高速公路可变信息情报板系统安全保障技术的研究和设计
2023-11-22罗煜王忻怡盛鹏陈锶
罗煜 王忻怡 盛鹏 陈锶
公共交通等重点行业日益成为国家级攻击者和黑客组织重点攻击的目标,这些基础设施一旦被攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。
高速公路可变信息情报板系统是支撑高速公路正常运行的重要信息系统,其发布的高速公路交通信息、气象信息、政策宣传等内容的准确性及可靠性,影响公众出行安全,更关系公共利益、国家安全和社会稳定。但是近几年可变情报板遭受多次非法侵入、篡改信息、发布恶意言论等安全事件屡有发生[1]。
一、背景分析和需求研究
(一)系统现状
经调研,高速公路的可变信息情报板系统采用总中心、分中心和外设层三层架构。分中心是信息发布处理中心,负责发布信息的采集、编制、审核和发布;总中心作为分中心的备份,有效提高情报板系统的可靠性;外设层为高速公路可变信息标志,大部分分布较广,多为无人值守状态[2]。
(二)风险分析
目前高速公路可变信息情报板系统已采用部分安全措施。在技术上,可变情报板系统部署在内部专网中,可变信息标志采用全有线连接,形成安全隔离的网络环境,同时采用总中心-分中心的主备和分布相结合的部署方式,极大提高系统的可靠性;在管理上,发布环节制定了严格审核流程并坚持执行[3]。但由于可变情报板系统制造和建设标准目前仍没有明确网络安全方面的要求,信息发布软件设计流程在信息发布审核环节也没有统一规定,导致目前在网可变情报板系统在网络与通信、外设设备、应用等方面仍存在安全风险,具体表现为:
1.信源的风险
由于信息发布主要由操作员完成,存在未经审核人员签字审核,就私自发布信息的可能性。即使审核人员进行签字审核,发布的信息也可能因误操作或者被篡改,导致发布内容不可控。
2.网络通信的风险
分中心和外设层之间传输距离长且缺少安全防护设备,层级之间未采用安全加密传输,导致网络可能被攻击者非法接入、监听,泄露传输信息[4]。
3.设备环境的风险
可变信息标志部署在室外环境,为无人值守,可能会存在非法侵入箱体,箱体周边环境的供电状态、网络状态以及工作温度湿度均缺乏现场监测,存在远程设备状态不可知不可控的风险。
(三)政策标准要求
《中华人民共和国网络安全法》指出“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的背景基础上,实行重点保护”。近年等保2.0、关保等国家标准和规范的发布,尤其对于交通等重点行业的网络安全提出了体系化和全面落地的技术要求。
为了提升可变信息情报板的网络安全防护能力,国家标准GB/T 23828—2023《高速公路 LED 可变信息标志》2023年10月1日开始实施。新国标已经增加了一个单独的章节明确提出了“信息安全要求”,其内容包括:控制器应对上位机和用户具有身份鉴别的能力,只有授权的上位机和用户才能对控制器软件进行配置或策略变更;当控制器故障、掉电或与上位机发生通信接中断时,可自动显示黑屏或指定信息;应采用密码技术鉴别信息的保密性和通信过程中数据的完整性等。
此外,交通行业的行业标准和政策法规,比如《高速公路可变信息标志信息的显示和管理》(JT/T 607-2021)、《四川省高速公路网络安全应急预案》(川交高管〔2020〕103号 )等均对高速公路的可变情报板的网络安全做出了具体的要求。
二、安全保障体系设计
(一)总体目标和思路
以高速公路可变情报板系统网络安全实现发布可信、通信保密、环境可检为主要目标,设计形成可变情报板网络安全保障总体方案,如图所示:
图1 高速公路可变信息情报板系统安全保障总体方案图
1.网络与通信安全
在分中心和外设层定制和部署专用的安全设备,对可变情报板系统通信网络进行机密性、完整性保护,对传输数据进行加密,解决可变信息情报板系统发布软件和终端的双向身份认证,确保分中心和外设层的安全通信。
2.发布信息安全
对现有情报板发布软件进行优化,将发布信息分类,以减少审核人员工作量,常用固定信息通过定制模板方式发布;定制安全加密的审核APP,实现拟发布信息以在线审核方式发布。同时将经过审核的发布信息白名单在专用安全设备上实施管控。
3.情报板环境监控
在情报板侧的专用安全设备上定制实现针对箱门开合状态的探测手段,监控箱门的开启、关闭。增加对运行环境的温度、湿度和供电等状态的监测和预警。
高速公路可变情报板系统安全保障总体方案在系统上将由情报板安全加固与运维监测系统和情报板发布信息加密审核系统两个部分组成,前者主要是实现网络与通信安全、情报板运维环境监测,后者主要是发布信息的安全。
(二)安全加固与运维监测系统设计
在分中心侧定制和部署情报板安全运维网关,对分中心和外设层的安全设备进行安全策略集中配置和运行状态监控集中管理。外设层侧在每个情报板的控制器前端定制和部署情报板运维前置装置,提供通信双方身份认证功能,确保情报板发布信息和上传信息的数据安全,实现对外设环境的检测和控制功能。
图2 情报板系统安全加固与运维监测系统流程设计图
情报板安全运维网关部署于监管分中心,主要负责:
1.提供抗DDoS攻击、入侵检测、智能流量管理等功能,实现对发布网络中的控制器的安全防护;
2.提供VPN网关功能,基于国密加密算法的VPN隧道,实现与前置装置的VPN互联;
3.对前置装置安全策略的统一定制和下发管理;
4.收集呈现情报板整体(包括前置装置、箱体、控制器)的运行状态,并基于运行状态生成运维工单,实现对情报板运营的闭环管理。
情报板运维前置装置部署于情报板箱柜中,串联在控制器前,主要负责:
1.前置装置采用国密加密算法,与网关建立VPN隧道,实现传输链路加密,避免发布内容在传输过程中被劫持篡改;
2.在发布信息传给控制器前,前置装置检查内容是否合规,阻止违规内容发布并告警;
3.对可变情报板机柜运行状态做辅助收集并上报给网关,在情报板故障时上报故障原因日志;
4.通过内置的探测器和传感器,结合安全运维功能,实现对情报板运行环境的自检和状态监测。
(三)发布信息审核系统设计
为确保发布信息的准确性,停止信息发布签字审核机制,全面启用短信审核机制,由信息发布软件对短信内容进行加密后发送到审核人员,并根据接收到的审核指令自动发送审核后的内容到情报板,避免信息发布申请和审核环节内容改动,确保发布内容处于严格受控状态。
图3 情报板系统发布信息系统流程设计图
(四)安全保障方案的安全性分析
对于在网的高速公路可变信息情报板系统依据上述安全保障方案实施后,能全面提高可变信息情报板系统的安全性,具体表现如下[5]:
表1 安全性分析
结束语
上述针对高速公路可变信息情报板设计和实现的安全保障方案实施后,情报板系统信息审核安全可信,网络通信保密传输,实现情报板系统全周期发布内容的有效管控,对情报板箱门开合状态、运行温度及湿度、供电状态等运行环境展开多方位监测,既满足安全合规要求,同时也极大提升高速公路情报板系统防护能力,为后续情报板设备的整体管理提供有效支撑。