今日頭條
官方微信
官方抖音
資訊頻道摘要:取消高速公路省界收費站的工作推進,主要依托電子不停車快捷收費(ETC)技術,建立ETC門架系統,實現ETC車輛分段收費,MTC車輛分段計費,出口統一收費。ETC是典型的物聯網的場景,同時作為未來智慧高速的核心場景,物聯網安全尤為重要。本文按照《聯網收費系統省域系統并網接入網絡安全基本技術要求》的相關要求落實等級保護三級要求,并符合物聯網安全擴展要求。
關鍵詞:交通;ETC;等級保護;網絡安全
Abstract: To cancel the work of provincial toll stations on expressways, we mainly rely on electronic toll collection (ETC) technology to establish ETC portal system, realize ETC vehicle subsection charging, MTC vehicle subsection charging and export unified charging.ETC is a typical scenario of the Internet of Things. As the core scenario of future intelligent high-speed, the security of the Internet of Things is particularly important. In accordance with the relevant requirements of "Basic Technical Requirements for the Security of Provincial and Regional Networked Charging System Connected to the Network", this paper implements three-level protection requirements, and meets the requirements of Internet of Things security expansion.
Key words: Traffic; ETC; Level protection; Network security
1 引言
按照第十三屆全國人民代表大會第二次會議上《政府工作報告》中提出的“兩年內基本取消全國高速公路省界收費站,實現不停車快捷收費,減少擁堵、便利群眾”工作要求,交通運輸部開展相關工作部署,指導并制定了《取消高速公路省界收費站總體技術方案》等一系列技術和實施方案,加快推進取消省界收費站,提高高速公路通行效率、降低物流成本、便利群眾出行、減輕群眾負擔和推動高速公路高質量發展。
2 現狀
聯網收費系統總體架構由全國收費公路聯網結算管理中心(以下簡稱“全國中心”)、省(區、市)聯網結算管理中心(以下簡稱“省聯網中心”,含具有清分結算功能的區域及路段中心)、省內區域/路段中心、ETC門架、收費站、收費車道(MTC車道、ETC車道)等組成。
2.1 系統通信網絡架構
為保證數據實時傳輸,ETC門架和收費站到省聯網中心、全國中心采用主備雙鏈路,主用鏈路采用省內現有收費通信網絡,備份通信鏈路可采用電信運營商專線網絡(或現有全國高速公路信息通信干線傳輸系統網絡)。省聯網中心到全國中心復用已有跨省清分結算通信鏈路。為加強聯網收費系統運行監測,建立聯合稽查和信用管理體系,建立全國中心與收費站、ETC門架的直連鏈路。通信網絡構成如圖1所示。
圖1 聯網收費通信網絡構成示意圖
2.2 系統總體架構
全國高速公路聯網收費系統總體架構如圖2所示。
圖2 全國高速公路聯網收費系統總體架構示意圖
聯網收費系統由全國中心系統、省聯網中心系統、ETC門架系統、收費站(ETC車道系統、ETC/MTC混合車道系統)、結算系統、ETC發行系統、客服系統、稽查與信用管理系統、在線密鑰管理系統組成。
聯網收費系統根據功能和數據特點,重要數據可以分為鑒別數據、關鍵業務數據(交易和清分數據、拆分數據等)、服務支持數據(基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等)和公民個人信息。
根據各業務模塊功能特點,可將聯網收費系統分為三大類:
業務數據處理類,對收費數據進行計算和存儲的相關系統,主要包括:結算系統、在線密鑰管理與服務系統等,該類系統對數據完整性、保密性和可用性具有較高的要求。
業務生產控制類,對車輛的通行進行管理控制的相關系統,主要包括:ETC門架系統、收費車道系統等,該類系統對控制類數據的完整性和業務連續性方面具有較高的要求。
業務輔助類,輔助支撐業務數據處理和業務生產控制的信息系統,主要包括:ETC發行系統、CPC卡發行與管理系統、客服系統、稽查與信用管理系統等,一般不對收費系統核心業務運行產生影響,但根據其系統特性,對數據完整性、保密性或業務連續性存在響應要求。
2.3 ETC門架系統
根據《取消高速公路省界收費站總體技術方案》的規定,原則上,在高速公路每個互通立交、入/出口之間均設立ETC門架系統,實現ETC車輛和MTC車輛分段計費,對于ETC車輛生成交易流水(或通行憑證)、ETC通行記錄和抓拍圖像信息(包括車牌號碼、車牌顏色等),并及時上傳至省聯網中心和部聯網中心;對于MTC車輛,通過讀取CPC卡內車輛信息,計算費額并寫入CPC卡內,形成CPC卡通行記錄,并同抓拍圖像信息及時上傳至省聯網中心和部聯網中心。
ETC門架系統由上、下行雙方向部分組成。在省界和非省界路段設置ETC門架系統,上、下行方向各設置一個門架。每個門架應具備關鍵設備(RSU、車牌圖像識別設備等)冗余設置,當主設備發生故障時,備用設備可立即啟用工作。ETC門架系統布局示意圖如圖3、圖4所示。
圖3 ETC門架系統布局示意圖(側視)
圖4 ETC門架系統布局示意圖(俯視)
ETC門架系統主要由以下設備和設施組成:車道控制器、RSU、車牌圖像識別設備、高清攝像機、站級服務器、防雷接地設施、補光燈、通信設備、供電設備、車輛檢測器(可選)、交換機、網絡安全設備等。
3 風險分析
ETC門架系統主要包含ETC門架收費軟件,車道控制器、RSU、車牌圖像識別等設施設備及有關網絡基礎運行環境。ETC門架系統業務數據通過收費站與省聯網中心和全國中心建立連接,收費站內為門架系統服務的設備。
ETC門架系統和收費站存在大量設備,如路側單元(RSU,Road Side Unit)等布設的物聯網設備、車牌圖像識別設備、以及傳統的服務器和計算機終端等。其中RSU又稱電子標簽讀寫器、路側讀寫天線、ETC天線、路側設備,安裝在收費車道門架上或收費島立柱上的用于同過往車輛上的車載設備進行通信的天線及相應的控制設備。其中門架也存在大量的終端設備,是網絡中處于網絡最外圍的設備,主要用于用戶信息的輸入以及處理結果的輸出等,在聯網收費系統中主要包括兩類:
一是收費業務相關工作人員使用的設備,包括收費業務計算機終端、收費業務手持終端等;
二是ETC門架系統部署的前端設備,包括智能攝像頭、RSU、控制終端等。
大量的終端設備、服務器、物聯網設備接入到收費專網中,安全風險存在并不局限于:
(1)物聯網終端眾多,資產情況難以掌握,存在違規接入的風險,同時缺失運維手段、事件監測通報以及應急處理機制;
(2)大量門架系統包括收費站部署在戶外、分散安裝、易被接觸到而又沒有納入管理,導致物理攻擊、篡改和仿冒;
(3)終端普遍存在漏洞和大量開放端口等安全風險,容易被惡意代碼感染形成僵尸主機,進而構成僵尸網絡;
(4)數據都是明文傳輸,容易被篡改和竊聽,對收費專網造成很大的泄密和攻擊隱患。
基于以上安全威脅,黑客入侵物聯網的設備后可以進行大規模的破壞,進而威脅到收費專網的核心資產和業務。
·分布式拒絕服務(DDoS, DistributedDenial ofService)攻擊進行業務破壞或勒索
由于門架終端數量龐大,且由于其能持續向云端發送數據,目前已經成為攻擊者組建“僵尸網絡”的主要來源,并正在成為DDoS發起的主要陣地。如Mirai通過對攝像頭入侵,向DNS運營商DYN發起了大規模的DDoS攻擊,致使整個美國網絡訪問大規模中斷;2017年2月被發現的Linux.ProxyM物聯僵尸網絡,僅用4個月就控制了超過萬臺物聯網終端。
·仿冒攻擊
由于門架終端難以物理管控,因此通過對物聯網終端的冒用替換,以此為跳板可以直接威脅到收費專網的核心業務系統。如在某行業紅藍對抗中,黑客通過ETC系統的冒用進入入侵攻破了該行業的核心業務服務器。
·國家關鍵基礎設施遭破壞
門架、收費站、路段中心系統屬于國家關鍵基礎設施。由于終端設備大都采用相同或者相似的軟硬件方案,意味著一臺被攻破,就可以使所有的終端全軍覆沒。這些事關國計民生的基礎設施一旦遭遇風險,勢必引發重大后果,可能會造成無法估量的經濟損失,甚至會引起社會恐慌。
4 網絡安全防護建議
4.1 防護原則
(1)分區分域防護原則
任何安全措施都不是絕對安全可靠的,為保障攻破一層或一類保護的攻擊行為不會破壞整個信息系統,以達到縱深防御的安全目標,需要合理劃分安全域,綜合采用多種有效安全保護措施,實施多層、多重保護。
(2)均衡性保護原則
對任何類型網絡,絕對安全難以達到,也不一定是必須的,需正確處理安全需求、安全風險與安全保護代價的關系。因此,結合適度防護實現分等級安全保護,做到安全性與可用性平衡,達到技術上可實現、經濟上可執行。
(3)技術與管理相結合
信息安全涉及人、技術、操作等方面要素,單靠技術或單靠管理都不可能實現。因此在考慮信息安全時,必須將各種安全技術與運行管理機制、人員思想教育、技術培訓、安全規章制度建設相結合。
(4)動態調整與可擴展
由于網絡安全需求會不斷變化,以及環境、條件、時間的限制,因此安全防護一步到位,一勞永逸地解決信息安全問題是不現實的。信息安全保障建設可先保證基本的、必須的安全保護,后續再根據應用和網絡安全技術的發展,不斷調整安全策略,加強安全防護力度,以適應新的網絡安全環境,滿足新的信息安全需求。
(5)網絡安全三同步原則
信息系統在新建、改建、擴建時應當同步建設信息安全設施,確保其具有支持業務穩定、持續運行性能的同時,保證安全技術措施同步規劃、同步建設、同步使用,以保障信息安全與信息化建設相適應。
4.2 網絡安全防護思路
參考等級保護安全設計要求,建議設計思路如下:
(1)根據信息系統的安全定級結果,明確該等級對應的總體防護描述;
(2)根據系統和子系統劃分結果、安全定級結果將保護對象歸類,并組成保護對象框架;
(3)根據方案的設計目標來建立整體保障框架,來指導整個等級保護方案的設計,明確關鍵的安全要素、流程及相互關系;在安全措施框架細化后將補充到整體保障框架中;
(4)根據此等級受到的威脅對應出該等級的保護要求(即需求分析),并分布到物理和環境、網絡和通信、設備與計算、應用和數據等層面上;
(5)根據由威脅引出的等級保護基本要求、等級保護實施過程、整體保障框架來確定總體安全策略(即總體安全目標),再根據等級保護的要求將總體安全策略細分為不同的具體策略(即具體安全目標),包括安全域內部、安全域邊界和安全域互聯策略;
(6)根據保護對象框架、等級化安全措施要求、安全措施的成本來選擇和調整安全措施;根據安全技術體系和安全管理體系的劃分,各安全措施共同組成了安全措施框架;
(7)各保護對象根據系統功能特性、安全價值以及面臨威脅的相似性來進行安全區域的劃分;各安全區域將保護對象框架劃分成不同部分,即各安全措施發生作用的保護對象集合;
(8)根據選擇好的各保護對象安全措施、安全措施框架、實際的具體需求來設計安全解決方案。
4.3 網絡安全技術架構
《聯網收費系統省域系統并網接入網絡安全基本技術要求》中要求按照國家網絡安全政策法規和技術標準體系的有關要求,落實網絡安全等級保護制度,圍繞聯網收費三類系統的安全保護需求,針對聯網收費系統重要數據和業務系統進行分級分類管理,從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境及安全管理中心等五個方面提出通用安全要求以及云計算、大數據及物聯網三個方面提出擴展安全要求,以建立聯網收費系統網絡安全技術防護體系,構建綜合防御能力,總體安全框架體系如圖5所示。
圖5 聯網收費系統網絡安全技術框架
4.4 ETC門架系統網絡安全防護建議
綜上,門架系統網絡安全防護所采用的產品可以確保并網接入自由流虛擬站、區域中心/路段中心、收費站通過有效安全認證和訪問控制,保證收費專網安全接入和隔離屬性,實現安全可靠通信傳輸和數據交換共享,及時監測預警網內網外攻擊行為,具備數據級備份恢復能力。能滿足ETC門架、收費站等系統的通信傳輸、邊界防護、訪問控制、入侵防范、安全審計以及物聯網擴展安全要求如設備認證、身份鑒別等一體化安全防護需求。
(1)數據安全方面,采用基于國密的數據加密,對關鍵的計費等數據實現通信加密。產品嚴格的密鑰管理辦法,采用純硬件算法,嚴格符合國家商用密碼技術規范。密鑰使用真隨機數發生器產生,并加密存儲在加密機安全芯片內部,確保信息安全可靠。
(2)區域邊界安全防護方面,產品支持防火墻,具備入侵檢測、監測預警等功能,來實現邊界防護、訪問控制、入侵防范等區域邊界安全要求。
(3)物聯網安全擴展要求方面,RSU、高清車牌視頻識別等設備應通過部署接入防護設備,實現設備IP/MAC地址等屬性信息注冊管理,設備通信地址管控,設備訪問權限控制和設備遠程安全管理等物聯網擴展安全要求。網絡安全防護產品實現了一種無代理的安全防護方法,也就是說無須改造門架和收費站系統中的物聯網設備,即可有效地幫助解決大型、動態和多樣性等復雜收費網絡環境下的物聯網終端可見性和安全控制的挑戰。如在自由流虛擬站安全方面,RSU、高清車牌視頻識別等前端設備容易丟失、損壞和仿冒,產品可以準確實時的識別設備的在/離線狀態、是否被仿冒等功能,可以有效地彌補產品在戶外部署所帶來的物理環境安全問題。
(4)系統適應性方面,產品支持雙機熱備和Bypass等功能,可有效地保證收費網絡的業務連續性。
5 結論
門架系統網絡安全建設建議基于分布式安全防護的理念,實現了從門架、收費站、路段中心到省部級立體化的綜合安全防護方案,要覆蓋了《等保2.0》三級的安全建設要求,同時門架系統建議實現物聯網安全防護能力,能夠覆蓋未來智慧高速的安全需求。
通過在每個門架部署安全防護設備,實現了對門架上車道攝像頭、ETC天線、曝光燈、RSU、氣象、交調等設備的資產管控、仿冒檢測、訪問控制、業務安全等防護功能,覆蓋了門架和收費站安全域防護需求;同時在路段和省部署安全防護設備,與門架防護系統建立基于國密的數據鏈路安全加密機制,保護收費等關鍵數據的安全傳輸;在省/部級部署安全管理平臺實現統一的設備管理和全局安全決策。
作者簡介
劉健帥(1984-),男,河北人,高級工程師,碩士,現就職于啟明星辰信息技術集團股份有限公司,任高級咨詢顧問,研究方向為工業互聯網安全。
張 帥(1984-),男,河北人,高級工程師,碩士,現就職于啟明星辰信息技術集團股份有限公司,任研發總監,研究方向為物聯網安全、工控安全及云安全。
孫志華(1981-),男,河北人,本科,現就職于啟明星辰信息技術集團股份有限公司,任產品經理,研究方向為工業安全、物聯網安全、車聯網安全。
參考文獻:
[1] GB/T 22239-2019, 信息安全技術 網絡安全等級保護基本要求[S] .
[2] 全國人民代表大會常務委員會. 中華人民共和國網絡安全法[Z]. 2016.
[3] 聯網收費系統省域系統并網接入網絡安全基本技術要求[Z].
[4] 國務院辦公廳. 深化收費公路制度改革取消高速公路省界收費站實施方案[Z]. 2019.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號