高速公路联网收费系统并网接入分区分域改造要点分析

高速公路联网收费系统并网接入分区分域改造要点分析

任彬彬 张飞飞

（安徽省交通规划设计研究总院股份有限公司，合肥，230088）

摘要：基于最新联网收费系统省域系统并网接入网络安全基本技术要求的总体思路，针对所涉及到的路段中心、收费站、门架级收费网络的现状进行分析，提出分区分域改造要点，为日后联网收费系统省域系统并网接入网络改造提供良好的参考。

关键词：联网收费 分区分域 网络改造

1、概述

依据最新《联网收费系统省域系统并网接入网络安全基本技术要求》的总体安全要求，收费公路联网收费系统划分为全国中心系统安全区、省联网中心系统安全区、区域/路段中心系统安全区、收费站系统安全区、ETC门架系统安全区、ETC发行系统安全区六个安全区。

省域联网收费系统网络各安全区可参考下图，以确保安全、便于管理为原则，根据实际需求选择划分图中相应的安全域，对安全区内网络进行分域管理。目前联网收费系统网络尚难以满足最新的分域管理需求，需要进行必要的改造。

图 收费公路联网收费系统网络安全区域划分

2、分区分域改造目标

（1）构建基于全域的态势感知系统，基于环境的，动态，整体地洞悉安全风险的能力，是以安全大数据为基础，从收费网络全局视角提升对安全威胁的发现识别、理解分析、响应处置，最终解决收费网络安全威胁，提升收费网络安全基线。

（2）改造路段中心收费网络架构，满足分区分域及安全提升要求，并通过构建顶层态势感知平台，对收费站级安全设备进行统一监管，提升收费终端网络安全。

（3）解决管理单位（管理公司、管理处、管理中心）收费网络风险暴露面，彻底拆除历史遗留相关收费网络设备及安全设备，在满足业务同时，满足网络安全要求。

（4）对收费站、门架网络进行分区分域改造，满足部标文件要求，细化了终端网络安全颗粒度，提高收费站、门架网络安全级别。

3、联网收费系统网络存在问题

参考典型高速公路收费业务网络架构为四级：部联网中心——省联网中心——路段中心——收费站。在收费系统部署了核心防火墙设备、终端管控（准入）设备、日志审计设备、病毒防护软件，通过人工方式进行服务器和网络设备安全加固。收费站ETC门架系统数据至部联网中心的传输采用4G物联网进行传输。根据最新的技术要求，目前主要存在以下问题。

（1）现有收费系统安全设备部署架构不满足《联网收费系统网络分区分域管理指南（试行》中分区分域要求，收费站仅对收费站网络按照收费车道、ETC门架系统、收费站控制室三个域进行VLAN的划分，但未进行安全域的隔离。

（2）收费系统网络中安全设备有防火墙、终端管控（准入）系统、日志审计、防病毒系统、系统漏扫等多个系统平台，且平台由于不能跨厂家进行相应安全设备管控，存在各安全设备、各安全设备管理平台各自为战，在进行相关攻防演练的过程中，安全服务人员需要同时分析多个平台设备的日志记录，影响工作效率，不利于整体数据分析。

（3）网络安全设备涉及类型、品牌多，集中管控困难。目前大部分站点缺乏运维管理人员统一运维，系统没有正式启用，大量设备的客户端没有安装；客户端离线情况未知。

4、分区分域改造要点

4.1安全域划分

（1）路段中心主要承担本路段各收费站收费链路汇聚、收费业务数据汇总、上传、收费稽查、系统运行维护等相关职责。路段中心系统安全区网络根据实际需要可划分为核心业务域、辅助业务域、其他业务域、核心交换域、安全管理域、业务终端接入域、运维终端接入域、上级单位接入域、下级单位接入域等。

（2）收费站系统安全区网络根据实际需要可将网络划分为核心业务域、其他业务域、核心交换域、安全管理域、业务终端接入域、运维终端接入域、上级单位接入域、ETC门架系统接入域、车道系统接入域等不同的网络区域。

（3）ETC门架系统安全区根据实际需要可划分为核心业务域、上级单位接入域、门架设备接入域。

4.2 安全域边界防护

（1）系统安全区内各安全域边界可通过部署防火墙、入侵检测/防御、防病毒等安全系统或启用具备ACL（访问控制列表）功能的路由器、交换机、负载均衡器等有效措施对各安全域进行技术隔离，并按照便捷、集约管控的原则为各网络域分配地址。

（2）应为与联网收费中心安全区之间进行通信的计算设备、安全防护设备实现双向认证，保障网络通信安全。

（3）严禁在系统安全区内开展收费专网直接与互联网交互的业务应用。

（4）安全管理域应能够建立安全的信息传输路径，对网络中的安全设备或安全组件进行集中管理。

（5）系统安全区收费专网应禁止无线局域网络的使用。

（6）核心业务域、辅助业务域、其他业务域、核心交换域、安全管理域、终端接入域等不同的安全域可通过部署防火墙、路由器、交换机或者带ACL（访问控制列表）功能的负载均衡器等有效措施进行技术隔离。

（7）上级单位接入域、下级接入域应通过部署防火墙、入侵防御等防护设备，实现入出口边界域隔离与入侵防护，边界防护设备上（如防火墙）根据访问控制策略设置访问控制规则，默认情况下除允许通信受控接口外拒绝其他所有通信，访问控制粒度为传输层协议端口级。

（8）核心交换域应部署具备入侵检测/防御功能的设备，检测从内、外部发起的网络攻击行为。

（9）应对非授权设备私自连接到路段中心系统安全区，以及路段中心系统安全区内设备非授权连接到收费专网外部网络的行为进行检查和限制，阻止非授权接入访问和违规外联。

（10）应在传输接入域的边界部署恶意代码检测设备或具备防病毒模块的安全设备对恶意代码进行检测和清除。

（11）应对跨区域访问的用户通过堡垒机、网络审计、终端管理等管控类系统进行身份鉴别、权限控制和安全审计，覆盖至每个用户，并对用户行为（如远程访问、系统操作等）进行审计。

（12）应采用接入防护设备等强化RSU、车牌图像识别设备、工控机等外场设备的接入认证。

4.3站——部传输主用链路的改造

目前站——部收费数据传输主要采用无线传输方式，由于无线信号受到环境、天气等干扰因素较多，传输稳定性较有线传输方式差。利用交通部信息中心国家高速公路通信干线网将试点站站——部传输主用链路由4G物联网方式调整为有线方式，打通路段中心与国家高速公路通信干线网节点的链路通道，实现主链路的切换，为全省各站点的站——部传输主链路的改造提供支撑。

作者简介：

任彬彬，正高级工程师，安徽省交通规划设计研究总院股份有限公司。

1