高速公路网络信息安全体系建设探讨
来源:用户上传
作者:
[摘 要]高速公路聯网收费系统的信息安全,关系着公路交通的安全和通畅以及高效,能直接影响到社会的公共秩序和人民的公共利益,需要实行重点保护。同时,可以进一步普及、推动、完善系统的标准化、规范化工作,达到信息系统等级保护的要求,对我国的高速公路发展具有深刻的意义。鉴于此,本文主要分析高速公路网络信息安全体系建设探讨。
[关键词]高速公路;网络信息;安全体系
中图分类号:U415 文献标识码:A 文章编号:1009-914X(2019)11-0279-01
1、高速公路网络信息安全体系建设的意义
传统的网络信息安全系统建设一般跟随业务系统进行建设设计,防护架构和安全策略相对静态,无法对整个网络的信息系统进行动态、实时的漏洞扫描、威胁感知、策略调整与安全应急响应。基于数据驱动的高速公路网络信息安全防御体系将建立安全风险探知中心,收集安全运行流数据,测试记录、日志数据、网络数据、攻击数据,进行安全大数据的梳理分析;对操作系统、网络端口、基础软件环境(数据库、中间件等)、业务应用系统和服务接口等进行漏洞、配置弱点扫描,形成脆弱性探测报告,指出安全防护的薄弱环节,提出整改加固方案,完善交通运输行业网络与信息安全监测管理平台。
2、联网收费系统的网络拓扑现状
目前收费网络存在的问题主要有:
(1) 在核心收费系统的网络出入口无防火墙,在网络边界缺乏有效的网络防护措施;收费服务器区缺乏网闸等网络安全防护措施。
(2) 系统没有日志审计系统,无法做到对服务器、交换机、安全设备、存储设备等各设备的安全统一的管理、日志收集和分析、高危操作的告警审计和追溯、数据安全的保障等。
(3) 收费网络不同等级网络间缺乏有效的网络防护和隔离,无法针对不同等级网络进行针对性的管理和安全防护,亦无法对接入网络的设备进行专用的准入控制和权限管理。
3、高速公路网络信息安全体系建设
3.1、建设要求
建设目标覆盖以下内容:完善基础安全防护整体架构,开展并完成信息系统等保工作。加强信息安全管理工作,制订科学合理的信息安全工作方针、政策,进一步完善信息安全管理制度体系,实现管理制度的标准化、规范化和流程化。建立科学、完备的信息安全运维管理体系,实现信息安全事件的全程全周期管理,切实保障信息系统安全、稳定运行。
3.2、目标
根据等级保护的要求,结合系统的目前现状,将安全理论转化为具体安全需求,包括物理层、网络层、系统层、应用层、数据层以及管理层等各个层面的安全需求,再依据现有比较成熟的安全技术及产品,将安全需求转化为可以实现的技术和管理安全防护手段,为应用全面性、及时性、准确性、完整性、保密性、可追溯性等业务要求提供安全保障。
3.3、网络拓扑结构优化
通过网络拓扑结构优化,逐步调优网络,以高效、安全的网络架构保证收费网络的安全运行。
从网络和安全的方面划分区域:
安全管理区:主要是针对整个系统的安全运维、日志管理、数据安全、权限管控等进行统一和安全的管理维护,部署日志审计、数据库审计等设备。
边界防护区:主要是在收费网络和拆分平台(联合电服)、省营运平台之间部署防火墙,对核心网络边界进行防护,所有进出的数据,都要经过边界防护区的防护和过滤,增强核心收费业务的网络安全能力。
服务器区:主要是中心收费系统和服务器、存储阵列等集中管理,网闸设备作为区域防护。
主要设备功能如下:
边界防火墙:支持访问控制,应用识别,防病毒、资产识别、云管理、入侵防护、高级威胁防护、僵尸网络发现、流量监控、应用管理等安全功能。
堡垒机--安全运维审计系统:堡垒机产品通过逻辑上将人与目标设备分离,建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的管理模式,实现集中精细化运维操作管控与审计。
日志审计系统:可基于主流协议实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息,实现对各类设备日志的统一采集、统一存储、统一审计等各类日志管理工作。
网闸:通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。
数据库审计系统:能够多角度分析数据库活动,并对异常的行为进行告警通知、审计记录和事后追踪分析。
态势感知系统:基于大数据模型的风险计算,通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算,实时得出风险提示,通过专家在线、现场服务做到风险跟踪关闭。
漏洞扫描系统:根据需要定期挂接到网络中,对服务器、桌面机及网络设备进行扫描,即可发现安全漏洞,并采取补救措施。
容灾备份一体机:具有备份(包括定时及实时)、容灾(本地和异地)、统一存储、虚拟化平台、虚拟磁带库、数据重删、系统应急接管等多功能。
优化后网络拓扑图如下:
3.4、物理安全
物理安全体系的建设在技术层面,应采取电子门禁、环境监控、电力冗余等技术措施,在管理层面,应在专业安全厂商的指导下,制定机房维护管理、出入登记申报等制度。
3.5、管理制度
根据系统的实际情况,在信息安全领导小组的负责下,制定和发布信息安全工作的总体方针、政策、目标、范围、原则和责任,并定期进行评审和修订。管理制度方面包括:
①制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;②建立管理人员或操作人员执行的日常管理操作规程;③形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。④每年由信息安全领导小组负责对安全管理制度体系的合理性和适用性进行审定;⑤定期或不定期对安全管理制度进行修订。
总之,随着各省高速公路信息系统的不断发展壮大,网络安全问题日趋突出,对信息化网络安全的要求也越来越高。高速公路运营管理存在技术和管理上的不足,会造成信息化网络系统合法用户被冒充、非授权访问、系统正常运行被干扰、完整数据被破坏、网络被恶意攻击、利用网络传播病毒等给网络带来危害的现象。为保证业务系统的持续性及数据的完整性,各省市高速公路应加强网络信息安全保障体系的建设。
参考文献:
[1]朱鹏飞,孙兴焕,曹小峰,王登才.省域高速公路网络信息安全动态防御体系研究[J].中国交通信息化,2018(01):82-85.
[2]吴丽娟.高速公路机电项目中计算机系统的网络信息安全管理[J].产业与科技论坛,2016,15(16):248-249.
[3]《信息系统安全等级保护基本要求》( GB/T 22239-2008 )
转载注明来源:https://www.xzbu.com/1/view-15334485.htm
