高速路收费系统立体安全防护方案

2010年为“十一五”收官之年，按照《公路水路交通“十一五”发展规划》，2010年，全国公路总里程将达到230万公里，其中高速公路6.5万公里，在交通信息化的建设中，“十一五”要求“全面提升公路、水路交通运输效率及加快推进交通信息化建设”。2010年5月26日，由交通运输部主办、以“走节能环保之路，建设绿色交通”为主题的2010中国交通发展论坛在北京召开, 交通运输部部长李盛霖出席论坛并作主旨演讲, 指出“交通运输行业进一步节约利用资源”，节能减排，低碳发展，也是发展的永恒主题。提高收费站车辆通行效率，保证收费站车道畅通，是提升高速公路的效率重要措施之一，并且可以减少尾气排放，促进环保。

ETC系统是一种用于道路、大桥和隧道的电子收费系统,使用该系统，车主只要在车窗上安装感应卡并预存费用，通过收费站时便不用人工缴费，也无须停车，通行费将从预付卡中自动扣除，可以有效提高车辆通行速度，减少司机排队等待缴费时间。

面临挑战

电子收费系统，要与管理中心、分中心、银行、跨省路网系统的互联，具有多个出口,而链路上既有专线、又有互联网链路，这将严重威胁到收费系统的安全。主要安全威胁如下：

系统面临恶意攻击的威胁

基于互联网的链路，遭到恶意攻击的风险更大，若不能保持链路的良好安全稳定运行，势必对系统的可用性造成威胁，严重影响道路通行效率。

 病毒传播和扩散威胁

在利用便利的互联网的同时，也极易将病毒带回来。如今，病毒种类多、更新速度快，常常呈指数级的速度扩散，这将影响依托互联网建设的收费系统的终端、服务器的正常运行。

 复合型攻击

收费系统边界容易受到多种攻击方式，使网络局部或全部瘫痪，丧失业务支撑和服务能力，如DOS 、DDOS 攻击，以及绝大多数利用操作系统和应用协议的漏洞的攻击。

  立体安全防护方案

针对电子收费系统复杂的威胁环境，天融信提出了基于天融信TopGate 500 UTM网关的立体安全防护方案，根据高速收费系统业务及网络现状，在中心、分中心、服务器区等边界部署UTM设备，对其边界进行立体防护。
 

天融信TopGate UTM基于完全自主知识产权的TOS  (TopSec Operating System) 安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。各安全模块的无缝融合为高速收费系统提供了高效的安全保障。

 攻击抵御：TopGate  UTM部署在业务区域，按照既定策略，实施安全保障，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

 实时防御：TopGate UTM入侵检测和防御系统帮助电子收费系统抵御恶意的或可疑的网络行为，用户可通过图形化界面快速升级入侵检测和防御的检测库，为抵御新威胁提供安全保障。

 高效防毒： 对于多路出口的网络环境，在边界的病毒过滤尤为重要。TopGate UTM提供了高效的防病毒引擎，能够100%检测、消除感染现有网络的病毒和蠕虫，实时的扫描输入和输出邮件及其附件，高速度扫描技术。同时，TopGate UTM还提供VPN 反病毒：消除VPN 隧道的病毒和蠕虫，阻止远程用户及合作伙伴的病毒传播。

  方案优势

 集中管理：针对高速路收费系统部署的多台TopGate UTM，可进行集中的管理。可有效地实施全局网络配置和安全管理、监控策略，实现了真正的统一安全策略，可针对不同应用类型的网关设置不同的安全策略，同时提供对安全策略的应用情况进行跟踪和审计，为整个系统提供了灵活的、弹性的安全机制；可提供多视角的可视化管理，通过拓扑图等多种方式，展现用户对安全接入网关进行的各种管理，图形化地添加设备和安全域，实现对边界网关性能信息的监视；可提供设备日志的接收和存储，以及系统日志的存储和转发功能，提供日志进行详细的按关键字查询功能、生成报表等功能，提供告警事件的邮件、短信通知功能等。

 高可靠性：电子收费系统要求7*24运行，这对设备的可靠性提出了严格的要求。

TopGate UTM支持双机状态的热备功能，支持多台设备的SP（链接保护）方式，实现负载分担和业务备份；支持多台设备的配置同步；支持自动的配置同步；支持心跳口备份功能；支持根据IP探测结果进行主备切换功能。

 可信接入：TopGate UTM在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本和简单的配置方式为用户提供一个高级别保护的“安全隔离区”。针对高速路收费系统，在收费站终端接入安全域前，对终端安全状态进行检测，检测终端接入时的安全状态是否符合准入要求(如补丁情况、防毒系统版本、外设接口管理等)，进行准入控制，可有效保证收费系统免受病毒、蠕虫、入侵等的危害。

 虚拟技术：TopGate UTM支持虚拟网关功能，即在一台物理网关上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统，在提供细粒策略的同时也为管理提供便利性，可对收费系统进行有效的安全防护。