行业背景

2018年5月16日,李克强总理在主持开的国务院常务会议上,明确提出“推动取消高速公路省界效费站”,进一步提升高速公路服务能力和水平,促进物流降本增效,更好地服务经济社会发展和人民群众安全便捷出行。为贯彻落实国务院的决策部署。交通运输部做出统一安排,成立专项工作组,按照“试点先行、稳妥有序”的原则,确定了试点省份,印发了试点技术方案、工程实施力案,测试方案及关键技术要求,开展了大量基础性测试以及部省两级系统建设改造等工作,在部省两级密切协作、全力推进,按期完成了阶段性任务,积累了宝贵经验。方案充分结合《网络安全法》 、《关键信息基础设施安全保护条例》(报批稿)、《取消高速公路省界收费站总体技术方案》提出的网络架构和系统组成要求,适应云计算、物联网、大数据等新技术安全需求,全面贯彻落实国家网络安全等级保护新制度、新标准,遵循规范性、合理性、实用性和经济性原则,针对高速公路联网收费系统安全重点保护对象提出相应的安全防护建设方案。

业务挑战

(一) 工程重要程度高
国家领导人高度重视,习近平总书记高度重视运输效率问题,多次做出重要指示。李克强总理在主持召开的国务院常务会议上,明确提出“推动取消高速公路省界收费站”,进一步提升高速公路服务能力和水平,促进物流降本增效
(二) 信息安全要求高
本项目实施完成后,将生成大量的数据,海量数据即代表着高价值也代表着高风险,取消高速公路省界站后我国高速公路将形成全国收费网络,单点安全问题可能波及全网。因自身故障、非法攻击或病毒入侵等原因,造成的网络安全事件,会严重影响收费业务的正常开展。
(三) 工程技术标准高
中央为支持全国高速公路取消省界收费站工作,成立了交通运输部撤站实施专项工作组技术小组,解决取消省界收费站过程中存在的技术问题,并相继出台了一系列标准及要求。
(四) 工程实施周期短
根据中央的要求,收费站、收费车道、电子不停车收费系统(ETC)门架系统硬件及软件标准化建设改造,以及系统网络安全保障工作工作必须在2019年10月底前完成。并且在2019年12月底前开展系统联调联试,基本具备系统切换条件。
工程意义
 是贯彻党中央、国务院决策,更好地服务实体经济发展的需要;
 是学习并践行十九大报告,加快建设交通强国的需要;
 是与国家层面工作对接,贯彻落实国家决策部署的需要;
 是推动全国联网工作,满足公众便捷高效出行的需要;
 是促进收费公路转型升级,提高运营管理效率的需要;
 是顺应民众出行需求,提高公路整体服务水平的需要;
 是健全数据分析体系,提供运营管理决策支持的需要;
 是全国一盘棋,更好地服务民生的需要;
 是提升ETC产业质量,推动行业可持续发展的需要;
 是提升信息化水平,建设智慧公路的需要。
建设范围
(一) 项目建设单位
省交通投资集团股份有限公司及下属高速公路各板块
(二) 项目业务系统
通信网络系统、联网收费系统、区域中心系统、管理处系统、收费站系统、ETC门架系统

客户需求

安全技术需求
根据板块的网络安全建设现状,结合区域中心、运行中心、管理处、收费站、ETC门架及安全接入检测的安全要求。参照GB/T22239-2019《网络安全等级保护基本要求》(GB/T 22239-2019)。板块详细的安全技术需求如下表:

板块安全技术需求

(一)  安全物理环境需求

n  物理机房:板块物理和环境安全在机房选址、机房建设、设备设施的防盗防破坏、防火、防水、电力供应、电磁防护等在数据中心机房的建设过程中已经严格按照国家相关标准进行机房建设、综合布线、安防建设,并已经经过相关部门的检测和验收。

(二) 安全通信网络需求

n  网络架构安全:网络架构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN

n  通信传输安全:而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。

n  可信验证安全:属于安全可靠的内生安全。

(三)  安全区域边界需求

n  边界隔离与访问控制防护:对非法客户端实现禁入,同时,需要能够对内部用户非授权联到外部网络的行为进行限制或检查;并对无线网络的使用进行管控。

n  入侵防范和恶意代码:入侵和病毒防护手段需要在系统边界进行部署,在网络层进行入侵防护和病毒查杀,防止感染系统内部主机。

n  垃圾邮件防范:本项目环境无邮件系统及要求,不做设计。

n  安全审计:针对网络的攻击行为和非授权访问等行为,需要在网络边界、重要网络节点上进行流量的采集和检测,并进行基于网络行为的审计分析,从而及时发现异常行为,规范正常的网络应用行为。

n  可信验证:属于安全可靠的内生安全。

(四)  安全计算环境需求

n  身份鉴别:主机操作系统登录均必须进行身份验证。必须提高用户名/口令的复杂度,并定期进行更换,或者,采取更可靠的身份鉴别措施。

n  访问控制:主机访问控制主要为了保证用户对主机资源的合法使用。必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作

n  安全审计:对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。

n  入侵防范和恶意代码:病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。因此除了在网络层采取必要的病毒防范措施外,必须在主机部署恶意代码防范软件进行监测与查杀,同时保持恶意代码库的及时更新。

n  可信验证:属于安全可靠的内生安全。

n  数据完整性与保密性:数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。需要采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

n  数据备份和恢复:对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。

(五)  安全管理中心需求

n  系统管理、审计管理、安全管理:具备系统管理、安全管理和审计管理功能,功能权限分离,三员(系统管理员、审计管理员、安全管理员)分离,并能对三员进行身份鉴别和操作审计。

n  集中管控:对于资产规模和部署范围庞大的XXX系统,必须建设统一的安全运营和管理中心,对全网资产、日志、事件信息进行统一的监测、检测、响应和分析,掌握全网的信息资产安全状况,及时发现和处置安全事件。面对复杂的网络结构,多厂商安全设备,由人工进行安全策略的配置和动态调整,无论是从工作量和工作难度上来说都是不可接受的,需要能够采用自动化工具进行全网主要设备的安全策略自动下发和集中管理。

(六)  物联网安全扩展要求

n  物理防护、接入控制、入侵防护、感知节点设备安全、网关节点设备安全:应保证感知节点设备的认证能力,保证只有授权的设备可以接入,并对入侵进行防护。

安全管理需求
针对建设期和运营期的安全管理风险分析,板块总结以下安全管理需求:
(一) 建设期安全管理需求

l 规划设计阶段需同步安全设计

l 需加强外包软件开发管理

l 工程实施安全管理

l 测试验收和交付管理

l 系统测评和服务供应商选择

(二) 运营期安全管理需求

运营期指系统上线投入运营后到系统废止,运营期安全管理需要建设一整套信息安全管理体系并加以落实,按照等级保护和ISO27001的信息安全管理体系建设要求。
安全运营需求
板块安全运营需求分析从技术角度分析系统上线运行后在整个较长的后续运营期间对安全运营的需求。主要包括:
l 全面掌握信息安全资产需求
l 日常安全运营需求
l 重要时期安全保障需求
l 专家级安全运营服务支撑需求
安全监测需求
路段中心、管理处、收费站、ETC门架系统接入联网收费系统应经过具有网络安全等级测评或安全风险评估等相关资质的第三方检测评估机构,依据本技术要求进行安全接入检测,并出具技术要求符合性检测报告。

解决方案

方案内容

夯实安全物理环境
物理安全是整个网络信息系统安全的前提,物理安全必须具备环境安全、设备物理安全和防电磁辐射等物理支撑环境,保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失,防止各种以物理手段进行的违法犯罪行为。
本次项目的机房建设包含路段中心机房和收费站机房建设,应严格按照国家对信息系统机房的建设标准,机房应在各方面满足等级保护的相关要求。
安全分区分域而治
根据板块网络整体安全需求,并结合《网络安全等级保护基本技术要求》和《网络安全等级保护安全设计技术要求》中的相关要求,区域划分如下:
(一) 区域/路段中心收费网
 收费网服务器区
包含收费网服务器区交换机和应用服务器。包含该路段的相关监测平台,业务辅助类系统等
 核心网络区
包含核心交换机和边界安全设备,对网络信息系统起数据通讯支撑作用。向上连接省中心,向下连接各收费站及门架系统。负责门架系统网络、收费站系统网络、及分中心系统与省中心、部中心的数据交互;主要负责着各区域间的通信。这样部署提高了网络通讯新能,增加网络可靠性和安全性,为今后网络信息系统扩展提供了一个基础网络平台。
 安全管理区
包含网络安全管理能力,如身份认证及审计系统、数据库审计系统、流量行为检测系统、脆弱性扫描系统、防火墙统一策略管理与分析系统、终端统一管理,病毒库升级等,与所有的区域都有通信,连接核心网络区。
 业务终端接入区
包含终端接入交换机,与业务服务器区有通信,连接核心网络区。
 外联业务接入区
外部单位业务/系统,如电子发票系统,税务、公安、第三方支付、银行及数据备份中心等
(二) 收费站
 收费业务区
包含收费网服务器区交换机和应用服务器。包含该路段的相关监测平台,业务辅助类系统等
 设备接入区
包含收费站各系统前端设备,包含RSU设备、车辆识别设备,收费终端,ETC车道设备等。
(三) ETC门架接入区
 主要负责与ETC门架系统进行安全接入。
核心链路加密通信
在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。而数据在传输过程中,能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
所建设能力设备应有国家密码管理局颁发的商用密码产品型号证书,支持国密算法加密。
统一边界防护标准
(一) 多元访问控制能力
在分区分域原则的指导下,基于技术措施实现安全域间隔离、边界访问控制,对进出网络边界的信息内容进行过滤,防止非授权的访问及病毒、蠕虫的蔓延。
(二) 深度攻击检测能力
适应攻防的最新发展,准确监测网络异常流量,通过动态、深度、主动的安全检测,挖掘各层面安全隐患,第一时间将安全威胁阻隔在网络外部,实现看得见、检得出的安全目标。
(三) 网络流量检测能力
应对新型攻击带来的威胁,从流量检查、智能识别、环境感知、行为分析四方面加强对应用协议、异常行为、恶意文件的检测和防护,提供动态的、深度的、主动的安全防御,实现看得见、检得出、防得住的完整解决方案。
(四) 边界完整性的能力
防止网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和终端接入行为的同时,需采用技术手段保障终端入网的安全可信,同时达到了规范化地管理计算机终端的目的。
边界完整性的检查能力包括终端PC,网络当中的一些哑终端,以及收费站及ETC门架系统的泛终端(如摄像头)
(五) 日志审计可追可溯
及时识别入侵攻击、内部违规等信息,且为安全事件的事后分析、调查取证提供必要的信息,更好的监控和保障信息系统运行。
加强应用安全防护
加强应用安全防护,Web服务器端是Web安全防护的重要环节,应用请求和恶意访问攻击均由Web应用安全防护来承担处理,清洗、过滤后Web,应用安全防护向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好的防范来自网络中正对应用的威胁,保护网站的安全、稳定、高性能运行。
精准数据安全管控
(一) 数据库安全审计能力
对业务网络中的数据库进行全方位的安全审计,记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等,审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据。统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断。记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警。
(二) 敏感数据的泄露防护
以内容检测识别为核心;以网络边界以内为范围;以网络数据安全为目标;以检测、拦截、警告、记录、分析为手段,实现数据安全综合防护。
构建终端安全闭环
终端安全依据“终端防护、统一准入、安全可视、在运合规、安全响应”的管控原则。最终构建终端安全闭环,实现多维主动防御。
(一) 终端病毒和恶意代码分析防范能力建设
全网建立终端病毒和恶意艾玛分析防范的能力,通过集中管理端实现对病毒查杀策略、病毒库的统一升级管理。还可以通过采用云查杀引擎、未知病毒检测等新技术,解决传统防病毒软件本地特征库对新型病毒查杀效果不明显的问题。
(二) 落实终端安全管理技术能力建设
在终端落实安全管理技术能力的建设,通过控制中心制定策略,进行全网终端的流量监控、非法外联监控、应用程序黑白名单控制、外设管控、桌面安全加固等。
打造技防管理大脑
(一) 设备安全运维与审计
将运维人员与被管理设备或系统隔离开来,所有的运维管理访问必须进行身份认证、授权、及审计。运维人员在操作过程中首先进行身份认证和权限检查后,然后连接到目标设备完成远程管理操作,并将操作结果返回给运维人员,同时需对所有的运维操作及结果进行审计记录。
同时需要运维管理的集中权限管理和行为审计,同时也需要解决加密协议和图形协议等无法通过协议还原进行审计的问题。
(二) 策略集中管理与分析
安全策略的有效性和时效性已经成为运维的一大难题,需要通过技术手段实现集中化、可视化的网络边界访问控制管理,协助网络安全管理人员统一管理网络访问控制策略,并结合网络安全域管理和安全策略的定义,实时分析网络安全策略执行情况,通过细粒度的按需申请自动化部署安全策略,最小化网络受攻击面,从而提升网络安全运维人员效率,简化网络权限管理复杂度,避免人工操作造成的错误配置,保障配置管理和变更管理规范和合规。
(三) 集中安全运营与管理
建设集中安全运营和管理中心,明确系统管理员、审计管理员和安全管理员的职责,并进行职责和权限划分,通过安全管理中心实现威胁管理、资产管理、拓扑管理、漏洞管理、日志搜索、场景化分析、工单、调查分析、知识库、报表管理及态势感知等能力。
协同联动安全处置
数据驱动安全,打破安全能力孤岛,建立协同联动的安全防御能力,通过软件层面,数据层面的策略配置,实现主要安全能力之间的协同联动,积极处置的能力。在合规的基础上实现更高安全防护能力。如边界与终端联动、管理中心与边界联动、威胁感知与终端联动等。

客户价值

管理收益
(一) 合规合法
通过以上方案设计,实现在物理环境、安全网络通信、安全区域边界、安全计算环境和安全管理中的网络安全建设,完全能满足网络安全法的相关要求,也能满足等保2.0中的各项要求,也能满足交通部关于取消高速公路收费站联网系统建设改造项目的技术要求。在合规合法的前提下,实现网络安全。
(二) 采用“安全与服务”理念,安全建设新思路
实现终端、网络、数据、应用等根据自身安全需要调用安全服务并具有弹性可扩展特征的服务能力。同时具备对安全资源的统一监控调度和分配的能力、统一的一体化的协同处理和容错能力。
经济收益
(一) 终端安全整体设计,安全能力一体实现
规划方案中涉及终端相关的安全能力建设,尽可能集中和统一,包括管理中心的统一和终端客户端的统一,实现一体化设计和部署,强化XP系统的安全防护。同时为保障各板块统一性,全局性,实现终端4个统一:防病毒统一化,部署统一化,管控统一化,升级统一化。
(二) 充分结合项目安全建设现状,最大化降低实施难度
考虑到项目的工期要求较紧、终端分布较散、终端系统类型较多等特点,对于终端的安全防护,一体化设计将大幅降低实施难度,同时解除终端兼容性、稳定性、蓝屏等困扰,有效避免了一个终端安装多个Agent带来的烦恼,极大节约系统发挥效用的时间。在部署上只需在控制中心开启相应的功能许可模块,即可实现相应功能。
终端安全管理系统,实现两种安装方式:在线安装和离线安装,根据实际情况灵活运用,提高本次项目终端安全部署的效率、降低项目工期,提高部署质量。
发展收益
(一) 边界+终端+流量深度检测协同防御
通过边界+终端+流量深度检测协同的方式,发现未知威胁,自动更新防护策略并响应。构建基于全网数据检测、响应、追溯的安全体系,为防御未知威胁形成一个闭环。
(二) 安全覆盖网内泛终端,实现物联终端安全可控
通过对泛终端设备(摄像头及亚终端、PC终端等)的发现,识别和注册,防止终端仿冒,保护物联场景下的终端安全。
(三) 态势感知与运营平台提供整网态势,提高运营效率
后期,规划在集团建立态势感知运营检测中心,分公司建立安全运营分中心,可以针对全网安全风险的集中管理、综合分析、安全可视化、安全通报预警与安全集中处置,下级的路段中心的安全管理中心或日志收集与分析系统可以作为态势感知平台的安全节点采集器,实现可实现对网络安全的态势觉察、跟踪、预测和预警,全面、实时掌握网络安全态势,及时掌握网络安全威胁、风险和隐患,及时监测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时预警通报重大网络安全威胁,及时处置安全事件,有效防范和打击网络攻击等违法犯罪活动,达到实时态势感知、准确安全监测、及时应急处置等目标。

应用场景

整体网络部署方案
某项目整体网络安全部署架构如下图所示: