技术 < TECHNOLOGY
DOI : 10.13439/j.c n k i.i t s c.2021.04.008
省域高速公路联网收费系统
网络安全态势感知平台的设计与实现
田振国、郑茂林2,朱严2
(1•湖北省交通科学研究所,湖北武汉430000; 2•湖北省交通运输厅通信信息中心,湖北武汉430030)
摘要:随着全国高速公路撤站工程完工并投入运行,高速公路联网收费系统成为关系民生的重要信息系统在此背景下,网络安全态势感知的研究与应用成为必然趋势本文以省域高速公路联网收费系统网络为研究对象,设计一套基于网络流量综合处理和关联分析的网络安全态势感知系统,提高了省域高速公路收费网的安全态势感知、预警与分析能力
关键词:网络安全;态势感知;联网收费
随替全速公路联网收费系统的建成运行,收费网络范 盖到全国各个C速公路收费站和每一个收费门架,
形成部、省、分中心、收费站、ETC门架的庞大网络系统,这样超大规模的复 杂网络对网格安全提出了更高要求.传统的方式是通过配H防护 规则,检测威胁信息后进行人工分析、排除威胁面对全国卨速 公路联网收费系统中的海鐘数据,人工很难及时分析定位网络威 胁,因此提W主动防御能力势在必行按照我国高速公路联网收 费系统“专网专用、分区分域、纵向认证、横向隔离”的方针,部路网监测与应急处H中心负责各哲并网接入网络安全ffffl,省 级联网中心负费本省高速公路联网收费系统的网络安全通过建 设宵域联网收费系统网络安全态势感知系统.实现实时对网络安 全态势进行监测,对当前和未来•段时间内网络安全状況进行全 面分析评估,对网络攻击、漏洞、隐患等威胁迅速发出预矜,及时进行处汽,实现静态和动态相结合的安全防御,从而提升联网 收费系统安全防护能力,
一、省域高速公路联网收费网络安全现状
全国高速公路收费系统网络包括部联网中心、省联网中心、区域中心/路段中心、ETC门架及收费站、收费车道五y网络构 架全国高速公路收费系统构架示意如图1所示
®联网中心整体按照等保2.0标准第三级幵展定级、备案、建 设、测评等保沪工作,运用云计算、大数据等技术参照等级保护 第1级扩展要求幵展等级保护相关工作:因此,整体来说f t级联 »费系统的网络安全措施全面,配f r了宪备的安全设备u但 通过近两年的运行情况7T,仍存在下面三个问题,
第-•,网洛安全防护水平参差不齐,存在明显的木補效应
部联网中心
收费站级
丨ETC门_…巧f丨E Tc h架丨|ETC门架I.•b e门架丨|ETC门架| ••收W|E TC门架丨
c c~~,I etc/mtc I._,_I_.|E T C/JITC|,_._!_.I etc/mtc I etc车迸etc车道|…混含午道£tc车迪p c车道丨…飛以:.边etc车道etc车道道|
图1全国高速公路收费系统构架示意图
省联网中心网络安全专业人员配备较为齐錡,建设过程中遵循交 通运输部发布的网络安全技术要求;各路段的运营尊位_国_ 企业,也有民营单位,缺乏网络安全专业技术人网络安全的建设水平参差不齐,使得省域内联网收费系统网络安全的木桶效 应非常明显,对整个联网收费系统也构成巨大的威胁121,第二,安全防护方式以被动为主,对威胁的响应迟缓。从运 维角度来看,安全威胁的发现主要依靠设®告警、人工巡查、闩志分析等方式。这沖被动处H方式,决定了无法进行主动防御,R能开展啦件后分析取证工作,对网络安全車件响应不及时 第三,省级收费网网络安全设备多,数据量大,存在大数据 智能监测、预警、响应能力不足等现象
因此,建设省级网络安全态势感fl丨平台,以网络安全大数 据分析为基础,通过对安全设备日志:、网络流量数据进行采 集、识别、分析和评估,支撑安全预齊、响应处H和辅助决 策,持续提升省域网络安全态势感知能力是应对新网络安全形
2021年第04期(总第255期)I 中国交通信息化
图3网络安全态势感知平台总体构架图
通过布设10盖所辖收费公路网的省联网中心、区域/路段中 心、收费站、ETC 门架、ETC 发行(客服)系统的网络安全探 针、曰志采集系统、数据采集接口等,采集关键安全数据汇聚省 级网络安全态势感知平台。省域网络内主要的安全事件信息、安 全告警、扫描数据、资产信息、定级备案资料、等保测试、符合 性检测等安全情报,经过多维度识别、关联分析、综合研判,持 续监控省域系统安全状态,提高安全态势感知能力:
四、省域网络安全态势感知平台设计与功能实现
省域网络安全态势感知平台应满足省联网中心、区域/路段 中心、收费站、ETC 门架、ETC 发行(客服)系统的安全态势感 知需求,向上对接部级网络安全态势感知平台,支持部级网络安 全态势感知平台对省域网络安全数据的采集。因此,省域网络安 全态势感知平台以“业务+数据”定义安全为出发点,通过保护 对象关键安全数据的采集汇总,实现网络安全运行监测、态势分 析、预警研判、态势展示、倌息通报和基础数据管理等功能,识 别、分析、评估网络安全威胁,支撑安全预警、响应处H
、辅助 决策。
省域网络安全态势感知平台构架如图4所示
(一)网络安全运行监测
in
三、总体架构设计
根据《联网收费系统省域系统幷网接入网络安全基本技术 要求》,结合部省联网收费网络安全现状,建立基于行为的安 全管控措施,高速公路联网收费系统网络安全态势感知平台总 体架构如图3所示,«终形成部省•体的全方位网络安全态势感 知体系。
部级网络安全态势感知T -台
数椐I •■传
势的有效措施w
二、安全态势感知技术构架
2018年来,Gartner 提出的自适应安全框架得到了全球网络 安全业界的广泛认同,Gartner 自适应安全框架如图2所示该安 全框架细粒度、多角度地实时感知、动态分析安全风险,形成闭 环,持续地不断优化安全防御体系"与传统的安全框架相比, 具有以下四个特点。
(一) 由浅至深、由点至面进行检测
为获取更多的分析数据源,对安全风险的监控应丨 12盖所钉丨T  包括应用层、表示层、会话层、传输层、网络层、数据涟 路层、物理层等,同时也为安全分析从单点分析向多而的关联分 析提供支撑。
(二) 由应急响应向持续响应转变
在网络持续受攻击的时代,需认清系统时刻处于被攻击中这实,同时应认清不可能完全拦截黑客渗透系统,因此持续监 控与持续响应成为必然的应对手段,
(三) 由事后分析向事前预警转变
通过多维度监测、持续感知,建立分析模型进行安全威胁数 职丨’!动化X :•联、G 台分折研判,实现对安全风险威胁的仲3
(四) 由被动防御至主动防御五一快乐文案短句
在Gartner ^适应安全框架中,从预定安全规则、发现安全1 件、完成安全刺牛响应,到M 后将响应结果反馈给预定安全规则 环节,形成闭环、持续改进完善,不断提升主动评估风险预测能 力因此,实现从被动向主动、从盲目防御到精准防御的转变
综上所述,安全自适应框架以检测更深、持续响应为主要目 标,实现1丨f 前预测与主动精准防御借鉴这一M 际领先的自适应 安全框架,结合W 域联网收费系统实际情况,网络安全态势感知 平台设计思路从检测、响应、预测、防御四个维度,进行安全防 护闭环处理和持续监控分析,提高安全监测预警能力,实现宵域 联网收费系统安全态势感知
省域网络安全态势感知T -台
交全亊件数拟
安仝氷彳1处押结
采数据
安全仿霣数也:
安全扫描
a 据情报败推
资产倍总数据
V i !级备案t t 据
,保测评数据符合忭诠涮数据
•.…
技术 < TECHNOLOGY
通过各类安全探针采集省联网中心、区域/路段中心、收费 站、ETC 门架、E TC 发行(客服)等系统的关键安全数据,如网络 流量、入侵数据、策略数据、用户行为、病毒威胁、网络攻击、 安全漏洞等,汇总并经各类算法分析,实现采集、监控、告警、 报表统计等功能,对省域系统网络安全运行状态进行实时监测,
1、 监控管理
对省域内的网络安全设备运行状态进行实时监测,包括省 联网中心、区域/路段中心、收费站、ETC 门架、ETC 发行(客 服)等。
2、 告警管理
对省域内的安全设备告警信息进行管理和处理,主要包括 流量类告警、安全策略类告警、网络攻击类告警、用户行为类告 警、入侵检测类告警、风险类告警等信息。
3、 报表统计
为准确掌握系统的运行情况和网络安全趋势,对历史数据进 行统计形成分析报表。
4、 采集管理
采用分布式服务架构及前后端分离的方式进行架构设计,通 过探针采集各类设备R 志、流量等数据,进行统一的格式转化完 善数据属性,经过模型算法清洗处理后,可采用任务调度方式将 采集处理后的数据上传到省级平台。
(二)网络安全态势分析
以网络安全运行监测为基础,将汇聚、处理形成的标准化
安全数据,如运行状态、第三方威胁情报等通过大数据平台进行 安全事件关联、业务逻辑关联、安全
告警模型、行为模型、脆弱 性模型、风险模型等关联分析、深度挖掘,从多维度感珀核心业 务、核心数据、丨T 关键基础设施的安全态势,具备每分沖百万条 以上的数据分析能力,实现10分钟内自动分析疑似安全車件告警 功能,实时展示全网流量态势和主机安全态势。
1、 全网流量态势
从总流量、出进网流量、流量分布等进行总数据包、平均包 长、每秒位数、每秒字节数等视角的分析;同时对全网流量进行 统计,如未知IP 流量、网段流量、流量使用趋势、异常告警等; 实时监测全网数据流量的态势。
2、 主机安全态势
从主机资产、WEB 资产两个维度,对操作系统和应用软件进 行高危漏洞分布进行统计、检测和排序,并提出修复建议,
(三)网络安全预警与研判
在网络安全态势分析的基础上,结合工作流引擎处H 和通 报业务流程,将严重安全事件通过工作流生成流程工单,进行 安全事件的闭环处理,网络安全预警与研判主要包括如下五个 功能模块。
1、安全事件研判
对于可明确判定的安全事件告警信息,通过安全事件算法关 联分析可能受影响的业务,同时分析告警信息的分布与来源,告 警趋势及关联业务等内容,优先处S 该安全事件。
IPHONE13或交货中断,,^^1
应WWtt 供
II
数据W 数推
II  M 格Wtt 麻
II
系统W 数推
初一下册期中试卷
II
数撫
数据源〉
n
」.........
..............-|~特权用户
博士作为官名数
|| 嘁胁讷报数据
1|
攻山
t t 据
[1
……
杨恭如被污辱的电影
_
图4
省域网络安全态势感知平台构架图
2021年第04期(总第25S期)丨中国交通信息化
—113
C H I N A I T S J O U R N A L V o l255N o042021
业务安全态势
业务管理i
理类o业务生产类〇业务支撑类©
®®®d)(A)
数据安全态势
核心数琚〇重要数据〇一般数据©
IT关®基础设施安全态势
I f i i全网流置态势主机&系统安全态势K M
y策輅安全态势
mm
用户行为态势
(^)(^) (^)(^)(^j©336.1* 33*»5a« 2=a*5* xTj» #«*«s *«e »*〇*t
图5湖北t网络安全态势感知平台展示图当曰告*摩 优先处璽82650
告I I通报率告*处置率
2、威胁情报研判
结合第三方威胁情报,与平台中可明确判定的安全告警信息 进行关联,分析威胁发生的趋势、时间、影响范围等第三方威 胁情报威胁情报命中和威胁情报库,其中,威胁情报命中主 要包括黑丨P命中数、黑域名命中数、黑M D5命中数、黑URL命中 数、黑IP分布、威胁命中趋势等;威胁情报库包括更新时间、威 胁情报数、来源分布、M新威胁内容、W新威胁更新时间等
3、预警处H
对各类安全探针监测的告警信息,后台自动启动告警处H工 作流程进行处H,同时记录处M人、处H方式、处置情况等信息.
4、工单管理
将告警通报、告警处H、钔识库上传、资产准入、组织架构 增删等操作通过工单管理实现。根据操作权限不同分为发起人、审批人两个角工作流引擎对流程任务进行管理,完成生成、审批和流转,同时自动生成流程记录等
(四) 网络安全态势展示
用数字化、图形化、表格化等方式综合展示网络运行状态,展现不同指标的网络安全态势,主要展示资产态势、漏洞这
攻击态势以及资产安全巡检态势等.
(五) 网安与信息通报管理
通过网安与信息通报饩理可及时接收幷发布安全威胁佶息,提高省域系统网络安全工作统筹能力同时对相关单位基本信 息、等级保护和等保测评情况进行统…管理
(六) 网络安全基础信息管理
通过汇聚省联网中心和各区域/路段中心、各收费站、ETC门架及ETC客户服务系统的网络安全基础信息,实现对省域系统网 络安全信息的集中管理,主要包_产管理、用户管理、部门管理、配H管理等
五、 运行效果
该系统在湖北咨A速公路联网收费系统中进行了部罟,系统 整合了咨级流量数据、主机数据、防病毒系统、漏洞扫描、堡垒 m s m w,实现II均分祈流M200G以匕对99台服进行操作系统、应用软件、用户账号进行漏洞分析告警并实时监控用户行 为,通过大数据对采集信息进行联合分析、处理、研判,形成了 全方位网络安全态势感知平台湖北省网络安全态势感知平台如 图5所示。
乔任梁追悼会
六、 结束语
态势感知平台可对全网安全设备进行实时监测和集中管控,通过对令网流量的分析,匹配相关威胁情报,能够及时主动发现 已知丨和未钔威胁,增强系统的安全可靠性,减轻运维人员工作 !儿仃效提升省级联网收费系统的安全稳定运行能力
王增生.张,t.和栉速公路R电工程联网收费系统网络安全研究P丨.工程营理
涂超荀速>路R电工f i联网收费系统网络安全研究[J丨.交通世界.20i8.
[31郭晓炜•樊升印.网線安全态势惑知在萵速公路联网收费系统中的应用[J].筑 路机械与施工机械化.2阶037(003):72一7尽.
卜5丨趑志自适应去全未来安全的新方向[」1网络安全和信息化.201&.0(008):11-丨2.
"3贵任编辑户利