謝兆勇

摘? 要：隨著路網(wǎng)監(jiān)測設(shè)施增加，目前各種外場設(shè)施設(shè)備數(shù)量龐大，內(nèi)場機(jī)房已存在多處安全隱患，外場內(nèi)場設(shè)施運(yùn)維與安全問題日益突出，對現(xiàn)有路網(wǎng)監(jiān)測設(shè)施運(yùn)維管理邊界安全的研究與應(yīng)用迫在眉睫，建立一套邊界網(wǎng)絡(luò)安全管理系統(tǒng)平臺(tái)非常必要，通過系統(tǒng)軟件及邊界安全硬件服務(wù)器實(shí)施，實(shí)現(xiàn)對路網(wǎng)設(shè)施的前端設(shè)備視頻圖像及文字、終端網(wǎng)絡(luò)安全、末端設(shè)備的漏洞，有效的起到維護(hù)及安全保障的統(tǒng)一，解決了中心對路網(wǎng)調(diào)度提升、應(yīng)急安全管理、路網(wǎng)狀況綜合運(yùn)維分析、各縣區(qū)路站外場、內(nèi)場的監(jiān)測和管理。

關(guān)鍵詞：防護(hù)現(xiàn)狀;安全應(yīng)用;準(zhǔn)入控制;網(wǎng)絡(luò)安全邊界管理

中圖分類號(hào)：TM73

引言：隨著道路（包括高速公路、省道、國道等）規(guī)模的快速發(fā)展，路網(wǎng)監(jiān)測設(shè)施每年都在按照省中心的要求部署增加，同時(shí)路網(wǎng)監(jiān)測、管理、安全、運(yùn)行設(shè)施運(yùn)維、故障處理等提到了更高的要求，因此，提升路網(wǎng)監(jiān)測設(shè)施運(yùn)維工作以及設(shè)備安全保障的手段，建設(shè)研究一套路網(wǎng)運(yùn)維管理邊界安全信息化將成為路網(wǎng)監(jiān)測設(shè)施行業(yè)發(fā)展的趨勢所在。

設(shè)施設(shè)備的維護(hù)、網(wǎng)絡(luò)安全管理都是整個(gè)維保的重點(diǎn)核心，隨著路網(wǎng)設(shè)施點(diǎn)位的增多，外場設(shè)備網(wǎng)絡(luò)、內(nèi)場設(shè)備網(wǎng)絡(luò)系統(tǒng)日趨大型化、復(fù)雜化，攻擊者的入侵行為也越來越綜合駁雜，且具有了分布式攻擊的特點(diǎn)，表現(xiàn)在外場前端、中端、內(nèi)場終端，目前入侵檢測系統(tǒng)在性能上對此類入侵行為的檢測有些困難，很難被發(fā)現(xiàn)，而把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界，防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。我們通過運(yùn)維系統(tǒng)和邊界硬件服務(wù)器相連接，能夠及時(shí)的響應(yīng)事件，排除故障，能夠有效的監(jiān)測網(wǎng)絡(luò)邊界的安全性，在最短的時(shí)間內(nèi)找到被攻擊的路網(wǎng)的實(shí)施設(shè)備，如視頻監(jiān)控設(shè)備等，能夠及時(shí)的進(jìn)行預(yù)測分析和實(shí)時(shí)報(bào)警，這就是當(dāng)前道路監(jiān)測設(shè)施運(yùn)維需要解決和關(guān)注的重要方向。

一、背景介紹

習(xí)總書記在十九大報(bào)告中強(qiáng)調(diào)：“黨的一切工作必須以最廣大人民根本利益為最高標(biāo)準(zhǔn)，從讓人民群眾滿意的事情做起，帶領(lǐng)人民不斷創(chuàng)造美好生活”。對廣大人民來說，公共安全是人民群眾最關(guān)注的事情，迫切需要新的技術(shù)和平臺(tái)及時(shí)發(fā)現(xiàn)路網(wǎng)中的異常事件，實(shí)時(shí)掌握路網(wǎng)傳輸?shù)陌踩闆r，從整體動(dòng)態(tài)反映路網(wǎng)的安全狀態(tài)，并對網(wǎng)絡(luò)的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，對成千上萬的網(wǎng)絡(luò)行為、攻擊等信息進(jìn)行自動(dòng)處理和深度挖掘，對路網(wǎng)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢，自動(dòng)評(píng)估預(yù)測，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)的能力。為保證業(yè)務(wù)系統(tǒng)的持續(xù)性及數(shù)據(jù)的完整性，各省市路網(wǎng)應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全保障體系的建設(shè)。

二、政策解讀

1.《交通運(yùn)輸信息化“十三五” 發(fā)展規(guī)劃》高度重視網(wǎng)絡(luò)與信息安全體系建設(shè)， 堅(jiān)持自主可控， 強(qiáng)化監(jiān)測預(yù)警， 確保行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全可靠和穩(wěn)定運(yùn)行。

2.《數(shù)字交通發(fā)展規(guī)劃綱要》加強(qiáng)網(wǎng)絡(luò)安全與信息系統(tǒng)同步建設(shè)，提高交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。

3.《交通運(yùn)輸 信息安全規(guī)范》 （GBT 37378-2019 ）用戶終端安全、載運(yùn)裝備單元安全、基礎(chǔ)設(shè)施單元安全、計(jì)算中心安全、網(wǎng)絡(luò)和通信安全、安全通用技術(shù)。

三、問題分析

路網(wǎng)前端設(shè)備安全問題：高速公路大量攝像頭部署分散，容易發(fā)生設(shè)備替換、冒用、入侵監(jiān)控專網(wǎng);前端設(shè)備存在脆弱性安全問題，如弱口令、設(shè)備系統(tǒng)高危漏洞;前端設(shè)備缺失有效的安全準(zhǔn)入機(jī)制：

（1）非法分子使用筆記本替換攝像頭，非法入侵國家路網(wǎng)，盜取涉密信息;

（2）攝像頭弱口令風(fēng)險(xiǎn)，設(shè)備被非法控制，發(fā)起網(wǎng)絡(luò)攻擊;

（3）攝像頭裸露在外，出現(xiàn)挾持破壞事件，甚至設(shè)備盜取;

（4）攝像頭數(shù)量未完全上報(bào)，資產(chǎn)數(shù)量不清晰，出現(xiàn)設(shè)備遺失、盜取后無從得知;

（5）攝像頭數(shù)量巨大，設(shè)備損壞、設(shè)備流量、圖像質(zhì)量、離線等異常狀態(tài)，無法及時(shí)得知處理，遺漏緊急需要的信息，影響業(yè)務(wù);

1.攝像頭裸露在外，頻頻出現(xiàn)設(shè)備替換、挾持、破壞等事件

由于攝像頭等前端設(shè)備部署分布極為廣泛，大多處于道路或其它戶外場所，這些公共場所因無人看守頻頻出現(xiàn)惡意替換、侵入網(wǎng)絡(luò)、設(shè)備被盜取等事件，盜取涉密文件，或是攻擊網(wǎng)絡(luò)。視頻監(jiān)控系統(tǒng)已經(jīng)進(jìn)入了IPC時(shí)代，非授權(quán)人員只要簡單地用計(jì)算機(jī)替換前端攝像頭就可以輕松地實(shí)現(xiàn)網(wǎng)絡(luò)的入侵和非法數(shù)據(jù)的訪問。

2.設(shè)備流量、圖像質(zhì)量、離線、攝像頭時(shí)間不準(zhǔn)確等異常狀態(tài)，不能及時(shí)獲取

復(fù)雜而龐大的路網(wǎng)中，對于大量終端設(shè)備或者前端攝像頭缺少統(tǒng)一管理手段。由于攝像頭都是安裝在特定的地方，分布極為廣泛，當(dāng)發(fā)生安全事故時(shí)，無法在第一時(shí)間直接定位網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)或者攝像頭的具體位置，應(yīng)急響應(yīng)不及時(shí)導(dǎo)致安全風(fēng)險(xiǎn)的擴(kuò)大。

3.攝像頭的數(shù)量未完全上報(bào)，資產(chǎn)數(shù)量不清晰

設(shè)備數(shù)量不斷增加，且接入環(huán)境復(fù)雜，包含下級(jí)部門、其他單位、社會(huì)資源等多種接入放入，還存在設(shè)部分以租代建設(shè)備，設(shè)備更新頻繁，原本的設(shè)備管理記錄往往由于管理的滯后和對實(shí)際情況的掌握程度不夠無法及時(shí)更新，從而造成設(shè)備管理的混亂，資產(chǎn)未完全上報(bào)，設(shè)備的安全性、可用性都無法保障，甚至在資產(chǎn)流失后渾然不知。

四、建設(shè)目標(biāo)

推進(jìn)交通運(yùn)輸領(lǐng)域數(shù)據(jù)分類分級(jí)管理，加強(qiáng)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)，制定數(shù)據(jù)分級(jí)安全管理、數(shù)據(jù)脫敏等制度規(guī)范。推進(jìn)重要信息系統(tǒng)密碼技術(shù)應(yīng)用和重要軟硬件設(shè)備自主可控。

全面識(shí)別梳理交通運(yùn)輸領(lǐng)域國家關(guān)鍵數(shù)據(jù)資源，將重要數(shù)據(jù)保護(hù)納入交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，推進(jìn)國家關(guān)鍵數(shù)據(jù)資源全面實(shí)現(xiàn)異地容災(zāi)備份，推進(jìn)去標(biāo)識(shí)化、云安全防護(hù)、大數(shù)據(jù)平臺(tái)安全等數(shù)據(jù)安全技術(shù)普及應(yīng)用。

此次建設(shè)，重點(diǎn)完善路網(wǎng)邊界接入安全、接入設(shè)備身份認(rèn)證、信息綁定，實(shí)現(xiàn)對路網(wǎng)設(shè)備的準(zhǔn)入控制管理、NAT設(shè)備使用管理。解決非法設(shè)備隨意接入路網(wǎng)的問題，視頻監(jiān)控網(wǎng)絡(luò)內(nèi)的所有設(shè)備智能發(fā)現(xiàn)與識(shí)別，識(shí)別設(shè)備的合法性，對設(shè)備運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控，檢測是否存在設(shè)備異常、偽冒、替換、入侵，對非法接入的設(shè)備系統(tǒng)自動(dòng)郵件報(bào)警、短信報(bào)警、地圖定位、網(wǎng)絡(luò)位置顯示，并阻斷入侵設(shè)備的網(wǎng)絡(luò)通信。分析圖像質(zhì)量，攝像頭設(shè)備圖像模糊、被遮擋、雪花、黑屏等異常狀態(tài)時(shí)，視頻圖像質(zhì)量發(fā)生變化，立即產(chǎn)生質(zhì)量異常報(bào)警，并支持進(jìn)一步查看實(shí)時(shí)視頻圖像信息，精準(zhǔn)確認(rèn)圖像質(zhì)量問題。達(dá)到“信任接入、接入可知、接入可管”的管理規(guī)范。

推動(dòng)交通感知網(wǎng)絡(luò)與交通基礎(chǔ)設(shè)施同步規(guī)劃建設(shè)，深化各地路網(wǎng)等路側(cè)智能終端應(yīng)用，建立云端互聯(lián)的感知網(wǎng)絡(luò)，讓“啞設(shè)施”具備多維監(jiān)測、智能網(wǎng)聯(lián)、精準(zhǔn)管控、協(xié)同服務(wù)能力。

五、解決方案

邊界網(wǎng)絡(luò)安全管理系統(tǒng)對網(wǎng)絡(luò)內(nèi)接入的各類設(shè)備進(jìn)行識(shí)別、過濾、阻斷，確保接入視頻監(jiān)控網(wǎng)絡(luò)設(shè)備的合法性和安全性，與此同時(shí)對運(yùn)行中的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控，利用獨(dú)有的感知發(fā)現(xiàn)技術(shù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中偽冒、入侵、異常的設(shè)備，從而保障整體網(wǎng)絡(luò)安全運(yùn)行。

1.邊界網(wǎng)絡(luò)安全管理系統(tǒng)

入網(wǎng)規(guī)范化：入網(wǎng)身份鑒別、安全測評(píng)、違規(guī)行為報(bào)警;

管理全面化：終端行為規(guī)范、UBS介質(zhì)管理、終端通信管理;

審計(jì)精細(xì)化：違規(guī)報(bào)警統(tǒng)計(jì)、入網(wǎng)狀態(tài)分析、測評(píng)狀態(tài)分析、資產(chǎn)統(tǒng)計(jì)、行為審計(jì)。

2.系統(tǒng)功能

身份認(rèn)證：終端入網(wǎng)強(qiáng)制身份認(rèn)證，未經(jīng)授權(quán)禁止接入網(wǎng)絡(luò)，確保只有合法終端才能入網(wǎng)

安全測評(píng)：終端安全技術(shù)測評(píng)，安全隱患項(xiàng)目隔離修復(fù)，確保入網(wǎng)終端始終處于安全狀態(tài)

違規(guī)報(bào)警：終端安全狀態(tài)動(dòng)態(tài)保護(hù)，存在危險(xiǎn)異常項(xiàng)目及時(shí)處理并報(bào)警通知，防止安全隱患

行為規(guī)范：終端安全規(guī)范，嚴(yán)控各類外設(shè)使用，明確網(wǎng)絡(luò)訪問細(xì)則權(quán)限，確保用戶擁有網(wǎng)絡(luò)使用的“最小授權(quán)”

報(bào)表統(tǒng)計(jì)：全網(wǎng)安全事件圖表化分析匯總，既可提供針對特定行為的分析報(bào)告，也可對全網(wǎng)安全趨勢分析

3.網(wǎng)絡(luò)邊界監(jiān)管

對網(wǎng)絡(luò)接入的多網(wǎng)卡邊界、網(wǎng)絡(luò)出口、NAT 邊界、無線 AP、上網(wǎng)代理等各類邊界的檢查和管理，實(shí)現(xiàn)對路網(wǎng)設(shè)備私自連接其它網(wǎng)絡(luò)，如：在路網(wǎng)中擅自設(shè)立網(wǎng)中網(wǎng)，非法使用多網(wǎng)卡連接外網(wǎng)，同時(shí)可對其進(jìn)行隔離等防護(hù)操作。防止外來計(jì)算機(jī)、設(shè)備、網(wǎng)絡(luò)等通過非法手段入侵路網(wǎng)。對合法子網(wǎng)下的設(shè)備進(jìn)行展示、管理，可自動(dòng)根據(jù)子網(wǎng)環(huán)境繪制子拓?fù)湔故尽?/p>

4.設(shè)備發(fā)現(xiàn)與識(shí)別

能夠快速識(shí)別網(wǎng)絡(luò)內(nèi)的設(shè)備信息，分析出設(shè)備的類型、IP、MAC、廠商等信息，并自動(dòng)綁定設(shè)備信息，作為入網(wǎng)憑證。

5.設(shè)備運(yùn)行實(shí)時(shí)監(jiān)控

對網(wǎng)絡(luò)內(nèi)設(shè)備的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)測，發(fā)現(xiàn)設(shè)備運(yùn)行異常及時(shí)更新運(yùn)行狀態(tài)并發(fā)送報(bào)警提醒。

6.違規(guī)檢測報(bào)警定位

對網(wǎng)絡(luò)內(nèi)的冒用偽造終端、異常終端、入侵終端進(jìn)行自動(dòng)識(shí)別，第一時(shí)間發(fā)送報(bào)警消息，并在網(wǎng)絡(luò)拓?fù)?、GIS地圖上進(jìn)行精確定位，與此同時(shí)向管轄區(qū)的管理員發(fā)送報(bào)警消息。

7.違規(guī)事件自動(dòng)阻斷

檢測到網(wǎng)絡(luò)內(nèi)的入侵、偽冒、異常事件后能夠第一時(shí)間阻斷設(shè)備的通訊。

8.全網(wǎng)資產(chǎn)實(shí)時(shí)統(tǒng)計(jì)

基于設(shè)備的自動(dòng)發(fā)現(xiàn)與識(shí)別分類，實(shí)現(xiàn)對所有入網(wǎng)設(shè)備的注冊管理，理清臺(tái)帳，對全網(wǎng)IP地址使用及終端軟硬件狀況進(jìn)行上報(bào)統(tǒng)計(jì)。

六、結(jié)語

路網(wǎng)檢監(jiān)測設(shè)施運(yùn)維管理邊界安全保障系統(tǒng)作為安防領(lǐng)域的革新產(chǎn)品，是視頻分析技術(shù)及最新的各類IT技術(shù)在視頻監(jiān)控系統(tǒng)運(yùn)行維護(hù)方面的典型應(yīng)用。該系統(tǒng)集狀態(tài)監(jiān)測、故障報(bào)警、故障分析、運(yùn)維管理于一體，能夠?qū)崿F(xiàn)對各類視頻監(jiān)控系統(tǒng)相關(guān)的設(shè)備運(yùn)行狀態(tài)的監(jiān)測與查詢，如攝像機(jī)、視音頻編解碼設(shè)備、傳輸設(shè)備（SDHEPON、交換機(jī)、路由器）、業(yè)務(wù)服務(wù)器。運(yùn)維系統(tǒng)一旦發(fā)現(xiàn)視頻監(jiān)控系統(tǒng)設(shè)備運(yùn)行狀態(tài)出現(xiàn)異常，立刻自動(dòng)向運(yùn)維管理中心發(fā)出故障報(bào)警。運(yùn)維系統(tǒng)管理中心收到設(shè)備故障報(bào)警后，自動(dòng)進(jìn)行故障分析，初步分析出是什么原因造成該故障的發(fā)生。同時(shí)通過統(tǒng)一的運(yùn)維服務(wù)營運(yùn)平臺(tái)，對運(yùn)維系統(tǒng)自動(dòng)發(fā)現(xiàn)的故障、人工保修的故障、日常維護(hù)保養(yǎng)等工作進(jìn)行統(tǒng)一規(guī)范的管理，對故障處理進(jìn)行全程跟蹤，完成先進(jìn)、合理的故障保修、任務(wù)派工電子流程系統(tǒng)，以更快響應(yīng)、完成故障修復(fù)任務(wù)。

路網(wǎng)監(jiān)測設(shè)施運(yùn)維管理邊界安全應(yīng)用系統(tǒng)能夠全面、系統(tǒng)、規(guī)范、及時(shí)的保障路網(wǎng)監(jiān)測系統(tǒng)的正常運(yùn)行，改變現(xiàn)在路網(wǎng)監(jiān)測設(shè)施運(yùn)維困難，有效使用率不高的情況。路網(wǎng)監(jiān)測設(shè)施運(yùn)維管理之于邊界安全的應(yīng)用意義，全局資源統(tǒng)一管理，快速精準(zhǔn)定位故障，減少運(yùn)維壓力，提高運(yùn)維效率;主動(dòng)進(jìn)行視頻數(shù)據(jù)質(zhì)量評(píng)估分析，異常視頻圖像及異常數(shù)據(jù)篡改及時(shí)警告，減少安全危害的影響;實(shí)時(shí)掌握設(shè)備在線率、完好率、故障率等數(shù)據(jù)，滿足考核管理要求。

參考文獻(xiàn)

[1] 《推進(jìn)綜合交通運(yùn)輸大數(shù)據(jù)發(fā)展行動(dòng)綱要（2020—2025年）》. 交科技發(fā)【2019】161號(hào)， 2019.12.

[2]《數(shù)字交通發(fā)展規(guī)劃綱要》. 交規(guī)劃發(fā)【2019】89號(hào)，2019.07