陈丹丹

广州市高速公路有限公司营运分公司

浅谈高速公路收费系统网络信息安全管理

陈丹丹

广州市高速公路有限公司营运分公司

本文就影响高速公路联网收费系统网络安全的主要因素以及针对系统安全采取的主要策略和措施进行了分析与论述，以降低收费系统运行风险，提高运行效率，保证联网收费业务的正常运行。

高速公路；联网收费；网络安全；数据安全；安全风险；安全策略

1.网络安全风险分析

1.1 物理传输链路安全分析

物理传输链路是联网收费系统的运行基础平台，出现安全问题的大部份原因是源于管理不善，如线路被破坏等，直接导致通信中断。另外，非法入侵者可直接使用窃取装置从线缆窃取信号，将直接造成数据泄露或者被干扰、篡改。

1.2 网络结构安全分析

通常，高速公路收费系统网络是通过专用线缆与Internet相连接，而网络设备、主机、应用系统等都不同程度地存在安全漏洞，攻击者可以利用存在的漏洞进行信息窃取甚至破坏。另外，各节点中的网络设备如路由器、交换机等都存在安全隐患，由于设置较复杂，疏忽了正确的安全性配置将使这些设备存在隐患。

1.3 操作系统安全分析

服务器操作系统在安装之时，部分技术管理员未考虑系统安全性，因此安装通常都使用缺省设置，系统会默认安装很多无需使用的功能模块，同时也开放了相对应的端口，而端口恰恰是入侵者侵入系统的门户。操作系统的开发厂商都会在其产品里设置“后门”，加上系统本身不完善存在的漏洞，这些“后门”和漏洞将使联网收费系统失去最后一道保护屏障。

1.4 数据库安全分析

对于数据库应用程序，数据库的安全是至关重要的。目前联网收费系统数据的安全性仍未得到足够的重视，且大多数管理员对数据库管理不专业、不熟悉，对数据安全关心太少甚至忽略数据安全。

1.5 应用系统安全分析

确保程序的完整性、安全性。在后期应用中，这就需要系统管理员做好系统维护工作了。如果系统安全没有做好，导致系统被入侵，那么应用程序中做再多的安全防范也仍然难逃被破解、篡改的厄运。但收费系统绝大部分重要信息都在内部网络收发，因此信息的机密性和完整性相对来说就较为安全。

1.6 网络安全管理机制分析

对于一个庞大的联网收费网络来说，必须具有完善的管理制度并严格执行，以减少因内部管理而造成的各种漏洞。而实际维护中，管理制度如同虚设，主要有以下体现：1.系统管理员设置的过于简单的密码，或者不设置密码；2.内部员工或开发人员利用网络非法侵入系统，泄露数据信息、进入数据库删除、破坏数据等；3.管理混乱，如使用相同的用户名、密码，容易导致信息泄密；4.管理员误操作导致系统或应用程序出现错误；5.机房可任意进出，给存有恶意的入侵者创造入侵、破坏条件。

2.网络安全对策

2.1 物理传输链路安全

物理传输链路安全主要包括环境和设备安全，包括设备防盗、防止线路截获、破坏，防电磁信息辐射泄漏、抗电磁干扰等。弱电系统在设计之时，应遵循布线部件标准和设计标准；布线方案设计应遵循布线系统性能、系统设计标准；布线施工安装应遵循布线测试、安装、管理标准及防火、防潮、机房及防雷接地等标准。

2.2 网络结构安全

在架构网络之时，尽量采用国产且不同品牌网络设备，并关闭无需使用的端口，以降低被入侵风险。在Internet出入口设置网闸和防火墙，可以实现信息的安全隔离、系统防护、数据交换、病毒查杀等。网络结构上，可使用VLAN划分虚拟局域网，以增强局域网安全性，并抑制网络风暴、隔离含有敏感数据的用户组、降低信息泄密的可能性。因为不同VLAN之间必须通过路由器或者三层以上交换机传输信号，这样，就能防止一个网段出现问题而影响整个网络。

2.3 服务器操作系统安全

常见的服务器操作系统有Windows Server、Unix、Linux等，本文以Windows 2003 Server为例论述服务器系统安全策略：

(1)安装最新补丁；

(2)设置磁盘权限，如：C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置；

(3)关闭默认共享的空连，禁止Windows系统进行空连接；

(4)关闭不需要使用的端口及服务，如：ComputerBrowser，Taskschedule，RoutingandRemoteAccess等；

(5)使用高强度密码，并定期更换密码；

(6)监控系统、查找安全威胁及漏洞。

2.4 数据库安全

数据库(本文以SQL Server为例)的安全框架分为3个层次，即登入账户、资料库的管理、连接特定资料库的权限和使用者对所连接资料库部分的操作权限。针对以上层次，我们可使用以下方法加强数据库安全：

(1)数据库账户安全策略：①使用WINDOWS系统认证模式；②使用安全的密码策略；③使用安全的帐号策略。

(2)数据库安全管理安全策略：①安装最新版本的SERVICEPACK；②用安全基准分析器(如MBSA)来评估服务器的安全性；③加强数据库日志记录；④管理扩展存储过程。

(3)数据库连接安全策略：①使用协议加密；②修改TCP/IP使用的端口，隐藏数据库TCP/IP端口；③拒绝通过1434端口的探测。

2.5 应用系统安全

在应用系统安全上，主要考虑传输信号的加密、通信授权(详细内容参见国际标准ISO27034)，必须加强登录过程的安全认证，以确保用户的合法性；在应用系统设计之初，应该编写严格限制登录者操作权限的相关程序，控制好操作限制范围。在应用软件开发后期，应重点扫描程序是否存在漏洞，认真检查程序的不足并加以修正。

2.6 网络安全管理机制

为了保护网络的安全性，除了在网络设计上增加安全服务和系统管理员的安全培训外，还必须制订严格的管理制度，如“用户授权管理办法、机房管理办法、保密措施”等，并严格实施。网络安全一方面从纯粹的管理上即安全管理制度来实现，另一方面从技术上建立高效的管理平台，两者相辅相成，缺一不可。

[1]金凌.高速公路联网收费系统的信息安全[J].计算机工程，2013(10).

[2]田保慧.高速公路计算机收费系统管理软件的开发[J].公路与汽运，2011(11).