邊界網(wǎng)絡(luò)安全管理系統(tǒng)研究與應(yīng)用

謝兆勇

摘? 要：隨著路網(wǎng)監(jiān)測設(shè)施增加，目前各種外場設(shè)施設(shè)備數(shù)量龐大，內(nèi)場機(jī)房已存在多處安全隱患，外場內(nèi)場設(shè)施運維與安全問題日益突出，對現(xiàn)有路網(wǎng)監(jiān)測設(shè)施運維管理邊界安全的研究與應(yīng)用迫在眉睫，建立一套邊界網(wǎng)絡(luò)安全管理系統(tǒng)平臺非常必要，通過系統(tǒng)軟件及邊界安全硬件服務(wù)器實施，實現(xiàn)對路網(wǎng)設(shè)施的前端設(shè)備視頻圖像及文字、終端網(wǎng)絡(luò)安全、末端設(shè)備的漏洞，有效的起到維護(hù)及安全保障的統(tǒng)一，解決了中心對路網(wǎng)調(diào)度提升、應(yīng)急安全管理、路網(wǎng)狀況綜合運維分析、各縣區(qū)路站外場、內(nèi)場的監(jiān)測和管理。

關(guān)鍵詞：防護(hù)現(xiàn)狀;安全應(yīng)用;準(zhǔn)入控制;網(wǎng)絡(luò)安全邊界管理

中圖分類號：TM73

引言：隨著道路（包括高速公路、省道、國道等）規(guī)模的快速發(fā)展，路網(wǎng)監(jiān)測設(shè)施每年都在按照省中心的要求部署增加，同時路網(wǎng)監(jiān)測、管理、安全、運行設(shè)施運維、故障處理等提到了更高的要求，因此，提升路網(wǎng)監(jiān)測設(shè)施運維工作以及設(shè)備安全保障的手段，建設(shè)研究一套路網(wǎng)運維管理邊界安全信息化將成為路網(wǎng)監(jiān)測設(shè)施行業(yè)發(fā)展的趨勢所在。

設(shè)施設(shè)備的維護(hù)、網(wǎng)絡(luò)安全管理都是整個維保的重點核心，隨著路網(wǎng)設(shè)施點位的增多，外場設(shè)備網(wǎng)絡(luò)、內(nèi)場設(shè)備網(wǎng)絡(luò)系統(tǒng)日趨大型化、復(fù)雜化，攻擊者的入侵行為也越來越綜合駁雜，且具有了分布式攻擊的特點，表現(xiàn)在外場前端、中端、內(nèi)場終端，目前入侵檢測系統(tǒng)在性能上對此類入侵行為的檢測有些困難，很難被發(fā)現(xiàn)，而把不同安全級別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界，防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。我們通過運維系統(tǒng)和邊界硬件服務(wù)器相連接，能夠及時的響應(yīng)事件，排除故障，能夠有效的監(jiān)測網(wǎng)絡(luò)邊界的安全性，在最短的時間內(nèi)找到被攻擊的路網(wǎng)的實施設(shè)備，如視頻監(jiān)控設(shè)備等，能夠及時的進(jìn)行預(yù)測分析和實時報警，這就是當(dāng)前道路監(jiān)測設(shè)施運維需要解決和關(guān)注的重要方向。

一、背景介紹

習(xí)總書記在十九大報告中強(qiáng)調(diào)：“黨的一切工作必須以最廣大人民根本利益為最高標(biāo)準(zhǔn)，從讓人民群眾滿意的事情做起，帶領(lǐng)人民不斷創(chuàng)造美好生活”。對廣大人民來說，公共安全是人民群眾最關(guān)注的事情，迫切需要新的技術(shù)和平臺及時發(fā)現(xiàn)路網(wǎng)中的異常事件，實時掌握路網(wǎng)傳輸?shù)陌踩闆r，從整體動態(tài)反映路網(wǎng)的安全狀態(tài)，并對網(wǎng)絡(luò)的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，對成千上萬的網(wǎng)絡(luò)行為、攻擊等信息進(jìn)行自動處理和深度挖掘，對路網(wǎng)的安全狀態(tài)進(jìn)行分析評價，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢，自動評估預(yù)測，降低網(wǎng)絡(luò)安全風(fēng)險，提高網(wǎng)絡(luò)安全防護(hù)的能力。為保證業(yè)務(wù)系統(tǒng)的持續(xù)性及數(shù)據(jù)的完整性，各省市路網(wǎng)應(yīng)加強(qiáng)網(wǎng)絡(luò)信息安全保障體系的建設(shè)。

二、政策解讀

1.《交通運輸信息化“十三五” 發(fā)展規(guī)劃》高度重視網(wǎng)絡(luò)與信息安全體系建設(shè)， 堅持自主可控， 強(qiáng)化監(jiān)測預(yù)警， 確保行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全可靠和穩(wěn)定運行。

2.《數(shù)字交通發(fā)展規(guī)劃綱要》加強(qiáng)網(wǎng)絡(luò)安全與信息系統(tǒng)同步建設(shè)，提高交通運輸關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。

3.《交通運輸 信息安全規(guī)范》 （GBT 37378-2019 ）用戶終端安全、載運裝備單元安全、基礎(chǔ)設(shè)施單元安全、計算中心安全、網(wǎng)絡(luò)和通信安全、安全通用技術(shù)。

三、問題分析

路網(wǎng)前端設(shè)備安全問題：高速公路大量攝像頭部署分散，容易發(fā)生設(shè)備替換、冒用、入侵監(jiān)控專網(wǎng);前端設(shè)備存在脆弱性安全問題，如弱口令、設(shè)備系統(tǒng)高危漏洞;前端設(shè)備缺失有效的安全準(zhǔn)入機(jī)制：

（1）非法分子使用筆記本替換攝像頭，非法入侵國家路網(wǎng)，盜取涉密信息;

（2）攝像頭弱口令風(fēng)險，設(shè)備被非法控制，發(fā)起網(wǎng)絡(luò)攻擊;

（3）攝像頭裸露在外，出現(xiàn)挾持破壞事件，甚至設(shè)備盜取;

（4）攝像頭數(shù)量未完全上報，資產(chǎn)數(shù)量不清晰，出現(xiàn)設(shè)備遺失、盜取后無從得知;

（5）攝像頭數(shù)量巨大，設(shè)備損壞、設(shè)備流量、圖像質(zhì)量、離線等異常狀態(tài)，無法及時得知處理，遺漏緊急需要的信息，影響業(yè)務(wù);

1.攝像頭裸露在外，頻頻出現(xiàn)設(shè)備替換、挾持、破壞等事件

由于攝像頭等前端設(shè)備部署分布極為廣泛，大多處于道路或其它戶外場所，這些公共場所因無人看守頻頻出現(xiàn)惡意替換、侵入網(wǎng)絡(luò)、設(shè)備被盜取等事件，盜取涉密文件，或是攻擊網(wǎng)絡(luò)。視頻監(jiān)控系統(tǒng)已經(jīng)進(jìn)入了IPC時代，非授權(quán)人員只要簡單地用計算機(jī)替換前端攝像頭就可以輕松地實現(xiàn)網(wǎng)絡(luò)的入侵和非法數(shù)據(jù)的訪問。

2.設(shè)備流量、圖像質(zhì)量、離線、攝像頭時間不準(zhǔn)確等異常狀態(tài)，不能及時獲取

復(fù)雜而龐大的路網(wǎng)中，對于大量終端設(shè)備或者前端攝像頭缺少統(tǒng)一管理手段。由于攝像頭都是安裝在特定的地方，分布極為廣泛，當(dāng)發(fā)生安全事故時，無法在第一時間直接定位網(wǎng)絡(luò)內(nèi)計算機(jī)或者攝像頭的具體位置，應(yīng)急響應(yīng)不及時導(dǎo)致安全風(fēng)險的擴(kuò)大。

3.攝像頭的數(shù)量未完全上報，資產(chǎn)數(shù)量不清晰

設(shè)備數(shù)量不斷增加，且接入環(huán)境復(fù)雜，包含下級部門、其他單位、社會資源等多種接入放入，還存在設(shè)部分以租代建設(shè)備，設(shè)備更新頻繁，原本的設(shè)備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成設(shè)備管理的混亂，資產(chǎn)未完全上報，設(shè)備的安全性、可用性都無法保障，甚至在資產(chǎn)流失后渾然不知。

四、建設(shè)目標(biāo)

推進(jìn)交通運輸領(lǐng)域數(shù)據(jù)分類分級管理，加強(qiáng)重要數(shù)據(jù)和個人信息安全保護(hù)，制定數(shù)據(jù)分級安全管理、數(shù)據(jù)脫敏等制度規(guī)范。推進(jìn)重要信息系統(tǒng)密碼技術(shù)應(yīng)用和重要軟硬件設(shè)備自主可控。

全面識別梳理交通運輸領(lǐng)域國家關(guān)鍵數(shù)據(jù)資源，將重要數(shù)據(jù)保護(hù)納入交通運輸關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，推進(jìn)國家關(guān)鍵數(shù)據(jù)資源全面實現(xiàn)異地容災(zāi)備份，推進(jìn)去標(biāo)識化、云安全防護(hù)、大數(shù)據(jù)平臺安全等數(shù)據(jù)安全技術(shù)普及應(yīng)用。

此次建設(shè)，重點完善路網(wǎng)邊界接入安全、接入設(shè)備身份認(rèn)證、信息綁定，實現(xiàn)對路網(wǎng)設(shè)備的準(zhǔn)入控制管理、NAT設(shè)備使用管理。解決非法設(shè)備隨意接入路網(wǎng)的問題，視頻監(jiān)控網(wǎng)絡(luò)內(nèi)的所有設(shè)備智能發(fā)現(xiàn)與識別，識別設(shè)備的合法性，對設(shè)備運行情況進(jìn)行實時監(jiān)控，檢測是否存在設(shè)備異常、偽冒、替換、入侵，對非法接入的設(shè)備系統(tǒng)自動郵件報警、短信報警、地圖定位、網(wǎng)絡(luò)位置顯示，并阻斷入侵設(shè)備的網(wǎng)絡(luò)通信。分析圖像質(zhì)量，攝像頭設(shè)備圖像模糊、被遮擋、雪花、黑屏等異常狀態(tài)時，視頻圖像質(zhì)量發(fā)生變化，立即產(chǎn)生質(zhì)量異常報警，并支持進(jìn)一步查看實時視頻圖像信息，精準(zhǔn)確認(rèn)圖像質(zhì)量問題。達(dá)到“信任接入、接入可知、接入可管”的管理規(guī)范。

推動交通感知網(wǎng)絡(luò)與交通基礎(chǔ)設(shè)施同步規(guī)劃建設(shè)，深化各地路網(wǎng)等路側(cè)智能終端應(yīng)用，建立云端互聯(lián)的感知網(wǎng)絡(luò)，讓“啞設(shè)施”具備多維監(jiān)測、智能網(wǎng)聯(lián)、精準(zhǔn)管控、協(xié)同服務(wù)能力。

五、解決方案

邊界網(wǎng)絡(luò)安全管理系統(tǒng)對網(wǎng)絡(luò)內(nèi)接入的各類設(shè)備進(jìn)行識別、過濾、阻斷，確保接入視頻監(jiān)控網(wǎng)絡(luò)設(shè)備的合法性和安全性，與此同時對運行中的設(shè)備進(jìn)行實時監(jiān)控，利用獨有的感知發(fā)現(xiàn)技術(shù)，及時發(fā)現(xiàn)網(wǎng)絡(luò)中偽冒、入侵、異常的設(shè)備，從而保障整體網(wǎng)絡(luò)安全運行。

1.邊界網(wǎng)絡(luò)安全管理系統(tǒng)

入網(wǎng)規(guī)范化：入網(wǎng)身份鑒別、安全測評、違規(guī)行為報警;

管理全面化：終端行為規(guī)范、UBS介質(zhì)管理、終端通信管理;

審計精細(xì)化：違規(guī)報警統(tǒng)計、入網(wǎng)狀態(tài)分析、測評狀態(tài)分析、資產(chǎn)統(tǒng)計、行為審計。

2.系統(tǒng)功能

身份認(rèn)證：終端入網(wǎng)強(qiáng)制身份認(rèn)證，未經(jīng)授權(quán)禁止接入網(wǎng)絡(luò)，確保只有合法終端才能入網(wǎng)

安全測評：終端安全技術(shù)測評，安全隱患項目隔離修復(fù)，確保入網(wǎng)終端始終處于安全狀態(tài)

違規(guī)報警：終端安全狀態(tài)動態(tài)保護(hù)，存在危險異常項目及時處理并報警通知，防止安全隱患

行為規(guī)范：終端安全規(guī)范，嚴(yán)控各類外設(shè)使用，明確網(wǎng)絡(luò)訪問細(xì)則權(quán)限，確保用戶擁有網(wǎng)絡(luò)使用的“最小授權(quán)”

報表統(tǒng)計：全網(wǎng)安全事件圖表化分析匯總，既可提供針對特定行為的分析報告，也可對全網(wǎng)安全趨勢分析

3.網(wǎng)絡(luò)邊界監(jiān)管

對網(wǎng)絡(luò)接入的多網(wǎng)卡邊界、網(wǎng)絡(luò)出口、NAT 邊界、無線 AP、上網(wǎng)代理等各類邊界的檢查和管理，實現(xiàn)對路網(wǎng)設(shè)備私自連接其它網(wǎng)絡(luò)，如：在路網(wǎng)中擅自設(shè)立網(wǎng)中網(wǎng)，非法使用多網(wǎng)卡連接外網(wǎng)，同時可對其進(jìn)行隔離等防護(hù)操作。防止外來計算機(jī)、設(shè)備、網(wǎng)絡(luò)等通過非法手段入侵路網(wǎng)。對合法子網(wǎng)下的設(shè)備進(jìn)行展示、管理，可自動根據(jù)子網(wǎng)環(huán)境繪制子拓?fù)湔故尽?/p>

4.設(shè)備發(fā)現(xiàn)與識別

能夠快速識別網(wǎng)絡(luò)內(nèi)的設(shè)備信息，分析出設(shè)備的類型、IP、MAC、廠商等信息，并自動綁定設(shè)備信息，作為入網(wǎng)憑證。

5.設(shè)備運行實時監(jiān)控

對網(wǎng)絡(luò)內(nèi)設(shè)備的運行情況進(jìn)行實時監(jiān)測，發(fā)現(xiàn)設(shè)備運行異常及時更新運行狀態(tài)并發(fā)送報警提醒。

6.違規(guī)檢測報警定位

對網(wǎng)絡(luò)內(nèi)的冒用偽造終端、異常終端、入侵終端進(jìn)行自動識別，第一時間發(fā)送報警消息，并在網(wǎng)絡(luò)拓?fù)洹IS地圖上進(jìn)行精確定位，與此同時向管轄區(qū)的管理員發(fā)送報警消息。

7.違規(guī)事件自動阻斷

檢測到網(wǎng)絡(luò)內(nèi)的入侵、偽冒、異常事件后能夠第一時間阻斷設(shè)備的通訊。

8.全網(wǎng)資產(chǎn)實時統(tǒng)計

基于設(shè)備的自動發(fā)現(xiàn)與識別分類，實現(xiàn)對所有入網(wǎng)設(shè)備的注冊管理，理清臺帳，對全網(wǎng)IP地址使用及終端軟硬件狀況進(jìn)行上報統(tǒng)計。

六、結(jié)語

路網(wǎng)檢監(jiān)測設(shè)施運維管理邊界安全保障系統(tǒng)作為安防領(lǐng)域的革新產(chǎn)品，是視頻分析技術(shù)及最新的各類IT技術(shù)在視頻監(jiān)控系統(tǒng)運行維護(hù)方面的典型應(yīng)用。該系統(tǒng)集狀態(tài)監(jiān)測、故障報警、故障分析、運維管理于一體，能夠?qū)崿F(xiàn)對各類視頻監(jiān)控系統(tǒng)相關(guān)的設(shè)備運行狀態(tài)的監(jiān)測與查詢，如攝像機(jī)、視音頻編解碼設(shè)備、傳輸設(shè)備（SDHEPON、交換機(jī)、路由器）、業(yè)務(wù)服務(wù)器。運維系統(tǒng)一旦發(fā)現(xiàn)視頻監(jiān)控系統(tǒng)設(shè)備運行狀態(tài)出現(xiàn)異常，立刻自動向運維管理中心發(fā)出故障報警。運維系統(tǒng)管理中心收到設(shè)備故障報警后，自動進(jìn)行故障分析，初步分析出是什么原因造成該故障的發(fā)生。同時通過統(tǒng)一的運維服務(wù)營運平臺，對運維系統(tǒng)自動發(fā)現(xiàn)的故障、人工保修的故障、日常維護(hù)保養(yǎng)等工作進(jìn)行統(tǒng)一規(guī)范的管理，對故障處理進(jìn)行全程跟蹤，完成先進(jìn)、合理的故障保修、任務(wù)派工電子流程系統(tǒng)，以更快響應(yīng)、完成故障修復(fù)任務(wù)。

路網(wǎng)監(jiān)測設(shè)施運維管理邊界安全應(yīng)用系統(tǒng)能夠全面、系統(tǒng)、規(guī)范、及時的保障路網(wǎng)監(jiān)測系統(tǒng)的正常運行，改變現(xiàn)在路網(wǎng)監(jiān)測設(shè)施運維困難，有效使用率不高的情況。路網(wǎng)監(jiān)測設(shè)施運維管理之于邊界安全的應(yīng)用意義，全局資源統(tǒng)一管理，快速精準(zhǔn)定位故障，減少運維壓力，提高運維效率;主動進(jìn)行視頻數(shù)據(jù)質(zhì)量評估分析，異常視頻圖像及異常數(shù)據(jù)篡改及時警告，減少安全危害的影響;實時掌握設(shè)備在線率、完好率、故障率等數(shù)據(jù)，滿足考核管理要求。

參考文獻(xiàn)

[1] 《推進(jìn)綜合交通運輸大數(shù)據(jù)發(fā)展行動綱要（2020—2025年）》. 交科技發(fā)【2019】161號， 2019.12.

[2]《數(shù)字交通發(fā)展規(guī)劃綱要》. 交規(guī)劃發(fā)【2019】89號，2019.07