(广州市高速公路有限公司 营运分公司 511385)
摘要:如今,我国高速公路联网收费系统的应用已经十分成熟,但是其中网络安全问题是人们关注的焦点。收费系统中储存着高速公路收费信息等,一旦发生泄漏等问题,将直接损害高速公路通行用户及高速公路业主的利益,因此,应对高速公路收费系统的网络安全应给予足够的重视。本文就影响高速公路联网收费系统网络安全的主要因素以及针对系统安全采取的主要策略和措施进行了分析与论述,以降低收费系统运行风险,提高运行效率,保证联网收费业务的正常运行。
关键词:高速公路;联网收费;网络安全;数据安全;安全风险;安全策略;
0引言
随着计算机和通信技术的高速发展,网络的应用越来越广泛。目前,各省高速公路普遍使用联网收费系统进行收费。使用联网收费系统能够提高收费工作效率,规范收费管理,有效的实现信息资源共享。收费系统是高速公路不可缺少的重要部分,因此必须有一定的安全防范措施和内部安全管理机制才能为联网收费系统的正常运行保驾护航。目前,我国大部分省份高速公路都采用联网收费管理系统,这就意味着收费网络不再是一个完全封闭的网络系统,原有的安全机制也已不再适用于现在的收费网络;另一方面,联网收费系统的安全、保密性仍没有得到足够的重视,并且存在相当一部分的收费系统管理员对网络架构和数据库不熟悉,这就使得联网收费的安全保密问题日益严峻了。针对高速公路收费网络的分级管理及各应用系统和外部广域网络等现状,本文提出一套关于优化网络环境、提高网络安全等级的解决方案。
1网络安全风险分析
1.1物理传输链路安全分析
物理传输链路是联网收费系统的运行基础平台,出现安全问题的大部份原因是源于管理不善,如线路被破坏等,直接导致通信中断。另外,非法入侵者可直接使用窃取装置从线缆窃取信号,将直接造成数据泄露或者被干扰、篡改。
1.2网络结构安全分析
通常,高速公路收费系统网络是通过专用线缆与Internet相连接,而网络设备、主机、应用系统等都不同程度地存在安全漏洞,攻击者可以利用存在的漏洞进行信息窃取甚至破坏。据调查,在现有的网络攻击事件中超过80%是来自内部网络的攻击。另外,各节点中的网络设备如路由器、交换机等都存在安全隐患,由于设置较复杂,疏忽了正确的安全性配置将使这些设备存在隐患。
1.3操作系统安全分析
服务器操作系统在安装之时,部分技术管理员未考虑系统安全性,因此安装通常都使用缺省设置,系统会默认安装很多无需使用的功能模块,同时也开放了相对应的端口,而端口恰恰是入侵者侵入系统的门户。操作系统的开发厂商都会在其产品里设置“后门”,加上系统本身不完善存在的漏洞,这些“后门”和漏洞将使联网收费系统失去最后一道保护屏障。在实际应用上,系统的安全性程度跟其安全配置是息息相关的,如果有高水平的安全配置,那么入侵者要成功进入内部网络的难度将大大增加。
1.4数据库安全分析
对于数据库应用程序,数据库的安全是至关重要的。目前联网收费系统数据的安全性仍未得到足够的重视,且大多数管理员对数据库管理不专业、不熟悉,对数据安全关心太少甚至忽略数据安全。以普遍使用的数据库SQL Server为例,入侵者利用安全漏洞和端口,构造SQL语句进行攻击,便能成功获取想要的数据,甚至破坏整个数据库。
1.5应用系统安全分析
应用系统的安全在前期由程序开发人员决定,所以在开发后期应检测程序是否存在安全漏洞并写上补丁程序,确保程序的完整性、安全性。
期刊文章分类查询,尽在期刊图书馆但是在后期应用中,应用系统的使用使得内容发生变化,这就需要系统管理员做好系统维护工作了。如果系统安全没有做好,导致系统被入侵,那么应用程序中做再多的安全防范也仍然难逃被破解、篡改的厄运。但收费系统绝大部分重要信息都在内部网络收发,因此信息的机密性和完整性相对来说就较为安全。
1.6网络安全管理机制分析
对于一个庞大的联网收费网络来说,必须具有完善的管理制度并严格执行,以减少因内部管理而造成的各种漏洞。而实际维护中,管理制度如同虚设,主要有以下体现:1)系统管理员设置的过于简单的密码,或者不设置密码;2)内部员工或开发人员利用网络非法侵入系统,泄露数据信息、进入数据库删除、破坏数据等;3)管理混乱,如使用相同的用户名、密码,容易导致信息泄密;4)管理员误操作导致系统或应用程序出现错误;5)机房可任意进出,给存有恶意的入侵者创造入侵、破坏条件。
2网络安全对策
2.1物理传输链路安全
物理传输链路安全主要包括环境和设备安全,包括设备防盗、防止线路截获、破坏,防电磁信息辐射泄漏、抗电磁干扰等。弱电系统在设计之时,应遵循布线部件标准和设计标准;布线方案设计应遵循布线系统性能、系统设计标准;布线施工安装应遵循布线测试、安装、管理标准及防火、防潮、机房及防雷接地等标准。详细内容参见国家标准《电子计算机机房设计规范》GB50174—93、国家标准《建筑与建筑群综合布线系统工程设计规范》GB30511—2000、国际标准ISO/IEC11801《信息技术—用户通用布线系统》、《国际电子电气工程师协会:CSMA/CD接口方法》IEEE802.3。
2.2网络结构安全
在架构网络之时,尽量采用国产且不同品牌网络设备,并关闭无需使用的端口,以降低被入侵风险。在Internet出入口设置网闸和防火墙,可以实现信息的安全隔离、系统防护、数据交换、病毒查杀等。网络结构上,可使用VLAN划分虚拟局域网,以增强局域网安全性,并抑制网络风暴、隔离含有敏感数据的用户组、降低信息泄密的可能性。因为不同VLAN之间必须通过路由器或者三层以上交换机传输信号,这样,就能防止一个网段出现问题而影响整个网络。
2.3服务器操作系统安全
常见的服务器操作系统有Windows Server、Unix、Linux等,本文以Windows 2003 Server为例论述服务器系统安全策略:
1)安装最新补丁;
2)设置磁盘权限,如:C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置;
3)关闭默认共享的空连,禁止Windows系统进行空连接;
4)关闭不需要使用的端口及服务,如:ComputerBrowser,Taskschedule,RoutingandRemoteAccess等;
5)使用高强度密码,并定期更换密码;
6)监控系统、查找安全威胁及漏洞。
2.4数据库安全
数据库(本文以SQL Server为例)的安全框架分为3个层次,即登入账户、资料库的管理、连接特定资料库的权限和使用者对所连接资料库部分的操作权限。针对以上层次,我们可使用以下方法加强数据库安全:
1)数据库账户安全策略:①使用WINDOWS系统认证模式;②使用安全的密码策略;③使用安全的帐号策略。
2)数据库安全管理安全策略:①安装最新版本的SERVICEPACK;②用安全基准分析器(如MBSA)来评估服务器的安全性;③加强数据库日志记录;④管理扩展存储过程。
3)数据库连接安全策略:①使用协议加密;②修改TCP/IP使用的端口,隐藏数据库TCP/IP端口;③拒绝通过1434端口的探测。
2.5应用系统安全
在应用系统安全上,主要考虑传输信号的加密、通信授权(详细内容参见国际标准ISO27034),必须加强登录过程的安全认证,以确保用户的合法性;在应用系统设计之初,应该编写严格限制登录者操作权限的相关程序,控制好操作限制范围。在应用软件开发后期,应重点扫描程序是否存在漏洞,认真检查程序的不足并加以修正。
2.6网络安全管理机制
为了保护网络的安全性,除了在网络设计上增加安全服务和系统管理员的安全培训外,还必须制订严格的管理制度,如“用户授权管理办法、机房管理办法、保密措施”等,并严格实施。网络安全一方面从纯粹的管理上即安全管理制度来实现,另一方面从技术上建立高效的管理平台,两者相辅相成,缺一不可。
3结束语
最难防御的问题,在于安全意识本身的加强。高速公路联网收费系统网络安全逐渐成为被关注的问题。联网收费系统从设计、实施到运行管理,除了采用先进的安全设备与技术,还要结合管理制度实施,才能有效的提高网络安全性,才能让高速公路联网收费系统网络得以正常、持久、安全的运行。
参考文献:
[1]金凌.高速公路联网收费系统的信息安全[J].计算机工程,2013(10).
[2]田保慧.高速公路计算机收费系统管理软件的开发[J].公路与汽运,2011(11).
论文作者:陈丹丹
论文发表刊物:《电力设备》2016年第18期
论文发表时间:2016/11/30
标签:收费系统论文; 高速公路论文; 网络论文; 系统论文; 网络安全论文; 数据库论文; 安全性论文; 《电力设备》2016年第18期论文;