数字化转型 | 基于收费、监控、办公的三网融合网络安全设计

随着国家高速公路网络的逐渐完善，高速公路建设进程也从建设期向建管期进行转变。

加强高速公路的管理能力，提高高速公路服务水平，增收创效成为现阶段亟待解决的突出问题。

今年又伴随着高速公路数字化转型的开展，高速公路运营公司都面临着运营方向的数字化转型升级压力，这对高速公路营运管理又提出了新挑战。

目前高速公路已建信息化系统都在为本部门业务进行管理和数据的支撑，但同时又都各自为政，公司内部部门与部门之间数据都不能共享，从而形成了“信息孤岛”。

如果破解信息鼓捣，实现统一化的运营管理平台，那么网络改造是必不可免的。

现状

目前来说，高速公路基本都是三个网络架构，分别是收费网、监控网、办公网。

基于网络安全的考虑，三个网络物理隔离，收费业务流转在收费网，监控业务流转在监控网，运营业务流转在办公网。

随着数字化的转型，统一化平台的实施建设需要将三个网络打通，构建一个互联互通网络或者数据交换环境。

初步设计

基于现有的网络架构不变，实现三网融合，那么最后的方法就是新建一个网络，整体的建设思路如下：

所以核心要点是三个：

1. 三个网络与综合网络之间的边界防护做好，防止信息泄露或病毒传播。
2. 对综合网络的网络安全设计需要达到等保三级。
3. 原来所有的对外网络接口全部迁移到综合网络中，进行统一的安全防护。

通过上述核心改造后的综合网络分区如下： 

其实就是为了满足等保三级要求，架构需要充分考虑到安全性要求。

综合网络主要分为数据采集区、核心交换区、业务服务器区、安全区、DMZ区、互联网接入区。

• 互联网接入区

此区域负责多运营商互联网线路的接入，是最主要的网络边界，需要重点防范来自互联网的安全风险。

• DMZ区

此区域用于部署为互联网用户直接提供访问服务的服务器。

• 数据采集区

负责采集收费专网、监控专网和办公网相关的数据。

• 业务服务应用区

此区域用于部署业务应用服务器，负责完成数据分析、存储，同时负责接收DMZ区服务前置服务器发送过来的业务处理请求，并向服务前置服务器反馈业务处理结果。

同时部署数据库服务器，结构化地存储业务应用数据，方便应用服务器的录入和调取。

• 安全管理区

此区域用于部署集中管理类的安全产品以及实现对在其它区域部署安全产品的带外管理，方便安全管理员快速发现安全风险，及时处置安全事件，集中把控整体安全性，同时降低安全运维成本。

• 核心交换区

此区域负责各安全区之间的数据快速转发，同时也是进行流量监测的最佳位置。

详细设计（不含设备选型）

根据以上的设计思路，整体网络架构如下：

数据采集区通过单向网闸、视频防火墙接入收费网数据及视频，监控网、办公网采用双向网闸接入，与原传输网络逻辑隔离。

部署互为主备的服务器，为数据采集提供7*24小时不间断的服务，保证数据接口畅通，并安装监控软件，对服务器状态、各服务状态提供监控服务，保证数据采集稳定、可靠、数据可信。

核心交换区部署核心交换机和其他安全审计设备，用以满足网络通信条件和安全条件。

业务服务器区提供N台服务器，组成数据存储、计算集群，在不同节点分别部署不同的业务组件。

数据库集群为平台提供数据分析计算结果持久化服务。

安全区部署相关网络检查和安全设备。

DMZ区为互联网应用部署区，提供两台高性能WEB服务器，通过虚拟化技术完成应用服务器虚拟化服务，构建互联网应用私有云环境，形成弹性可扩展的外网应用部署资源分配管理机制。

互联网接入区部署VPN、防火墙等，使接入互联网安全系数提高，满足等保三级要求。

结语

“三分技术，七分管理”这句话是对信息安全保密工作非常客观的描述。

任何安全保密仅在技术上是做不到完整的安全，还需要建立一套科学、严密的网络安全管理体系，因此不能忽视具体的安全保密管理措施。

目前来说，我们对高速公路网络架构改造思路是这样的，不知道还有其他的思路吗？

欢迎大家留言探讨。