李明 中國(guó)葛洲壩集團(tuán)公路運(yùn)營(yíng)有限公司

引言

因?yàn)楦咚俟吩诟咝А⒏咚僖约案邩?biāo)準(zhǔn)等等方面有著極高的要求，所以，一定程度上也促使了它對(duì)更多高新技術(shù)的應(yīng)用。在網(wǎng)絡(luò)以及信息系統(tǒng)的支持下，使得高速公路系統(tǒng)信息化、自動(dòng)化水平越來(lái)越高，實(shí)現(xiàn)了從單業(yè)務(wù)、單系統(tǒng)、單路段到業(yè)務(wù)協(xié)同、應(yīng)用綜合以及路網(wǎng)縱橫的有效轉(zhuǎn)變。與此同時(shí)，高速公路網(wǎng)絡(luò)信息安全也逐漸暴露其風(fēng)險(xiǎn)，迫切需要針對(duì)性的措施，從而將風(fēng)險(xiǎn)發(fā)生率降低到最低。

一、現(xiàn)階段我國(guó)高速公路信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)概述

(一）通信網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)

以光纖通信系統(tǒng)為基礎(chǔ)組建了服務(wù)于行業(yè)管理的高速公路行業(yè)專網(wǎng)，涵蓋數(shù)據(jù)聯(lián)網(wǎng)收費(fèi)、公共服務(wù)平臺(tái)、健康等等核心業(yè)務(wù)系統(tǒng)，主要負(fù)責(zé)數(shù)據(jù)、語(yǔ)音以及視頻方面的有效傳輸?，F(xiàn)階段，我國(guó)很多省市已經(jīng)建立起這類交通行業(yè)專網(wǎng)，從而為整個(gè)交通行業(yè)信息化發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。

但是，從整個(gè)設(shè)計(jì)來(lái)看，我國(guó)高速公路行業(yè)專業(yè)頂層設(shè)計(jì)方面目前并未設(shè)置統(tǒng)一的標(biāo)準(zhǔn)。與此同時(shí)，高速公路業(yè)務(wù)隨著需求而增加，所以整個(gè)網(wǎng)絡(luò)也處于持續(xù)變化之中，但是整體架構(gòu)、網(wǎng)絡(luò)地址分配等等方面都未進(jìn)行整體規(guī)劃設(shè)計(jì)；尤其是部分省市的網(wǎng)絡(luò)信息系統(tǒng)在基礎(chǔ)設(shè)置配置中未構(gòu)建安全體系，意味著將會(huì)給信息網(wǎng)絡(luò)運(yùn)行帶來(lái)一定的安全威脅。

(二）高速公路聯(lián)網(wǎng)收費(fèi)信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn)

省域內(nèi)均以實(shí)現(xiàn)聯(lián)網(wǎng)收費(fèi)，即一次發(fā)卡進(jìn)展以及一次收卡出站；另外，ETC 聯(lián)網(wǎng)收費(fèi)均以在全國(guó)實(shí)現(xiàn)（除海南與西藏），目前ETC 用戶數(shù)量已經(jīng)超過(guò)5000 萬(wàn)的數(shù)量。高速公路聯(lián)網(wǎng)收費(fèi)相關(guān)應(yīng)用是封閉的，在ETC 出現(xiàn)之后，與銀行開(kāi)始了合作，使得聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)與系統(tǒng)的應(yīng)用得以有效擴(kuò)展，同時(shí)就充值網(wǎng)點(diǎn)、ETC 運(yùn)營(yíng)中心、合作銀行等等方面，配置了用戶服務(wù)平臺(tái)、網(wǎng)上銀行系統(tǒng)、充值系統(tǒng)、發(fā)行系統(tǒng)、認(rèn)證系統(tǒng)等等。

現(xiàn)階段，與高速公路收費(fèi)有關(guān)的微信、支付寶、App 等等陸續(xù)授權(quán)以及推出，實(shí)現(xiàn)了第三方支付系統(tǒng)與高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)的信息互通。同時(shí)，也意味著聯(lián)網(wǎng)收費(fèi)的范圍將越來(lái)越大，與此相關(guān)的應(yīng)用將越來(lái)越多，無(wú)疑也給高速公路的網(wǎng)絡(luò)與信息安全帶來(lái)了巨大的挑戰(zhàn)。

從聯(lián)網(wǎng)收費(fèi)發(fā)展的初期來(lái)看，高速公路建設(shè)與運(yùn)營(yíng)單位都非常重視系統(tǒng)安全性；但是信息安全風(fēng)險(xiǎn)并不是一成不變的，而是隨著信息網(wǎng)絡(luò)的發(fā)展將會(huì)出現(xiàn)更多不可預(yù)知的風(fēng)險(xiǎn)因素，特別是全面聯(lián)網(wǎng)的ETC，隨著移動(dòng)支付的開(kāi)通，意味著聯(lián)網(wǎng)收費(fèi)系統(tǒng)將是整個(gè)高速公路運(yùn)輸行業(yè)最為重要的系統(tǒng)，這就意味著不能出現(xiàn)一絲風(fēng)險(xiǎn)，所以還有很多配套的工作需要完善。

(三）聯(lián)網(wǎng)監(jiān)控存在的安全風(fēng)險(xiǎn)

在高速公路整個(gè)信息網(wǎng)絡(luò)體系之中，聯(lián)網(wǎng)監(jiān)控系統(tǒng)扮演著非常重要的角色，主要是幫助運(yùn)營(yíng)單位對(duì)高速公路的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控，這樣能夠快速有效應(yīng)對(duì)一些突發(fā)的事件，以期望能夠盡快排除隱患，讓整個(gè)高速公路能夠穩(wěn)定運(yùn)行，監(jiān)控系統(tǒng)覆蓋到到事故易發(fā)路段、服務(wù)區(qū)、長(zhǎng)大橋梁、隧道、主線、車道、收費(fèi)廣場(chǎng)、停車服務(wù)區(qū)等等；同時(shí)，還在一些重要的路段設(shè)置了全程監(jiān)控。通過(guò)監(jiān)控所收集到的數(shù)據(jù)信息為運(yùn)營(yíng)單位等等機(jī)構(gòu)作出決策提供有效依據(jù)。同時(shí)，這些視頻與數(shù)據(jù)是全網(wǎng)共享的，安監(jiān)部門(mén)、交警部門(mén)、公安部門(mén)以及運(yùn)營(yíng)單位等等，其數(shù)據(jù)會(huì)在這些機(jī)構(gòu)之中進(jìn)行傳輸，因此，也就有了泄露的風(fēng)險(xiǎn)。

二、加強(qiáng)高速公路信息安全的對(duì)策

(一）加強(qiáng)基礎(chǔ)設(shè)施層保護(hù)

1.加強(qiáng)網(wǎng)絡(luò)基本防護(hù)

加強(qiáng)網(wǎng)絡(luò)基本防護(hù)力度，具體要從網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)入侵防范、安全審計(jì)、訪問(wèn)權(quán)限設(shè)置、網(wǎng)絡(luò)結(jié)構(gòu)安全、惡意代碼防范等等方面入手，并結(jié)合實(shí)際業(yè)務(wù)需求，從而科學(xué)、合理架構(gòu)高速公路的整體網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)用戶訪問(wèn)進(jìn)行權(quán)限設(shè)置；設(shè)置漏洞掃描、IPS 以及防火墻等等基礎(chǔ)安全防范軟件系統(tǒng)，有利于及時(shí)掃描以及防范惡意代碼、惡意攻擊等等。如果有明確的保密要求或者是安全等級(jí)要求，那么必須做好相關(guān)隔離工作；如果沒(méi)有明確的保護(hù)要求，則采用單向網(wǎng)閘來(lái)傳輸數(shù)據(jù)，有助于防范惡意入侵。

2.加強(qiáng)病毒防護(hù)以及系統(tǒng)加固

在聯(lián)網(wǎng)環(huán)境下為了能夠保障企業(yè)應(yīng)用安全性與穩(wěn)定性，建議采用正版的防毒軟件。該類防毒軟件應(yīng)該根據(jù)高速公路信息網(wǎng)絡(luò)的特點(diǎn)進(jìn)行布設(shè)，在各個(gè)終端的客戶端部署殺毒服務(wù)器，借助病毒庫(kù)動(dòng)態(tài)更新的功能可以對(duì)客戶端進(jìn)行實(shí)時(shí)防毒，還可以更加便捷地對(duì)FTP 站點(diǎn)以及共享文件件進(jìn)行管理，從而有效防止病毒通過(guò)這些途徑進(jìn)行傳播。此外，還需要定期對(duì)高速公路網(wǎng)絡(luò)信息系統(tǒng)打補(bǔ)丁、修改配置以及安全機(jī)制完善，將系統(tǒng)加固，有利于提升系統(tǒng)抗攻擊的能力。

(二）提升應(yīng)用系統(tǒng)的防護(hù)力度

1.從開(kāi)發(fā)環(huán)節(jié)入手提升防護(hù)力度

要求開(kāi)發(fā)商必須在強(qiáng)化安全性的設(shè)計(jì)，尤其要注重軟件容錯(cuò)功能的完善，有利于提升軟件的“健壯性”；特別是一些關(guān)鍵應(yīng)用系統(tǒng)，以聯(lián)網(wǎng)收費(fèi)系統(tǒng)為例，必須要對(duì)訪問(wèn)控制、身份鑒別方面下足功夫，賦予自動(dòng)加密功能然后進(jìn)行傳輸。

又例如，在建立多個(gè)系統(tǒng)協(xié)同實(shí)現(xiàn)的這類應(yīng)用系統(tǒng)時(shí)，要特別注重系統(tǒng)之間互相訪問(wèn)以及互相調(diào)動(dòng)的安全防護(hù)；根據(jù)具體業(yè)務(wù)的需求，并充分考慮信息系統(tǒng)安全的實(shí)際需求，在業(yè)務(wù)系統(tǒng)對(duì)接之中，通過(guò)數(shù)據(jù)校驗(yàn)、密碼驗(yàn)證以及接口間協(xié)議認(rèn)證等等方式，能夠有效提升安全防護(hù)力度。

2.最大限度保障數(shù)據(jù)安全

數(shù)據(jù)安全需要從審計(jì)入手，著重審計(jì)數(shù)據(jù)庫(kù)，能夠?qū)崟r(shí)記錄數(shù)據(jù)庫(kù)的實(shí)際活動(dòng)情況，進(jìn)而對(duì)數(shù)據(jù)庫(kù)操作過(guò)程中存在的風(fēng)險(xiǎn)行為進(jìn)行及時(shí)的預(yù)警、阻斷。此外，要對(duì)業(yè)務(wù)系統(tǒng)之中的關(guān)鍵數(shù)據(jù)信息以及系統(tǒng)所產(chǎn)生的管理文檔做好備份，并對(duì)其有效性以及完整性進(jìn)行定期驗(yàn)證，為系統(tǒng)有效運(yùn)行提供良好的保障。

(三）提升工業(yè)控制力度

工業(yè)自控系統(tǒng)存在于高速公路系統(tǒng)之中，具體從這些方面入手：第一，網(wǎng)絡(luò)防護(hù)層。在對(duì)網(wǎng)絡(luò)進(jìn)行部署時(shí)，建議通過(guò)防火墻技術(shù)將企業(yè)網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)進(jìn)行隔離；如果兩者之間必須要建立連接，應(yīng)當(dāng)只建立一個(gè)連接，且以防火墻為基礎(chǔ)，加強(qiáng)身份驗(yàn)證、訪問(wèn)控制等等，從而最大限度保障其安全性。從協(xié)議安全層面來(lái)講，因?yàn)楣I(yè)通信協(xié)議，以MODBUS 協(xié)議為例，在設(shè)計(jì)過(guò)程中沒(méi)有設(shè)置安全措施，那么就必須隨著控制系統(tǒng)與外部網(wǎng)絡(luò)連接增多的情況下，增添雙方的認(rèn)證過(guò)程。關(guān)于協(xié)議的安全性提升，可以這些方面入手：第一，對(duì)協(xié)議直接進(jìn)行修改，從而增條認(rèn)證功能；第二，現(xiàn)有的協(xié)議不進(jìn)行修改，并在此基礎(chǔ)上增加對(duì)應(yīng)的信息安全層。從控制器設(shè)計(jì)來(lái)講，要從自控邏輯設(shè)計(jì)入手，增加入侵檢測(cè)算法，可以對(duì)網(wǎng)絡(luò)之中可能發(fā)生的惡意入侵與攻擊進(jìn)行分析，從而主動(dòng)積極采取防范措施，可提升整個(gè)控制器的穩(wěn)定性。

三、結(jié)語(yǔ)

綜上所述，隨著信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進(jìn)步，高速公路信息化建設(shè)逐步完善，但是信息網(wǎng)絡(luò)在快速發(fā)展的同時(shí)，也伴隨著各類安全風(fēng)險(xiǎn)。因此，有必要從基礎(chǔ)防護(hù)、應(yīng)用系統(tǒng)開(kāi)發(fā)防護(hù)以及工業(yè)控制等等方面入手，從而提升安全風(fēng)險(xiǎn)防護(hù)的有效性，確保高速公路信息網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定運(yùn)行。