高速公路联网收费网络安全系统工程

详细介绍:


一、工程背景
  珠三角区域高速公路联网收费系统光传输系统采用SDH数字传输设备,网络结构为链型网络结构。传输信号采用基本模块STM-4信号(速率622Mbit/s)。不同路段之间,管理制度和技术力量方面存在着较大的差别。大部分路段管理制度较为松散,工作人员的网络安全意识比较薄弱,存在着较大的安全隐患。珠三角区域高速公路联网收费系统网络拓扑示意图见附图1。

 

 

图1:珠三角区域高速公路联网收费系统网络拓扑示意图

 

二.总体结构
  根据珠三角高速公路收费系统网络系统的实际情况依据我们的安全系统设计原则,采用高性能的网络安全系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。
  首先,从安全区域上,我们将网络划分为:高速公路收费系统区域营运中心、路段管理中心以及下属的各个收费站和车道,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。
  第二,为了对保护公司本部的重要服务器(如管理服务器、业务服务器、收费系统服务器),特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为核心防护区。可以使用原有网关处的防火墙的多网络接口功能,只多增加一个网络接口。
  第三,在路段的网络出口处部署网络入侵检测系统IDS,自动地对收费系统的网络运行进行监控,对可疑的事件给予检测和响应,在主机和网络遭受破坏之前阻止非法的入侵行为。由于IDS是被动监听的特点,所以不产生流量不会影响网络的带宽。网络入侵检测系统可以和防火墙形成联动,当发现入侵行为,可自动通知防护墙动态改变规则,构造深层防御体系。
  第四,通过防毒墙部署,利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。针对网络中所有可能的病毒攻击配置对应的防毒软件,构建全方位、多层次的整体的防病毒体系。

 

图2  收费系统网络安全拓朴结构图

 

三、方案优点
1、高可靠性
本方案选用的产品,都是具有MTBF大于10000小时。
2、高扩展性

本方案选用的防火墙、IDS、防毒墙都技术网络设备的联动协议,支持与其它品牌设备的联动,有利于保护业主的投资。所选用的防火墙支持VPN,方便日后业主网络的扩展需要。
3、高防御性
本方案防火墙、IDS、防毒墙构成一套立体的防护体系,防火墙隔离各安全区域;IDS实时检测网络数据流;防毒墙不但可以切断病毒在网络上传播的通路,也可以防杀网络上受控主机的病毒,这是一般网关级防毒墙所不具备的功能。
4、高性能

本方案中IDS和防毒墙都是用旁路方式接入网络,不对网络性能产生任何影响。设备本身通过高性能的内核监测网络数据包。