李明 中国葛洲坝集团公路运营有限公司

引言

因为高速公路在高效、高速以及高标准等等方面有着极高的要求，所以，一定程度上也促使了它对更多高新技术的应用。在网络以及信息系统的支持下，使得高速公路系统信息化、自动化水平越来越高，实现了从单业务、单系统、单路段到业务协同、应用综合以及路网纵横的有效转变。与此同时，高速公路网络信息安全也逐渐暴露其风险，迫切需要针对性的措施，从而将风险发生率降低到最低。

一、现阶段我国高速公路信息网络安全风险概述

(一）通信网络存在的安全风险

以光纤通信系统为基础组建了服务于行业管理的高速公路行业专网，涵盖数据联网收费、公共服务平台、健康等等核心业务系统，主要负责数据、语音以及视频方面的有效传输。现阶段，我国很多省市已经建立起这类交通行业专网，从而为整个交通行业信息化发展奠定坚实的基础。

但是，从整个设计来看，我国高速公路行业专业顶层设计方面目前并未设置统一的标准。与此同时，高速公路业务随着需求而增加，所以整个网络也处于持续变化之中，但是整体架构、网络地址分配等等方面都未进行整体规划设计；尤其是部分省市的网络信息系统在基础设置配置中未构建安全体系，意味着将会给信息网络运行带来一定的安全威胁。

(二）高速公路联网收费信息系统可能存在的安全风险

省域内均以实现联网收费，即一次发卡进展以及一次收卡出站；另外，ETC 联网收费均以在全国实现（除海南与西藏），目前ETC 用户数量已经超过5000 万的数量。高速公路联网收费相关应用是封闭的，在ETC 出现之后，与银行开始了合作，使得联网收费网络与系统的应用得以有效扩展，同时就充值网点、ETC 运营中心、合作银行等等方面，配置了用户服务平台、网上银行系统、充值系统、发行系统、认证系统等等。

现阶段，与高速公路收费有关的微信、支付宝、App 等等陆续授权以及推出，实现了第三方支付系统与高速公路联网收费系统的信息互通。同时，也意味着联网收费的范围将越来越大，与此相关的应用将越来越多，无疑也给高速公路的网络与信息安全带来了巨大的挑战。

从联网收费发展的初期来看，高速公路建设与运营单位都非常重视系统安全性；但是信息安全风险并不是一成不变的，而是随着信息网络的发展将会出现更多不可预知的风险因素，特别是全面联网的ETC，随着移动支付的开通，意味着联网收费系统将是整个高速公路运输行业最为重要的系统，这就意味着不能出现一丝风险，所以还有很多配套的工作需要完善。

(三）联网监控存在的安全风险

在高速公路整个信息网络体系之中，联网监控系统扮演着非常重要的角色，主要是帮助运营单位对高速公路的运行情况进行实时监控，这样能够快速有效应对一些突发的事件，以期望能够尽快排除隐患，让整个高速公路能够稳定运行，监控系统覆盖到到事故易发路段、服务区、长大桥梁、隧道、主线、车道、收费广场、停车服务区等等；同时，还在一些重要的路段设置了全程监控。通过监控所收集到的数据信息为运营单位等等机构作出决策提供有效依据。同时，这些视频与数据是全网共享的，安监部门、交警部门、公安部门以及运营单位等等，其数据会在这些机构之中进行传输，因此，也就有了泄露的风险。

二、加强高速公路信息安全的对策

(一）加强基础设施层保护

1.加强网络基本防护

加强网络基本防护力度，具体要从网络设备防护、网络入侵防范、安全审计、访问权限设置、网络结构安全、恶意代码防范等等方面入手，并结合实际业务需求，从而科学、合理架构高速公路的整体网络结构，对用户访问进行权限设置；设置漏洞扫描、IPS 以及防火墙等等基础安全防范软件系统，有利于及时扫描以及防范恶意代码、恶意攻击等等。如果有明确的保密要求或者是安全等级要求，那么必须做好相关隔离工作；如果没有明确的保护要求，则采用单向网闸来传输数据，有助于防范恶意入侵。

2.加强病毒防护以及系统加固

在联网环境下为了能够保障企业应用安全性与稳定性，建议采用正版的防毒软件。该类防毒软件应该根据高速公路信息网络的特点进行布设，在各个终端的客户端部署杀毒服务器，借助病毒库动态更新的功能可以对客户端进行实时防毒，还可以更加便捷地对FTP 站点以及共享文件件进行管理，从而有效防止病毒通过这些途径进行传播。此外，还需要定期对高速公路网络信息系统打补丁、修改配置以及安全机制完善，将系统加固，有利于提升系统抗攻击的能力。

(二）提升应用系统的防护力度

1.从开发环节入手提升防护力度

要求开发商必须在强化安全性的设计，尤其要注重软件容错功能的完善，有利于提升软件的“健壮性”；特别是一些关键应用系统，以联网收费系统为例，必须要对访问控制、身份鉴别方面下足功夫，赋予自动加密功能然后进行传输。

又例如，在建立多个系统协同实现的这类应用系统时，要特别注重系统之间互相访问以及互相调动的安全防护；根据具体业务的需求，并充分考虑信息系统安全的实际需求，在业务系统对接之中，通过数据校验、密码验证以及接口间协议认证等等方式，能够有效提升安全防护力度。

2.最大限度保障数据安全

数据安全需要从审计入手，着重审计数据库，能够实时记录数据库的实际活动情况，进而对数据库操作过程中存在的风险行为进行及时的预警、阻断。此外，要对业务系统之中的关键数据信息以及系统所产生的管理文档做好备份，并对其有效性以及完整性进行定期验证，为系统有效运行提供良好的保障。

(三）提升工业控制力度

工业自控系统存在于高速公路系统之中，具体从这些方面入手：第一，网络防护层。在对网络进行部署时，建议通过防火墙技术将企业网络与工业控制系统进行隔离；如果两者之间必须要建立连接，应当只建立一个连接，且以防火墙为基础，加强身份验证、访问控制等等，从而最大限度保障其安全性。从协议安全层面来讲，因为工业通信协议，以MODBUS 协议为例，在设计过程中没有设置安全措施，那么就必须随着控制系统与外部网络连接增多的情况下，增添双方的认证过程。关于协议的安全性提升，可以这些方面入手：第一，对协议直接进行修改，从而增条认证功能；第二，现有的协议不进行修改，并在此基础上增加对应的信息安全层。从控制器设计来讲，要从自控逻辑设计入手，增加入侵检测算法，可以对网络之中可能发生的恶意入侵与攻击进行分析，从而主动积极采取防范措施，可提升整个控制器的稳定性。

三、结语

综上所述，随着信息网络技术的不断发展与进步，高速公路信息化建设逐步完善，但是信息网络在快速发展的同时，也伴随着各类安全风险。因此，有必要从基础防护、应用系统开发防护以及工业控制等等方面入手，从而提升安全风险防护的有效性，确保高速公路信息网络系统能够稳定运行。