高速公路联网收费系统网络安全建设必看

摘要

安恒信息协助华东某省交通厅及联网中心，基于等保2.0安全体系，以态势感知为核心、物联网安全为重点，构建一体化网络安全解决方案，实现收费系统中安全威胁的实时发现、快速处置，物联网终端的可信准入，为收费系统升级提供了可靠的安全保障。

国务院5月5日召开常务会议，明确政策举措力争今年底前基本取消全国高速公路省界收费站，便利群众出行提高物流效率。而在随后，国务院办公厅印发的《深化收费公路制度改革取消高速公路省界收费站实施方案》中，要求强化安全管理，加强系统和网络安全保障。

取消高速公路省界收费站，实现不停车快捷收费，这就需要对现有的收费站、收费车道、ETC系统硬件及软件进行改造升级。在建设新系统、部署新设备时，高速公路联网收费系统的整体网络安全也需要同步规划。

方案分享

以某省联网收费系统省域系统并网接入网络安全设计方案为例，看等保2.0下，如何构建一体化安全防御体系。

安全需求分析

根据高速公路联网收费系统分为省级联网中心和路段中心。省级联网中心建设云平台及数据中心，实现业务数据汇聚存储及应用；路段中心有多个，建设有ETC收费系统、视频监控系统等。基于现网实际应用环境，参照等保2.0三级要求，主要要解决以下几个痛点：

1、等保2.0的合规要求：

无论是省级联网中心还是路段中心，都需满足等保2.0关于安全通信网络、安全区域边界、安全计算环境等通用安全防护要求。同时，省级联网中心还需满足物联网等扩展要求。

2、综合防御体系的构建：

高速公路联网收费系统中部署的设备、应用系统数量多、种类杂，需要对多元化数据来源进行监测、实时发现各类网络攻击威胁、尽早掌握应用系统存在的漏洞等脆弱性数据，实现全网安全态势感知管理。

3、物联网安全：

大量高清车牌视频识别等设备是省级联网中心重要组成部分，这些设备中含有车牌信息、过车图片数据等敏感信息，需要对高清车牌视频识别等设备进行系统层安全加固、状态实时监控、准入严格控制、数据安全加密。

图：来源于网络

网络安全综合防御体系

围绕高速公路联网收费系统的保护对象的特点，通过对联网收费系统的重要数据和业务系统进行分级分类管理，结合《联网收费系统省域系统并网接入网络安全基本要求》，安恒信息提出了构建满足等保2.0的高速公路联网收费系统网络安全防御体系。

01

等保2.0合规体系建设

安全通信网络：采用防火墙、入侵防御、防病毒等技术实现网络安全域划分、防御外部威胁的侵入、分配网络流量保障业务持续，形成从内到外的防护体系。

安全区域边界：采用终端安全管理、漏洞扫描等技术统一管控终端实现补丁分发、病毒防护、策略定制、发现系统存在的漏洞和风险，降低终端维护和管理工作量，避免终端造成的大面积病毒爆发。

安全计算环境：采用堡垒机、日志审计、数据库审计、数据库防火墙等技术，实现应用层威胁防护，实现运维人员对数据库、主机、网络设备操作全记录，事前有控制、事中有预警、事后可追溯。

02

物联网安全建设

针对联网收费系统网络涉及视频监控物联网终端安全，遵循“点面结合、重点突出、全面覆盖”的原则，从视频监控终端系统安全加固、终端设备安全风险实时监测以及终端安全态势感知与管控三个维度采取全面的安全建设。

图：安恒物联网安全设计架构图

03

态势感知平台建设

通过建设态势感知平台，实现对高速公路联网收费系统中来源于各安全设备和安全系统的数据进行统一采集、汇聚和分析，并提供面向安全管理的风险评估和威胁分析功能、网络安全事件的处置和响应功能及态势感知功能。

图：安恒安全态势感知平台架构图

安恒信息着眼于态势感知、物联网等新兴网络安全技术的应用，提供一体化综合防御能力，保障高速公路联网收费系统整体网络安全，为联网收费系统长期安全稳定运行奠定基础。