广东飞达交通工程有限公司 广东广州 510663
本文从高速公路监控系统组成着手,分析了系统中各环节存在的安全风险,针对各类风险点采取有效措施,构建了高速公路监控系统网络及信息安全的防护体系。为高速公路运营管理中网络及信息安全管理提供借鉴和参考。
关键字:监控系统 网络安全 信息安全 安全风险 安全体系构建
Construction of highway monitoring system based on network anti-attack technology
Li yuhuan Hu cuiyun
Guangdong Feida Transportation Engineering Co., Ltd Guangzhou 510663
Abstract: This paper starts with the composition of the highway monitoring system, analyzes the safety risks in all aspects of the system, takes effective measures against all kinds of risk points, and constructs the highway monitoring system network and information security protection system. It provides reference and reference for network and information security management in highway operation and management.
Keywords: Monitoring system, Network Security, Information Security, Risk Security, System Construction
0 引言
在人工智能、物联网、云服务、大数据等技术的引领下,高速公路监控系统的数据量急剧增大且多样复杂,网络安全问题也日趋严重。高速公路监控系统包含前端数据采集及感知设备、通信传输链路及设备、监控中心数据网络及设备、应用展示设施设备等,多元设备及网络、多源数据共同构建了高速公路监控系统的重要网络及信息系统,安全系统的构建是为了保障路段重要业务信息及关键设备设施安全稳定运行[1]。
高速公路监控系统架构
图1:高速公路监控系统架构图
高速公路的监控系统架构包含感知层、传输层、数据层、业务应用层、展示层、操作角色层等层级[2]:
感知层:包含摄像机、车检器、传感器、状态监测、位置感应、探测器、卫星导航终端、雷达、机器人、超声波等数据感知及采集设备;
传输层:主要是指数据通信层,包含电缆光缆、无线WIFI、NB、3G\4G\5G、LoRa、UWB等通信制式的链路和设备;
数据层:是把服务于业务的各种数据,包含视频监测数据、设备设施基础参数(静态)、状态数据(动态)、车辆数据、环境数据、事件数据、报警数据、紧急联动数据等等;
业务层:设备设施管理、路况视频监控、隧道行车安全管理、重点营运车辆管理、环境监测、应急处置管理、周边资源生态延伸等等;
展示层:包含监控中心大屏、工作站、操作台、移动终端APP等
高速公路监控系统存在哪些安全风险
高速公路监控系统大量采集感知终端都部署在室外等开放的网络环境中,设备品种多数量大,比如摄像机和情报板是每500-1000米就要部署一个[3],每条路段上都有成百上千的终端感知设备,存在设备数量多、网络边界不明、网络之间连接关系难度高、部署环境各种各样等特点,这也导致了高速公路监控系统各个场内场外设备终端及网络内的各个连接点都面临着各种不确定的安全风险。
前端安全风险:
监控系统的前端包含大量的摄像头、传感器、探测器等信息采集装置,这些设备装置都是安装在路侧、隧道、服务区、收费站等场外非隔离环境中,容易受到恶意破环及入侵。2017年,曾经出现过攻击监控网络的恶意软件Mirai,专门对视频终端进行DDoS攻击,造成大量设备及网络不能正常工作,给监控系统管理方造成了安全隐患及经济损失。
边界安全风险
监控系统的边界安全风险是指监控系统与社会资源网络、路政专网、救援专网、三方接入等区域之间的通信边界风险。
网络安全风险
监控系统一般是走专网方式,但是由于业务需要,有时需要接入社会资源网或其它专网,所以容易出现网络监听、病毒入侵、黑客攻击、信息泄漏等安全风险。
数据安全风险
在监控系统的数据传输链路中存在大量的格式数据及非格式数据(视频数据),如果没有对前端设备及用户进行身份认证、没有前端对数据及传输链路进行加密,则数据很容易受到外来入侵数据破坏。
管理安全风险
相关人员安全意识不够、管理流程不完善、操作不规范都可能造成管理风险,漏洞管理、资产管理、应用防护、日志审计、秘钥管理和运维管理这些工作做不到位也会造成管理风险。
与监控系统攻防相关技术
为了认清楚高速公路监控系统安全风险,构建出安全防护系统,我们先来了解一下跟高速公路监控系统相关的一些攻防技术。
网络攻击技术
网络攻击技术就是指黑客利用高速公路监控系统网络及数据存在的可入侵漏洞,通过网络入侵命令和攻击软件对高速公路监控系统网络实施攻击,对高速公路监控网进行信息窃听、流量分析、篡改数据、重置数据 、拒绝服务等攻击。攻击的方式主要有隐藏IP、网络扫描、物理攻击、漏洞入侵、木马攻击、清除日志等等[4]。
病毒技术
计算机病毒是指代码编写人员编写的对计算机、数据、网络具有破坏功能的程序,这种程序往往隐藏在正常程序中不易被识别和发现,一旦入侵到计算机就会在本机或网络内快速复制传播,对计算机及网络形成破坏性攻击,能够干扰计算机内系统及程序的正常运行,造成数据破环、系统瘫痪或网络崩溃。高速公路监控系统本身是专网不易感染病毒,但是当有第三方软件接入、或是操作电脑连接了外网就有感染到病毒的风险。
防火墙技术
高速公路监控系统是一个内部专网,防火墙技术是在内部专网和外部网络之间建立一道隔离屏障,可通过软件方式、硬件方式或软件硬件相结合的方式来实现,建立防火墙的目的就是保护专网内的用户资料、业务数据、运行信息等不会流向外部网络,确保内部网络的正常运行,保护数据和信息的完整。
身份认证与访问控制技术
身份认证技术是指用户进入监控系统网络和访问不同保护级别的系统资源时,系统需要对用户的身份是否真实、合法、唯一进行认证,解决用户是“谁”的问题。访问控制技术是预先对需要访问系统和网络的用户进行权限设置,限定每个用户对网络或终端内的操作内容及权限,只可访问权限范围内的相关内容,这样能保证系统内数据及信息的安全。
入侵检测技术
入侵检测是指对系统和网络的操作进行实时监测,识别出系统内部未授权操作或外部的非法操作行为,相当于实时在线的“网络警察”,对操作的行为及日志进行实时分析,识别出是否为“闯入者”,当判别为“闯入者”时进行实时告警并进行阻隔。
密码学技术
密码学技术是研究如何秘密通信的一种技术,就是通过一定的编码规则及算法,对通信链路中传输的数据和信息进行编码变换,保证数据和信息不容易被窃取、破环和篡改。
如何构建高速公路监控系统安全保护体系
以上介绍了与高速公路监控系统安全相关的攻防技术,在此基础上我们从高速公路监控系统的组成着手[5],通过物理及技术手段来构建高速公路监控系统的安全保护体系。
监控系统的基本构成
监控系统由场外设备、通信链路、机房设备、监控中心设备、第三方接入系统、移动设备等组成。场外设备包括摄像机、环境监测设备、照明设备、消防设备、交通指示设备、报警设备等;通信链路包括光端机、干线传输设备、干线放大设备、中继设备、交换机、电缆光缆等;监控中心包含服务器、工作站、拼接控制设备、显示大屏等组成。
图2:监控平台基本构成图
监控系统网络及信息安全体系构建
建立完备的前端安全防护机制
在高速公路监控系统中存在大量的前端设备,如视频监控设备、环境监测设备、报警设备等等,建立前端设备的管理数据库,对每个设备生成条纹码、二维码或指纹码作为唯一的身份识别码,对前端设备数据进行安全加密管理,实时对前端设备的状态进行安全监测,及时发现软件及硬件上存在的安全漏洞,及时发现前端设备的非法入侵行为,加强身份识别和口令管理,建立完备的前端安全防护机制。
建立牢固的边界隔离屏障
监控系统的网络边界主要包含监控专网与社会资源网、其它第三方专网等区域之间的通信边界,边界安全建设必须实现网络隔离,接入监控专网的设备必须有严格的准入规则确保仅有授权的、合法的设备终端接入网络。网终之间通信设立专用信令,并实现访问权限控制;通过识别传输数据的应用层协议特征与动态端口号,只允许授权的数据流及控制信令进入监控系统,禁止其他非法数据接入。通过防火墙技术、身份认证与访问控制技术、数据加密技术在监控专网与边界网络之前建立一道牢固的隔离屏障。
实时监控网络异常
高速公路监控专网中存在黑客攻击、病毒入侵、数据被窃等网安全风险,针对各种网络风险进行实时监控非常必要,针对黑客攻击的特点实时监测和识别,对黑客攻击进行有效隔断;采用网络入侵检测、病毒防护、网络攻击防护等技术,对高速公路监控网络中的设备运行状态、数据操作及流向、操作人员日志、用户报表等进行实时监测和管控。
对数据实行严格加密
在高速公路中存在大量的设备数据、视频监控数据、信息发布数据、报警数据、应急处置数据等等,这些数据很容易被窃取或破坏,所以数据保护就是要对数据进行全网络全链路的加密处理,接入设备及用户操作均实行身份认证,对前端采集的数据制定加密数据格式。系统平台开发人员充分掌握密码学技术,在各个环节对数据进行加密处理,确保数据在采集、传输、存储、应用的各个环节不被破坏和窃取,保证数据的安全性和完整性。
规划安全管理流程及措施
2019年10月广东省交通集团印发《广东省交通集团网络信息安全保障体系建设工作方案的通知》,通知指出要构建全方位的网络信息安全责任体系、建立规范高效的网络信息安全管理体系、构建有力的网络信息安全技术体系。根据通知的要求和指导,建立完善的监控安全管理体系及措施,对前端设备接入、 边界通信的信令格式、数据加密、防火墙管理、定期杀毒等形成操作规范和细则,让监控专网的信息处于多维度、多手段的安全保护中。
结束语:
本文是大量高速公路监控系统建设案例的经验总结,从监控网络的系统架构、系统组成着手,结合网络及信息全的攻防技术,提出了一套完整的高速公路监控网络及信息安全管理体系,可为高速公路行业工程建设、技术改进等提供一定的借鉴,希望这篇文章能为行业的发展和进步尽一点绵薄之力。
参考文文献
1.康龙颖,网络安全 [M] .北京,清华大学出版社,2018,19-302.
2.孟浩,高速公路道路监控系统设计分析[J].工程建设与设计,2021,(10),90-91
3.交通部,高速公路监控技术要求[M].人民交通出版社,2012,20-25
4.闵海钊,李盒鹏,刘学伟,网络安全攻防技术实战[M].电子工业出版社,2020,101-129
5.任月红,智能监控系统在高速公路中的应用[J].山西电子技术,2021,(01),48-49
6.广东省交通集团,广东省交通集团网络信息安全保障体系建设工作方案的通知,广州,广东省交通集团,2019年
作者信息:
姓名:李玉环
性别:女
职称:高级
学历:硕士研究生
单位:广东飞达交通工程有限公司
地址:广州市黄埔区科学大道50号中央绿地广场A3栋20楼
邮编:510663
电话:18664801299
邮箱:79913905@qq.com