文章結(jié)合工作實(shí)際，分析廣西區(qū)內(nèi)高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)現(xiàn)有網(wǎng)絡(luò)及數(shù)據(jù)安全面臨的問(wèn)題，立足高速公路行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全防護(hù)政策，針對(duì)路段中心及收費(fèi)站級(jí)場(chǎng)景，研究聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全架構(gòu)及網(wǎng)絡(luò)信息安全體系，以完善路網(wǎng)信息安全建設(shè)，保障公眾出行安全。

聯(lián)網(wǎng)收費(fèi)；網(wǎng)絡(luò)安全；數(shù)據(jù)安全；高速公路

U491.2A501752

作者簡(jiǎn)介：

蘇文琦（1990—），碩士，工程師，主要從事高速公路機(jī)電工程網(wǎng)絡(luò)規(guī)劃建設(shè)及信息安全管理工作。

0" 引言

截至2022年底，我國(guó)公路總里程達(dá)535.48×104 km，高速公路總里程達(dá)17.73×104 km［1］，為滿足經(jīng)濟(jì)發(fā)展和人民生產(chǎn)生活需要，我國(guó)公路總里程仍在持續(xù)增長(zhǎng)。高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)是管理高速公路通行費(fèi)用及服務(wù)信息的關(guān)鍵基礎(chǔ)。該系統(tǒng)涵蓋了從部聯(lián)網(wǎng)中心、省聯(lián)網(wǎng)中心到路段中心、收費(fèi)站及門架等各級(jí)子系統(tǒng)，承擔(dān)了包括車輛通行費(fèi)清分結(jié)算、費(fèi)率管理、稽核、出入口信息登記及費(fèi)用收繳等業(yè)務(wù)。一旦數(shù)據(jù)安全受到威脅，將直接影響高速公路運(yùn)行效率及車主與運(yùn)營(yíng)方的利益。此外，隨著信息技術(shù)的發(fā)展，聯(lián)網(wǎng)收費(fèi)系統(tǒng)融合了云平臺(tái)、大數(shù)據(jù)等新技術(shù)，為系統(tǒng)使用帶來(lái)了便利，也增加了新型的數(shù)據(jù)安全風(fēng)險(xiǎn)。因此如何在使用新技術(shù)提升高速公路服務(wù)便捷性的同時(shí)，確保聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)及數(shù)據(jù)安全已成為一個(gè)日益重要的問(wèn)題。

1" 聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全現(xiàn)狀

在取消高速公路省界收費(fèi)站工程實(shí)施后，廣西高速公路各路段中心及收費(fèi)站都部署了一系列網(wǎng)絡(luò)安全管理系統(tǒng)，涵蓋綜合防火墻、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、網(wǎng)絡(luò)準(zhǔn)入、漏洞掃描、安全態(tài)勢(shì)感知、防病毒系統(tǒng)等，在設(shè)備級(jí)防護(hù)上獲得了一定的保障效果。但由于各業(yè)主單位與機(jī)電施工單位在網(wǎng)絡(luò)規(guī)劃及安全防護(hù)方案存在差異性，以及網(wǎng)絡(luò)安全威脅伴隨新技術(shù)的演進(jìn)而不段升級(jí)、加劇，數(shù)據(jù)安全、密碼安全、云安全、資產(chǎn)安全等新安全技術(shù)保障方式的應(yīng)用，跨多平臺(tái)、多層級(jí)、多環(huán)節(jié)安全管理的趨勢(shì)已不可避免。

2" 存在的安全問(wèn)題及風(fēng)險(xiǎn)

在2023年部公路局、科技司組織開(kāi)展的聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全評(píng)估報(bào)告中指出，省中心、區(qū)域/路段中心、收費(fèi)站、門架存在如表1所示的共性安全問(wèn)題。

3" 聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全架構(gòu)

依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及業(yè)內(nèi)相關(guān)標(biāo)準(zhǔn)規(guī)范，遵照“專網(wǎng)專用、分區(qū)分域、縱向認(rèn)證、橫向隔離”的安全運(yùn)營(yíng)思路，在《聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全基本要求》基礎(chǔ)上，針對(duì)區(qū)域中心及收費(fèi)站及場(chǎng)景的聯(lián)網(wǎng)收費(fèi)系統(tǒng)實(shí)行分級(jí)、分域安全管理，構(gòu)建高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)一體化網(wǎng)絡(luò)安全防護(hù)體系（圖1）。

（1）專網(wǎng)專用：由于高速公路通行信息、交易流水、路側(cè)信息等數(shù)據(jù)具有較高的敏感性，聯(lián)網(wǎng)收費(fèi)系統(tǒng)車主信息、出入口信息、行駛軌跡、交通路況等信息與人的個(gè)人生活、社會(huì)活動(dòng)以及國(guó)家生產(chǎn)運(yùn)營(yíng)息息相關(guān)，并直接影響實(shí)體交通運(yùn)輸?shù)目刂?、調(diào)度及指揮，因此高速公路行業(yè)在信息化建設(shè)中對(duì)網(wǎng)絡(luò)的穩(wěn)定性及運(yùn)行的安全性具有較高的要求。其核心通信系統(tǒng)普遍沿公路主線建成，形成了為滿足高速公路運(yùn)營(yíng)使用要求的聯(lián)網(wǎng)收費(fèi)專網(wǎng)、監(jiān)控專網(wǎng)等，以全面保障業(yè)務(wù)數(shù)據(jù)在采集、傳輸、存儲(chǔ)、共享和使用等全使用周期的安全。

（2）分區(qū)分域：對(duì)路段中心、收費(fèi)站、ETC門架、車道實(shí)現(xiàn)分區(qū)管理，網(wǎng)絡(luò)實(shí)現(xiàn)分域管控。在網(wǎng)絡(luò)安全領(lǐng)域，絕對(duì)安全是不存在的，每種安全措施都可能面臨被攻破的風(fēng)險(xiǎn)。針對(duì)不同的網(wǎng)絡(luò)攻擊行為，需要合理規(guī)劃和綜合采用多種防護(hù)措施，以形成多層次的安全防護(hù)體系。通過(guò)多層和多重防護(hù)，并根據(jù)信息系統(tǒng)的重要程度和業(yè)務(wù)特點(diǎn)，對(duì)不同的系統(tǒng)和數(shù)據(jù)進(jìn)行合理劃分安全防護(hù)等級(jí)，以實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。而對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)，可以集中資源，優(yōu)先保護(hù)其安全，確保其不受到攻擊和威脅。即使某一層的安全措施被攻破，其他層次的安全措施仍然可以發(fā)揮作用，從而防范網(wǎng)絡(luò)攻擊行為造成整個(gè)系統(tǒng)被破壞的風(fēng)險(xiǎn)。

（3）縱向認(rèn)證：聯(lián)網(wǎng)收費(fèi)各層之間通過(guò)建立數(shù)字加密認(rèn)證，實(shí)現(xiàn)路段中心、收費(fèi)站、ETC門架系統(tǒng)的安全通信。數(shù)字加密是保障網(wǎng)絡(luò)信息安全的核心技術(shù)及基礎(chǔ)支撐，是解決網(wǎng)絡(luò)信息安全問(wèn)題的最有效、最可靠的手段。聯(lián)網(wǎng)收費(fèi)系統(tǒng)作為高速公路至關(guān)重要的信息基礎(chǔ)設(shè)施，需全面對(duì)數(shù)據(jù)傳輸與存儲(chǔ)、身份鑒別、接入認(rèn)證等方面采用數(shù)字加密技術(shù)進(jìn)行保護(hù)，以安全保障聯(lián)網(wǎng)收費(fèi)系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性。

（4）橫向隔離：聯(lián)網(wǎng)收費(fèi)各區(qū)域之間通過(guò)部署防火墻系統(tǒng)，實(shí)現(xiàn)各個(gè)區(qū)域之間的邏輯隔離，通信流量受到管控。明確定義各安全區(qū)域的物理邊界和邏輯邊界，并對(duì)不同安全域之間的信任關(guān)系進(jìn)行明確定義，對(duì)不同安全域之間的訪問(wèn)進(jìn)行身份驗(yàn)證和授權(quán)，同時(shí)在安全域的網(wǎng)絡(luò)邊界建立有效的訪問(wèn)控制策略，以限制安全域之間的通信和數(shù)據(jù)交換，防止未經(jīng)授權(quán)的訪問(wèn)。安全區(qū)域邊界主要是通過(guò)邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)方面實(shí)現(xiàn)［2］，結(jié)合對(duì)通信網(wǎng)絡(luò)和計(jì)算環(huán)境的安全策略進(jìn)行合理設(shè)置，以有效防范安全區(qū)域邊界網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)系統(tǒng)的持續(xù)、穩(wěn)定、可靠運(yùn)行。

4" 網(wǎng)絡(luò)信息安全體系

規(guī)范的安全管理制度、先進(jìn)的安全技術(shù)以及完善的安全運(yùn)營(yíng)及維護(hù)是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全體系的基礎(chǔ)。為了保障信息安全，必須構(gòu)建以網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)為主要技術(shù)平臺(tái)、信息安全管理部門為業(yè)務(wù)載體、安全運(yùn)營(yíng)人員與安全管理制度為核心的全方位全周期保障網(wǎng)信息安全體系（圖2），實(shí)現(xiàn)從被動(dòng)處置向主動(dòng)干預(yù)、從靜態(tài)檢測(cè)向動(dòng)態(tài)感知、從單點(diǎn)保障向全局部署、從粗放管理向精準(zhǔn)防御轉(zhuǎn)變，以實(shí)時(shí)監(jiān)測(cè)和及時(shí)阻斷已知的網(wǎng)絡(luò)攻擊及未知的入侵滲透風(fēng)險(xiǎn)，防范來(lái)自內(nèi)外部的多樣性攻擊。

4.1" 安全技術(shù)體系

按照《聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全基本技術(shù)要求》《聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)分區(qū)分域管理指南（試行）》等文件要求，建立圍繞安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界三個(gè)方面的安全技術(shù)體系。其中，安全計(jì)算環(huán)境主要是對(duì)系統(tǒng)的信息進(jìn)行存儲(chǔ)處理，并應(yīng)用安全策略保障信息在存儲(chǔ)和處理過(guò)程中的安全；安全通信網(wǎng)絡(luò)主要實(shí)現(xiàn)在網(wǎng)絡(luò)通信過(guò)程中的機(jī)密性、完整性防護(hù)，重點(diǎn)對(duì)系統(tǒng)安全計(jì)算環(huán)境之間的信息傳輸進(jìn)行安全防護(hù)；安全區(qū)域邊界主要針對(duì)安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間的雙向網(wǎng)絡(luò)攻擊的檢測(cè)、告警和阻斷［3］，并在此基礎(chǔ)上結(jié)合新技術(shù)的引進(jìn)與擴(kuò)展，構(gòu)建可信、可控、可管的安全體系。

4.2" 安全管理體系

結(jié)合聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)實(shí)際需要，依據(jù)法律法規(guī)、行業(yè)規(guī)章制度要求，體系化推動(dòng)制度機(jī)制、技術(shù)手段建設(shè)、人才培養(yǎng)等多方面工作落地，可以有效提高信息系統(tǒng)的防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)能力，保障聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)的安全穩(wěn)定運(yùn)行。完善網(wǎng)絡(luò)與數(shù)據(jù)安全管理制度，包括明確安全責(zé)任、權(quán)限管理、數(shù)據(jù)備份和恢復(fù)等方面的規(guī)定，并制定相應(yīng)的工作流程；實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估并加強(qiáng)安全監(jiān)測(cè)和響應(yīng)能力，及時(shí)發(fā)現(xiàn)并解決潛在的安全風(fēng)險(xiǎn)；建立嚴(yán)格的身份認(rèn)證和訪問(wèn)控制機(jī)制，采用多因素認(rèn)證、單點(diǎn)登錄等技術(shù)手段，確保只有合法用戶能夠訪問(wèn)系統(tǒng)，并對(duì)不同用戶進(jìn)行不同權(quán)限的訪問(wèn)控制；同時(shí)需定期組織重要系統(tǒng)排查，對(duì)系統(tǒng)進(jìn)行漏洞掃描和安全審計(jì)，及時(shí)修復(fù)安全漏洞，保障系統(tǒng)的安全穩(wěn)定運(yùn)行。

4.3" 安全運(yùn)營(yíng)體系

安全運(yùn)營(yíng)體系和安全技術(shù)體系、安全管理體系相輔相成，可以使安全運(yùn)營(yíng)體系更加規(guī)范高效，安全技術(shù)體系更加全面可靠，安全管理體系更加嚴(yán)密完善，從而保障信息系統(tǒng)的安全風(fēng)險(xiǎn)始終處于可控、可管的安全狀態(tài)。因此需完善聯(lián)網(wǎng)安全運(yùn)行機(jī)制，規(guī)范網(wǎng)絡(luò)安全防護(hù)、預(yù)警監(jiān)測(cè)、應(yīng)急處置、系統(tǒng)資產(chǎn)管理、安全事件管理的工作流程，實(shí)施標(biāo)準(zhǔn)化安全運(yùn)營(yíng)，組建以本地團(tuán)隊(duì)為主，外部支撐團(tuán)隊(duì)為輔的專業(yè)化網(wǎng)絡(luò)安全運(yùn)維團(tuán)隊(duì)，將網(wǎng)絡(luò)安全監(jiān)測(cè)轉(zhuǎn)為日常性業(yè)務(wù)工作，提升聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全總體安全防護(hù)能力，有效提升對(duì)網(wǎng)絡(luò)安全事件的應(yīng)對(duì)能力。持續(xù)開(kāi)展安全檢查和治理，重點(diǎn)對(duì)通信網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全系統(tǒng)、供配電、機(jī)房消防等方面進(jìn)行檢查，及時(shí)修復(fù)各系統(tǒng)的安全隱患和漏洞。

4.4" 網(wǎng)絡(luò)攻防演練

在推進(jìn)交通強(qiáng)國(guó)建設(shè)的戰(zhàn)略背景下，高速公路行業(yè)對(duì)信息化系統(tǒng)的依賴日益加深，構(gòu)建一套兼容性好、穩(wěn)定性強(qiáng)、安全長(zhǎng)效的網(wǎng)絡(luò)系統(tǒng)，是保障高速公路各類信息化業(yè)務(wù)尤其是智慧化業(yè)務(wù)發(fā)展的前提條件。而網(wǎng)絡(luò)信息安全本質(zhì)上是人與人、技術(shù)與技術(shù)間的攻防對(duì)抗，因此體系化、常態(tài)化及實(shí)戰(zhàn)化的網(wǎng)絡(luò)攻防演練是必不可少的。在不斷夯實(shí)網(wǎng)絡(luò)技術(shù)知識(shí)的基礎(chǔ)上，以真實(shí)網(wǎng)絡(luò)攻擊場(chǎng)景進(jìn)行攻防演練模擬，動(dòng)態(tài)地將理論培訓(xùn)和實(shí)踐操作結(jié)合，可以讓網(wǎng)絡(luò)安全人員實(shí)景體驗(yàn)并學(xué)習(xí)網(wǎng)絡(luò)攻擊應(yīng)對(duì)之法，從而有效提升人員技能水平，并增強(qiáng)其面對(duì)攻擊時(shí)的應(yīng)急處置能力及冷靜沉著面對(duì)攻擊的心理素質(zhì)。

5" 結(jié)語(yǔ)

取消高速公路省界收費(fèi)站工程的實(shí)施開(kāi)創(chuàng)了“一張網(wǎng)運(yùn)行、一體化服務(wù)”的新局面，有力推動(dòng)了高速公路交通運(yùn)輸?shù)霓D(zhuǎn)型升級(jí)與提質(zhì)增效。未來(lái)高速公路行業(yè)的網(wǎng)絡(luò)信息安全建設(shè)需要結(jié)合實(shí)際業(yè)務(wù)場(chǎng)景，在交通運(yùn)輸部整體部署的基礎(chǔ)上，采取綜合性的技術(shù)措施及管理手段，結(jié)合并網(wǎng)接入技術(shù)要求，對(duì)聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全進(jìn)行優(yōu)化升級(jí)，以實(shí)現(xiàn)聯(lián)網(wǎng)收費(fèi)系統(tǒng)安全防護(hù)能力的專項(xiàng)提升，有效提高信息系統(tǒng)的安全防護(hù)、監(jiān)測(cè)、應(yīng)對(duì)和恢復(fù)能力，以抵御日益復(fù)雜的網(wǎng)絡(luò)攻擊與威脅，提高系統(tǒng)的承載能力，強(qiáng)化系統(tǒng)支持保障、防護(hù)能力，確保高速公路行業(yè)的網(wǎng)絡(luò)信息安全與穩(wěn)定發(fā)展。

［1］2022年交通運(yùn)輸行業(yè)發(fā)展統(tǒng)計(jì)公報(bào)［EB/OL］.https：//xxgk.mot.gov.cn/2020/jigou/zhghs/202306/t20230615_3847023.html，2023-12-02.

［2］GB/T22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求［S］.

［3］安恒信息.智能公路行業(yè)解決方案藍(lán)皮書(shū)［EB/OL］.https：//max.book118.com/html/2024/0306/504000433401114.shtm，2024-03-08.

20240326