加快高速公路机电系统三网融合建设的网络与信息安全设计方案

陈静 杨积冰 马高琳

摘要：广西高速公路机电系统三网（收费网、监控网、办公网）融合的目标提出已久，运营公司、管理部门推进意愿低，根本原因是管理人员对信息化、自动化、智能化技术对基础设施建设和运营场景的颠覆性改变缺乏认识，技术人员对网络与信息安全在一个完整系统内的实现缺少理论框架和实践经验。文章考察了广西某个高速公路运营中心的运行状况，提出一种可行的网络和信息安全设计方案，以期在广西全区范围内推广。

关键词：高速公路;机电系统;三网融合;网络与信息安全

中图分类号：U412.36 6 文献标识码：A DOl：10.13282/j.cnki wccst.2019.07.046

文章编号：1673-4874（2019）07-0154-04

0引言

高速公路机电系统分为三个部分：收费系统、监控系统、办公应用系统。由于机电系统长期以来建设投入较低，而且投资方和建设方对IT系统服务业务乃至驱动业务的能力和关键性认识不够，这三大系统的设计和施工一直沿用传统的分开建设的方法。这种做法就造成了事实上的三网隔离（收费网、监控网、OA网）。如今随着IT应用的发展、高速公路智能化建设的加速，这套老的系统架构越来越不适应实际需求。为了解除投资方和建设方对改变系统架构后可能引起的安全问题的担忧，本文基于广西高速公路机电系统现状提出一种可行的网络与信息安全设计方案。本文以一个高速公路运营中心的运行状况为例展开考察，是因为广西高速公路机电系统具有相当高程度的一致性，而且系统的指挥中枢集中在区域性的运营中心，在这个运营中心内，运营者的权力大，网络、服务器设备高度集中。

1广西某高速公路运营中心网络拓扑

将该运营中心的网络拓扑制图见图1。

2系统分析

收费网、监控网和OA网目前是相互独立、物理隔离的状态，主要基于三个方面考虑：（1）减少维护工作量，在三网隔离的情况下，网络边界更加清晰，便于迅速定位和解决网络故障;（2）方便集团信息中心的统一管理，通过取消三个网络在路段运营公司层面的互通，将网络管理的责权收回信息中心，对网络资源进行统一分配和调度;（3）某些收费数据安全性的需要，对此采取相对保守的处理方式，将三网隔开。

三网隔离的网络架构存在方便管理、维护及保障数据安全的优点，但对于增长业务的需求，现有架构没有办法很好地应对，简单的说，就是缺乏可用性和扩展性。主要体现在以下两点：（1）未来的业务需要监控数据、收费数据、外网数据之间的交互。在大数据、云计算逐渐成熟的背景下，基于增值业务的各种应用蓬勃发展，这些应用都有着跨系统融合、将数据综合分析、集中展示的特点。（2）现行数据的带宽压力集中在集團数据中心机房，存在潜在的性能瓶颈，有可能给运维工作带来较大的负担。在运营公司三网隔离的情况下，跨网络的数据交换将全部经由集团中心机房处理，不仅对各路段到集团的物理通信链路的稳定性和速度有极高的要求，也给集团的核心交换机带来很大的带宽压力。

在此基础上进行三网融合，势必会在网络层面的某个节点出现互联互通的情况，如不进行处理，安全风险将会增加，主要危险有数据泄露、恶意攻击增加等。

3网络和信息安全设计方案

3.1设计原则

从近两年信息安全事件来看，绝大多数安全威胁主要来自于内部，内部的威胁远大于外部安全威胁，传统的着重于边界安全的技术已经不能适应当前严峻的安全形势。

信息安全防护建设必须是全方位、多层次地从技术、管理、运维等方面进行全面的设计和建设，从而有效保证和提高信息系统抵御不断出现的安全威胁与风险的能力，保证系统安全稳定地运行。

3.2设计拓扑

本设计根据实际情况，从网络架构安全、主机安全、超融合平台安全、运维安全、数据安全、接入安全的角度，坚持易用性、先进性、实用性、高安全性和可拓展性设计原则，针对不同级别系统划分安全域，设计出在保障安全可靠的前提下，具有更丰富的灵活性和扩展性的安全架构，拓扑总体设计如下页图2所示。

3.3设计方案

根据运营中心当前网络结构、业务应用需求，按照技术体系中网络安全规划，以零信任网络为基准，缩小安全区域。新设计的网络结构划分了不同的安全区域，将高等级安全区域进行物理隔离，比如收费系统内部，其他系统与收费系统之间都需要专用的物理设备和物理线路进行隔离，将中低等级安全区域进行逻辑隔离。在各区域边界部署下一代防火墙等安全设备，在安全管理区域部署多种安全管理系统，有效提高了整个信息网络的安全性。

根据应用、数据、用户、特定接入的不同安全需求划分出安全区域，依据安全域划分原则，同一安全域拥有相同的安全等级和属性，域内是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系统合理安全域划分。

为了保障超融合内部之间的安全，需要利用超融合平台本身提供的安全机制结合第三方安全技术手段对超融合内虚拟机之间的流量微隔离，确保流量可视、可管理和可控。同时，还需考虑运维、终端安全准入、远程访问、统一身份认证、数据脱敏、审计、日志保留、感知未知行为等安全技术手段。

3.3.1收费系统安全设计

收费系统是重点保障区域，属于重要应用业务系统。安全设计如下：

（1）收费系统网出口与高管区之间部署下一代防火墙，进行严格的安全访问控制。

（2）收费应用系统与数据库进行分离，分别设置不同的安全域，安全域之间部署下一代防火墙，对应用系统与数据库之间的流量进行严格的访问控制，以确保在应用系统被入侵的情况下，不会波及到数据安全。

（3）收费应用服务器设置不同的API接[33，确保内部用户读写与取数接口分离，并设置不同的安全区域。

（4）数据库系统设置主数据库和从数据库。主数据库可以读写，用于内部收费用户访问;从数据库只能进行读操作，用于抽数接口访问。当主数据库出现故障时，从数据库升级为主数据库，不影响数据正常读写。

3.3.2监控和96333系统安全设计

监控系统网主要存储视频监控数据，数据在本地存有一份，96333系统本地只有应用服务器，数据存储在高管区，安全设计如下：

（1）监控系统网出口与高管区之间部署下一代防火墙，进行严格的安全访問控制。

（2）监控应用服务器与监控数据服务器进行分离，划分不同的安全域，中间部署下一代防火墙，严格控制应用于数据库之间的流量。

（3）96333系统网络出口与高管区之间部署下一代防火墙，以便进行安全控制，确保边界安全。

3.3.3数据交换区安全设计

数据交换区功能主要用于将收费系统数据、监控系统数据和96333系统数据进行统一抽取存放，该区域是数据三网融合交汇区域，对安全性要求很高，安全设计如下：

（1）部署下一代防火墙，通过三条不同的物理线路，接入到收费系统网、监控系统网和96333系统网抽取数据。建议在有条件的情况下，3条线路分别接入到3台物理防火墙，也可以将1台物理防火墙虚拟成3台逻辑防火墙形成隔离。

（2）在取数区设置一个DMZ区域，部署一台服务器，用于存放收取的数据，并且设置严格的访问控制策略，也可以选择在超融合平台中虚拟一个DMZ安全区域单独存放抽取的数据。

（3）运营中心核心网络接入到数据交换区防火墙，需要设置授权访问数据，精确到源、目和端口控制。

3.3.4OA网接入运营中心公网安全设计

OA网用户主要是高速收费站工作人员，分布不集中、安全不可控，安全设计如下：

（1）OA用户通过运营中心直接上互联网，需要在运营中心互联网出口部署下一代防火墙。OA网用户和运营中心网络通过不同的物理链路连接到互联网，严格控制OA网与运营中心网数据流量互通。

（2）为确保出口带宽高利用率，需要在OA网接入到互联网区域部署上网行为管理设备，严格审计控制OA网用户上网行为，保障安全上网。

3.3.5超融合系统平台安全设计

超融合系统在硬件网络资源高可用的情况下，需要提高业务流量可视性以及虚拟机之间的微隔离，安全设计如下：

（1）利用超融合平台安全技术，虚拟出下一代防火墙，将虚拟机之间的流量进行安全过滤、微隔离，实现东西向安全防护，避免虚拟机之间交叉感染。

（2）部署安全资源池，并与云平台进行解耦，将云平台内ITS系统和其他虚拟机流量引入到安全资源池进行分析、过滤、审计，确保云平台内所有虚拟机业务流量安全可靠。安全资源池还能进行弹性扩展，可以虚拟出各种安全登保合规产品，如堡垒机、SSLVPN、日志审计、上网行为等。

3.3.6统一身份认证

因为业务系统对外开放，其受到的威胁相对更多，本身的静态账号密码暴露了更多的脆弱性。为了确保访问业务系统的安全可靠性，建议统一部署进行授权和身份认证，访问业务系统进行双因子认证，除了业务系统本身的账号密码外，还增加了输入动态口令、短信验证码等手段，极大地提高了业务系统的访问安全。

3.3.7安全监管区及运维安全设计

安全监管区为整个网络的各安全区域提供安全控制、安全审计和安全运维服务功能，包括安全资源池、身份认证网关、动态感知系统等。安全设计建议如下：

（1）部署运维堡垒机。所有针对业务系统的运维，必须要求通过堡垒机授权认证，细化权限。可从安全资源池中虚拟。

（2）部署日志审计。将所有业务系统日志、网络系统日志、安全设备日志统一存储到日志审计设备，并且日志保留不少于6个月。可从安全资源池中虚拟。

（3）部署SSL VPN。所有针对从互联网访问内网的业务必须经过VPN加密，确保数据传输过程的安全。可从安全资源池中虚拟。

（4）部署数据库审计。对所有数据库的操作指令进行审计，发生异常行为即告警。可从安全资源池中虚拟。

（5）部署身份认证系统。对所有业务系统的访问进行统一授权管控。

（6）部署动态感知系统。动态感知系统基于人工智能和大数据分析技术，能对所有运营中心的流量进行安全审计，发现潜在的威胁和异常攻击行为，并对其进行追根溯源，将安全隐患彻底消灭在事故前。

4结语

一种有效、可行的信息安全设计方案必须是全方位的、多层次的，而且必须从技术、管理、运维等方面进行全面的建设，从而有效保证和提高信息系统抵御不断出现的安全威胁与风险的能力，保证系统安全稳定地运行。本文以广西某个高速公路运营中心为例，针对收费系统、监控系统、96333系统、数据交换区、OA系统、超融合系统的现行状况分别提出相应的安全建设方案，从物理层到网络层，再到传输层，多层次保障机电系统的网络与信息安全，为三网融合的加快建设提供了有力保障。