网络安全态势感知在高速公路联网收费系统中的应用

郭骁炜，樊升印

(1.中国公路工程咨询集团有限公司，北京 100089； 2.中咨泰克交通工程集团有限公司，北京 100083)

0 引 言

目前，中国已实现29个省(区、市)ETC联网运行，全国ETC车辆在省界主线收费站不停车缴费通行，显著提高了高速公路的通行效率和服务水平。高速公路联网收费一直是以省(区、市)界收费站物理隔开，实行分省计费和收费。截至2019年2月，全国高速公路收费站约9 400个，ETC专用车道共20 494条，混合车道1 917条，MTC车道62 249条，每天交易量约为3 000万笔。

2019年，交通运输部经多次研究，明确表示要把取消全国高速公路省界收费站工作作为交通运输的重大政治任务和头等攻坚工程来抓。取消高速公路省界收费站及“一张网”建设的步伐加快，对网络安全提出了更高的要求，迫切需要采用顶层的、宏观的安全防护技术手段和总体的、全局的管理抓手，从而掌握网络安全全貌，保障全网安全。

1 网络安全需求分析

由于各省市收费系统在不同时期开展建设，其建设标准、完善程度、运维状况差异较大。部分省中心系统在物理安全、网络安全、主机安全、应用安全、数据安全等方面存在一定漏洞。各省关键业务系统缺乏有效防护，高危主机和漏洞比例偏高。多数操作系统和数据库补丁未及时更新，病毒、恶意代码库升级不及时，缺乏对恶意代码的防范与管理。互联网攻击防范能力差，数据安全存在较大风险。另外，各省系统运行维护和网络安全的人员普遍不足，部分省市没有专职安全人员，没有固定的专业安全支持团队，相关人员未经过专业培训，能力和水平不足。

1.1 全网联动后安全风险增大

由于各级系统安全管理防护较为分散且水平差别较大，普遍缺乏安全监控措施，无法起到有效的安全防护。全国ETC联网改变了原有高速公路分省运营模式，系统运营存在着由点及面、一点异常造成全网受影响的风险，对构建系统、数据和管理的信息安全体系提出了非常高的要求。

1.2 缺少统一的全网安全监测预警体系

目前，部省各级收费系统尚未形成全网统一的网络安全监测预警技术体系。在实现全国联网收费系统“一张网”运行后，随着全网业务的发展和服务能力的提升，将放大部级中心单点故障对全网业务及系统安全造成的风险，迫切需要建立全网统一的网络安全监测预警体系。

在加强整体安全防护的同时，应提高网内、网外攻击的监测预警能力，杜绝大范围、高破坏性的网络事件发生，保障全网安全运行处于可控、可管的状态。通过搭建服务于取消高速公路省界收费系统的网络安全态势感知平台，能够及时感知到系统中存在的网络安全风险隐患，保障取消高速公路省界收费站后全国联网收费的安全稳定运行。

2 网络安全态势感知平台的构建

根据业务问题分析和根源分析，网络安全态势感知平台应满足安全数据采集、海量数据分析、安全监测预警、安全政务管理、基础信息管理、安全展示和信息安全需求等功能[1]。以“服务导向”为出发点，以实现全网态势感知及联动为工作目标，解决联网运营中出现的监测效率低下、事件感应迟缓的问题，保障运行效率和服务水平，共同确保全国联网收费公正、透明、安全、高效，最终达到部级防护、全网感知、横向交互、纵向协同的目标。

建设部级安全态势感知平台，主要完成部联网中心安全态势感知平台的建设及各省中心、站点的安全数据接入，实现数据采集、分析和安全业务的在线管理，提高部级联网收费系统的安全防护能力。总体布局示意图和总体网络拓扑规划示意图分别如图1、2所示。

图1 总体布局

新建安全管理服务域，主要用于对省、站和外部业务数据对接，以及运行安全态势感知平台及其相关子系统。新建采集域，用于实现对原有安全告警、运行日志、业务系统运行状态等信息的采集。基于现有网络，实现对省级联网中心态势感知平台和站点的安全数据收集。

安全态势感知平台逻辑架构按照功能划分为展示层、业务逻辑层、数据分析层、数据采集层。展示层实现对综合态势和安全政务相关数据的展示；业务逻辑层实现安全监测预警、安全政务管理和基础信息管理；数据分析层主要实现对威胁情报、敏感数据、网络攻击等的关联分析；数据采集层实现对部级、省级、站级以及其他数据源的采集[2]。总体逻辑架构如图3所示。

图2 总体网络拓扑规划

图3 部联网中心系统逻辑架构

3 网络安全态势感知平台建设方案

网络安全态势感知系统是通过对全量安全数据的采集、分析、预警和展示来实现安全业务的全过程管理。安全态势感知系统的建设具体包括数据采集系统、安全数据分析系统、安全监测预警系统、安全政务管理系统、基础信息管理系统和安全展示系统。

3.1 数据采集系统

部省级数据采集主要内容包括：状态信息、漏洞信息、流量信息、风控数据、运行日志、安全日志、告警信息、事件信息和威胁情报等[3-4]。

站级数据采集主要采集遍布全国的站点安全数据，如站点的安全事件、日志流量。采集到站点的病毒信息、日志信息、状态信息后上传至部级平台，部级平台基于采集的各类信息进行站点级别和全网级别的安全事件分析、预警和展示。其他数据采集可包括威胁情报(如国家级的威胁情报库、第三方厂商的威胁情报库等)的采集和资产(如网络设备、安全设备、主机系统等)安全信息的采集。

3.2 安全数据分析系统

通过大数据分析技术构建安全数据分析平台，形成分层架构技术、分布式数据处理能力，建立大容量的数据存储、分析查询和实时流式数据处理分析能力。安全大数据智能检索能力包括三部分：原始数据索引、索引数据查询和索引数据展示。从外部渗透、建立通道、内部扩散到外发数据的完整攻击链和攻击上下文信息进行攻击路径分析。安全数据分析系统具体实现以下功能：威胁情报分析、敏感数据分析、实时监控分析、日志信息分析、安全政务管理数据分析以及网络攻击分析。

3.3 安全监测预警系统

安全监测预警系统是基于采集的全量数据的分析结果，对全网的安全总体情况进行监测，并综合判断后进行有效预警。安全监测预警系统包括以下8个监测预警模块。

3.3.1 威胁预警

基于数据源层采集的各类信息，通过威胁情报分析，并综合关联现有资产状况、报警日志和其他相关信息，识别出安全威胁并予以预警，便于安全人员开展后续的研判和处置工作。

3.3.2 漏洞管理

通过采集最新漏洞信息，结合主机扫描、基线扫描等漏洞信息对全网漏洞信息，进行统一关联分析，便于安全人员有效地跟踪漏洞发现、整改和验证工作，清晰掌握全网的安全弱点并开展管理控制工作。

3.3.3 攻击识别

对恶意攻击行为进行识别并预警，尤其是针对大规模、计划性的攻击行为，基于攻击过程识别、推断，从而实现对这类攻击的有效预警和防范。

3.3.4 病毒监测

通过采集、汇总病毒信息，全方位多层次地分析病毒爆发及传播趋势，从而获取病毒传播源头与感染情况，便于及时、全面了解病毒事件，有效地采取措施，做到及时发现、及时处理、及时预防，从而防范病毒的入侵和传播，减少病毒事件对全网造成的威胁和安全隐患。

3.3.5 状态监控

对重要资产进行实时、深度监控。一旦被监控的状态指标项突破阈值，将自动进行状态变化的预警，并可通过邮件或其他形式通知安全人员进行有效应对。

3.3.6 数据管控

对业务数据在传输、处理、分析、共享的过程中进行脱敏处理，从而保证业务敏感数据能够被安全地应用、安全地传输，避免业务敏感数据泄露及扩散。

3.3.7 安全事件

经过综合研判，确认发生安全事件后，结合事件发生单位、发生时间、影响范围、影响程度等进行事件分级和分类，为应急响应提供决策和数据支撑。

3.3.8 业务风险

基于对业务系统的监控和关键业务数据的采集分析，结合风险模型计算，评定业务风险所在的风险等级和风险数值，并对监控结果进行及时预警，将相关事件同步至部联网中心风控系统。

3.4 安全政务管理系统

安全政务管理系统包括等保工作管理系统、信息通报管理系统、并网接入管理系统和安全培训系统。等保工作管理系统主要包括日常工作、定级备案、等级测评、建设整改和相关支撑知识库等模块；信息通报管理系统主要包括信息上报、信息通报、值班管理和信息通报渠道管理等模块；并网接入管理系统主要具备检查信息填报、检查项配置、自查管理、结果统计分析等功能；建设安全培训系统提供多个方面的试验、实训及工程实践，涵盖多层次的实验操作，以真实环境下的真实案例为操作指南，贴近实际岗位能力要求。

3.5 基础信息管理系统

基础信息管理系统可进行用户权限管理、系统配置管理、地理信息管理和知识库管理，分别对登录使用态势感知平台的用户进行全生命周期管理，对态势感知平台系统的配置进行管理，对态势感知平台系统的地理信息进行管理，以及维护态势感知平台系统的知识库。

3.6 安全展示系统

3.6.1 综合态势展示

通过对全网、部级、省级以及各站点的安全威胁、漏洞信息、配置信息等各类安全数据进行收集，结合关联分析模型，实现对全网安全风险情况的总体把握，以实现不同层面的安全风险展示，展示内容包括各层面的业务系统安全风险指数、安全事件统计和处置状态、外部攻击统计、被攻击业务系统和IP排名、威胁来源国家/地区排名等内容的展示。

3.6.2 安全业务管理展示

基于安全业务管理系统中获取的各类数据进行统计分析，并将分析结果直观展示，便于从全网层面了解各项工作开展的情况。包括等保工作展示、信息通报展示、并网接入展示和安全培训展示，最终实现对不同省等级保护工作开展情况进行对比分析、趋势分析等，实现对信息通报工作不同维度的展示，如信息通报预警信息类型、不同漏洞类型、信息通报各省数量等以及实现对不同省并网接入工作开展情况进行对比分析、趋势分析等。

4 系统处理能力需求

4.1 核心业务数据处理能力

核心业务数据由日志报警信息、网络流量监测报警数据、网络流量行为分析系统、资产信息、业务信息、监测扫描信息、基础库信息等构成。这些核心业务数据的存储通过核心业务数据存储处理服务器进行存储处理和业务处理。

4.2 核心存储处理能力

信息系统存储包括部中心核心存储和异地数据灾备中心存储。根据业务系统设计，部联网中心核心存储需要保存日志报警信息、网络流量监测报警数据、网络流量行为分析系统、资产信息、业务信息、监测扫描信息、基础库信息数据。异地数据备份存储保存重要数据。

根据《网络安全法》要求：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月。结合行业自身需求，信息保存期限建议为1年。根据业务流量测算，信息来源主要包括日志信息、网络流量信息、业务信息、资产信息、监测扫描信息和基础库信息。信息量估算如表1，因此，基本存储总容量应不小于908 TB。

表1 数据量估算

5 结 语

本文提出了高速公路联网收费网络安全态势感知平台的建设方案，开创性地使用安全态势感知技术，极大地提升了高速公路联网收费系统的安全监测和预警能力，有助于及时发现各类网络攻击行为和安全事件，为应急响应指挥调度和网络安全工作决策提供数据支撑，保障收费公路联网收费系统整体能够安全、稳定运行，为推动取消全国高速公路省界收费站的顺利实施提供坚持的安全保障。