文 / 广东省南粤交通云湛高速公路管理中心 邱宇

伴随着高速公路信息化建设速度的加快以及信息网络的完善，信息安全问题开始受到越来越多的关注，因为其直接关系着高速公路的正常运行，关系着交通系统的安全性和稳定性。当前，我国在高速公路信息安全建设和管理方面，取得了较为显著的成果，不过同样存在有不少问题，如网络攻击检测应对机制欠缺、没有专门的管理机构和管理人员等。对此，有关部门应该从高速公路的实际情况出发，设置科学的信息安全保障机制，最大限度地保障高速公路的运行安全。

引言

伴随着信息化技术和数字化技术的快速发展，高速公路服务管理的数字化和信息化可以说势在必行，信息网络系统的建构和应用，促进了高速公路通行量的提升，保障了高速公路运营效率的增长，不过也表现出了风险防范及抵抗能力较差的问题。基于此，高速公路运营管理单位应该加强对于信息安全保障机制的研究，提升信息安全防护能力，建立起实时动态的高速公路信息安全保障体系。

高速公路信息安全保障机制建设的背景

我国高速公路事业的发展十分迅速，公路里程在最近几年呈现出爆发性增长的态势，收费方面则采用了分段建设、联网收费模式。新的发展环境下，随着全国取消省界收费站项目的全面完成，各高速公路营运路段均已完成收费系统网络安全保护系统的搭建，并通过有关单位的合规性检测及验收，借助ETC门架系统建设的方式，可以实现收费方式的开放化。新的发展环境下，以高速公路联网收费目标为前提，ETC收费在全国范围内得到了快速的推广和普及。打造出良好的信息安全保障机制，减少高速公路运行中存在的风险和隐患，能够保障高速公路运营以及联网收费的顺利实施。

以往高速公路信息化安全系统建设中，采用的都是与业务系统对接的方式，然后依照相应的业务数据开展各项工作，以静态化体系建设为主，无法实现对整个网络系统的动态实时监管。

高速公路信息安全保障机制建设强调对相应的安全信息进行收集，配合大数据技术以及数据挖掘技术做好全面梳理，明确操作系统、软件环境以及网络端口等基础信息，配合系统漏洞的扫描来得到完善的检测报告，对系统中存在的薄弱环节进行有效防护，形成完善的体系架构，其对于信息安全监测以及交通运输网络优化有着不容忽视的作用。伴随着ETC的推广和普及，人们越发重视高速公路建设和发展中的信息安全问题，强调数据信息的合理性以及系统操作的便捷性，大数据技术的应用，更是对信息系统的安全性提出了更加严格的要求。

基于此，有关部门应该高度重视高速公路信息安全保障机制的建设工作，打造出完善的网络安全模型，对照实际数据，推动信息安全保障机制的标准化和规范化，配合网络安全人才队伍建设，实现高速公路信息保障机制的建设和发展。

高速公路信息安全保障机制的研究及应用

汕湛高速公路云浮至湛江段及支线工程是广东省高速公路网规划“十纵五横两环”之“第二横”的重要组成部分，云湛高速公路新阳段起于云浮市新兴县簕竹镇，顺接清云高速公路终点，途经新兴县河头镇、天堂镇、阳春市石望镇、春湾镇、松柏镇、春城街道、马水镇、潭水镇、三甲镇，终于八甲镇；路线全长85.777km(不含与罗阳高速共线段32.77km)。阳春市春城至八甲段42.877km于2017年12月28日建成通车，新兴簕竹至阳春松柏段42.9km于2018年9月26日建成通车。前期，依托汕湛高速新阳段，针对标准化信息安全保障机制，已开展标准化日常运维管理办法可行性研究，初步得出适用于高速公路生产网的安全运维模型及相关信息安全保障机制。

前期研究工作

新阳高速根据养护内容不断打造自动化的服务平台，不断完善自动化的服务工具，自动化服务工具分别通过机房智能准入系统、智慧运维专网、信息交换双重隔离等建设实现，从而达到建设目标的智能化、专业化。在实践中，需要做好多个方面的研究：一是打造出了智慧运维专网，设置了养护运维和办公网络专用的网段，实现了对系统运维过程的全监控和全审计，取代

了以往的远程控制程序，有效避免了内网与外网直连引发的安全风险；二是对信息交换实施了隔离，如在专网中增加硬盘设备、指定移动介质服务器为唯一移动介质出入口、全线封堵外场设备USB接口等方式，形成了通过三重保护，有效消除了第三方运维单位可能带来的病毒入侵隐患；三是通过安装机房智能准入系统，布设机电系统网络安全的第一道关口，推进门禁信息化管理，通过线上预约审批机制，最小化分配人员机房进出权限，记录并监控维护人员进出时间。

系统开发方案

1.环境模拟

模拟高速公路实际环境，在实验中心中网络拓扑可单独研究。在实践中，利用旧高速公路设备模拟真实环境拓扑搭建实验中心网络拓扑。实际操作中，通过选择不同的安全设备、终端设备、信息系统等，拓扑可模拟高速公路机电系统建设、营运全过程拓扑，让在建路段可根据设计图纸模拟营运开展网络安全压力测试，及时发现可能涉及营运问题，提前变更，营运路段可通过模拟新增设备，及时发现可能涉及的建设和养护问题。同时，拓扑结构的多样化以及可以灵活切换的特点，能够为信息化安全体系的安全模型建设提供了更多类型的安全模型搭配，大大缩减了后续实验与验证时间。

2.功能明确

一是应该明确管理的内容。实验中心本身能够提供网络知识培训、网络安全课程学习以及网络安全实操环境等功能，覆盖的教学内容十分丰富，技术人员可以自主进行学习和实验，也可以对信息安全相关的内容进行综合分析，以满足各方面的要求；二是应该优化技术内容，开展相应的安全演练工作，对构建起的安全模型进行验证。流入，可以针对实验目的设备、拓扑、安全技术，接入仿真拓扑，开展网络安全攻击，联合信息安全实验中心评判安全指标，验证安全承受风险等级；三是确定相应的技术路线。

以实验中心分享为例，可以实现理论学习以及技能实操的全路段接入，提供多样化的网络安全工具，通过搭建专线、服务上云方式建立远程接入区。远程接入区能够满足用户通过远程接入到信息安全演练中心内，进行7*24小时的测试和研究，包括理论学习、技能实操、攻防演练等学习内容。

3.模型构建

在构建网络安全模型，打造标准化体系的过程中，可以将具体的研究对象确定为基线管理，配合相应的盒子测试来保证效果，通过安全实验的方式，逐步打造出完善可靠的网络安全模型，通过模型的试运行，最终形成适用于实际使用的技术、管理标准化信息安全保障机制。

在对模型进行构建的过程中，需要依照最低安全配置的要求，结合不同的资产类型以及业务环境，确定相应的安全配置基线，要求其能够覆盖访问控制、安全审计、账户与密码策略、传输加密、数据备份以及集中管控等多个方面。同时，应该依据路段实际拓扑及设备参数，开展攻击实验，实验采取“一票否决”验证机制，实验过程中心不断进行参数、安全策略、拓扑等基础信息调整，逐步构建出支撑系统安全运行的最低安全基线，构建安全基本模型，通过对安全基本模型的试运行，结合试运行期间管理、技术、不可抗力等影响因子，最终建立适用于高速公路的标准化信息安全保障机制。

预期研究成果

一是应该严格落实相应的管理制度，针对每个实验给出具体明确的报告，构建起能够满足基线管理要求的信息安全保障机制，确保其能够根据实际发展情况，具备延伸拓展功能；二是提出提出高速公路网络安全基线管理、安全运维、系统准入等网络安全相关保障机制，以实验数据为基准提出保障机制网络安全模型；三是结合实际情况，打造出适用性较强的网络安全仿真模型，实现网络拓扑结构建设、管理和养护的一体化，真正做到同步实验、同步建设和同步运营；四是实验类型的研究需覆盖网络安全行业类各种网络安全攻击手段，同时搭建盒子测试区域，用于软、硬上线前后网络安全测试。建设适用于高速行业测试及科研专用的模拟环境，可对软硬件、信息系统开展性能测试、上线前网络安全测试、设备安全基线检测等。

综合效益评估

一是经济效益评估。在方案中，实现了对于大量旧设备的回收利用，降低了成本消耗。按目前行业网络安全管理办法要求，对于人员培训、应急演练每年约节省25万元/营运项目，此外安全风险评估、漏扫、基线检测等专项性工作约节省30万元/营运项目；二是社会效益评估。

通过安全培训，可加强技术管理人会员网络安全知识技能，为国家、行业建设网络安全人才队伍。通过安全模型及标准化信息安全管理体制，可更好保障关键信息基础实施网络安全运行，保障国家基础设施安全、保障人民群众，为司乘人员提供更安全的网络安全服务。

结语

总而言之，在传统交通运输及安全管理系统无法满足现实发展需求的情况下，高速公路运营管理机构应该及时更新观念，做好对于高速公路信息安全保障机制的研究和应用，借助先进的技术手段，明确高速公路运行中存在的信息安全问题，切实做好防护工作，最大限度地保障信息的安全性和可靠性，这样才能真正实现交通运输行业的可持续健康发展。