01
背景介绍
联网收费系统介绍
依托联网收费系统,收费公路采用兼容电子不停车收费(ETC)或者人工半自动收费(MTC)的收费技术,以非现金方式缴付通行费,并在高速公路实行“统一收费、系统分账”的收费管理方式。用户使用电子标签即可从自动收费车道(ETC)不停车通过收费站。
联网收费系统的广泛普及,切实推动着我国高速出行领域的高质量发展:
提高高速公路的使用效率,提升车辆通行能力,缩短行车时间,充分发挥高速公路高效快捷的特点;
提升高速公路收费管理水平,减少大量主线中部收费站,降低运营成本,填补收费管理漏洞,防止资金的流失;
辅助监控全路网车辆信息,大大提升对突发大型交通事件的指挥处理能力;
提高高速公路服务质量,方便车辆通行,让运行更加快捷、安全;
减少收费站其它硬件设备投资,降低工作人员运维成本;
降低车辆停车的次数,从而减少汽车尾气排放,控制环境污染;
解决其他收费模式的诸多问题,平衡高速公路服务与收费的关系,扭转高速公路到处设卡收费的不良形象,产生巨大的经济效益和社会效益。
联网收费系统优化升级工程背景
自高速公路省界收费站取缔后,全国高速公路进入了“一张网运行、一体化服务”的新阶段,经济发展经脉畅通,为公路交通数字化、智能化发展奠定了坚实基础。为深化高速公路体制改革理念,落实《中华人民共和国网络安全法》相关要求,指导和规范高速公路联网收费系统安全建设、省域系统并网安全接入,故制定系统优化升级对应方案。
02
优化升级工程网络安全建设重点
提升态势感知能力
1、提升预警监测和应急处置技术支撑能力,实现态势感知部联网中心、省联网中心、ETC发行、客服、区域/路段、收费站、ETC门架系统的全面覆盖。
2、实现态势感知事件闭环管理,强化部省安全事件管理能力对接,提升各省域资产及安全事件上报的准确性和及时性,基于工单处置实现安全事件响应闭环、管理信息反馈闭环。
3、建设省级系统高级可持续威胁(APT)及未知威胁检测能力,实现未知威胁检测功能。
4、建设省级全流量威胁溯源能力,实现全流量威胁感知、安全事件回溯取证、高级威胁监测等功能;扩展省域系统全流量威胁检测范围,流量威胁感知能力覆盖区域/路段中心。
提升安全防护水平
1、现有系统整改加固:根据《联网收费系统省域系统并网接入网络安全基本技术要求》,省级联网中心、ETC发行系统建设威胁诱捕体系。部中心、省中心加强违规外联监测能力,重要节点部署违规外联监测探针,实时监测违规使用互联网服务、内外网设备混用等行为。采用进程白名单、终端检测系统等措施,加强服务器、终端进程监控能力。
2、远程运维加强管控:各系统所有运维操作通过运维管理系统进行,加强各级联网收费系统安全运维能力。
3、提升站级、门架级安全风险监测能力:通过部署站级探针,门架数量较多省份应考虑部署门架级探针,实现省级态势感知覆盖ETC门架系统。
4、加强门架无人值守设施设备安全防护:通过部署统一的安全网关或独立的防火墙、入侵防御、违规外联检测、安全审计等设备,实现ETC门架设施的安全访问策略控制、入侵检测、违规外联监测、门架设备日志审计功能。
5、加强门架设施接入认证:通过部署统一的物联网安全接入网关设备,实现对摄像头、RSU、可变情报板等物联网系统协议的识别,采用协议白名单、访问控制、加密传输等技术提高物联网设备的接入控制防护、访问控制管理、安全攻击防护、集中管理等多个核心功能。
03
威努特高速收费系统优化升级安全体系
建设思路
某省联网收费中心充分结合《取消高速公路省界收费站总体技术方案》、 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《数字交通“十四五”发展规划》、《收费系统优化升级实施方案》等规范提出的网络安全防护架构要求,按照专网专用、分区分域、纵向认证、横向隔离的核心思想,开展安全防护体系建设工作。
方案拓扑设计如下:
Part.1
省中心态势感知大脑平台建设思路
态势系统核心功能
省路网中心平台包括基础信息管理、运行监测、态势分析展示、预警研判、信息通报管理等功能。
态势感知统管界面
省路态势感知体系建立思路
1、未建态势感知平台的省份,完成态势感知平台建设,并和部省对接;
2、实现省级态势感知系统全覆盖,对路段、收费站、门架部署省级探针;
3、已建态势感知平台省份,完善态势感知平台功能建设,实现统一资产管理、安全态势监控、事件关联分析、态势威胁情报收集等功能;
4、实现省级网络安全事件闭环管理,实现安全事件的监测预警、工单派发、应急处置、结果上报、结果审核、技术复核、工作评价等功能。
Part.2
收费站安全管控
通过准入系统、入侵监测系统、第二代防火墙,在收费站既有安全能力的基础上,实现:
1、提升站级态势感知监测能力。通过部署站级入侵监测系统,实现站级流量感知覆盖;
2、加强站级安全防护能力。通过部署站级安全准入控制、防火墙,实现违规外联监测、通信加密等安全技术措施,完善防火墙等已有安全措施安全策略,实现站级安全防护能力提升。
Part.3
门架系统安全管控
1、提升ETC门架设施安全防护能力。通过部署站级工控安全监测与审计系统,实现流量感知覆盖;
2、加强门架无人值守设施设备安全防护。通过部署统一的工业防火墙、工控安全监测与审计系统、违规外联检测、安全审计等设备,实现 ETC 门架设施的安全访问策略控制、入侵检测、违规外联监测、门架设备日志审计功能;
3、加强门架设施接入认证。通过部署统一的物联网安全接入网关设备,实现对摄像头、RSU、可变情报板等物联网系统协议的识别,采用协议白名单、访问控制、加密传输等技术提高物联网设备的接入控制防护、访问控制管理、安全攻击防护、集中管理等多个核心功能;
4、加强门架操作终端安全管理级别。通过部署主机卫士,对门架操作站、管理终端实现点对点安全防护。有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散,杜绝高速公路头疼已久的“终端病毒传播”问题。
04
威努特高速收费系统优化升级安全体系
建设效果
01
省域态势感知能力全面提升
通过部署省联网收费中心的核心态势,实现全省安全事件运营分析体系、安全管理全周期闭环体系的建立。中心运维人员可以对全省高速公路收费系统轻松实现日常安全监测、安全巡检、安全事件分析、安全响应处置、定期进行漏洞检测、安全配置检查、安全风险评估等核心功能,全面提升整体态势感知能力。
核心态势功能逻辑图
02
全省未知威胁发现能力优化
通过在重要的路段分中心部署威努特高级威胁检测系统,进行安全事件失陷分析、威胁情报分析、入侵检测分析、异常行为分析、病毒木马分析、未知威胁检测,对全省高速收费系统网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。
在高级威胁入侵时,通过联动沙箱检测,实现高效且可靠的恶意文件识别。高级威胁检测系统与沙箱环境的联动使用,能够在不影响实际系统安全的前提下,准确识别并应对各种未知的威胁。
联动沙箱检测可“引爆”的内容
03
收费站、门架系统防护能力大幅提高
在收费站部署站级配套安全防护设备,提升对收费站综合安全监测、防护、审计能力,以实现通信加密、准入控制、违规外联等安全功能,进一步满足等级保护合规要求和实战对抗能力。
在门架侧部署门架配套安全防护设备,提升终端管控、工业协议解析、通信加密、准入控制、边界防护等安全能力,满足无人值守环境部署要求,提升ETC门架综合安全防护水平。
05
总 结
公路联网收费系统优化升级工程,将重点加强联网收费系统运行监测能力、AI 计算能力、数据分析能力、业务融合能力建设。威努特高速收费系统优化升级安全体系在契合了联网收费系统改造要求的前提下,对于全省态势感知、未知威胁攻击防护、专项设备防护等层面,均有着极大的优化提升效果。
同时,威努特高速收费系统优化升级安全体系还可大幅提升省公路安全运维智能化水平,推动收费公路联网运行一张网体系“由大到强到安全”的高质量发展。为加快建设人民满意、保障有力、世界前列的交通强国,提供坚实的安全支撑保障。
