高速公路业务专网边界防护的应用研究

摘 要：文章在列举了多种网络边界安全防护技术的基础上，提出了高速公路业务专网边界防护系统体系架构方案，可以实时扫描边界网络结构的变化情况，及时掌握网络设备的各项动态，实现对业务专网边界网络的监控和管理，将业务专网拓扑结构的改变以可视化方式展示给系统管理员，能够检测出违规接入业务专网的情况，确保高速公路业务专网的安全性和保密性。该系统界面友好、操作性高、灵活性强，具有良好的扩展性。

关键词：高速公路；网络安全；边界防护

1 概述

随着国家大力推进高速公路建设工作，ETC（不停车收费系统）联网工作也取得了有效进展。ETC的正常稳定运行必须依靠一个性能强大的业务专网系统进行实时监控和控制管理。但是，我国各省份高速公路ETC联网使得网络边界结构比较模糊，承载着重要业务的专网结构面临着各种安全威胁，以及ETC联网边界存在的收费设备误操作等问题，进一步导致了高速公路业务专网失去有效的安全监管。因此，只有构建完善的高速公路业务专网边界防护体系，才能确保高速公路整体业务专网安全、稳定、正常的运营。

2 网络边界安全防护技术

2.1 防火墙系统

防火墙系统主要依靠包过滤技术、应用网关和子网屏蔽等手段来阻止外部网络地址对内部网络发起访问，以保证内部网络不会受到安全威胁。各个省份高速公路业务专网的联通使得其需要连接公共网络，因此，只有在不同网络之间配置安全可靠的防火墙系统，才能确保高速公路业务专网数据的保密性。但是，防火墙系统对于内部网络并不能起到良好的安全防护作用，无法对应用层数据信息进行识别，如果恶意入侵者将木马病毒嵌入到应用层软件中，很容易绕过防火墙系统进入内部网络。同时，防火墙系统的静态安全技术根本无法检测内部网络中的安全威胁，导致高速公路业务专网受到各种安全威胁。

2.2 入侵检测系统

IDS（入侵检测系统）是由网络设备和应用软件共同构成的安全防护技术。入侵检测系统采用的是动态安全技术，主要通过实时监测网络流量、判断系统性能等手段来检测是否有外部恶意入侵者对网络发起攻击，以及是否存在非授权用户违规操作等。入侵检测系统可以及时拦截网络攻击行为，防止误操作带来的安全威胁问题，是对防火墙系统安全防护功能的进一步完善。

在我国高速公路ETC联网工作的大力推进背景下，防火墙系统与入侵检测系统在高速公路业务专网边界防护中的联动应用还比较欠缺。ETC联网进一步导致了高速公路业务专网边界越来越模糊，防火墙系统设置的网络结构范围已经无法满足现实需求。不同省份之间采用的防火墙系统和入侵检测设备生产厂商各不相同，不同银行之间的收费业务流程和要求也存在差异，使得防火墙系统与入侵检测系统之间没有统一有效的定义，外部恶意入侵者很可能进行伪装后进入高速公路业务专网，此时，入侵检测系统无法检测伪装数据包的合法性，防火墙系统也无法阻止外部恶意入侵者的非法接入。

2.3 统一威胁管理系统

目前，网络攻击手段形式多样，当人们开始整合利用网络安全防护技术，以达到提高网络安全性能的同时，网络攻击也越来越复杂多变。因此，网络安全防护策略需要一种综合性的安全防护设备进行统一管理，防止混合型网络攻击的肆意蔓延。

UTM（统一威胁管理系统）是一种将防火墙技术、入侵检测技术、防病毒技术结合应用的安全网关系统，具有高效的安全防护功能，可以全面应对混合型网络攻击，确保网络信息安全可靠。统一威胁管理系统将防火墙技术、入侵检测技术、防病毒技术等整合于同一个网络安全管理平台中，解决了防火墙系统和入侵检测系统之间存在的设备厂家不同、型号不同的问题，有效提高了统一管理效率。用户采用该平台可以实现对各种网络安全防护功能的控制和管理，随时查看网络流量分析日志等。

3 高速公路业务专网边界防护系统需求

（1）对与外部公共网络连接的高速公路业务专网的网络拓扑结构进行系统扫描，得到可视化图形，在人机交互页面上直接显示发生变化的网络拓扑结构。

（2）能够对高速公路业务专网的边界进行实时监测，监测需要接入业务专网的网络设备类型，及时发现网络设备的异常状态。

（3）对于需要接入到高速公路业务专网的各种设备采取认证手段，确保接入的网络设备均是合法且注册过的。

（4）及时采集于高速公路业务专网边界防护系统的报警信息，根据类型采取对应的操作处理措施，保证业务专网正常稳定的运行。

（5）由于高速公路业务专网需要与很多公共网络进行连接，其运行始终处于复杂的网络环境下，各种网络设备的生产厂家和型号各不相同，需要完善统一的体系结构实现安全防护，因此系统需要良好的通用性。

（6）能够将高速公路业务专网系统的网络结构变化以网络拓扑结构的方式展示在可视化界面上，具有实时性。

（7）为了确保高速公路业务专网始终处于正常稳定的运行状态中，需要对其进行动态实时监测，此时要求系统的稳定性较强。

（8）系统能够对业务专网内各种网络设备发来的故障报警信息进行实时采集，并且以最快速度采取相应的处理措施，要求系统具有强大的数据处理分析能力。

4 高速公路业务专网边界防护系统体系构建

文章提出的高速公路业务专网边界防护系统体系架构由系统服务器、工作主机和系统监测终端共同构成。可以实现对高速公路业务专网实际运行情况的实时动态监测，对业务专网内的数据信息进行分析后获得网络拓扑结构，以及各种网络设备的工作状态等，最后将这些信息存储到系统数据库中，方便系统管理员的随时调取和查询。

在高速公路管理控制中心部署系统服务器模块，可以对整个高速公路业务专网的变化情况进行实时动态监控，并存储扫描信息，生成可视化图表，实现对高速公路业务专网的边界防护。系统监测终端负责监控高速公路业务专网的运行情况，及时处理各种报警信息。工作主机负责对接入业务专网身份的验证。

通常情况下，系统管理员可以运行实时监测系统来实现对网络工作主机的管理。系统数据库服务器负责保存业务专网扫描原始信息，以及网络拓扑结构变化情况的存储。在高速公路业务专网配置监测终端，负责对接入业务专网的数据信息进行扫描和验证，根据动态监测数据来判断高速公路业务专网是否安全。

5 结束语

综上所述，文章提出的高速公路业务专网边界防护系统可以实时扫描边界网络结构的变化情况，及时掌握网络设备的各项动态，实现对业务专网边界网络的监控和管理，将业务专网拓扑结构的改变以可视化方式展示给系统管理员，能够检测出违规接入业务专网的情况，确保高速公路业务专网的安全性和保密性。同时，该系统界面友好、操作性高、灵活性强，具有良好的扩展性。

参考文献

[1]柳爱民.浅析高速公路机电通讯网络故障的诊断及排除方法[J].科技尚品，2015，7：37-38.

[2]刘建龙.浅谈计算机和网络通讯技术在高速公路建设管理中的应用分析[J].信息化建设，2016，1：91.

[3]赵朝部，兰良.高速公路联网收费系统网络安全优化分析[J].网络安全技术与应用，2015，3：128+131.

[4]戚奇卫.论网络数字化视频传输系统在高速公路监控中的应用[J].中国新技术新产品，2015，13：23.