边界网络安全管理系统研究与应用

谢兆勇

摘  要：随着路网监测设施增加，目前各种外场设施设备数量庞大，内场机房已存在多处安全隐患，外场内场设施运维与安全问题日益突出，对现有路网监测设施运维管理边界安全的研究与应用迫在眉睫，建立一套边界网络安全管理系统平台非常必要，通过系统软件及边界安全硬件服务器实施，实现对路网设施的前端设备视频图像及文字、终端网络安全、末端设备的漏洞，有效的起到维护及安全保障的统一，解决了中心对路网调度提升、应急安全管理、路网状况综合运维分析、各县区路站外场、内场的监测和管理。

关键词：防护现状;安全应用;准入控制;网络安全边界管理

中图分类号：TM73

引言：随着道路（包括高速公路、省道、国道等）规模的快速发展，路网监测设施每年都在按照省中心的要求部署增加，同时路网监测、管理、安全、运行设施运维、故障处理等提到了更高的要求，因此，提升路网监测设施运维工作以及设备安全保障的手段，建设研究一套路网运维管理边界安全信息化将成为路网监测设施行业发展的趋势所在。

设施设备的维护、网络安全管理都是整个维保的重点核心，随着路网设施点位的增多，外场设备网络、内场设备网络系统日趋大型化、复杂化，攻击者的入侵行为也越来越综合驳杂，且具有了分布式攻击的特点，表现在外场前端、中端、内场终端，目前入侵检测系统在性能上对此类入侵行为的检测有些困难，很难被发现，而把不同安全级别的网络相连接，就产生了网络边界，防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。我们通过运维系统和边界硬件服务器相连接，能够及时的响应事件，排除故障，能够有效的监测网络边界的安全性，在最短的时间内找到被攻击的路网的实施设备，如视频监控设备等，能够及时的进行预测分析和实时报警，这就是当前道路监测设施运维需要解决和关注的重要方向。

一、背景介绍

习总书记在十九大报告中强调：“党的一切工作必须以最广大人民根本利益为最高标准，从让人民群众满意的事情做起，带领人民不断创造美好生活”。对广大人民来说，公共安全是人民群众最关注的事情，迫切需要新的技术和平台及时发现路网中的异常事件，实时掌握路网传输的安全情况，从整体动态反映路网的安全状态，并对网络的发展趋势进行预测和预警，对成千上万的网络行为、攻击等信息进行自动处理和深度挖掘，对路网的安全状态进行分析评价，感知网络中的异常事件与整体安全态势，自动评估预测，降低网络安全风险，提高网络安全防护的能力。为保证业务系统的持续性及数据的完整性，各省市路网应加强网络信息安全保障体系的建设。

二、政策解读

1.《交通运输信息化“十三五” 发展规划》高度重视网络与信息安全体系建设， 坚持自主可控， 强化监测预警， 确保行业网络基础设施和重要信息系统安全可靠和稳定运行。

2.《数字交通发展规划纲要》加强网络安全与信息系统同步建设，提高交通运输关键信息基础设施和重要信息系统的网络安全防护能力。

3.《交通运输 信息安全规范》 （GBT 37378-2019 ）用户终端安全、载运装备单元安全、基础设施单元安全、计算中心安全、网络和通信安全、安全通用技术。

三、问题分析

路网前端设备安全问题：高速公路大量摄像头部署分散，容易发生设备替换、冒用、入侵监控专网;前端设备存在脆弱性安全问题，如弱口令、设备系统高危漏洞;前端设备缺失有效的安全准入机制：

（1）非法分子使用笔记本替换摄像头，非法入侵国家路网，盗取涉密信息;

（2）摄像头弱口令风险，设备被非法控制，发起网络攻击;

（3）摄像头裸露在外，出现挟持破坏事件，甚至设备盗取;

（4）摄像头数量未完全上报，资产数量不清晰，出现设备遗失、盗取后无从得知;

（5）摄像头数量巨大，设备损坏、设备流量、图像质量、离线等异常状态，无法及时得知处理，遗漏紧急需要的信息，影响业务;

1.摄像头裸露在外，频频出现设备替换、挟持、破坏等事件

由于摄像头等前端设备部署分布极为广泛，大多处于道路或其它户外场所，这些公共场所因无人看守频频出现恶意替换、侵入网络、设备被盗取等事件，盗取涉密文件，或是攻击网络。视频监控系统已经进入了IPC时代，非授权人员只要简单地用计算机替换前端摄像头就可以轻松地实现网络的入侵和非法数据的访问。

2.設备流量、图像质量、离线、摄像头时间不准确等异常状态，不能及时获取

复杂而庞大的路网中，对于大量终端设备或者前端摄像头缺少统一管理手段。由于摄像头都是安装在特定的地方，分布极为广泛，当发生安全事故时，无法在第一时间直接定位网络内计算机或者摄像头的具体位置，应急响应不及时导致安全风险的扩大。

3.摄像头的数量未完全上报，资产数量不清晰

设备数量不断增加，且接入环境复杂，包含下级部门、其他单位、社会资源等多种接入放入，还存在设部分以租代建设备，设备更新频繁，原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成设备管理的混乱，资产未完全上报，设备的安全性、可用性都无法保障，甚至在资产流失后浑然不知。

四、建设目标

推进交通运输领域数据分类分级管理，加强重要数据和个人信息安全保护，制定数据分级安全管理、数据脱敏等制度规范。推进重要信息系统密码技术应用和重要软硬件设备自主可控。

全面识别梳理交通运输领域国家关键数据资源，将重要数据保护纳入交通运输关键信息基础设施安全规划，推进国家关键数据资源全面实现异地容灾备份，推进去标识化、云安全防护、大数据平台安全等数据安全技术普及应用。

此次建设，重点完善路网边界接入安全、接入设备身份认证、信息绑定，实现对路网设备的准入控制管理、NAT设备使用管理。解决非法设备随意接入路网的问题，视频监控网络内的所有设备智能发现与识别，识别设备的合法性，对设备运行情况进行实时监控，检测是否存在设备异常、伪冒、替换、入侵，对非法接入的设备系统自动邮件报警、短信报警、地图定位、网络位置显示，并阻断入侵设备的网络通信。分析图像质量，摄像头设备图像模糊、被遮挡、雪花、黑屏等异常状态时，视频图像质量发生变化，立即产生质量异常报警，并支持进一步查看实时视频图像信息，精准确认图像质量问题。达到“信任接入、接入可知、接入可管”的管理规范。

推动交通感知网络与交通基础设施同步规划建设，深化各地路网等路侧智能终端应用，建立云端互联的感知网络，让“哑设施”具备多维监测、智能网联、精准管控、协同服务能力。

五、解决方案

边界网络安全管理系统对网络内接入的各类设备进行识别、过滤、阻断，确保接入视频监控网络设备的合法性和安全性，与此同时对运行中的设备进行实时监控，利用独有的感知发现技术，及时发现网络中伪冒、入侵、异常的设备，从而保障整体网络安全运行。

1.边界网络安全管理系统

入网规范化：入网身份鉴别、安全测评、违规行为报警;

管理全面化：终端行为规范、UBS介质管理、终端通信管理;

审计精细化：违规报警统计、入网状态分析、测评状态分析、资产统计、行为审计。

2.系统功能

身份认证：终端入网强制身份认证，未经授权禁止接入网络，确保只有合法终端才能入网

安全测评：终端安全技术测评，安全隐患项目隔离修复，确保入网终端始终处于安全状态

违规报警：终端安全状态动态保护，存在危险异常项目及时处理并报警通知，防止安全隐患

行为规范：终端安全规范，严控各类外设使用，明确网络访问细则权限，确保用户拥有网络使用的“最小授权”

报表统计：全网安全事件图表化分析汇总，既可提供针对特定行为的分析报告，也可对全网安全趋势分析

3.网络边界监管

对网络接入的多网卡边界、网络出口、NAT 边界、无线 AP、上网代理等各类边界的检查和管理，实现对路网设备私自连接其它网络，如：在路网中擅自设立网中网，非法使用多网卡连接外网，同时可对其进行隔离等防护操作。防止外来计算机、设备、网络等通过非法手段入侵路网。对合法子网下的设备进行展示、管理，可自动根据子网环境绘制子拓扑展示。

4.设备发现与识别

能够快速识别网络内的设备信息，分析出设备的类型、IP、MAC、厂商等信息，并自动绑定设备信息，作为入网凭证。

5.设备运行实时监控

对网络内设备的运行情况进行实时监测，发现设备运行异常及时更新运行状态并发送报警提醒。

6.违规检测报警定位

对网络内的冒用伪造终端、异常终端、入侵终端进行自动识别，第一时间发送报警消息，并在网络拓扑、GIS地图上进行精确定位，与此同时向管辖区的管理员发送报警消息。

7.违规事件自动阻断

检测到网络内的入侵、伪冒、异常事件后能够第一时间阻断设备的通讯。

8.全网资产实时统计

基于设备的自动发现与识别分类，实现对所有入网设备的注册管理，理清台帐，对全网IP地址使用及终端软硬件状况进行上报统计。

六、结语

路网检监测设施运维管理边界安全保障系统作为安防领域的革新产品，是视频分析技术及最新的各类IT技术在视频监控系统运行维护方面的典型应用。该系统集状态监测、故障报警、故障分析、运维管理于一体，能够实现对各类视频监控系统相关的设备运行状态的监测与查询，如摄像机、视音频编解码设备、传输设备（SDHEPON、交换机、路由器）、业务服务器。运维系统一旦发现视频监控系统设备运行状态出现异常，立刻自动向运维管理中心发出故障报警。运维系统管理中心收到设备故障报警后，自动进行故障分析，初步分析出是什么原因造成该故障的发生。同时通过统一的运维服务营运平台，对运维系统自动发现的故障、人工保修的故障、日常维护保养等工作进行统一规范的管理，对故障处理进行全程跟踪，完成先进、合理的故障保修、任务派工电子流程系统，以更快响应、完成故障修复任务。

路网监测设施运维管理边界安全应用系统能够全面、系统、规范、及时的保障路网监测系统的正常运行，改变现在路网监测设施运维困难，有效使用率不高的情况。路网监测设施运维管理之于边界安全的应用意义，全局资源统一管理，快速精準定位故障，减少运维压力，提高运维效率;主动进行视频数据质量评估分析，异常视频图像及异常数据篡改及时警告，减少安全危害的影响;实时掌握设备在线率、完好率、故障率等数据，满足考核管理要求。

参考文献

[1] 《推进综合交通运输大数据发展行动纲要（2020—2025年）》. 交科技发【2019】161号， 2019.12.

[2]《数字交通发展规划纲要》. 交规划发【2019】89号，2019.07