高速公路聯網收費網絡安全系統工程

　　一、工程背景

　　珠三角區域高速公路聯網收費系統光傳輸系統采用SDH數字傳輸設備,網絡結構為鏈型網絡結構。傳輸信號采用基本模塊STM-4信號(速率622Mbit/s)。不同路段之間，管理制度和技術力量方面存在著較大的差別。大部分路段管理制度較為松散，工作人員的網絡安全意識比較薄弱，存在著較大的安全隱患。珠三角區域高速公路聯網收費系統網絡拓撲示意圖見附圖1。

　　二.總體結構

　　根據珠三角高速公路收費系統網絡系統的實際情況依據我們的安全系統設計原則，采用高性能的網絡安全系列產品搭建安全防范體系，通過安全技術和管理手段，使安全產品充分發揮其安全保護的作用。

　　首先，從安全區域上，我們將網絡劃分為：高速公路收費系統區域營運中心、路段管理中心以及下屬的各個收費站和車道，并采用防火墻將上述各個區域進行隔離，以對各個區域之間的相互訪問進行訪問控制，構成第一道安全防護體系。

　　第二，為了對保護公司本部的重要服務器(如管理服務器、業務服務器、收費系統服務器)，特將這些重要的服務器放在同一網段，用防火墻進行訪問控制，該網段稱為核心防護區。可以使用原有網關處的防火墻的多網絡接口功能，只多增加一個網絡接口。

　　第三，在路段的網絡出口處部署網絡入侵檢測系統IDS，自動地對收費系統的網絡運行進行監控，對可疑的事件給予檢測和響應，在主機和網絡遭受破壞之前阻止非法的入侵行為。由于IDS是被動監聽的特點，所以不產生流量不會影響網絡的帶寬。網絡入侵檢測系統可以和防火墻形成聯動，當發現入侵行為，可自動通知防護墻動態改變規則，構造深層防御體系。

　　第四，通過防毒墻部署，利用全方位的企業防毒產品，實施“層層設防，集中控管，以防為主、防治結合”的策略，使網絡沒有能成為病毒入侵的薄弱環節。針對網絡中所有可能的病毒攻擊配置對應的防毒軟件，構建全方位、多層次的整體的防病毒體系。

　　三、方案優點

　　1、高可靠性

　　本方案選用的產品，都是具有MTBF大于10000小時。

　　2、高擴展性

　　本方案選用的防火墻、IDS、防毒墻都技術網絡設備的聯動協議，支持與其它品牌設備的聯動，有利于保護業主的投資。所選用的防火墻支持VPN，方便日后業主網絡的擴展需要。

　　3、高防御性

　　本方案防火墻、IDS、防毒墻構成一套立體的防護體系，防火墻隔離各安全區域;IDS實時檢測網絡數據流;防毒墻不但可以切斷病毒在網絡上傳播的通路，也可以防殺網絡上受控主機的病毒，這是一般網關級防毒墻所不具備的功能。

　　4、高性能

　　本方案中IDS和防毒墻都是用旁路方式接入網絡，不對網絡性能產生任何影響。設備本身通過高性能的內核監測網絡數據包。