高速公路联网收费系统网络安全与管理广东省中片区高速公路联网收费营运管理中心杨阳第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
前言
2004年珠三角区域高速公路实现联网收费，完成了广东省高速公路分为珠三角、深圳、广州、粤东、粤西、粤北六个片区联网收费的第一阶段任务。

2010年1月，深圳区域并入珠三角区域完成了第二阶段的中片区联网收费任务。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
概况
中片区现有联网路段25条，2010年日均车流近200万车次，日均通行费收入3500多万元，是全国车流量最大、收费金额最多的高速公路联网收费区域之一。

中片区高速公路业主包括了国有企业、上市公司、民营企业、外商和地方企业等多种成份,通过建立联网收费业主管理委员会（下设营运管理中心办事机构）的模式，实现了多产权下高速公路企业的联网合并的管理协同目标，产生了良好的社会效应和经济效益。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
实施背景
z各业主对高速公路联网收费网络及数据安全的担心
z路网的合并扩张，病毒感染可能会在收费系统迅速扩散
z粤通卡先交易，后结算；联网收费数据拆分后路段通行费收入才能到帐，使高速公路数据安全性达到了银行的级别。

z可能潜在的内部作弊情况
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
中片区高速公路联网收费区域
高速公路收费系统面临的威胁 粤通卡（非现金交易）已占交易金额的25%，且呈增加趋势，使收费系统网络安全级别已经等同于银行的安全级别
不断有新的路段接入中片高速公路网络，新的节点不断增加
不断需要在收费系统增加新的功能（如绿色通道功能、降档车处理和防逃费功能） 联网前出现个别路段因计算机病毒导致整个收费系统在数小时内瘫痪的情况
可能出现的内部人员作弊情况
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
收费系统网络安全问题
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
收费系统网络拓扑图
网络安全管理平台的管理因素
平台方面的管理威胁：
系统实现存在的漏洞； 系统安全体系的缺陷； 使用人员的安全意识薄
弱；
管理制度的薄弱；良好的平台管理：
及时发现系统安全的漏洞；
审查系统安全体系；
加强对使用人员的安全知识教育；
建立完善的系统管理制度。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
网络安全产品的局限性
z防病毒软件：经常是在新的计算机病毒出现并已经造成大量损失后，才发布出查杀该病毒的病毒库，也就是说，技术往往落后于新风险的出现。

z防火墙：无法防御系统正常服务所具有的漏洞；仅能应对外部攻击，对内部发起的入侵无能为力
z入侵检测系统：对于未知的攻击无能为力
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
联网收费系统安全管理的目标
建立完善的防病毒和防入侵体系；
建立与完善安全管理制度；
建立网络安全应急预案
为网络和收费系统的正常运行提供充分的安全保障，最大程度上保证网络系统的信息安全、可靠。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
在收费系统中加入职能单元-
安全管理系统（1）实现各类计算机安全技术、产品之间的协作与联动，实现有机化。

（2）充分发挥各类安全技术和产品的功能，大幅度提高整体安全能力。

（3）实施计算机安全手段与现有计算机网络应用系统的一体化。

（4）使全网安全事件的准确定位以及全网安全策略的制定成为可能。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
第十三届中国高速公路信息化研讨会讲稿（部分）
编辑：《中国交通信息化》杂志社
建立与完善安全管理制度
1、策略指导原则
2、预防为主原则
3、均衡防护原则
4、成熟技术原则
5、规范标准原则
6、应急恢复原则
7、持续发展原则
整体安全管理框架
采用多种智能代理和安全控制中心，在统一安全策略（Security Policy）的指导下，使系统中各个安全部件协同工作，以实现总体的安全策略，并且能够在多个安全部件协作的基础上实现实时监控、报表处理、统计分析等。

这样的体系结构具备适应强、可扩充性强、集中化安全管理等优点。

区域高速公路联网收费系统各路段必须建立一套类似于银行的安全管理系统，制定统一的网络安全标准，建立集中化的安全管理系统，保证在一个整体的安全策略下，在网络安全产品和管理制度的相互协调以实现收费系统的网络安全。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
集中式和分散式的网络安全部署方案
集中式的部署方案：各路段收费系统和区域中心、管理点统
一安装部署计算机网络安全产
品，将各个安全环节中的所有
功能都集成在统一的可视化管
理界面中。

当进行一次病毒库
的升级，或者对一用户的安全
审计和跟踪等，网络安全管理
员只须进行一次操作，即可自
动对所有关联的模块和系统进
行相应的设定和改变。

通过这
样的管理手段，将可以减少维
护费用，节省管理时间，同时
又能及时反映珠三角区域收费
系统网络各个地方的安全漏洞。

分散式的部署方案：各路段和区域中心分别各自安装、部署计算机网络安全产品。

当进行一次病毒库的升级，或者创建和删除一个用户，对某一用户的安全审计和跟踪等任务时，各个路段网络安全管理员须各自进行设置，才能对所有关联的模块和系统进行相应的设定和改变
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
-区域中心
1、在连接区域管理中心的网关处部署防火墙；
2、在核心交换机旁路部署入侵检测系统；
3、部署防毒系统管理中心/系统中心；
4、部署防毒系统主升级中心，承担整个珠三角高速公路收费系统的病毒码扫描引擎统一的下载和分发工作。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
-路段管理中心
1、在连接路段中心的网关处部署防火墙。

2、在核心交换机旁路部署入侵检测系统。

3、部署防毒系统系统中心。

4、部署防毒系统分级升级中心，承担病毒码扫描引擎统一的下载和分发工作。

5、针对业务/财务/收费等服务器部署防毒系统服务器端。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
-收费站
1、在连接收费站的网关处部署防火墙（实现收费站间的访问控制）。

2、部署防毒系统二级升级中心，承担病毒码扫描引擎统一的下载和分发工作。

3、针对业务/财务/收费等服务器部署防毒系统服务器端，服务器端是面向网络中基于服务器操作系统提供的病毒防护执行端。

4、针对所有车道终端部署防毒系统客户端，客户端是面向网络中的客户机而设计的病毒防护执行端。

第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
中片区收费系统网络安全部署拓朴图
实施步骤
z2004年开始收费系统网络安全防范的研究工作，与研究单位共同完成《珠三角网络安全管理系统部署方案》
z采用统一规划、统一设计、统一招标、统一部署的实施方案，2005年原珠三角区域所有路段均完成了网络安全系统部署
z新接入路段按照原《珠三角网络安全管理系统部署方案》要求完成收费系统网络安全管理系统的实施
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
实施效果
z建立了严密的网络安全管理制度，收费系列工作人员形成了严谨的网络安全管理意识
z日均形成1.5G流水（日均近400万条出入口流水和其它海量中间流水）的情况下，中片区收费系统安全稳定运行，6年来，有效保障了联网收费的安全运行，区域所有路段均未出现网络安全事故，获得了各方认同和好评。

z2005年编制的《珠三角区域高速公路网络安全部署》全部达到或优于2007年10月交通部颁布《收费公路联网收费技术要求》有关收费系统网络安全的指标要求
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社
下一步工作设想
z建立ETC数据的校验系统，防止可能出现的大车小标、跟车干扰等出现的漏逃通行费行为
z引入数据挖掘技术，通过对海量数据挖掘，打击逃费车辆，同时，预测未来车流趋势，为决策者决策提供依据
z目前网络安全管理系统由防火墙、防毒墙和入侵检测系统组成，单一性的产品只能够解决局部的安全性问题，其相互之间没有互操作性，下一步拟通过集成化的方式，集成管理各种功能
第十三届中国高速公路信息化研讨会讲稿（部分）编辑：《中国交通信息化》杂志社。