古希腊传说中,迪奥尼修斯国王请他的大臣达摩克利斯赴宴,命其坐在用一根马鬃悬挂的一把寒光闪闪的利剑下,“达摩克利斯之剑”由此典故而来。“达摩克利斯之剑”,或称作“悬顶之剑”,用来表示时刻存在的危险。如今的高速公路信息网络,其安全问题犹如高悬的“达摩克利斯之剑”,足以引起业内的普遍关注与思考。2014年11月,中国公路学会在南京举办了2014全国高速公路信息网络安全技术研讨会,来自业界的专家、学者深入探讨了有关技术问题,称得上是业界对于信息网络安全在理念和实践上的一次“破冰之旅”。
2013年,美国“棱镜门”事件的爆出,犹如重磅炸弹,国际舆论一片哗然。一时间,美剧中精彩的剧情成为赤裸裸的现实,美国国家安全局的过度监视,引发了世界范围内大规模的质疑。大量的个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据在美国政府监控之下,差不多涵盖了公众使用网络的所有行为信息,公众隐私几乎毫无保留地被侵犯。这个事件本身就很戏谑,美国政府的初衷是保卫国家安全,但公众的网络使用安全又从何而来?
“棱镜门”事件一出,网络安全受到前所未有的拷问,引发了国际社会和公众对网络安全的空前关注。该事件凸显出网络信息安全无比重要,往大里说,将深刻影响网络时代的国家治理,网络空间的国际规则之争更趋激烈。2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,足以可见,网络信息安全在我国已经被提升到了前所未有的重视程度,“网络安全”已经上升为“国家安全”的战略高度。
在互联网发展的大背景下,高速公路领域再也不是闭塞的孤岛,进入了信息交互空前繁荣的时代,这无疑是一把双刃剑。一方面高速公路日益积累的网络信息成为巨大的资源宝库,另一方面,越来越庞大的高速公路网络,高速公路联网收费特别是全国ETC联网收费、高速公路信息化发展等对高速公路信息网络安全提出了要求。
安全有多远?
在国家互联网应急中心发布的《2013年互联网网络安全态势综述》中指出,当前我国互联网发展迅速,网络化和信息化水平不断提高,网络安全保障工作的重要性日益凸显。
此报告提出网络安全的态势要点主要集中在几个方面:基础信息网络运行总体平稳,域名系统依然是影响安全的薄弱环节,最著名的事件是2013年8月25日我国国家.CN顶级域名遭攻击瘫痪;公共互联网治理初见成效,打击黑客地下产业链任重道远,越来越多与人们生活密切相关的信息汇聚到网络,存在严重泄露风险,并可能给传统社会的信任机制带来挑战;移动互联网环境有所恶化,生态污染问题亟待解决,手机应用商店、论坛、下载站点、经销商等生态系统上游环节污染,下游用户感染速度加快;经济信息安全威胁增加,信息消费面临跨平台风险,互联网交易平台和手机支付客户端等存在漏洞,威胁用户资金安全,安全风险可能传导到与之关联的其他行业,产生连锁反应;政府网站面临的威胁依然严重,地方政府网站成为“重灾区”;国家级有组织攻击频发,我国面临大量境外地址攻击威胁。
与此相对应,高速公路信息化面临的安全形势同样也不容乐观。现有的高速公路信息化信息系统各自独立,信息资源难以共享,综合应用难以展开;应用平台多种多样,存储系统分散,无集中安全管理;未采取足够的安全防范措施,对系统内部的安全问题重视不足;设备位于多个物理节点,各自独立管理业务系统。这些情况造成系统整合及运维管理复杂,高速公路信息缺乏统一的安全网络构架和安全规划。
北京交科公路勘察设计研究院盛刚在谈到高速公路信息网络安全现状时指出,无论是建设还是设计,对信息安全的理解偏重于个别设备或技术,缺少体系化思想,对管理重视不够;普遍重视外部攻击与入侵,忽视内部行为的监管;网络安全专业性较强,技术力量、技术储备不足;信息安全威胁日趋复杂,新的安全产品、安全技术发展较快;对于高速公路联网监控、收费等信息系统,一方面建设、运营单位认识不足、重视不够,另一方面是提不出适合的、有针对性的技术对策;严格按照相关国家标准规定执行有难度,不易操作,投资大,使用率不高;现阶段主要威胁外部主要来自黑客活动,包括各种病毒、木马程序、信息安全漏洞肆虐,而内部操作人员的不规范,缺少相应的监管手段。
在网络信息安全问题上,各省又都有各自的实际问题。江苏省高速公路联网营运管理有限公司副总经理孙兴焕在谈到江苏高速公路网时就谈到,江苏高速公路组网技术复杂,SDH、光交换技术、网络虚拟化等都有使用;网络带宽分配不均,2M、100M、2.5G、万兆骨干网都存在;网络大小不同、IP资源分配混乱、存在陈旧的交换网络;星型结构、总线型拓扑交叉存在。
山西省伴随着高速公路网的不断发展壮大,各类业务和管理信息系统日益复杂,包括治超网络和监控网络、联网收费一卡通、非现金支付和ETC+MTC组合式联网收费在内,信息化系统多元化,造成安全问题日趋突出。山西省高速公路信息监控中心主任倪津介绍说,山西曾在2012年委托专业机构,针对全省高速公路信息网络进行了安全风险评估,诸多问题也由此暴露出来——物理环境薄弱:烟感、温感防火报警装置不完善;线路标识模糊混乱,部分机房防水、防雷措施不完善;信息安全工作制度规范不完善:运维管理不规范,安全管理岗位人员缺乏;网络安全防护薄弱:网络设备和安全设备自身防护不够、弱密码,网络缺少入侵防范措施,服务器未采取冗余技术设计,网络边界处的端口级访问控制策略不足;业务系统安全策略单一:服务器数据库账号超级管理服务器角色,权限太大,大多系统使用默认账号、弱密码,服务器技术支持,无记录、无报告、无审计;主机安全防护策略不足:存在系统漏洞,缺乏主机审计及入侵防御措施。
以上问题,相信很多省份或多或少都会存在。网络信息安全当是时时刻刻需要面对的问题。
