取消高速公路省界收费站进入倒计时, 网络安全建设势在必行
5月16日,国务院办公厅正式印发《深化收费公路制度改革取消高速公路省界收费站实施方案》(国办发【2019】23号),要求各省“认真组织实施”。今年年底前完成基本取消高速公路省界收费站的目标任务已进入倒计时。
而在这重大举措的执行过程中,意味着现有的收费站、收费车道、ETC系统硬件及软件需要进行改造升级,高速公路联网收费系统的整体网络安全也需要同步规划。
其中,整体网络安全规划需要考虑省联网中心收费专网的安全加固、区域/路段中心以及收费站相关业务系统的安全改造、ETC 门架系统的设备安全接入与数据安全传输等。并且,整体网络安全设计需要以等级保护2.0新标准为根本基础,以交通运输部发的《联网收费系统省域系统并网接入网络安全基本技术要求》为最低达标要求。
从目前现状来看,部分区域网络安全设计规划在如下方面还可优化:
- 加强安全设计基础
全国各地网络安全现状各有不同,如果设计的针对性、有效性不够,对后续安全建设和运行隐患极大。因此安全设计初期需要对存在的问题和风险研判以及对后续安全项目实施效果和运行质量进行充分评估,保证安全设计方案的有效性、专业性、针对性。 - 加强边界防护设计
收费网和监控网若未做严格隔离,网域网段间边界防护策略模糊,导致收费专网的“专网”属性难以保障,风险极大。应严格参照并网接入网络安全基本技术要求,明确分区分域要求和安全防护措施,加强收费网和监控网、测试域和运行域的物理隔离。 - 加强数据保护措施
系统一旦缺少对重要数据和敏感信息的保护措施,容易导致数据泄露。应加强对重要数据和敏感信息的保护,对收费业务数据、个人信息等实行相应加密与脱敏措施。 - 关键设备进行冗余部署
收费站、ETC门架系统等关键网络设备的冗余设计容易被忽略,建议对关键网络设备进行冗余部署,以降低通信链路、系统功能存在的单点故障问题。 - 增加备份恢复措施
如果缺少数据备份恢复措施,收费业务数据无法得到有效保障。建议参照并网接入网络安全基本技术要求,对收费业务主体功能、重要数据落实数据备份恢复措施。 - 标准规范引用
在安全设计中,如果在开展安全现状分析引用了等级保护2008年版旧标准,而在具体细化设计中却引用了2019年新发布标准,则会导致前后内容不够统一,未能有效衔接。建议设计方案整体引用2019年新发布等级保护标准,与并网接入网络安全基本技术要求进行有效衔接。
广州铭冠信息深信服创新解决方案,助力智慧高速畅行
针对目前高速公路取消省界收费站过程中网络安全规划设计存在的问题, 广州铭冠信息严格按照《网络安全等级保护基本要求》(GB/T 22239-2019)和《联网收费系统省域系统并网接入网络安全基本技术要求》(交科技函〔2019〕338号),深入分析用户网络安全现状,结合广州铭冠信息深信服云网端相关安全产品,基于 “持续保护,不止合规”的安全框架,构建“预测、防御、检测、响应”的安全闭环,助力智慧高速畅行。
1.基础安全方案设计
省联网中心系统按照等级保护三级建设及整改,区域/路段中心系统、收费站系统、ETC门架系统在通信网络、区域边界和计算环境方面按照等保三级要求设计。
- 边界防护
对于省联网中心所在网络划分不同的安全区域,如划分为办公区、生产区、运维管理区、分支接入区、互联网区等。针对各安全区域边界提供下一代防火墙、IPS、WAF等基础安全防护,有效防止内外部攻击。
3.数据保护
对于收费站、区域路段等连接到省中心的线路,除提供专线连接外,部署VPN设备,提供符合商密要求的备份线路连接。对于访问收费专网业务的用户,提供统一身份认证授权。
4.关键设备冗余
对收费站、ETC门架系统等的关键网络安全设备,进行必要的冗余设计,以降低通信链路、系统功能存在的安全隐患。在收费专网出口部署至少2台应用交付设备,保障业务交付质量,防止跨运营商访问,并自动选择最优最快业务访问路径。 - 备份恢复
分阶段建设实现“两地三中心”。关于同城数据中心,建议在省中心20KM内建设一个双活数据中心,条件允许的话利用现有机房空间新建双活省数据中心。
整体安全方案按照等保2.0要求设计,在建设完成后,满足2019新版等级保护标准,且方案中所使用安全设备符合国家商密要求。
此外,方案从可视的深度、广度两个层面,对全网资产、资产脆弱性、潜伏威胁等进行直观的可视化展示,从业务的视角,实现安全风险的可视、可控、可管。在全网安全可视基础上,用户可以极大降低运维的复杂度,提升安全治理水平。
取消高速公路省界收费站是提高我国高速公路现代化水平的重要举措,面对该重要改革窗口期,广州铭冠信息 基于对交通行业的深厚经验积累,秉持“面向未来 有效保护”的安全理念,保障高速公路联网收费系统整体网络安全,助力智慧高速畅行!