行業背景

2018年5月16日,李克強總理在主持召開的國務院常務會議上,明確提出“推動取消高速公路省界收費站”,進一步提升高速公路服務能力和水平,促進物流降本增效,更好地服務經濟社會發展和人民群眾安全便捷出行。為貫徹落實國務院的決策部署。交通運輸部做出統一安排,成立專項工作組,按照“試點先行、穩妥有序”的原則,確定了試點省份,印發了試點技術方案、工程實施力案,測試方案及關鍵技術要求,開展了大量基礎性測試以及部省兩級系統建設改造等工作,在部省兩級密切協作、全力推進,按期完成了階段性任務,積累了寶貴經驗。方案充分結合《網絡安全法》 、《關鍵信息基礎設施安全保護條例》(報批稿)、《取消高速公路省界收費站總體技術方案》提出的網絡架構和系統組成要求,適應云計算、物聯網、大數據等新技術安全需求,全面貫徹落實國家網絡安全等級保護新制度、新標準,遵循規范性、合理性、實用性和經濟性原則,針對高速公路聯網收費系統安全重點保護對象提出相應的安全防護建設方案。

業務挑戰
(一) 工程重要程度高
國家領導人高度重視,習近平總書記高度重視運輸效率問題,多次做出重要指示。李克強總理在主持召開的國務院常務會議上,明確提出“推動取消高速公路省界收費站”,進一步提升高速公路服務能力和水平,促進物流降本增效
(二) 信息安全要求高
本項目實施完成后,將生成大量的數據,海量數據即代表著高價值也代表著高風險,取消高速公路省界站后我國高速公路將形成全國收費網絡,單點安全問題可能波及全網。因自身故障、非法攻擊或病毒入侵等原因,造成的網絡安全事件,會嚴重影響收費業務的正常開展。
(三) 工程技術標準高
中央為支持全國高速公路取消省界收費站工作,成立了交通運輸部撤站實施專項工作組技術小組,解決取消省界收費站過程中存在的技術問題,并相繼出臺了一系列標準及要求。
(四) 工程實施周期短
根據中央的要求,收費站、收費車道、電子不停車收費系統(ETC)門架系統硬件及軟件標準化建設改造,以及系統網絡安全保障工作工作必須在2019年10月底前完成。并且在2019年12月底前開展系統聯調聯試,基本具備系統切換條件。
工程意義
是貫徹黨中央、國務院決策,更好地服務實體經濟發展的需要;
? 是學習并踐行十九大報告,加快建設交通強國的需要;
? 是與國家層面工作對接,貫徹落實國家決策部署的需要;
? 是推動全國聯網工作,滿足公眾便捷高效出行的需要;
? 是促進收費公路轉型升級,提高運營管理效率的需要;
? 是順應民眾出行需求,提高公路整體服務水平的需要;
? 是健全數據分析體系,提供運營管理決策支持的需要;
? 是全國一盤棋,更好地服務民生的需要;
? 是提升ETC產業質量,推動行業可持續發展的需要;
? 是提升信息化水平,建設智慧公路的需要。
建設范圍
(一) 項目建設單位
省交通投資集團股份有限公司及下屬高速公路各板塊
(二) 項目業務系統
通信網絡系統、聯網收費系統、區域中心系統、管理處系統、收費站系統、ETC門架系統

客戶需求
安全技術需求
根據板塊的網絡安全建設現狀,結合區域中心、運行中心、管理處、收費站、ETC門架及安全接入檢測的安全要求。參照GB/T22239-2019《網絡安全等級保護基本要求》(GB/T 22239-2019)。板塊詳細的安全技術需求如下表:

板塊安全技術需求

(一)  安全物理環境需求

n  物理機房:板塊物理和環境安全在機房選址、機房建設、設備設施的防盜防破壞、防火、防水、電力供應、電磁防護等在數據中心機房的建設過程中已經嚴格按照國家相關標準進行機房建設、綜合布線、安防建設,并已經經過相關部門的檢測和驗收。

(二) 安全通信網絡需求

n  網絡架構安全:網絡架構是否合理直接影響著是否能夠有效的承載業務需要。因此網絡結構需要具備一定的冗余性;帶寬能夠滿足業務高峰時期數據交換需求;并合理的劃分網段和VLAN

n  通信傳輸安全:而數據在傳輸過程中,為能夠抵御不良企圖者采取的各種攻擊,防止遭到竊取,應采用加密措施保證數據的機密性。

n  可信驗證安全:屬于安全可靠的內生安全。

(三)  安全區域邊界需求

n  邊界隔離與訪問控制防護:對非法客戶端實現禁入,同時,需要能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查;并對無線網絡的使用進行管控。

n  入侵防范和惡意代碼:入侵和病毒防護手段需要在系統邊界進行部署,在網絡層進行入侵防護和病毒查殺,防止感染系統內部主機。

n  垃圾郵件防范:本項目環境無郵件系統及要求,不做設計。

n  安全審計:針對網絡的攻擊行為和非授權訪問等行為,需要在網絡邊界、重要網絡節點上進行流量的采集和檢測,并進行基于網絡行為的審計分析,從而及時發現異常行為,規范正常的網絡應用行為。

n  可信驗證:屬于安全可靠的內生安全。

(四)  安全計算環境需求

n  身份鑒別:主機操作系統登錄均必須進行身份驗證。必須提高用戶名/口令的復雜度,并定期進行更換,或者,采取更可靠的身份鑒別措施。

n  訪問控制:主機訪問控制主要為了保證用戶對主機資源的合法使用。必須擁有合法的用戶標識符,在制定好的訪問控制策略下進行操作,杜絕越權非法操作

n  安全審計:對于登陸主機后的操作行為則需要進行主機審計。對于服務器和重要主機需要進行嚴格的行為控制,對用戶的行為、使用的命令等進行必要的記錄審計,便于日后的分析、調查、取證,規范主機使用行為。

n  入侵防范和惡意代碼:病毒、蠕蟲等惡意代碼是對計算環境造成危害最大的隱患,當前病毒威脅非常嚴峻,特別是蠕蟲病毒的爆發,會立刻向其他子網迅速蔓延,發動網絡攻擊和數據竊密。因此除了在網絡層采取必要的病毒防范措施外,必須在主機部署惡意代碼防范軟件進行監測與查殺,同時保持惡意代碼庫的及時更新。

n  可信驗證:屬于安全可靠的內生安全。

n  數據完整性與保密性:數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要,是必須考慮的問題。需要采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;

n  數據備份和恢復:對于關鍵數據應建立數據的備份機制,而對于網絡的關鍵設備、線路均需進行冗余配置,備份與恢復是應對突發事件的必要措施。

(五)  安全管理中心需求

n  系統管理、審計管理、安全管理:具備系統管理、安全管理和審計管理功能,功能權限分離,三員(系統管理員、審計管理員、安全管理員)分離,并能對三員進行身份鑒別和操作審計。

n  集中管控:對于資產規模和部署范圍龐大的XXX系統,必須建設統一的安全運營和管理中心,對全網資產、日志、事件信息進行統一的監測、檢測、響應和分析,掌握全網的信息資產安全狀況,及時發現和處置安全事件。面對復雜的網絡結構,多廠商安全設備,由人工進行安全策略的配置和動態調整,無論是從工作量和工作難度上來說都是不可接受的,需要能夠采用自動化工具進行全網主要設備的安全策略自動下發和集中管理。

(六)  物聯網安全擴展要求

n  物理防護、接入控制、入侵防護、感知節點設備安全、網關節點設備安全:應保證感知節點設備的認證能力,保證只有授權的設備可以接入,并對入侵進行防護。
安全管理需求
針對建設期和運營期的安全管理風險分析,板塊總結以下安全管理需求:
(一) 建設期安全管理需求

? 規劃設計階段需同步安全設計

? 需加強外包軟件開發管理

? 工程實施安全管理

? 測試驗收和交付管理

? 系統測評和服務供應商選擇

(二) 運營期安全管理需求

運營期指系統上線投入運營后到系統廢止,運營期安全管理需要建設一整套信息安全管理體系并加以落實,按照等級保護和ISO27001的信息安全管理體系建設要求。
安全運營需求
板塊安全運營需求分析從技術角度分析系統上線運行后在整個較長的后續運營期間對安全運營的需求。主要包括:
? 全面掌握信息安全資產需求
? 日常安全運營需求
? 重要時期安全保障需求
? 專家級安全運營服務支撐需求
安全監測需求
路段中心、管理處、收費站、ETC門架系統接入聯網收費系統應經過具有網絡安全等級測評或安全風險評估等相關資質的第三方檢測評估機構,依據本技術要求進行安全接入檢測,并出具技術要求符合性檢測報告。
解決方案

夯實安全物理環境

物理安全是整個網絡信息系統安全的前提,物理安全必須具備環境安全、設備物理安全和防電磁輻射等物理支撐環境,保護網絡設備、設施、介質和信息免受自然災害、環境事故以及人為物理操作失誤或錯誤導致的破壞、丟失,防止各種以物理手段進行的違法犯罪行為。
本次項目的機房建設包含路段中心機房和收費站機房建設,應嚴格按照國家對信息系統機房的建設標準,機房應在各方面滿足等級保護的相關要求。
安全分區分域而治
根據板塊網絡整體安全需求,并結合《網絡安全等級保護基本技術要求》和《網絡安全等級保護安全設計技術要求》中的相關要求,區域劃分如下:
1. 區域/路段中心收費網
? 收費網服務器區
包含收費網服務器區交換機和應用服務器。包含該路段的相關監測平臺,業務輔助類系統等
? 核心網絡區
包含核心交換機和邊界安全設備,對網絡信息系統起數據通訊支撐作用。向上連接省中心,向下連接各收費站及門架系統。負責門架系統網絡、收費站系統網絡、及分中心系統與省中心、部中心的數據交互;主要負責著各區域間的通信。這樣部署提高了網絡通訊新能,增加網絡可靠性和安全性,為今后網絡信息系統擴展提供了一個基礎網絡平臺。
? 安全管理區
包含網絡安全管理能力,如身份認證及審計系統、數據庫審計系統、流量行為檢測系統、脆弱性掃描系統、防火墻統一策略管理與分析系統、終端統一管理,病毒庫升級等,與所有的區域都有通信,連接核心網絡區。
? 業務終端接入區
包含終端接入交換機,與業務服務器區有通信,連接核心網絡區。
? 外聯業務接入區
外部單位業務/系統,如電子發票系統,稅務、公安、第三方支付、銀行及數據備份中心等
2. 收費站
? 收費業務區
包含收費網服務器區交換機和應用服務器。包含該路段的相關監測平臺,業務輔助類系統等
? 設備接入區
包含收費站各系統前端設備,包含RSU設備、車輛識別設備,收費終端,ETC車道設備等。
3. ETC門架接入區
? 主要負責與ETC門架系統進行安全接入。
核心鏈路加密通信
在信息傳輸和存儲過程中,必須要確保信息內容在發送、接收及保存的一致性;并在信息遭受篡改攻擊的情況下,應提供有效的察覺與發現機制,實現通信的完整性。而數據在傳輸過程中,能夠抵御不良企圖者采取的各種攻擊,防止遭到竊取,應采用加密措施保證數據的機密性。
所建設能力設備應有國家密碼管理局頒發的商用密碼產品型號證書,支持國密算法加密。
統一邊界防護標準
1. 多元訪問控制能力
在分區分域原則的指導下,基于技術措施實現安全域間隔離、邊界訪問控制,對進出網絡邊界的信息內容進行過濾,防止非授權的訪問及病毒、蠕蟲的蔓延。
2. 深度攻擊檢測能力
適應攻防的最新發展,準確監測網絡異常流量,通過動態、深度、主動的安全檢測,挖掘各層面安全隱患,第一時間將安全威脅阻隔在網絡外部,實現看得見、檢得出的安全目標。
3. 網絡流量檢測能力
應對新型攻擊帶來的威脅,從流量檢查、智能識別、環境感知、行為分析四方面加強對應用協議、異常行為、惡意文件的檢測和防護,提供動態的、深度的、主動的安全防御,實現看得見、檢得出、防得住的完整解決方案。
4. 邊界完整性的能力
防止網絡資源不受非法終端接入所引起的各種威脅,在有效管理用戶和終端接入行為的同時,需采用技術手段保障終端入網的安全可信,同時達到了規范化地管理計算機終端的目的。
邊界完整性的檢查能力包括終端PC,網絡當中的一些啞終端,以及收費站及ETC門架系統的泛終端(如攝像頭)
5. 日志審計可追可溯
及時識別入侵攻擊、內部違規等信息,且為安全事件的事后分析、調查取證提供必要的信息,更好的監控和保障信息系統運行。
6. 加強應用安全防護
加強應用安全防護,Web服務器端是Web安全防護的重要環節,應用請求和惡意訪問攻擊均由Web應用安全防護來承擔處理,清洗、過濾后Web,應用安全防護向真實的服務器提交請求并將響應進行整形、壓縮等處理后送交給請求客戶端。這樣可以很好的防范來自網絡中正對應用的威脅,保護網站的安全、穩定、高性能運行。

精準數據安全管控
1. 數據庫安全審計能力
對業務網絡中的數據庫進行全方位的安全審計,記錄所有對保護數據的訪問信息,包括文件操作、數據庫執行SQL語句或存儲過程等,審計所有用戶對關鍵數據的訪問行為,防止外部黑客入侵訪問和內部人員非法獲取敏感信息。統計和查詢所有被保護數據的變更記錄,包括核心業務數據庫表結構、關鍵數據文件的修改操作等等,防止外部和內部人員非法篡改重要的業務數據。統計和查詢所有用戶的登錄成功和失敗嘗試記錄,記錄所有用戶的訪問操作和用戶配置信息及其權限變更情況,可用于事故和故障的追蹤和診斷。記錄和發現用戶違規訪問。支持設定用戶黑白名單,以及定義復雜的合規規則,支持告警。
2. 敏感數據的泄露防護
以內容檢測識別為核心;以網絡邊界以內為范圍;以網絡數據安全為目標;以檢測、攔截、警告、記錄、分析為手段,實現數據安全綜合防護。

構建終端安全閉環
終端安全依據“終端防護、統一準入、安全可視、在運合規、安全響應”的管控原則。最終構建終端安全閉環,實現多維主動防御。
1. 終端病毒和惡意代碼分析防范能力建設
全網建立終端病毒和惡意艾瑪分析防范的能力,通過集中管理端實現對病毒查殺策略、病毒庫的統一升級管理。還可以通過采用云查殺引擎、未知病毒檢測等新技術,解決傳統防病毒軟件本地特征庫對新型病毒查殺效果不明顯的問題。

2. 落實終端安全管理技術能力建設

在終端落實安全管理技術能力的建設,通過控制中心制定策略,進行全網終端的流量監控、非法外聯監控、應用程序黑白名單控制、外設管控、桌面安全加固等。

打造技防管理大腦
1. 設備安全運維與審計
將運維人員與被管理設備或系統隔離開來,所有的運維管理訪問必須進行身份認證、授權、及審計。運維人員在操作過程中首先進行身份認證和權限檢查后,然后連接到目標設備完成遠程管理操作,并將操作結果返回給運維人員,同時需對所有的運維操作及結果進行審計記錄。
同時需要運維管理的集中權限管理和行為審計,同時也需要解決加密協議和圖形協議等無法通過協議還原進行審計的問題。
2. 策略集中管理與分析
安全策略的有效性和時效性已經成為運維的一大難題,需要通過技術手段實現集中化、可視化的網絡邊界訪問控制管理,協助網絡安全管理人員統一管理網絡訪問控制策略,并結合網絡安全域管理和安全策略的定義,實時分析網絡安全策略執行情況,通過細粒度的按需申請自動化部署安全策略,最小化網絡受攻擊面,從而提升網絡安全運維人員效率,簡化網絡權限管理復雜度,避免人工操作造成的錯誤配置,保障配置管理和變更管理規范和合規。
3. 集中安全運營與管理
建設集中安全運營和管理中心,明確系統管理員、審計管理員和安全管理員的職責,并進行職責和權限劃分,通過安全管理中心實現威脅管理、資產管理、拓撲管理、漏洞管理、日志搜索、場景化分析、工單、調查分析、知識庫、報表管理及態勢感知等能力。

協同聯動安全處置
數據驅動安全,打破安全能力孤島,建立協同聯動的安全防御能力,通過軟件層面,數據層面的策略配置,實現主要安全能力之間的協同聯動,積極處置的能力。在合規的基礎上實現更高安全防護能力。如邊界與終端聯動、管理中心與邊界聯動、威脅感知與終端聯動等。
客戶價值
管理收益
1. 合規合法
通過以上方案設計,實現在物理環境、安全網絡通信、安全區域邊界、安全計算環境和安全管理中的網絡安全建設,完全能滿足網絡安全法的相關要求,也能滿足等保2.0中的各項要求,也能滿足交通部關于取消高速公路收費站聯網系統建設改造項目的技術要求。在合規合法的前提下,實現網絡安全。
2. 采用“安全與服務”理念,安全建設新思路
實現終端、網絡、數據、應用等根據自身安全需要調用安全服務并具有彈性可擴展特征的服務能力。同時具備對安全資源的統一監控調度和分配的能力、統一的一體化的協同處理和容錯能力。
經濟收益
1.  終端安全整體設計,安全能力一體實現
規劃方案中涉及終端相關的安全能力建設,盡可能集中和統一,包括管理中心的統一和終端客戶端的統一,實現一體化設計和部署,強化XP系統的安全防護。同時為保障各板塊統一性,全局性,實現終端4個統一:防病毒統一化,部署統一化,管控統一化,升級統一化。
2. 充分結合項目安全建設現狀,最大化降低實施難度
考慮到項目的工期要求較緊、終端分布較散、終端系統類型較多等特點,對于終端的安全防護,一體化設計將大幅降低實施難度,同時解除終端兼容性、穩定性、藍屏等困擾,有效避免了一個終端安裝多個Agent帶來的煩惱,極大節約系統發揮效用的時間。在部署上只需在控制中心開啟相應的功能許可模塊,即可實現相應功能。
終端安全管理系統,實現兩種安裝方式:在線安裝和離線安裝,根據實際情況靈活運用,提高本次項目終端安全部署的效率、降低項目工期,提高部署質量。
發展收益
1. 邊界+終端+流量深度檢測協同防御
通過邊界+終端+流量深度檢測協同的方式,發現未知威脅,自動更新防護策略并響應。構建基于全網數據檢測、響應、追溯的安全體系,為防御未知威脅形成一個閉環。
2. 安全覆蓋網內泛終端,實現物聯終端安全可控
通過對泛終端設備(攝像頭及亞終端、PC終端等)的發現,識別和注冊,防止終端仿冒,保護物聯場景下的終端安全。
3. 態勢感知與運營平臺提供整網態勢,提高運營效率
后期,規劃在集團建立態勢感知運營檢測中心,分公司建立安全運營分中心,可以針對全網安全風險的集中管理、綜合分析、安全可視化、安全通報預警與安全集中處置,下級的路段中心的安全管理中心或日志收集與分析系統可以作為態勢感知平臺的安全節點采集器,實現可實現對網絡安全的態勢覺察、跟蹤、預測和預警,全面、實時掌握網絡安全態勢,及時掌握網絡安全威脅、風險和隱患,及時監測漏洞、病毒木馬、網絡攻擊情況,及時發現網絡安全事件線索,及時預警通報重大網絡安全威脅,及時處置安全事件,有效防范和打擊網絡攻擊等違法犯罪活動,達到實時態勢感知、準確安全監測、及時應急處置等目標。
應用場景

整體網絡部署方案
某項目整體網絡安全部署架構如下圖所示:

高速公路聯網收費系統網絡安全技術解決方案