(jié)語

實(shí)現(xiàn)寧夏高速公路聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)策略與基本技術(shù)要求，是完善寧夏高速公路聯(lián)網(wǎng)運(yùn)行管理的重要技術(shù)要求之一，是高速公路聯(lián)網(wǎng)系統(tǒng)開展信息安全建設(shè)和安全運(yùn)維工作的重要依據(jù)，對于實(shí)施網(wǎng)絡(luò)安全建設(shè)具有重要意義。