深信服 取消高速公路省界收费站 安全规划解决方案
来源: 作者: 发布时间: 2019-11-26

一、项目背景

今年3月,李克强总理在《政府工作报告》中提出“两年内基本取消全国高速公路省界收费站,实现不停车快捷收费,减少拥堵、便利群众”。

2019年5月16日国务院办公厅下发《深化收费公路制度改革取消高速公路省界收费站实施方案》(国办发【2019】23号),要求各省认真组织实施。

为贯彻落实国务院的决策部署,交通运输部做出统一安排,成立专项工作组。按照工作安排,为指导推动取消高速公路省界收费站相关工作开展,交通运输部公路局组织编写了《取消高速公路省界收费站总体技术方案》(以下简称“总体方案”),根据总体方案,交通运输部路网中心组织编写了《取消高速公路省界收费站工程建设方案》。

至此,全国各省取消高速公路省界收费站改革进入实质性阶段。

二、需求分析

 

三、解决方案

深信服严格按照《网络安全等级保护基本要求》(GB/T22239-2019)和《联网收费系统省域系统并网接入网络安全基本技术要求》(交科技函〔2019〕338号)设计解决方案:省联网中心系统按照等级保护三级建设及整改,ETC门架系统、收费站在通信网络、区域边界和计算环境方面按照三级要求建设。

根据等级保护2.0要求,对于省联网中心所在网络划分不同的安全区域,如办公区、生产区、运维管理区、分支接入区、互联网区等。

   云端网络安全方案设计:

   在互联网区采用云抗DDoS服务,通过云端流量清洗能力,提升抗DDoS攻击效果,防止大流量DDoS攻击直接影响业务;通过接入深信服云镜提供云端网站防护服务。

   对于云平台,深信服提供云安全资源池解决方案,该资源池包括以下安全组件:防火墙、IPS、WAF、DAS(数据库审计)、LAS(日志审计)、OSM(堡垒机)、BVT(漏洞扫描)、EDR(终端安全防护)、VPN、AD、AC,用户可根据自身需求选择相应的安全组件。

   网端网络安全方案设计:

   在区域边界用下一代防火墙及IPS设备加强边界的保护,阻挡来自外部和内部的攻击;在互联网出口位置部署抗DDoS设备,用于清洗云抗D未拦截的攻击流量;部署Web应用防火墙设备,防止Web攻击。

   在收费专网出口部署至少2台负载均衡设备,保障业务交付质量,防止跨运营商访问,并自动选择最优最快业务访问路径。另外,可以对省中心收费专网到互联网区域,部署网闸设备,用于隔离互联网及收费专网。

   对收费站、区域路段等连接到省中心的线路,除提供专线连接外,部署VPN设备,提供符合商密要求的备份线路连接。在收费站、区域路段、省中心等核心交换设备上部署流量感知探针,用于检测威胁流量。在省中心、区域路段、收费站划分运维管理区,在该区域部署态势感知平台、漏洞扫描、堡垒机、日志审计等,另外部署BBC集中管理平台,实现VPN网络自动组建,同时对下一代防火墙等多种安全设备进行集中管控。

   终端网络安全方案设计:

   在省中心、区域路段、收费站等重要业务服务器上部署EDR,用于检测服务器威胁,并有效阻断东西向的攻击威胁。

   部署行为管理、数据防泄密系统联动实现数据防泄密建设;同时部署终端准入系统防止产生非法内联和非法外联问题。

   提供态势感知平台与防火墙、AC、EDR之间的联动,构建“预测、防御、检测、响应”的安全闭环。

四、方案优势

深信服科技对用户提供针对性、完整性、合规性、专业性的网络安全解决方案,优势如下:

安全设计基础扎实

深入分析用户网络安全现状,对用户存在的问题和风险进行研判,提供有针对性的解决方案,对后续安全建设和运行提供有效帮助。

边界防护设计到位

严格按照等保要求分区分域建设安全防护措施,收费专网和监控专网严格隔离,测试域和运行域物理隔离。保证收费专网的『专网』属性。

数据保护措施完善

加强对重要数据和敏感信息的保护措施,对收费业务数据、个人信息等实行加密存储和流转,并结合相应的加密、脱敏等措施,防止数据泄密。

密码应用方案强化

编制密码应用保障方案,通过密码实现统一身份鉴别、数据传输及存储保护,并提出相关技术要求。

关键设备冗余部署

对收费站、ETC门架系统等的关键网络设备,给予必要的冗余设计,防止通信链路、系统功能等产生单点故障。

备份恢复措施到位

按照并网接入要求落实数据备份恢复措施,有效保障收费业务主体功能、重要数据安全。

配套工作支撑充足

对公安、密码等部门要求实施的等级保护测评、商用密码评估工作,明确相关工作内容,并对取消省界站后实施并网接入技术检测作出针对性安排。

引用全新标准

在整个安全设计中,引用等级保护2019年新版标准,保证安全方案分析、设计内容的统一。

整个安全设计方案以等级保护2.0新标准为基础,以交通运输部发“并网接入技术要求”为达标“最低线”要求进行安全规划建设,保证联网收费系统安全设计、建设和长期稳定运行。深信服深入排查用户前期网络安全设计存在的问题,严格按照法律、制度和标准规范要求,整改完善网络安全设计方案,全力确保用户实现安全建设合规达标和系统安全稳定运行。

五、方案价值

1、广泛的用户认可

方案中所使用的大部分安全产品都是在中国市场上销售额前三的产品,获得广泛的用户认可。

2、基于“持续保护,不止合规”框架,构建“预测、防御、检测、响应”闭环。

3、出色的安全可视能力,简化运维压力

方案从可视的深度、广度两个层面,对全网资产、资产脆弱性、潜伏威胁等进行直观的可视化展示,从业务的视角,实现安全风险的可视、可控、可管。在全网安全可视基础上,用户可以大幅降低运维的复杂度,提升安全治理水平。

4、完善的用户服务支撑体系

深信服在深圳、长沙、吉隆坡设置了超过300坐席的CTI中心,在50余个城市设立备品备件中心并配备原厂工程师,另有6500余位专业的认证工程师提供技术支持。


地方动态

中国信息协会第四届信息技术服务业应用技能大赛新闻发布会在京召开

务虚求实定思路 凝心聚力谋新篇|中国信息协会召开分支机构工作座谈会

《中国城市产业营商环境发展报告2022》正式发布

2023年第十七届iCAN大学生创新创业大赛全国总决赛在北京奥林匹克塔成功举行

  • 协会要闻
  • 通知公告