北鬥對時伺服器（對時裝置）應用于高速聯網收費系統

北鬥對時伺服器（對時裝置）應用于高速聯網收費系統

北鬥對時伺服器（對時裝置）應用于高速聯網收費系統

夯實安全實體環境

實體安全是整個網絡資訊系統安全的前提，實體安全必須具備環境安全、裝置實體安全和防電磁輻射等實體支撐環境，保護網絡裝置、設施、媒體和資訊免受自然災害、環境事故以及人為實體操作失誤或錯誤導緻的破壞、丢失，防止各種以實體手段進行的違法犯罪行為。

本次項目的機房建設包含路段中心機房和收費站機房建設，應嚴格按照國家對資訊系統機房的建設标準，機房應在各方面滿足等級保護的相關要求。

安全分區分域而治

根據闆塊網絡整體安全需求，并結合《網絡安全等級保護基本技術要求》和《網絡安全等級保護安全設計技術要求》中的相關要求，區域劃分如下：

(一) 區域/路段中心收費網

 收費網伺服器區

包含收費網伺服器區交換機和應用伺服器。包含該路段的相關監測平台，業務輔助類系統等

 核心網絡區

包含核心交換機和邊界安全裝置，對網絡資訊系統起資料通訊支撐作用。向上連接配接省中心，向下連接配接各收費站及門架系統。負責門架系統網絡、收費站系統網絡、及分中心系統與省中心、部中心的資料互動；主要負責着各區域間的通信。這樣部署提高了網絡通訊新能，增加網絡可靠性和安全性，為今後網絡資訊系統擴充提供了一個基礎網絡平台。

 安全管理區

包含網絡安全管理能力，如身份認證及審計系統、資料庫審計系統、流量行為檢測系統、脆弱性掃描系統、防火牆統一政策管理與分析系統、終端統一管理，病毒庫更新等，與所有的區域都有通信，連接配接核心網絡區。

 業務終端接入區

包含終端接入交換機，與業務伺服器區有通信，連接配接核心網絡區。

 外聯業務接入區

外部機關業務/系統，如電子發票系統，稅務、公安、第三方支付、銀行及資料備份中心等

(二) 收費站

 收費業務區

包含收費網伺服器區交換機和應用伺服器。包含該路段的相關監測平台，業務輔助類系統等

 裝置接入區

包含收費站各系統前端裝置，包含RSU裝置、車輛識别裝置，收費終端，ETC車道裝置等。

(三) ETC門架接入區

 主要負責與ETC門架系統進行安全接入。

核心鍊路加密通信

在資訊傳輸和存儲過程中，必須要確定資訊内容在發送、接收及儲存的一緻性；并在資訊遭受篡改攻擊的情況下，應提供有效的察覺與發現機制，實作通信的完整性。而資料在傳輸過程中，能夠抵禦不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證資料的機密性。

所建設能力裝置應有國家密碼管理局頒發的商用密碼産品型号證書，支援國密算法加密。

統一邊界防護标準

(一) 多元通路控制能力

在分區分域原則的指導下,基于技術措施實作安全域間隔離、邊界通路控制，對進出網絡邊界的資訊内容進行過濾,防止非授權的通路及病毒、蠕蟲的蔓延。

(二) 深度攻擊檢測能力

适應攻防的最新發展，準确監測網絡異常流量，通過動态、深度、主動的安全檢測，挖掘各層面安全隐患，第一時間将安全威脅阻隔在網絡外部，實作看得見、檢得出的安全目标。

(三) 網絡流量檢測能力

應對新型攻擊帶來的威脅，從流量檢查、智能識别、環境感覺、行為分析四方面加強對應用協定、異常行為、惡意檔案的檢測和防護，提供動态的、深度的、主動的安全防禦，實作看得見、檢得出、防得住的完整解決方案。

(四) 邊界完整性的能力

防止網絡資源不受非法終端接入所引起的各種威脅，在有效管理使用者和終端接入行為的同時，需采用技術手段保障終端入網的安全可信，同時達到了規範化地管理計算機終端的目的。

邊界完整性的檢查能力包括終端PC，網絡當中的一些啞終端，以及收費站及ETC門架系統的泛終端（如攝像頭）

(五) 日志審計可追可溯

及時識别入侵攻擊、内部違規等資訊，且為安全事件的事後分析、調查驗證提供必要的資訊，更好的監控和保障資訊系統運作。

加強應用安全防護

加強應用安全防護，Web伺服器端是Web安全防護的重要環節，應用請求和惡意通路攻擊均由Web應用安全防護來承擔處理，清洗、過濾後Web，應用安全防護向真實的伺服器送出請求并将響應進行整形、壓縮等處理後送交給請求用戶端。這樣可以很好的防範來自網絡中正對應用的威脅，保護網站的安全、穩定、高性能運作。

精準資料安全管控

(一) 資料庫安全審計能力

對業務網絡中的資料庫進行全方位的安全審計，記錄所有對保護資料的通路資訊，包括檔案操作、資料庫執行SQL語句或存儲過程等，審計所有使用者對關鍵資料的通路行為，防止外部黑客入侵通路和内部人員非法擷取敏感資訊。統計和查詢所有被保護資料的變更記錄，包括核心業務資料庫表結構、關鍵資料檔案的修改操作等等，防止外部和内部人員非法篡改重要的業務資料。統計和查詢所有使用者的登入成功和失敗嘗試記錄，記錄所有使用者的通路操作和使用者配置資訊及其權限變更情況，可用于事故和故障的追蹤和診斷。記錄和發現使用者違規通路。支援設定使用者黑白名單，以及定義複雜的合規規則，支援告警。

(二) 敏感資料的洩露防護

以内容檢測識别為核心；以網絡邊界以内為範圍；以網絡資料安全為目标；以檢測、攔截、警告、記錄、分析為手段，實作資料安全綜合防護。

建構終端安全閉環

終端安全依據“終端防護、統一準入、安全可視、在運合規、安全響應”的管控原則。最終建構終端安全閉環，實作多元主動防禦。

(一) 終端病毒和惡意代碼分析防範能力建設

全網建立終端病毒和惡意艾瑪分析防範的能力，通過集中管理端實作對病毒清除政策、病毒庫的統一更新管理。還可以通過采用雲清除引擎、未知病毒檢測等新技術，解決傳統防病毒軟體本地特征庫對新型病毒清除效果不明顯的問題。

(二) 落實終端安全管理技術能力建設

在終端落實安全管理技術能力的建設，通過控制中心制定政策，進行全網終端的流量監控、非法外聯監控、應用程式黑白名單控制、外設管控、桌面安全加強等。

打造技防管理大腦

(一) 裝置安全運維與審計

将運維人員與被管理裝置或系統隔離開來，所有的運維管理通路必須進行身份認證、授權、及審計。運維人員在操作過程中首先進行身份認證和權限檢查後，然後連接配接到目标裝置完成遠端管理操作，并将操作結果傳回給運維人員，同時需對所有的運維操作及結果進行審計記錄。

同時需要運維管理的集中權限管理和行為審計，同時也需要解決加密協定和圖形協定等無法通過協定還原進行審計的問題。

(二) 政策集中管理與分析

安全政策的有效性和時效性已經成為運維的一大難題，需要通過技術手段實作集中化、可視化的網絡邊界通路控制管理，協助網絡安全管理人員統一管理網絡通路控制政策，并結合網絡安全域管理和安全政策的定義，實時分析網絡安全政策執行情況，通過細粒度的按需申請自動化部署安全政策，最小化網絡受攻擊面，進而提升網絡安全運維人員效率，簡化網絡權限管理複雜度，避免人工操作造成的錯誤配置，保障配置管理和變更管理規範和合規。

(三) 集中安全營運與管理

建設集中安全營運和管理中心，明确系統管理者、審計管理者和安全管理者的職責，并進行職責和權限劃分，通過安全管理中心實作威脅管理、資産管理、拓撲管理、漏洞管理、日志搜尋、場景化分析、工單、調查分析、知識庫、報表管理及态勢感覺等能力。

協同關聯安全處置

資料驅動安全，打破安全能力孤島，建立協同關聯的安全防禦能力，通過軟體層面，資料層面的政策配置，實作主要安全能力之間的協同關聯，積極處置的能力。在合規的基礎上實作更高安全防護能力。如邊界與終端關聯、管理中心與邊界關聯、威脅感覺與終端關聯等。

客戶價值

管理收益

(一) 合規合法

通過以上方案設計，實作在實體環境、安全網絡通信、安全區域邊界、安全計算環境和安全管理中的網絡安全建設，完全能滿足網絡安全法的相關要求，也能滿足等保2.0中的各項要求，也能滿足交通部關于取消高速公路收費站聯網系統建設改造項目的技術要求。在合規合法的前提下，實作網絡安全。

(二) 采用“安全與服務”理念，安全建設新思路

實作終端、網絡、資料、應用等根據自身安全需要調用安全服務并具有彈性可擴充特征的服務能力。同時具備對安全資源的統一監控排程和配置設定的能力、統一的一體化的協同處理和容錯能力。

經濟收益

(一) 終端安全整體設計，安全能力一體實作

規劃方案中涉及終端相關的安全能力建設，盡可能集中和統一，包括管理中心的統一和終端用戶端的統一，實作一體化設計和部署，強化XP系統的安全防護。同時為保障各闆塊統一性，全局性，實作終端4個統一：防病毒統一化，部署統一化，管控統一化，更新統一化。

(二) 充分結合項目安全建設現狀，最大化降低實施難度

考慮到項目的工期要求較緊、終端分布較散、終端系統類型較多等特點，對于終端的安全防護，一體化設計将大幅降低實施難度，同時解除終端相容性、穩定性、藍屏等困擾，有效避免了一個終端安裝多個Agent帶來的煩惱，極大節約系統發揮效用的時間。在部署上隻需在控制中心開啟相應的功能許可子產品，即可實作相應功能。

終端安全管理系統，實作兩種安裝方式：線上安裝和離線安裝，根據實際情況靈活運用，提高本次項目終端安全部署的效率、降低項目工期，提高部署品質。

發展收益

(一) 邊界+終端+流量深層檢測協同防禦

通過邊界+終端+流量深層檢測協同的方式，發現未知威脅，自動更新防護政策并響應。建構基于全網資料檢測、響應、追溯的安全體系，為防禦未知威脅形成一個閉環。

(二) 安全覆寫網内泛終端，實作物聯終端安全可控

通過對泛終端裝置（攝像頭及亞終端、PC終端等）的發現，識别和注冊，防止終端仿冒，保護物聯場景下的終端安全。

(三) 态勢感覺與營運平台提供整網态勢，提高營運效率

後期，規劃在集團建立态勢感覺營運檢測中心，分公司建立安全營運分中心，可以針對全網安全風險的集中管理、綜合分析、安全可視化、安全通報預警與安全集中處置，下級的路段中心的安全管理中心或日志收集與分析系統可以作為态勢感覺平台的安全節點采集器，實作可實作對網絡安全的态勢覺察、跟蹤、預測和預警，全面、實時掌握網絡安全态勢，及時掌握網絡安全威脅、風險和隐患，及時監測漏洞、病毒木馬、網絡攻擊情況，及時發現網絡安全事件線索，及時預警通報重大網絡安全威脅，及時處置安全事件，有效防範和打擊網絡攻擊等違法犯罪活動，達到實時态勢感覺、準确安全監測、及時應急處置等目标。