高速公路等级保护建设方案探讨 罗东伟 韦峰 安徽省交通规划设计研究总院股份有限公司 摘 要： 通过分析现有高速公路网络安全存在的问题, 结合高速公路网络结构提出相应的安全等级保护建设方案, 以提高高速公路网络、数据及主机的安全性。关键词： 高速公路; 网络安全; 安全防护; 等级保护; 1 概述1.1 背景近年来, 网络安全问题越来越成为普遍关注的问题。2013 年发生的“棱镜门”事件, 让人们对网络安全问题有了更进一步的认识, 我国在网络安全问题上也给予了相应的重视。我国于 2014 年 2 月 27 日成立中央网络安全和信息化领导小组, 国家领导人习近平担任组长, “网络安全”提升到“国家安全”的高度。2015 年 7 月 1 日颁布实施的中华人民共和国国家安全法将网络与信息安全提升到国家层面, 明确要求“关键基础设施和重要领域信息系统及数据的安全可控”。高速公路信息网络安全主要就是确定安全防护的等级。我国实行“信息安全等级保护制度”, 中华人民共和国计算机信息系统安全保护条例 (1994 年国务院 147 号令) 规定“计算机信息系统实行安全等级保护, 等级划分标准和等级管理办法由公安部会同有关部门制定”。1在信息安全等级保护管理办法中对安全等级划分与保护有明确的说明, 运营、使用单位应当依据国家有关管理规范和技术标准进行保护, 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。2012 年, 交通运输部下发了关于进一步开展交通运输行业信息安全等级保护工作的通知, 其中明确主要任务是信息系统摸底调查、定级备案、等级保护安全建设整改和测评。1.2 高速公路等级保护现状在高速公路建设、运营过程中, 信息网络安全一直不被重视, 主要是因为高速公路使用的是专网, 普遍认为不存在安全问题。随着高速公路建设的里程逐年增加, 高速公路网络互联互通, 特别是近几年信息化也随之发展, 除高速公路收费、监控、通信三大系统, 还有路政、公众出行、交警等等, 必然就存在边界安全。信息网络安全成为一个显性问题, 在今后一段时期内需引起普遍的重视。1.3 高速公路等级保护需求由于在现阶段, 计算机网络已经触及到生活的各个角落, 时刻改变着人们的工作、生活及思维方式。同时不能忽略计算机信息网络安全的脆弱性和易受攻击性。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不周密, 都可以使计算机网络受到安全威胁。为了落实和贯彻关于进一步开展交通运输行业信息安全等级保护工作的通知(厅科技字2012120 号) 的要求, 全面完善业务信息系统的信息安全防护体系, 落实“分区分域、等级防护、多层防御”的安全防护策略2, 增强路段收费分中心信息系统整体信息安全防护水平, 开展等级保护建设工作。2 方案目标2.1 系统定级由于收费数据在路段收费分中心与收费站存放传输, 因此路段收费分中心收费系统定三级, 收费站级的网络定二级。依照国家计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全保护等级定级指南等标准, 对路段收费分中心系统进行等级保护定级, 按信息系统逐个编制定级报告和定级备案表, 并指导路段收费分中心信息化人员将定级材料提交当地公安机关备案。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设, 使得路段收费分中心网络系统的等级保护建设方案最终既可以满足等级保护的相关要求, 又能够全方面为路段收费分中心的业务系统提供立体、纵深的安全保障防御体系, 保证信息系统整体的安全保护能力。2.2 系统目标等级保护建设将完成以下目标:(1) 以路段收费分中心现有基础设施, 建设并完成满足等级保护三级系统基本要求的网络信息系统。确保路段收费分中心的整体信息化建设符合相关要求并迈向新的台阶, 收费站建设并完成满足等级保护二级系统基本要求的网络信息系统。(2) 建立安全管理组织机构。成立信息安全工作组, 监控中心负责人为安全责任人, 拟定实施路段收费分中心网络信息系统安全等级保护的具体方案, 并制定相应的岗位责任制, 确保信息安全等级保护工作顺利实施。(3) 建立完善的安全技术防护体系。根据信息安全等级保护的要求, 建立满足等级保护二级要求的安全技术防护体系。(4) 建立健全信息系统安全管理制度。根据信息安全等级保护三级与二级的要求, 制定各项信息系统安全管理制度, 对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。(5) 制定保障业务系统不中断的应急预案。应急预案是安全等级保护的重要组成部分, 按可能出现问题的不同情形制定相应的应急措施。(6) 安全培训:为路段收费分中心信息化技术人员提供信息安全相关专业技术知识培训。(7) 建立内网运营平台, 能实时发现内网的安全态势, 协同联动、数据共享的方式, 实现对网络安全的智能统一管理。3 系统建设3.1 路段中心系统建设(1) 路段收费分中心网络按照国家信息安全等级保护三级要求建设, 部署双机双链路提高网络的健壮性。(2) 路段收费分中心网络按照分区分域建设, 原则上分为五个区域, 分别是外联区、网络核心区、服务器区、运维管理区和办公接入区。其中各个区域可以根据各收费分中心实际情况细分, 但总体要求至少划分五个区域, 各区域之间实现安全访问控制。(3) 运维管理区部署日志审计、数据库审计、堡垒机、安全管理平台等设备, 满足等级保护对日志、数据库、运维监控等要求。路段收费分中心统一部署终端安全管理系统与准入控制系统, 对路段辖区内所有收费站终端 PC 进行统一管理与准入。(4) 运维管理区部署日志审计、堡垒机、安全管理平台等设备, 对路段收费分中心与路段辖区内各收费站统一日志采集、运维管理, 满足等级保护对日志、运维监控等要求。(5) 运维管理区部署数据库审计设备, 采集路段收费分中心流量数据, 对数据库行为进行审计, 满足等级保护对数据库审计的要求。(6) 在外联区, 收费分中心网络与省运营管理中心之间, 部署两台智慧防火墙, 开启入侵防御与防病毒功能, 对数据进行入侵防护和病毒过滤, 并且防火墙与终端进行安全管理联动, 对网络危险联动处置。(7) 服务器区与其他区域之间部署智慧防火墙, 对访问服务器区的数据进行访问控制、入侵防御、病毒过滤, 保护服务器安全。(8) 路段收费分中心部署 SMAC 分析中心, 对路段辖区内防火墙统一管理, 策略下发、数据收集分析, 发现内网的安全态势, 协同联动, 数据共享的方式, 实现对网络安全的智能统一管理。3.2 收费站系统建设收费站网络通过专线与收费分中心互联互通, 是收费网络的组成部分, 其网络安全风险直接影响到收费分中心乃至省运营管理中心, 网络安全防护至关重要, 本次按照二级等保要求建设。(1) 收费站通过专线与路段收费分中心互联, 边界位置部署防火墙做边界隔离、入侵防御、网络防病毒。(2) 收费站终端部署终端安全管理系统, 由路段收费分中心统一管理, 进行统一防病毒、补丁修复、外设管理、安全运维管理、准入控制, 保障终端 PC 安全。4 技术支撑体系4.1 网络安全为了满足等级保护网络安全中的安全控制需求, 结合新技术应用带来的安全风险, 需要部署安全设备, 满足以下需求:边界部署防火墙, 启用联动处理机制。结合云端单向推送的威胁情报, 同时提前感知;全流量审计, 对信息系统和内网终端进行有效溯源。覆盖结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范。4.1.1 防火墙防火墙集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖 IPv4 网络及 IPv6 网络的功能, 形成云端感知、边界控制、终端协同的一体化防护平台体系。4.1.2 安全管理平台系统系统围绕用户的业务安全, 全面监控与之相关的网络设备、安全设备、服务器主机、数据库、中间件、通用服务、业务系统等的运行状态, 采集相应的安全事件。对各类关键运行指标设置监控阈值, 可对采集的事件进行归一化处理和关联分析。当出现运行指标异常, 发现攻击行为或违规访问时, 可及时进行多种方式的告警, 执行预定义的响应动作, 帮助管理员迅速定位故障点, 发现高危安全事件, 及时采取有效措施, 保障用户业务连续性。系统利用所采集的运行指标数据和安全事件数据, 能够提供多种类型的统计分析, 依照合规要求生成多种审计报表。4.2 主机安全为了满足等级保护主机安全中的安全控制需求, 结合新技术应用所带来的风险, 需要部署安全产品, 以满足下列需求:访问控制、覆盖身份鉴别、安全审计、剩余信息保护、主机入侵防护、防病毒、资源控制。4.2.1 终端安全管理与准入系统终端安全与管理的角度出发, 以终端安全为核心, 以终端桌面管理为重点, 提供以终端为基础的桌面安全与管理整体解决方案, 具体内容包括终端安全、桌面管理、统一运维、准入控制四个方面, 为用户构建能够有效抵御未知恶意代码、0day 漏洞、已知病毒和 APT 攻击的安全防御体系, 同时提供统一管控、系统安全加固、终端安全审计等诸多管理类功能。4.3 数据安全4.3.1 数据库审计系统信息系统中, 数据库是重中之重。通过对数据库的操作痕迹进行详细审计和记录, 确保管理者全面掌握数据库的使用情况, 使得各种渠道的数据库访问活动有据可查, 威胁操作可实时预警及时发现并对管理者阻止, 并针对存在的安全隐患, 及时进行调整和优化。具体来说, 审计系统能够记录每个访问者每一次对数据库的操作访问信息, 数据访问操作表示为 4 个要素信息, 即:操作者、操作对象、操作时间和操作行为;当数据访问操作发生时, 记录详细的信息, 即何人、何地、何时、对何数据进行了哪些操作, 同时与预置好的规则相比对, 如果命中预置的规则, 系统将对操作者、操作对象、操作时间和操作行为信息自动留存、报警, 同时提供上述记录的统计、查询的功能。安全审计系统通过对收费分中心信息系统的“业务层面、技术层面、管理层面”的安全需求分析, 在不影响应用系统正常使用的前提下, 在收费系统核心业务区增加安全审计方面的设备, 通过对收费系统网络中的数据进行分析、处理, 若是发现违规操作, 系统可以描述处何人、何地、何时、以何种方式进行违规操作, 并支持操作过程回放, 提供给相关的技术人员分析。4.3.2 运维安全审计系统运维审计系统主要是针对内部服务器和网络设备的保护, 对此类设备的访问方式进行审计、监控, 实现对用户操作的追踪、控制、判定, 满足收费系统的内部网络对安全性的需求。通过运维审计实现统一入口、统一授权、集中访问控制、集中审计、多因素认证;通过运维审计实现强认证、可管控、可审计、可回溯。4.3.3 日志审计与分析系统日志收集与分析系统作为一个统一日志监控与审计平台, 可以不间断地将收费系统中不同的操作系统、网络设备、数据库系统、主机、用户业务系统、安全设备的日志、警报等信息汇集到审计中心, 实现网络的全面综合安全审计。5 结语通过本方案的安全建设, 可使信息系统的整体防护能力得到较大的提升, 在满足等级保护要求的同时, 取得以下建设效果:全面覆盖等保关键技术点, 适应多种项目环境, 可裁剪量身定制各类等保的项目需求;更少的投入安全产品, 得到更多的安全保障, 使高速公路管理者更加的安心, 从容的面对各类安全问题。参考文献1中华人民共和国计算机信息系统安全保护条例 (1994 年国务院 147 号令) . 2关于进一步开展交通运输行业信息安全等级保护工作的通知 (厅科技字2012120 号) .