宁夏高速公路联网系统网络安全现状分析与建设思路探讨
2016-03-14张洪韬宁夏交通信息监控中心750001
张洪韬(宁夏交通信息监控中心,750001)
宁夏高速公路联网系统网络安全现状分析与建设思路探讨
张洪韬
(宁夏交通信息监控中心,750001)
目前宁夏已建成了覆盖自治区内现有高速公路的联网系统,为了保障高速公路信息系统安全,需要逐步建立起网络安全保障体系,满足信息化高速发展需求。本文对宁夏高速公路联网系统的网络安全现状和建设思路进行探讨。
高速公路 联网 网络安全
1 概况
随着对信息技术和网络的依赖程度不断提高,网络与信息系统的基础性、全局性作用日益增强,信息安全逐步成为宁夏高速公路联网系统信息化建设的重要组成部分。
网络安全保障是宁夏高速公路联网系统信息化发展中需要长期坚持的重要工作。为了保障高速公路信息系统安全,立足于高速公路联网系统的现状和具体特点,结合网络安全保障建设的自身规律和特点,抓住组织、管理、技术三个要素,逐步建立起积极的网络安全保障体系,促进和满足信息化高速发展的要求。
2 系统网络安全防护现状
宁夏高速公路联网系统网络安全建设伴随着宁夏高速公路的建设同期进行,目前已建成了覆盖宁夏区内现有高速公路的联网系统。系统在网络结构上属于专网形式,通过安全隔离设备向互联网提供信息发布服务。整个系统采用三级树状结构,“宁夏监控总中心——分中心——收费站”。
2.1 宁夏监控总中心网络安全防护现状
2.1.1 服务器区域。该区域主要包括宁夏高速公路联网系统的收费系统、IC卡管理子系统、ETC子系统的数据库服务器、各种应用服务器及监控系统服务器。区域防护重点是防病毒攻击、防内部人员/黑客入侵、防误操作导致数据丢失/篡改/损坏,防DDOS 攻击。目前区域内部署了入侵检测系统和防病毒网关。
2.1.2 网站信息发布区域。该区域实现与互联网网站系统的信息传输,防护重点是保证数据传输过程的保密性、完整性以及限制非授权的连接。目前区域内部署了防火墙和安全隔离网闸设备,实现访问控制、传输加密、信息交换等功能。
2.1.3 终端、工作站区域。该区域主要包括日常工作使用和运维管理的终端计算机,该区域防护重点是病毒防护、非法外联、越权使用等,目前区域内没有采取安全防范措施。
2.1.4 外联系统接入区域。该区域根据业务需求是与银行、气象、国土、公安等多个单位的系统互联,实现资源共享。在此区域接入边界部署了防火墙和密码机等设备,能够为外联系统和单位的数据访问和传输提供身份认证、访问控制、传输加密等安全保障。
2.2 分中心网络安全防护现状
2.2.1 服务器区域。包括分中心的收费系统服务器、监控系统服务器及流媒体设备等,该区域防护重点是防DDOS 攻击、防病毒攻击、防内部人员/黑客入侵、核心数据保护等,目前区域内采取有限安全防范措施。
2.2.2 分中心管理终端区域。包括分中心的管理工作站,该区域的防护重点是病毒防护、越权使用等,目前这些工作站只采用登陆密码及身份认证IC卡进行权限控制。
2.3 收费站网络安全防护现状
2.3.1 服务器区域。包括收费站的收费数据服务器、NVR及监控系统服务器,防护重点是DDOS 攻击、病毒攻击、内部人员/黑客入侵、核心数据保护等,目前该区域采取有限安全防范措施。
2.3.2 收费站终端区域。包括工作站和收费终端,该部位的防护重点是病毒防护、越权使用等,目前这些工作站只采用登陆密码及身份认证IC卡进行权限控制。
2.3.3 收费站与宁夏监控总中心无线备份链路。为保障数据能够及时准确地传输到宁夏监控总中心,各收费站在主网络出现故障时采用移动无线备份链路进行收费数据传输,该区域的防护重点是数据防泄漏、防篡改及安全路由备份等。
3 系统网络存在的安全风险
3.1 技术方面安全风险
3.1.1 网络划分不够直观。目前系统网络VLAN划分存在安全风险,划分不够直观,没有按区域进行划分,部分区域有重复VLAN,并且收费系统和监控系统没有彻底分开,如果监控系统的组播传输模式将带宽耗尽,将影响收费系统数据传输。
3.1.2 安全域划分不明晰。宁夏监控总中心在网络出口处部署了访问控制设备,但是没有分层次分区域进行详细的安全域划分,无法对核心数据进行重点防护,并且对外链接子系统没有建立安全区域,存在外连攻击和入侵的隐患。其次,由于整个系统在内部是互连互通的,内部人员或维护单位人员会存在越权访问相关信息,对数据进行篡改或破坏,并且在安全域之间没有采取隔离措施的情况下,蠕虫病毒爆发时会在本网段内大量复制数据包,迅速波及到其他相连网段,造成系统大面积瘫痪。
3.1.3 补丁分发不及时。通过对宁夏高速公路联网系统漏洞扫描,发现存在系统漏洞,这些漏洞基本是由于系统补丁更新不及时造成的。无论是网络设备、操作系统还是应用软件,由于商业或人为因素,都会存在一定的漏洞或错误代码,随着时间的推移和技术的发展,这些漏洞会被逐步发现,各安全设备厂商也会及时推出相应更新程序或补丁,用于更正或消除这些漏洞。
3.2 网络安全防护方面安全风险
3.2.1 缺少整体防病毒系统。病毒的泛滥和扩散已经成为联网系统网络安全的一个重要威胁,由于病毒的隐蔽性、扩散性和破坏性等特点,病毒对于计算机网络系统的破坏往往是大面积的、同时性的爆发,这将会对高速公路联网系统正常运行造成很大影响。
3.2.2 缺少网络安全审计系统。堡垒最容易从内部攻破,内部人员比外部人员更加容易进行数据非授权访问,系统网络内仅部署访问控制设备、入侵检测设备等相关网络安全设备无法对内部人员实行有效控制和审计。
3.3 数据应用方面安全风险
3.3.1 没有安全运行一体化、可视化系统。随着网络规模日渐庞大,网络管理也日趋复杂,迫切需要对全网整体安全运行状况有一个直观的了解、清晰的掌控,能够获悉当前的安全态势、攻击分布、防护缺陷,掌握安全防护体系建设和安全管理能力建设的水平,目前系统内缺少对全网进行综合网络安全分析和管理的手段。
3.3.2 高速公路联网系统中数据备份不能满足数据日益增长的需求。在进行系统网络安全规划和实施时,要考虑到各种可能性因素,包括不可抗拒突发性行为和黑客攻击、人为破坏等故意或过失行为。目前高速公路联网系统数据备份还主要依靠磁盘进行,相对而言无法满足未来大量数据的及时备份和介质保存等需求。
3.4 安全管理方面安全风险
宁夏高速公路联网系统制定有相关的网络安全管理制度,但是现有制度内容的完整性与国家重要信息系统等级保护的要求还有差距,同时高速公路联网系统安全岗位人员不足,无法保证专人专岗,特别是关键岗位,缺乏职责行使分离机制,无法保护关键业务的安全。
4 系统网络安全建设行业依据
交通运输部办公厅下发的《关于进一步开展交通运输行业信息安全等级保护工作的通知》(厅科技字[2012]120号)明确指出,加强信息安全,保障信息系统稳定运行要有统一的安全管理要求,建立信息系统安全应急处理机制,重特大风险识别、防范和控制机制,重要信息的保密和防护机制,信息系统的灾难恢复机制,信息安全岗位职责规范要按照国家信息安全等级保护要求,完善信息安全运行和场地安全。《交通运输部办公厅关于推进交通运输信息化智能化发展的指导意见》(厅科技字[2013]257号)指出到2020年,基本形成目标一致、功能协调、运转高效、有机衔接的交通运输信息化智能化发展总体格局,交通运输信息化普及程度大幅度提升,重点领域智能化发展取得突破,交通运输信息化智能化发展水平显著提高,基本建成适应信息化智能化发展要求的技术支撑体系和可信可控的网络与网络安全保障体系。
5 系统网络安全建设目标
必须从管理与技术层面提升宁夏高速公路联网系统信息安全防护水平,防止高速公路联网系统网络瘫痪、应用系统遭受破坏、业务数据丢失、终端病毒感染、有害信息传播和恶意渗透攻击等行为,确保宁夏高速公路联网系统安全稳定运行,这需要对系统网络安全有一个长期建设和优化的过程。结合宁夏高速公路联网系统现状,应确定网络安全建设短期和长期目标:
短期目标:通过网络安全改造对宁夏高速公路联网系统的安全状况进行加固,解决目前急迫和关键的安全隐患问题;
长期目标:通过“试点、推广和提升”三步走实施,实现“管理标准化、业务协同化、决策科学化、系统集成化、数据规范化”五个目标,保障宁夏高速公路联网系统网络能够长期安全、稳定、可靠运行。
6 系统网络安全总体防护策略
宁夏高速公路联网系统信息安全防护要贯彻国家、自治区和交通运输部有关信息安全防护的要求和政策,要综合平衡安全成本和风险,优化高速公路联网系统资源配置,实行高速公路联网系统等级保护,确定重点保护工作。而信息安全策略是高速公路联网系统信息安全工作遵循的基本依据,根据宁夏高速公路联网系统特点和安全需求,总体安全策略可分成四部分:
6.1 系统分级。根据业务应用系统的使命、目标及重要程度,对系统进行安全等级划分。
6.2 防护分域。划分网络安全域,将单个或多个业务系统分成不同网络防护区域,根据网络安全域内的业务系统定级情况和业务系统的服务对象,采取不同强度的安全防护措施。
6.3 预防为主。信息安全防护应以预防为主,要把预防信息安全事故作为防护的出发点和落脚点,从信息安全风险管理的角度、信息系统安全生命周期各阶段的特点和业务系统的安全特性出发,有组织、有计划地采取主动、严密的预防措施,达到防患于未然的目的。
6.4 积极管控。由于信息安全事件具有动态变化、突然爆发、持续破坏、高度不可预测等特性,为了全面应对信息安全事件,就需要建立积极的管控机制、融合技术和管理手段,实现对信息安全风险的主动跟踪、及时掌握、有效处理,达到可控、能控、在控的管理效果。
7 结束语
随着国家对信息安全工作的不断重视,宁夏高速公路联网系统网络安全保障水平也引起了宁夏交通运输厅相关部门的关注,要求最大限度地实现信息的保密性、完整性、可用性和有效性,提高宁夏高速公路联网系统整体信息安全管理水平和抗风险能力,支撑宁夏高速公路联网系统的信息安全。
Analysis and Discussion on the current situation of network security of Ningxia expressway networking system
Zhang Hongtao
(Ningxia traffic information monitoring center,750001)
At present,Ningxia has built a network system covering the existing highway in the autonomous region,in order to ensure the highway information system security,need to gradually establish a network security system,to meet the needs of rapid development of information technology. Network security situation and the construction of Ningxia expressway network the idea of this system is discussed.
expressway;networking; network security
