摘要：針對高速公路路網(wǎng)日益完善和擴大，實際運營對高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全提出要求，根據(jù)山西省高速公路管理局工作現(xiàn)狀與進展，在提出網(wǎng)絡(luò)安全保障系統(tǒng)升級改造需求的基礎(chǔ)上，對其安全改造措施予以深入分析，內(nèi)容包括安全設(shè)備升級改造、數(shù)據(jù)庫安全保障、數(shù)據(jù)傳輸安全保障及其使用的安全，通過實踐得出山西省高速公路管理局所用安全保障改造措施合理可行、切實有效，為其他地區(qū)提高系統(tǒng)整體安全水平和安全改造工作提供參考借鑒。

關(guān)鍵詞：高速公路；聯(lián)網(wǎng)收費系統(tǒng)；網(wǎng)絡(luò)安全

引言

如今，高速公路路網(wǎng)日益完善，作為高速公路重要組成部分的聯(lián)網(wǎng)收費系統(tǒng)承擔越來越大的壓力，無論是實際運營還是后續(xù)發(fā)展，都對其網(wǎng)絡(luò)安全提出了更高的要求，需要根據(jù)系統(tǒng)實際情況，采用先進的安全保障設(shè)備提高網(wǎng)絡(luò)的安全性。

1高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全保障需求

山西省高速公路管理局收費網(wǎng)，現(xiàn)已建成連接全省高速公路收費站的收費專網(wǎng)及公網(wǎng)備份鏈路，隨著山西省高速公路信息系統(tǒng)的不斷發(fā)展壯大，對信息化網(wǎng)絡(luò)安全的要求越來越高，山西省高速公路收費系統(tǒng)網(wǎng)絡(luò)信息安全保障系統(tǒng)，已成為山西省高速公路收費網(wǎng)絡(luò)重要組成部分，保證了收費網(wǎng)絡(luò)系統(tǒng)的安全運行。收費系統(tǒng)網(wǎng)絡(luò)信息安全保障系統(tǒng)建設(shè)由省高管局在近幾年分期對聯(lián)網(wǎng)收費網(wǎng)絡(luò)進行了改造實施，主要包括有以下內(nèi)容：（1）在全省收費網(wǎng)絡(luò)部署了內(nèi)網(wǎng)審計軟件系統(tǒng)；（2）在全省收費網(wǎng)絡(luò)部署了收費網(wǎng)絡(luò)防病毒軟件系統(tǒng)；（3）在省中心核心機房部署了防病毒網(wǎng)關(guān)系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡(luò)行為審計系統(tǒng)、機架式漏洞掃描設(shè)備及防火墻系統(tǒng)；（4）在各片區(qū)管理中心向省中心的傳輸公網(wǎng)和專網(wǎng)部署了防火墻系統(tǒng)；（5）在各片區(qū)中心部署了入侵檢測系統(tǒng)。以上項目方案是在國家等級保護文件、標準的總體框架體系指導下，充分考慮山西省高速公路收費信息系統(tǒng)面臨的威脅，結(jié)合網(wǎng)絡(luò)安全現(xiàn)狀，建立起了全省高速公路收費系統(tǒng)網(wǎng)絡(luò)信息安全的完整體系，且具有充分擴展能力的安全體系，能夠滿足后期向更高安全級別升級、系統(tǒng)擴容、系統(tǒng)外聯(lián)擴展的需要。但隨著產(chǎn)品升級改造、設(shè)備更新?lián)Q代，部分設(shè)備已老化達到使用壽命期限及無法升級，運行不穩(wěn)定，如果不很好地解決這個問題，必將阻礙信息化發(fā)展的進程，給收費網(wǎng)絡(luò)造成極大的安全隱患，無法滿足收費網(wǎng)絡(luò)安全防護的要求。因此，為了保障山西省高速公路收費網(wǎng)絡(luò)的安全高效可靠運行，對山西省高速公路收費網(wǎng)絡(luò)安全保障系統(tǒng)進行升級改造迫在眉睫。

2高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全方案

2.1方案拓撲

高速收費網(wǎng)絡(luò)安全設(shè)備升級前、后拓撲如圖1、2所示。

2.2安全方案

2.2.1省中心防病毒網(wǎng)關(guān)系統(tǒng)升級改造省中心收費網(wǎng)已經(jīng)具備了防火墻、防病毒網(wǎng)關(guān)、漏洞掃描等安全防護手段，實現(xiàn)了收費網(wǎng)絡(luò)的安全防護；現(xiàn)通過升級防病毒網(wǎng)關(guān)系統(tǒng)以實現(xiàn)對收費網(wǎng)的網(wǎng)絡(luò)安全防護，防止黑客入侵、防止病毒攻擊、防止黑客控制終端進而攻擊收費網(wǎng)絡(luò)。通過升級后的新一代萬兆級防病毒網(wǎng)設(shè)備與原有網(wǎng)絡(luò)安全設(shè)備配合，實現(xiàn)省中心收費網(wǎng)絡(luò)安全以及全省收費網(wǎng)絡(luò)的信息安全保護。主要具有以下功能：細粒度的高性能網(wǎng)絡(luò)訪問控制、性能和功能完美匹配的病毒防御、Web安全防護、數(shù)據(jù)安全防護、完善的應用控制、精細的流量監(jiān)控、簡單易用的管理模式。2.2.2片區(qū)中心安全設(shè)備升級改造各片區(qū)中心現(xiàn)已部署了千兆級防火墻、IDS，實現(xiàn)了網(wǎng)絡(luò)層的安全防護，由于設(shè)備需升級更新?lián)Q代，現(xiàn)通過在片區(qū)中心專網(wǎng)及公網(wǎng)串接部署一體化安全網(wǎng)關(guān)，將原有的防火墻及入侵檢測功能合二為一，以解決產(chǎn)品升級及設(shè)備老化和因多個產(chǎn)品維護管理而苦惱的問題，一體化安全網(wǎng)關(guān)是低成本、高效率、易管理的理想解決方案，可實現(xiàn)集防火墻、VPN、入侵防御（IPS）、防病毒、抗拒絕服務(wù)攻擊（Anti—DoS）、內(nèi)容過濾等多種安全技術(shù)于一身的安全設(shè)備。主要具有以下功能：細粒度的高性能網(wǎng)絡(luò)訪問控制、性能和功能完美匹配的病毒防御、精準高效的入侵防御、Web安全防護、數(shù)據(jù)安全防護、完善的應用控制、簡單易用的管理模式。

2.3數(shù)據(jù)庫安全

2.3.1收費車道與收費站數(shù)據(jù)庫修改車道收費設(shè)備的操作系統(tǒng)，將不常用功能完全取消，使設(shè)備開機后可進入收費軟件當中。為避免病毒傳播，應減少對光驅(qū)與軟驅(qū)等的使用。在此基礎(chǔ)上，還應采取以下方法提高數(shù)據(jù)安全性：其一，借助防火墻設(shè)備嚴格控制系統(tǒng)訪問，杜絕非法訪問，提高數(shù)據(jù)整體安全性；其二，對于車道數(shù)據(jù)庫，應使用新型SQL數(shù)據(jù)庫，借助該數(shù)據(jù)庫具有的安全控制來提高數(shù)據(jù)整體安全性。2.3.2收費中心與分中心數(shù)據(jù)庫對于收費中心與分中心數(shù)據(jù)庫，其主要功能為收集并匯總收費站所有收費數(shù)據(jù)。2.3.3結(jié)算中心數(shù)據(jù)庫對于結(jié)算中心數(shù)據(jù)庫，是各下級收費數(shù)據(jù)匯總，數(shù)量龐大，且權(quán)限較大，其訪問控制必須得以嚴格限制，限制權(quán)限，對用戶數(shù)量予以嚴格控制�？紤]到該數(shù)據(jù)庫十分重要，故應在安全設(shè)置前提下，采用防火墻來加強訪問控制。通過審計工具的合理應用，實現(xiàn)對數(shù)據(jù)庫的全面審計，具體的審計內(nèi)容有：用戶、時間、地點、操作，使數(shù)據(jù)庫實際使用處在實時監(jiān)控之下。

2.4數(shù)據(jù)傳輸安全

因數(shù)據(jù)傳輸為多級形式，所以在傳輸過程中會產(chǎn)生丟失或被私自篡改，為了使數(shù)據(jù)在傳輸時保持可靠，建議采用數(shù)據(jù)校核技術(shù)與加密技術(shù)，保證數(shù)據(jù)傳輸全程安全。對數(shù)據(jù)進行傳輸與存儲時，需對數(shù)據(jù)，尤其是重要數(shù)據(jù)實施加密，在加密后，即便數(shù)據(jù)丟失，偷盜者也無法使用這些數(shù)據(jù)。此外，對于那些較為重要的網(wǎng)絡(luò)數(shù)據(jù)，應在表結(jié)構(gòu)當中采用校驗字段，該字段既可以是具體的時間、人員與日期，也可以是業(yè)主代碼，進而在微觀上找出違規(guī)操作。利用加密傳輸設(shè)備，可以為各級別信息提供安全保障，保證其真實性、機密性與完整性。此外，加密傳輸設(shè)備還能進行一對一或一對多的運行，保證數(shù)據(jù)完整性，在使用時的操作十分簡單，受網(wǎng)絡(luò)類型影響與限制較小，對數(shù)據(jù)進行傳輸時，還可以進行認證，確認雙方真實身份，進而保證數(shù)據(jù)傳輸?shù)木�確性與安全性。

2.5安全設(shè)計

2.5.1結(jié)算中心如前所述，結(jié)算中心為各收費中心所有數(shù)據(jù)匯總，含大量數(shù)據(jù)，至關(guān)重要。基于此，應對機房中的進出人員、行為、數(shù)據(jù)保護等實施嚴格控制，采用的產(chǎn)品包括：防病毒、加密、審計、門控和數(shù)據(jù)備份。其中，安全門控是指對機房中的人員進行控制，利用指紋識別技術(shù)，杜絕無關(guān)人員隨意進出，造成數(shù)據(jù)丟失風險。對于指紋識別技術(shù)，其不僅具有較高的識別率，而且可靠性良好，容易實現(xiàn)，是一套首選系統(tǒng)。防火墻是指充分利用防火墻具有的保護與訪問控制功能，為數(shù)據(jù)庫及服務(wù)器提供良好的安全保護，從而避免異常事件等產(chǎn)生。數(shù)據(jù)備份是指因結(jié)算中心具有龐大的數(shù)據(jù)量，如果數(shù)據(jù)丟失或受損，則將難以恢復，甚至造成無法挽回的損失，因此為保證數(shù)據(jù)安全，應通過對雙機熱備份等合理應用數(shù)據(jù)備份。2.5.2路段中心路段中心即收費中心和分中心，在收費系統(tǒng)當中主要起到收集匯總與統(tǒng)計等重要作用，相比之下安全產(chǎn)品較為簡單，主要包括防病毒與審計。2.5.3收費站在收費站中往往存有很多原始數(shù)據(jù)，對原始數(shù)據(jù)而言，其是否正確直接影響到上一層數(shù)據(jù)的準確性，因此數(shù)據(jù)保護必須從該級入手。它需要采用以下幾種產(chǎn)品：防病毒、審計、加密、防火墻與數(shù)據(jù)備份。此外，在數(shù)據(jù)備份方面應使用RAID磁盤陣列，具有使用十分簡單，在發(fā)生意外后能快速恢復數(shù)據(jù)，且費用相對較少的優(yōu)勢特點。

3結(jié)語

綜上所述，從實踐效果上可以看出，上述安全方案及措施均合理可行、切實有效，在系統(tǒng)中采用安全設(shè)備，除了能充分發(fā)揮其應有功能，還不會對系統(tǒng)運行造成影響，特別是服務(wù)器對車道機的響應速度并未降低，這對高速公路的收費業(yè)務(wù)而言是十分重要的。

參考文獻：

[1]張瓊.高速公路聯(lián)網(wǎng)收費系統(tǒng)信息安全探討[J].江西建材，2017（6）：194-195.

[2]肖軍.高速公路聯(lián)網(wǎng)收費系統(tǒng)終端信息安全管理探討[J].信息安全與技術(shù)，2016（2）：83-87.

[3]毛學橫.高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全防護[J].中國交通信息化，2016（1）：107-108.

[4]胡海龍.高速公路聯(lián)網(wǎng)收費系統(tǒng)安全問題及對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應用，2015（1）：97，100.

[5]劉業(yè)桃，李波.高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全的分析與對策[J].湖南交通科技，2013（3）：183-184，188.

[6]黃印林，代述強.淺析省級高速公路聯(lián)網(wǎng)收費系統(tǒng)的網(wǎng)絡(luò)安全防護[J].電腦知識與技術(shù)（學術(shù)交流），2007（17）：1251，1269.