收费公路联网系统网络安全技术要求（试行）

收费公路联网系统网络安全技术要求（试行）收费公路联网系统网络安全技术要求（试行）总体安全要求安全保护对象联网系统网络安全技术要求的保护对象是高速公路联网收费系统、联网监控系统和一、二级收费公路联网收费系统。联网收费系统（1）互联网收费系统架构高速公路联网收费系统架构由省中心、路段分中心、ETC门架、收费站、车道（ETC车道、ETC/MTC混合车道）组成。具体见图4.1-1所示。图4.1-1联网收费系统架构省中心：主要负责全省收费业务数据收集汇聚、备份与维护、统计和查询，下发联网收费系统的运行参数，完成高速公路网收费业务管理以及通行费的拆分结算等工作。路段分中心：主要负责所辖路段收费站/ETC门架的运营监督管理，通行卡的调配、接收省中心的系统运行参数，向省中心上传图像和统计数据，完成与省中心的数据校核等工作。收费站：主要实现车道数据的获取、收费员日志工作管理、车道过车信息采集及存储，接收路段分中心下发的系统参数和下发必要的车道运营数据，接收车道上传的原始数据并实时传至路段分中心，同时完成运行监控管理、数据查询、业务和票据管理职能，是各路段系统的核心。ETC门架：主要实现MTC车辆的分段计费，ETC车辆的交易流水，将图像流水记录表实时上传至全国、省两级联网中心。车道（ETC车道、ETC/MTC混合车道）：主要完成收费车道的收费管理，收费设备控制，采集进出车道车辆信息，上传原始收费数据等工作。（2）互联网收费系统通信网络架构为保证数据实时传输，ETC门架和收费站到省中心、全国中心采用主备双链路，以保证数据实时传输，主用链路采用省内现有收费通信网络，备份通信链路采用运营商专线网络。省中心到全国中心复用已有跨省清分结算通信链路。具体见图4.1-2所示。图4.1-2联网收费系统通信网络架构联网监控系统（1）联网监控系统架构高速公路联网监控系统架构由省中心、路段分中心、外场设备三级组成。具体见图4.1-3所示。图4.1-3联网监控系统架构图省中心：主要实现全省监控数据收集汇聚、备份与维护、统计和查询的功能。路段分中心：主要负责所辖路段收费站、外场设备的运营监督管理及视频汇聚工作。外场设备：主要负责前端信息采集和信息发布，由前端摄像头、情报板等组成。（2）联网监控系统通信网络架构省中心通过干线传输网至路段分中心监控交换机，以保证省中心监控信号的调用。路段分中心监控交换机到外场设备有两种方式：一种是外场设备通过环路将业务传输至路段分中心；另一种是外场设备通过环路传输至收费站，在收费站汇聚后将业务传输至路段分中心。在路段分中心租用运营商专线，将外场设备的监控信号经转码、推流至省中心公有云平台，以满足视频上云的需要。具体见图4.1-4所示。图4.1-4联网监控系统通信网络架构一、二级收费公路联网收费系统（1）一、二级收费公路联网收费系统架构一、二级收费公路联网收费系统架构由省中心、收费站、车道三级组成。具体见图4.1-5所示。图4.1-5一、二级收费公路联网收费系统架构（2）一、二级收费公路联网收费系统通信网络架构收费站到省中心采用主备双链路，以保证数据实时传输，主用和备份通信链路均采用运营商专线网络。具体见图4.1-6所示。图4.1-6一、二级收费公路联网收费系统通信网络架构安全技术框架安全技术框架包括联网收费系统安全技术框架、联网监控系统安全技术框架和一、二级收费公路联网收费系统安全技术框架。联网收费系统根据国家网络安全政策法规和技术标准体系的有关要求，落实网络安全等级保护制度，围绕联网收费系统的安全保护需求，针对联网收费系统重要数据和业务系统进行分类分级管理，从安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心等五个方面，提出通用安全要求以及云计算、大数据及物联网三个方面提出扩展安全要求，以建立联网收费系统网络安全技术防护体系，构建综合防御能力。联网收费系统安全技术框架体系见图4.2-1所示。图4.2-1联网收费系统安全技术框架体系联网监控系统根据国家网络安全政策法规和技术标准体系的有关要求，落实网络安全等级保护制度，围绕联网监控系统的安全保护需求，针对联网监控系统重要数据和业务系统进行分类分级管理，从安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心等五个方面，提出通用安全要求以及云计算、大数据及物联网三个方面提出扩展安全要求，以建立联网监控系统网络安全技术防护体系，构建综合防御能力。联网监控系统安全技术框架体系见图4.2-2所示。图4.2-2联网监控系统安全技术框架体系一、二级收费公路联网收费系统一、二级收费公路联网收费系统安全技术系统框架参照联网收费系统安全技术框架。整体安全保护要求本技术要求主要涉及网络安全的技术要求，各单位在网络安全设计、建设维护期间涉及商用密码应用的，应满足《中华人民共和国密码法》，涉及数据安全的要严格遵循《中华人民共和国数据安全法》，本技术要求不再作展开。联网收费系统（1）省中心联网收费系统整体按照网络安全等级保护第三级安全要求进行定级、备案、建设、测评、保护，每年需要做网络安全等保测评。（2）路段分中心在安全通信网络、安全区域边界及安全计算环境等方面，参照网络安全等级保护第三级安全要求开展安全保护。新增路段分中心接入联网收费系统应经过具有网络安全等级测评或信息安全风险评估等相关资质的第三方检测评估机构，依据《联网收费系统省域系统并网接入网络安全检测规程》进行安全接入检测，并出具技术要求符合性检测报告。（3）收费站/ETC门禁系统在安全通信网络、安全区域边界及安全计算环境等方面，参照网络安全等级保护第三级安全要求开展安全保护。新增收费站、ETC门架系统接入联网收费系统应经过具有网络安全等级测评或信息安全风险评估等相关资质的第三方检测评估机构，依据《联网收费系统省域系统并网接入网络安全检测规程》进行安全接入检测，并出具技术要求符合性检测报告。（4）ETC发行系统整体按照网络安全等级保护第三级安全要求进行定级、备案、建设、测评、保护，每年需要做网络安全等保测评，并应按照《中华人民共和国个人信息保护法》等有关法律重点加强个人信息保护。联网监控系统（1）省中心联网监控系统整体按照网络安全等级保护第二级安全要求进行定级、备案、建设、测评、保护；在安全通信网络、安全区域边界及安全计算环境等方面，参照网络安全等级保护第三级安全要求开展安全保护。（2）路段分中心在安全通信网络、安全区域边界及安全计算环境等方面，参照网络安全等级保护第二级安全要求开展安全保护。一、二级收费公路联网收费系统一、二级收费公路联网收费系统在安全通信网络、安全区域边界及安全计算环境等方面，参照网络安全等级保护第三级安全要求开展安全保护。联网收费系统网络安全技术要求省中心安全要求省中心系统主要包含：省级清分结算系统等业务处理类系统，省级稽查与信用管理系统、密钥管理系统、客服系统等业务辅助系统及有关网络基础运行环境。安全通用要求安全物理环境（1）机房物理位置选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。（2）机房物理访问控制机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。实现方式：通过电子门禁系统或其他具备控制、鉴别、记录等功能的系统实现。（3）防盗和防破坏应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽安全处；应设置机房防盗报警系统或设置有专人值守的视频监控系统。实现方式：通过机房防盗报警系统或专人值守的视频监控系统等实现。（4）防雷击应将机柜、设施和设备等通过接地系统安全接地；应采取措施防止感应雷。实现方式：通过防雷保安器或过压保护装置等方式实现。（5）防火机房应设置火灾自动消防系统，能够自动监测火情、自动报警并自动灭火；机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料；应对机房划分区域进行管理，区域和区域之间可设置隔离防火措施。实现方式：火灾自动消防系统等。（6）防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应部署机房环境监测系统对机房进行防水检测和报警。实现方式：通过机房环境监测系统或具备相同功能的系统实现。（7）防静电应采用必要的接地防静电措施；应采取措施防止静电的产生。实现方式：采用防静电地板或地面，配置静电消除器或佩戴防静电手环等方式。（8）温湿度控制机房应设置温湿度自动调节设施，使机房内的温度和湿度的变化在设备运行所允许的范围内,机房温度范围为23±1℃，湿度范围为40%～55%。实现方式：通过机房精密空调等方式实现。（9）电力供应应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；应设置冗余或并行的电力电缆线路为计算机系统供电，以防止突然断电对系统造成损坏。实现方式：可通过不间断电源系统（具备稳压和过电保护功能），双路市电或备用发电机等方式实现。（10）电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。实现方式：配备金属线槽等方式对电源线及通信电缆进行隔离。安全通信网络（1）网络架构应保证核心交换机、核心路由器、出口防火墙等主干线网络设备的业务处理能力具备冗余空间，以满足业务高峰期需要；应保证部省连接、下级单位接入等线路网络的带宽满足业务高峰期需要；应根据业务职能、重要性和所涉及信息的重要程度等因素，根据需要至少划分收费业务应用（业务数据处理类、业务生产控制类）、其他业务应用（业务辅助类）、数据服务、传输接入（部级传输接入、下级单位传输接入、外部单位传输）、运维管理等不同的网络区域，单独划分测试区域，应通过有效措施对各网络区域进行技术隔离，并按照便捷管理和集约管控的原则为各网络区域分配地址，采用白名单固定IP方式与全国中心通信；应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性，与全国中心通信应采用双机热备；联网收费系统不得直接提供互联网服务，如与互联网应用存在数据交换，应通过设置网闸或者双防火墙方式实现隔离。实现方式：利用划分VLAN、配置防火墙等方式进行区域间隔离，可通过配备三层交换机、防火墙或其他具有相同功能的设备实现，根据需要可增配网闸、负载均衡、下一代防火墙等。原则上宜采用异构安全体系配备安全防护设备。（2）通信传输应至少采用校验技术保证部省、省站间通信过程中数据的完整性，根据需要可采用密码技术保证通信过程中的数据完整性；应采用密码技术保证部省、省站通信过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：根据需要配备SSL网关、IPSecVPN或SSLVPN等方式实现，或根据链路类型配备其他具有相同功能的设备，设备应具备国家密码管理局颁发的商用密码产品型号证书。安全区域边界（1）边界防护应保证跨越网络区域边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自连接到收费专网的行为进行检查或限制，能够对终端或用户非授权连接到收费网外部网络的行为进行检查或限制，阻止非授权访问；收费专网应严格禁止无线局域网络的使用。实现方式：对防火墙、网闸等边界防护设备进行有效设置；配备终端管控系统、网络准入系统或其他具有相同功能的设备。（2）访问控制应在划定的网络区域边界防护设备上（如防火墙）根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；优化防火墙等安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制规则数量最小化；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为传输层端口级，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：通过配置防火墙、网闸等区域边界防护设备的安全策略实现。（3）入侵防范应在核心交换机等关键网络节点处部署具备入侵检测功能的设备，检测从内部/外部发起的网络攻击行为；应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警，通过人工阻断方式或配置相应入侵防御设备，防止或限制从内部和外部发起的网络攻击行为。实现方式：配备入侵检测/防御、监测预警等或其他具有相同功能的安全设备，有条件的可建设监测预警与态势感知平台进行集中管控。（4）恶意代码防范应至少在与下级节点和外部连接的防火墙前端部署恶意代码检测设备对恶意代码进行检测和清除；维护恶意代码防护机制的升级和更新。实现方式：配备防火墙（具备防病毒模块）、防病毒网关或防毒墙等。（5）安全审计应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计，能对远程访问的用户行为单独进行行为审计和数据分析；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；审计记录留存6个月以上。实现方式：部署网络审计系统、日志审计系统等审计功能设施实现。安全计算环境（1）身份鉴别应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户进行身份标识和鉴别，且保证用户名具有唯一性；应采用口令、密码技术、生物技术等鉴别技术对用户进行身份鉴别，并对鉴别数据进行保密性和完整性保护，对管理员、运维人员、重要业务系统（业务数据处理类）用户应采取两种或两种以上组合的鉴别技术；若只采用“用户名+口令”的方式进行身份鉴别，口令须满足大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位，每90天更换；应启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，连续5次登录失败至少锁定10分钟；当进行远程管理时，应采取SSH、HTTPS等方式防止管理数据、鉴别信息在网络传输过程中被窃听；应为与全国中心之间进行通信的计算设备、安全防护设备实现双向身份标识认证，保障部省传输的安全。实现方式：可通过部署统一身份认证系统、堡垒机等方式实现，省中心管理人员、运维人员、客服人员可采用“用户名+口令”和“USBKey数字证书”或其他双因素认证方式实现用户身份鉴别。（2）访问控制应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户分配账户和权限；应禁用“超级管理员”权限，重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。实现方式：通过堡垒机等设备实现权限分离，配置计算设备系统策略实现，或在应用系统软件开发中实现有关要求。（3）安全审计应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；对审计进程进行保护，防止未经授权的中断；审计记录留存6个月以上。实现方式：开启网络设备、安全设备、服务器、中间件、数据库、终端及应用系统等的访问和操作审计功能，设置独立审计员账户，限制其他用户对审计进程操作，可通过配备堡垒机和日志审计等相关系统实现。（4）入侵防范服务器、终端等应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应定期开展漏洞扫描工作，及时发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；应严格对U盘、移动光驱等外来介质设备的管控，并对各类硬件设备的外接存储接口进行限制或移除。实现方式：对设备进行合理配置，定期对服务器、终端进行漏洞扫描，并及时修补漏洞，对于不能及时升级补丁的，采用相应技术措施来降低风险；可根据实际需要配备漏洞扫描、入侵检测等相应功能的设备，配备服务器主机加固系统，软件开发过程中严格对数据输入有效性进行验证。（5）恶意代码防范应采用免受恶意代码攻击的技术措施或主动防御机制及时识别入侵和病毒行为，并将其有效阻断；支持防恶意代码的统一升级和管理。实现方式：终端、服务器等通过安装防恶意代码软件等方式实现，主机防恶意代码产品与网络防恶意代码产品具有不同的恶意代码库。（6）数据完整性采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性，并在检测到完整性错误时采取必要的恢复措施，包括但不限于鉴别数据、关键业务数据（交易和清分数据、拆分数据等）、服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）和公民个人信息等；密码算法应符合国家密码管理局相关规范要求。实现方式：通过软件开发等方式实现数据完整性校验，并在数据完整性受到破坏时实施数据重传，对存储的数据采取多重备份。（7）数据保密性采用密码技术保证重要数据在传输和存储过程中的保密性，包括但不限于鉴别数据和公民个人信息等；密码算法应符合国家密码管理局相关规范要求。实现方式：通过服务器密码、数据库加密系统等实现。（8）数据备份恢复应提供关键业务数据（交易和清分数据、拆分数据等）、服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）等的本地数据备份与恢复功能，每周至少进行一次全备份，每天进行增量备份；应提供异地备份功能，利用通信网络将关键业务数据（交易和清分数据、拆分数据等）备份至备份场地，有条件的可提供异地实时备份功能；应提供关键业务数据（交易和清分数据、拆分数据等）处理系统的热冗余，保证系统的高可用性。实现方式：配备数据备份服务器，建立异地数据备份系统及通信网络，并实现关键业务数据库服务器的双机热备。（9）剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；应保证存有个人信息等敏感数据的存储空间被释放或重新分配前得到完全清除。实现方式：应通过设置服务器操作系统策略或在应用系统软件开发中实现。安全管理中心（1）权限管理应对系统管理员、审计管理员、安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面分别进行系统资源配置、安全审计、安全策略配置操作，并对这些操作进行审计。实现方式：通过配置堡垒机或其他相同功能的设备实现。（2）集中管控应划分出特定的管理区域，对分布式网络中的安全设备或安全组件进行管控；应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；应对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测；对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各类安全事件进行识别、报警和分析。实现方式：可建立省级联网收费系统网络安全监测预警平台，实现省中心内部监测预警，具备条件的可同时对与其连接的路段分中心、收费站、ETC门架系统的网络安全监测预警；有效配置设备管理系统实现集中管控，要求交换机、路由器、防火墙等设备具备网管功能；可建立省级集中安全审计平台、集中安全管理平台、统一安全监测预警平台等完备的信息安全一体化管控平台。云安全扩展要求省中心如有部分系统部署在私有云平台（含虚拟化资源池）或公有云平台（含专属云平台，不得为业务数据处理类系统）应遵循云安全扩展要求。使用公有云平台应确保其云计算基础设施位于中国境内，并提供等级保护第三级备案证明。安全通信网络（1）网络架构应能够提供虚拟网络之间的隔离能力，提供按需配置通信传输、边界防护、入侵防范等安全机制的能力；应允许接入第三方安全产品或服务。实现方式：通过云平台虚拟网络管理组件进行虚拟子网划分，利用云平台安全组或虚拟化安全设备进行虚拟子网之间的访问控制。安全区域边界（1）访问控制应采取措施保证虚拟机无法通过网络非授权访问宿主机；应在虚拟化网络边界（云平台与其他计算环境、虚拟子网与虚拟子网间）部署访问控制机制，设置访问控制规则。实现方式：通过云平台安全组件实现虚拟子网间的访问控制，或虚拟化防火墙等设备，设置虚拟化网络边界访问控制策略。（2）入侵防范应能检测到内部虚拟机发起的或者针对虚拟网络节点的网络攻击行为，并记录攻击类型、攻击时间和攻击流量等；应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量，并进行告警。实现方式：在虚拟子网边界部署虚拟化入侵检测等相应功能的设备，监听所有出入虚拟子网的流量，实时检测虚拟子网之间以及虚拟子网内部的攻击行为和异常流量。（3）安全审计应对远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。应针对通过云平台对应用系统和数据进行的操作进行审计。实现方式：云管平台需要具备相关审计功能。安全计算环境（1）身份鉴别当进行远程管理时，管理终端和云计算平台之间应建立双向身份验证机制。实现方式：可通过云管平台实现与管理终端间的双向身份验证。（2）访问控制应保证当虚拟机迁移时，访问控制策略随其迁移；应允许设置不同虚拟机之间的访问控制策略。实现方式：可通过云管平台实现。（3）入侵防范应能检测到虚拟机之间的资源隔离失效，并提供告警；应能检测到非授权新建虚拟机或者重新启用虚拟机，并提供告警；应能够检测恶意代码感染及在虚拟机间蔓延等情况，并提供告警。实现方式：通过部署的虚拟化入侵检测等功能的设备，对僵木蠕毒等恶意代码行为进行实时监测，如果有条件可部署云安全态势感知平台进行集中告警。（4）镜像和快照保护针对收费系统、稽查与信用管理系统等部署在云中的联网收费业务系统提供加固的操作系统镜像；应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。实现方式：可通过云管平台和加密机实现。（5）数据完整性和保密性应使用校验码或密码技术确保虚拟机迁移过程中，重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施。应采用密码技术保证重要数据传输和存储过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：可通过云管平台和加密机实现。（6）数据备份恢复应保证业务应用和数据存储在若干个可用的副本，各副本之间的内容应保持一致；应为业务系统及数据迁移到其他云计算平台和本地系统提供技术手段。实现方式：可通过云管平台实现。（7）剩余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完全清除。实现方式：可通过云管平台实现。安全管理中心（1）集中管控应能对物理资源和虚拟资源按照策略做统一管理调度与分配；应保证云计算平台管理流量与业务流量分离；对虚拟化网络、主机等审计数据进行收集汇总和集中分析；应对虚拟化网络、虚拟机、虚拟化安全设备等运行状况进行集中监测。云安全管理中心应与业务云分开部署于不同物理服务器。实现方式：可通过云管平台实现。路段分中心安全要求路段分中心系统主要包含：ETC门架系统的运行监测与预警系统、收费稽查管理系统等业务辅助类系统及有关网络基础运行环境。安全物理环境物理位置选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。物理访问控制机房出入应对外来人员进行身份核实，并记录下外来人员身份信息、联系电话、接待人、时间等详细情况。根据需要可配置电子门禁系统。防盗和防破坏应将设备及主要部件进行固定，并设置明显的不易除去的标记；应将通信电缆铺设在隐蔽处；应设置机房防盗报警系统或视频监控系统。实现方式：通过机房防盗报警系统或视频监控系统或其他具有相同功能的系统实现。防雷击应将各类机柜、设施和设备等通过接地系统安全接地；可采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。防火机房及相关的工作房间和辅助房间应采用具有耐火级别的建筑材料，配备符合消防管理要求的灭火设备。防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；采取措施防止机房内水蒸气结露和地下积水的转移和渗透。防静电应采用防静电地板或地面并采用必要的接地防静电措施。温湿度控制机房应设置温、湿度自动调节设施，使机房内的温度和湿度的变化在设备运行所允许的范围内。电力供应应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足交换机、防火墙等关键设备在断电情况下的正常运行要求。实现方式：可通过不间断电源系统（具备稳压和过电保护功能）实现。电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。实现方式：可通过配备金属线槽对电源线及通信电缆进行隔离。安全通信网络网络架构应保证关键网络设备的业务处理能力具备冗余空间，以满足业务高峰期需要；应保证路段分中心与省中心、收费站等传输线路网络的带宽满足业务高峰期需要；应通过交换机或防火墙等设施至少划分收费业务、收费站接入和运维管理等网络区域，并为各网络区域分配地址，应通过有效措施对各网络区域进行技术隔离。实现方式：可利用划分VLAN、配置防火墙等方式，实现区域间隔离。通信传输与省中心采取收费专网传输，应至少采用校验技术保证通信过程中的数据完整性，根据需要还可采用密码技术保证通信过程中的数据完整性；应采用密码技术保证路段分中心与省中心、收费站间通信过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：根据需要配备SSL网关、IPSecVPN或SSLVPN等或其他具有相同功能的设备，设备应具备国家密码管理局颁发的商用密码产品型号证书。安全区域边界边界防护应保证跨越网络边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自连接到收费网络的行为进行检查或限制，能够对收费网终端或用户非授权连接到外部网络的行为进行检查或限制；收费专网应严格禁止无线局域网络的使用。实现方式：对防火墙边界防护设备进行有效设置，可配置终端管控系统、网络准入系统或其他具有相同功能的设备。访问控制应在划定的网络区域边界或各区域间防护设备上根据访问控制策略设置访问控制规则，默认情况下除允许通信外，受控接口拒绝所有通信；应优化防火墙等安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制规则数量最小化；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为传输层端口级，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：可通过配置防火墙策略实现。入侵防范应在网络中进行检测从外部/内部发起的网络攻击行为。实现方式：定期查看分析防火墙日志，具备条件的可配备工具有入侵检测功能的设备。恶意代码防范可在网络中部署恶意代码防范功能的设备（如边界防火墙增加防病毒模块等）对恶意代码进行检测和清除；维护恶意代码防护机制的升级和更新。实现方式：可通过防火墙（具备防病毒模块）或具有相同功能的设备实现。安全审计应在网络边界、重要网络节点进行安全审计，对重要的用户行为和重要安全事件进行审计，能对远程访问的用户行为单独进行行为审计和数据分析；审计日志应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；审计日志留存6个月以上。实现方式：可通过部署日志审计相关系统实现。安全计算环境身份鉴别对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户进行身份标识和鉴别，且保证用户名具有唯一性；应采用口令、密码技术、生物技术等鉴别技术对用户进行身份鉴别，并对鉴别数据进行保密性和完整性保护，对管理人员、运维人员、重要业务系统用户应采取两种或两种以上组合的鉴别技术。若只采用用户口令方式进行身份鉴别，口令须满足由大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位，每90天更换；启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，如连续5次登录失败至少锁定10分钟；当进行远程管理时，应采取SSH、HTTPS等方式防止管理数据、鉴别信息在网络传输过程中被窃听。实现方式：通过部署统一身份认证系统、堡垒机等方式实现；路段分中心管理人员、运维人员应采用“用户名+口令”和“USBKey数字证书”或其他双因素认证方式实现用户身份鉴别。访问控制应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户分配账户和权限；应授予管理用户所需的最小权限，实现运维、管理账号的权限分离；应禁用“超级管理员”权限，重命名或删除默认账户，修改默认账户的默认口令；及时删除或停用多余的、过期的账户，避免共享账户的存在。实现方式：可通过安全配置加固方式实现。安全审计启用网络、服务器、中间件、数据库、终端及应用等计算设备安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计日志应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；对审计进程进行保护，防止未经授权的中断；审计日志留存6个月以上。实现方式：可通过开启网络、服务器、中间件、数据库、终端及应用系统审计功能，设置独立审计员账户，限制其他用户对审计进程操作；可配备堡垒机和日志审计系统等设备实现。入侵防范服务器、终端等遵循最小安装的原则，仅安装需要的组件和应用程序；关闭不需要的系统服务、默认共享和高危端口；通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应定期开展漏洞扫描工作，及时发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；应严格对U盘、移动光驱等外来存储设备的管控，并对各类硬件设备的外接存储接口进行移除或限制。实现方式：对设备进行合理配置，定期对服务器、终端等设备进行漏洞扫描，并及时修补漏洞；可根据实际需要配备漏洞扫描、入侵检测等功能设备，完善相关设备安全策略。恶意代码防范应通过安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库，实现对恶意代码的有效防范；主机防恶意代码产品可根据需要，配置具有与网络防恶意代码产品不同的恶意代码库，支持恶意代码防范的统一升级和管理。实现方式：联网收费系统终端、服务器等可通过安装防恶意代码软件等方式实现。数据完整性采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性，并在检测到完整性错误时采取必要的恢复措施，包括但不限于关键业务数据（交易数据等）和服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）等；密码算法应符合国家密码管理局相关规范要求。实现方式：可通过软件开发等方式实现数据完整性校验，并在数据完整性受到破坏时实施数据重传，并对存储的数据采取多重备份。数据保密性应采用密码技术保证收费站重要数据（业务数据、鉴别信息）在传输和存储过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：可通过软件开发等方式实现。数据备份恢复提供关键业务数据（交易数据等）和服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）等的本地数据备份与恢复功能，每周至少进行一次全备份，每天进行增量备份；可根据需要提供关键业务数据（交易数据等）处理系统的热冗余，保证系统的高可用性。实现方式：配备数据备份服务器、安装数据库自动备份系统软件等方式实现，可根据需要实现关键业务数据库服务器的双机热备。剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；实现方式：应通过设置服务器操作系统策略或在应用系统软件开发中实现。安全管理中心权限管理应对系统管理员、审计管理员、安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面分别进行系统资源配置、安全审计、安全策略配置操作，并对这些操作进行审计。实现方式：可通过配置堡垒机等权限分配功能设备实现。集中管控可对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；可对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；可对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；可对网络中发生的各类安全事件进行识别、报警和分析。实现方式：可通过配备网管软件等方式实现集中管控，或接入省联网收费系统网络安全监测预警平台，具备条件的可自建监测预警平台。收费站安全要求收费站系统主要包括：ETC车道系统、ETC/MTC混合车道系统、站级管理系统及有关网络基础运行环境。安全通用要求安全物理环境（1）物理位置选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。（2）物理访问控制机房出入应对外来人员进行身份核实，并记录下外来人员身份信息、联系电话、接待人、时间等详细情况。可根据需要配置电子门禁系统。（3）防盗和防破坏应将设备及主要部件进行固定，并设置明显的不易除去的标记；应将通信电缆铺设在隐蔽处；可设置机房防盗报警系统或视频监控系统。（4）防雷击应将各类机柜、设施和设备等通过接地系统安全接地；可采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。（5）防火机房及相关的工作房间和辅助房间应采用具有耐火级别的建筑材料，配备符合消防管理要求的灭火设备。（6）防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；采取措施防止机房内水蒸气结露和地下积水的转移和渗透。（7）防静电应采用防静电地板或地面并采用必要的接地防静电措施。（8）温湿度控制机房应设置温、湿度自动调节设施，使机房内的温度和湿度的变化在设备运行所允许的范围内。（9）电力供应应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足收费站中的服务器、交换机等关键设备在断电情况下的正常运行要求。实现方式：可通过部署不间断电源系统（具备稳压和过电保护功能）等方式实现。（10）电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。实现方式：可通过配备金属线槽对电源线及通信电缆进行隔离。安全通信网络（1）网络架构应保证通信设备的业务处理能力具备冗余空间，以满足业务高峰期需要；应保证收费站与全国中心、省中心、路段分中心等传输线路网络带宽满足业务高峰期需要；应通过交换机或防火墙等设施至少划分收费业务、运维管理、设备接入等不同的网络区域，并为ETC门架系统接入单独设置网络区域，按照便捷管理和集约管控的原则为各网络区域分配地址，通过有效措施对各网络区域进行技术隔离；收费站和全国中心、省中心、路段分中心的通信传输应提供链路冗余，主干链路的通信和安全防护等关键设备应采用双机备份。实现方式：可利用划分VLAN、配置防火墙等方式，实现区域间隔离。（2）通信传输应至少采用校验技术保证收费站与全国中心、省中心、路段分中心间通信过程中的数据完整性，根据需要还可采用密码技术保证通信过程中的数据完整性；应采用密码技术保证收费站和全国中心、省中心、路段分中心通信过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：根据需要配备SSL网关、IPSecVPN、SSLVPN等或其他具有相同功能的设备，或根据链路类型配备其他具有相同功能的设备，设备应具备国家密码管理局颁发的商用密码产品型号证书。安全区域边界（1）边界防护应保证跨越网络边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自连接到收费网络的行为进行检查或限制，能够对收费网终端或用户非授权连接到外部网络的行为进行检查或限制；收费专网一般应禁止无线局域网络的使用，如使用，应采用证书认证技术确保移动设备的可信接入。实现方式：可通过配置防火墙策略或部署边界防护设备实现。（2）访问控制应在划定的网络区域边界或各区域间防护设备上根据访问控制策略设置访问控制规则，默认情况下除允许通信外，受控接口拒绝所有通信；应优化访问控制列表，删除多余或无效的访问控制规则，使访问控制规则数量最小化；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：通过配置防火墙策略或部署访问控制设备实现。（3）入侵防范应在网络中进行检测从外部/内部发起的网络攻击行为。实现方式：定期查看分析防火墙日志，具备条件的可配备工具有入侵检测功能的设备。（4）恶意代码防范可在网络中部署恶意代码防范功能的设备（如边界防火墙增加防病毒模块等）对恶意代码进行检测和清除；维护恶意代码防护机制的升级和更新。实现方式：部署防火墙（具备防病毒模块）或其他具有恶意代码防范功能的设备实现。安全计算环境（1）身份鉴别对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户进行身份标识和鉴别，且保证用户名具有唯一性；身份鉴别可采用密码技术实现，若只采用“用户名+口令”鉴别方式，用户口令须由大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位，每90天更换；启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，如连续5次登录失败至少锁定10分钟；当进行远程管理时，应采取SSH、HTTPS等方式防止管理数据、鉴别信息在网络传输过程中被窃听。应为与全国中心之间进行通信的计算设备、安全防护设备实现双向身份标识认证，保障与全国中心间的传输安全。实现方式：可通过对设备的安全配置等方式实现。具备条件的可对管理人员、运维人员等采用“USBKey数字证书”方式实现用户身份鉴别。（2）访问控制应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户分配账户和权限；应授予管理用户所需的最小权限，实现运维、管理账号的权限分离；应禁用“超级管理员”权限，重命名或删除默认账户，修改默认账户的默认口令；及时删除或停用多余的、过期的账户，避免共享账户的存在。实现方式：可安全配置加固方式实现，具备条件的可配置边界防护设备实现。（3）安全审计启用网络、服务器、中间件、数据库、终端及应用等计算设备安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计日志应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份；审计日志留存6个月以上。实现方式：通过开启网络、服务器、中间件、数据库、终端及应用系统审计功能，设置独立审计员账户，限制其他用户对审计进程操作；通过将日志上传至路段分中心或省中心实现备份。也可配备日志审计系统实现。（4）入侵防范服务器、终端等应遵循最小安装的原则，仅安装需要的组件和应用程序；关闭不需要的系统服务、默认共享和高危端口；通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应严格对U盘、移动光驱等外来介质设备的管控，并对各类硬件设备的外接存储接口进行限制或移除。实现方式：通过完善相关设备安全策略实现，也可配置入侵防范系统实现。（5）恶意代码防范通过安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库，实现对恶意代码的有效防范；主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库，支持防恶意代码的统一升级和管理。配置要求：终端、服务器等可通过安装防恶意代码软件等方式实现。（6）数据完整性采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性，并在检测到完整性错误时采取必要的恢复措施，包括但不限于关键业务数据（交易数据等）和服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）等；密码算法应符合国家密码管理局相关规范要求。实现方式：可通过软件开发相关功能，实现数据完整性校验，并在数据完整性受到破坏时实施数据重传。（7）数据保密性应采用密码技术保证收费站重要数据（业务数据、鉴别信息）在传输和存储过程中的保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：可通过软件开发相关功能实现。（8）数据备份恢复提供关键业务数据（交易数据等）和服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）等的本地数据备份与恢复功能，每周至少进行一次全备份，每天进行增量备份；可根据需要提供关键业务数据（交易数据等）处理系统的热冗余，保证系统的高可用性。实现方式：可配备数据备份服务器，或在路段分中心或省中心实现数据备份，具备条件的可根据需要实现关键业务数据库服务器的双机热备。物联网安全扩展要求收费车道的RSU、高清车牌视频识别等设备参考物联网安全扩展要求。安全物理环境应具备防水、防潮、防尘设计，防护等级应不低于IP55。安全区域边界（1）接入控制应提供设备认证能力，保证只有授权的设备可以接入。实现方式：设备（RSU、车牌图像识别等）应通过部署接入防护设备等，实现IP/MAC地址等属性信息的注册管理，实现与部、省中心之间基于国产密码算法数字证书的可信身份认证。（2）入侵防范应能够限制与设备通信的目标地址，以避免对陌生地址的攻击行为。实现方式：可通过设备源IP/MAC地址、目的IP/MAC地址等属性实现管控，或部署入侵防范功能设备实现。安全计算环境（1）设备安全应保证只有授权的用户可以对设备上的软件应用进行配置或变更；设备的合法用户应具有统一的用户标识、不得使用默认口令，若只用“用户名+口令”的鉴别方式进行身份鉴别，则应使用具有一定复杂度的用户口令（用户口令须由大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位），90天进行更新，具有登录失败和登录超时处理功能，连续5次登录失败至少锁定10分钟；当进行远程管理时应启用SSH、HTTPS等管理方式，加密管理数据、鉴别信息，防止被网络窃听；设备应支持远程集中管控。实现方式：可通过软件开发相关功能实现。ETC门架安全要求ETC门架系统主要包含：ETC门架收费软件，车道控制器、RSU、车牌图像识别等设施设备及有关网络基础运行环境。安全通用要求安全物理环境（1）物理位置选择ETC门架系统应将计算设备和通信设备布设在具有温湿度控制、防盗防破坏的环境，并通过有线通信网络与门架设备连接。应远离强电磁干扰环境，避免对ETC门架系统设备的正常工作造成影响。（2）物理访问控制布设RSU、高清车牌视频识别等终端设备的ETC门架严禁非授权人员攀登。（3）防盗和防破坏应将ETC门架系统的车道控制器、通信设备、供电设备等放置在机柜内，设备及主要部件须进行固定，并设置明显的不易除去的标记；室外机柜应具备硬件防盗设计，柜体无裸露可拆卸部件，保障柜体难以从外部撬开；应通过电子门锁、视频监控、设备状态监测等手段对箱体开启情况进行监控记录，及时发现设备的丢失、损坏等异常状态。（4）防雷击室外机柜内部应集成防雷和接地保护装置，具备防雷击和防浪涌冲击的能力。（5）防火室外机柜应布设剩余电流式电气火灾监控探测器、测温式电气火灾监控探测器等监测设备；室外机柜柜体应采用铁皮或其他防火材料。（6）防尘和防水（防潮）室外机柜应具备防尘、防水（防潮）设计，防护等级应不低于IP55，部分地区可根据气候地理条件，采用更高的防护标准。（7）温湿度控制室外机柜应集成空调，支持柜内温度自动调节，保障柜内设备运行在所允许的范围内；室外机柜应具备温湿度传感器，ETC门架系统室外设备工作温度范围应至少应满足-20℃~+55℃（寒区-35℃～+40℃），湿度范围应满足5%~95%（无凝露），各地区可根据气候地理条件，进行温湿度适应范围调整。（8）电力供应应配备备用电力供应，保证ETC门架系统的持续电力供应，确保ETC门架系统24小时不间断工作。安全通信网络（1）网络架构应保证ETC门架系统相关通信设备的业务处理能力具备冗余空间，以满足业务高峰期需要；应保证与全国中心、省中心等的传输线路网络带宽满足业务高峰期需要；可根据需要划分通信设备、计算设备等不同的网络区域，并按照便捷管理和集约管控的原则为各网络区域分配地址，应通过有效措施对各网络区域进行技术隔离；ETC门架系统和省中心、部中心的通信传输应提供链路冗余，主干链路的通信和安全防护等关键设备应采用双机备份。实现方式：可利用VLAN、防火墙区域设置等技术手段，实现区域间隔离。（2）通信传输应至少采用校验技术保证与全国中心、省中心通信过程中的数据完整性，根据需要可采用密码技术保证通信过程中的数据完整性。应采用密码技术保证与全国中心、省中心通信过程中的保密性。密码算法应符合国家密码管理局相关规范要求。实现方式：可通过配备接入认证、加密传输等功能的安全网关设备实现。安全区域边界（1）边界防护通过边界防护设备，保证跨越网络区域边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自连接到收费专网的行为进行检查或限制，能够对收费专网终端或用户非授权连接到外部网络的行为进行检查或限制，阻止非授权访问。实现方式：可通过边界防护设备实现。（2）访问控制可在网络区域边界上配置访问控制策略，默认情况下除允许通信外，受控接口拒绝所有通信；应优化安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制规则数量最小化；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为传输层端口级，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：可通过边界网络设备或防护设备配置策略实现。（3）入侵防范应在关键网络节点处检测网络攻击行为。实现方式：定期查看分析边界设备如防火墙的日志，具备条件的可配备具有入侵检测功能的设备。安全计算环境（1）身份鉴别ETC门架系统布设的RSU、车牌图像识别设备、服务器和计算机终端等设施的管理员应进行身份标识和鉴别，且保证在系统整个生存周期用户名具有唯一性；身份鉴别可采用密码技术实现，若只采用“用户名+口令”鉴别方式，用户口令须由大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位，每90天更换；应启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，连续5次登录失败至少锁定10分钟；当进行远程管理时，应采取SSH、HTTPS等方式防止鉴别信息在网络传输过程中被窃听。实现方式：可对管理人员、运维人员等采用“用户名+口令”和“USBKey数字证书”等方式实现用户身份鉴别。（2）访问控制设定特定终端或网络地址范围，对通过网络进行管理的终端进行限制；实现方式：可在交换机中配置访问控制列表实现或通过其他边界访问控制设备实现。（3）安全审计应启用安全审计功能，审计覆盖到每个远程连接管理的用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；对审计进程进行保护，防止未经授权的中断。实现方式：开启边界防护设备日志审计功能，对远程连接、管理的用户进行审计，可通过将日志上传至路段分中心或省中心实现备份。（4）入侵防范遵循最小安装原则，所有设备仅安装需要的组件和应用程序，关闭不必要的系统服务、默认共享和高危端口；通过统一管理系统等手段，发现可能已知漏洞，并在经过充分测试评估后，及时修补漏洞；通过入侵检测、监测预警等监测手段，发现对ETC门架系统的入侵行为，发生严重入侵事件时提供报警；应严格对U盘、移动光驱等外来存储设备的管控，并对各类硬件设备的外接存储接口进行移除或限制。实现方式：可通过完善相关设备安全策略实现，对设备进行合理配置，至少每半年对网络设备、服务器、数据库、中间件、RSU、车牌图像识别设备和终端等进行一次漏洞扫描，并及时进行系统加固和漏洞修补。（5）恶意代码防范应采用免受恶意代码攻击的技术措施或主动防御机制及时识别入侵和病毒行为，并将其有效阻断；对ETC门禁系统服务器、终端设备进行统一恶意代码防范，支持防恶意代码的统一升级和管理。实现方式：终端、服务器安装恶意代码防范软件，并支持策略的统一配置和管理。（6）数据完整性采用校验码技术或密码技术保证重要数据（指令数据、交易数据、费率数据、车辆图像数据等）在传输和存储过程中的完整性，并在检测到完整性错误时采取必要的恢复措施。实现方式：通过软件开发相关功能等方式实现数据完整性校验，并在数据完整性受到破坏时实施数据重传，对存储的数据采取多重备份。（7）数据保密性应采用密码技术保证ETC门架系统重要数据（指令数据、业务数据）在传输和存储过程中的保密性；可对发送方和接受方进行身份认证，在建立连接前，利用密码技术进行初始化会话验证，必要时采用专用传输协议或安全协议服务，避免来自基于协议的攻击破坏保密性；密码算法应符合国家密码管理局相关规范要求。实现方式：通过软件开发相关功能等方式实现数据保密性。（8）数据可用性提供重要数据（指令数据、交易数据、费率数据、车辆图像数据等）的本地数据存储。实现方式：可通过本地存储方式或传输至路段分中心进行备份。物联网安全扩展要求ETC门架系统中的RSU、高清车牌视频识别等设备参考物联网安全扩展要求。安全物理环境应具备防水、防潮、防尘设计，防护等级应不低于IP55。安全区域边界（1）接入控制应提供设备认证能力，保证只有授权的设备可以接入，与全国中心之间连接实现双向身份标识认证。实现方式：设备（RSU、车牌图像识别等）应通过部署接入防护设备实现IP/MAC地址等属性信息注册管理，实现与部、省中心之间基于国产密码算法数字证书的可信身份认证。（2）入侵防范应能够限制与设备通信的目标地址，以避免对陌生地址的攻击行为。实现方式：可通过设备源IP/MAC地址、目的IP/MAC地址等属性实现管控，或部署入侵防范功能设备实现。安全计算环境（1）设备安全应保证只有授权的用户可以对设备上的软件应用进行配置或变更；设备应支持远程集中管控。实现方式：可通过开发安全软件等方式实现。ETC发行系统安全要求ETC发行系统主要包含发行中心系统、网点发行系统、互联网发行系统、便携式发行系统等。ETC发行系统不承担联网收费业务生产控制核心功能，但其与联网收费系统存在网络连接和数据交互，且存有大量公民个人信息。ETC发行系统整体按照网络安全等级保护第三级安全要求进行定级、备案、建设、测评、保护，应通过严格的网络访问控制策略管控其与省中心系统的网络连接和数据交互，同时，针对互联网访问边界进行严格管控，并应按照《中华人民共和国个人信息保护法》等有关法律重点加强个人信息保护。收费公路联网系统网络安全技术要求（试行）联网监控系统网络安全技术要求省中心安全要求省中心系统主要包含：高速公路交通运行状态监测与预警系统，高速公路数据综合处理与分析挖掘系统、跨区域大范围路网协同运行控制系统、综合信息发布系统、设备运维管理系统、高速公路视频现场采集系统及有关网络基础运行环境。安全通用要求安全物理环境（1）机房物理位置选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。（2）机房物理访问控制机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。实现方式：通过电子门禁系统或其他具备控制、鉴别、记录等功能的系统实现。（3）防盗和防破坏应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽安全处。（4）防雷击应将机柜、设施和设备等通过接地系统安全接地。（5）防火机房应设置火灾自动消防系统，能够自动监测火情、自动报警并自动灭火；机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料。实现方式：火灾自动消防系统等。（6）防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。（7）防静电应采用防静电地板或必要的接地防静电措施。（8）温湿度控制机房应设置温湿度自动调节设施，使机房内的温度和湿度的变化在设备运行所允许的范围内。（9）电力供应应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。实现方式：可通过不间断电源系统（具备稳压和过电保护功能）。（10）电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。实现方式：配备金属线槽等方式对电源线及通信电缆进行隔离。安全通信网络（1）网络架构应保证核心交换机、核心路由器、出口防火墙等主干线网络设备的业务处理能力具备冗余空间，以满足业务高峰期需要；应保证部省连接、下级单位接入等线路网络的带宽满足业务高峰期需要；应根据业务职能、重要性和所涉及信息的重要程度等因素，根据需要进行网络区域划分，应通过有效措施对各网络区域进行技术隔离，并按照便捷管理和集约管控的原则为各网络区域分配地址；联网监控系统不得直接提供互联网服务，如与互联网应用存在数据交换，应通过设置网闸或者双防火墙方式实现隔离。实现方式：利用划分VLAN、配置防火墙等方式进行区域间隔离，可通过配备三层交换机、防火墙或其他具有相同功能的设备实现，根据需要可增配网闸、负载均衡、下一代防火墙等。原则上宜采用异构安全体系配备安全防护设备。（2）通信传输应采用校验技术保证通信过程中数据的完整性。实现方式：根据需要配备SSL网关、IPSecVPN或SSLVPN等或其他具有相同功能的设备，设备应具备国家密码管理局颁发的商用密码产品型号证书。安全区域边界（1）边界防护应保证跨越网络区域边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自连接到收费专网的行为进行检查或限制，能够对终端或用户非授权连接到收费网外部网络的行为进行检查或限制，阻止非授权访问；监控专网应严格禁止无线局域网络的使用。实现方式：对防火墙、网闸等边界防护设备进行有效设置；配备终端管控系统、网络准入系统或其他具有相同功能的设备。（2）访问控制应在划定的网络区域边界防护设备上（如防火墙）根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；优化防火墙等安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制规则数量最小化；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为传输层端口级，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：通过配置防火墙、网闸等区域边界防护设备的安全策略实现。（3）入侵防范应在核心交换机等关键网络节点处部署具备入侵检测功能的设备，检测从内部/外部发起的网络攻击行为；应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警，通过人工阻断方式或配置相应入侵防御设备，防止或限制从内部和外部发起的网络攻击行为。实现方式：配备入侵检测/防御、监测预警等或其他具有相同功能的安全设备，有条件的可建设监测预警与态势感知平台进行集中管控。（4）恶意代码防范应至少在与下级节点和外部连接的防火墙前端部署恶意代码检测设备对恶意代码进行检测和清除；维护恶意代码防护机制的升级和更新。实现方式：配备防火墙（具备防病毒模块）、防病毒网关或防毒墙等。（5）安全审计应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计，能对远程访问的用户行为单独进行行为审计和数据分析；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；审计记录留存6个月以上。实现方式：部署网络审计系统、日志审计系统等审计功能设施实现。安全计算环境（1）身份鉴别应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户进行身份标识和鉴别，且保证用户名具有唯一性；应采用口令、密码技术、生物技术等鉴别技术对用户进行身份鉴别，并对鉴别数据进行保密性和完整性保护，对管理员、运维人员、重要业务系统（业务数据处理类）用户应采取两种或两种以上组合的鉴别技术；若只采用“用户名+口令”的方式进行身份鉴别，口令须满足大小写英文字母、数字、特殊字符3种以上组成、长度不少于8位，每90天更换；应启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，连续5次登录失败至少锁定10分钟；当进行远程管理时，应采取SSH、HTTPS等方式防止管理数据、鉴别信息在网络传输过程中被窃听；应为与全国中心之间进行通信的计算设备、安全防护设备实现双向身份标识认证，保障部省传输的安全。实现方式：可通过部署统一身份认证系统、堡垒机等方式实现，省中心管理人员、运维人员、客服人员可采用“用户名+口令”和“USBKey数字证书”或其他双因素认证方式实现用户身份鉴别。（2）访问控制应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户分配账户和权限；应禁用“超级管理员”权限，重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。实现方式：通过堡垒机等设备实现权限分离，配置计算设备系统策略实现，或在应用系统软件开发中实现有关要求。（3）安全审计应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；对审计进程进行保护，防止未经授权的中断；审计记录留存6个月以上。实现方式：开启网络设备、安全设备、服务器、中间件、数据库、终端及应用系统等的访问和操作审计功能，设置独立审计员账户，限制其他用户对审计进程操作，可通过配备堡垒机和日志审计等相关系统实现。（4）入侵防范服务器、终端等应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应定期开展漏洞扫描工作，及时发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；应严格对U盘、移动光驱等外来介质设备的管控，并对各类硬件设备的外接存储接口进行限制或移除。实现方式：对设备进行合理配置，定期对服务器、终端进行漏洞扫描，并及时修补漏洞，对于不能及时升级补丁的，采用相应技术措施来降低风险；可根据实际需要配备漏洞扫描、入侵检测等相应功能的设备，配备服务器主机加固系统，软件开发过程中严格对数据输入有效性进行验证。（5）恶意代码防范应采用免受恶意代码攻击的技术措施或主动防御机制及时识别入侵和病毒行为，并将其有效阻断支持防恶意代码的统一升级和管理。实现方式：终端、服务器等通过安装防恶意代码软件等方式实现，主机防恶意代码产品与网络防恶意代码产品具有不同的恶意代码库。（6）数据完整性采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性，并在检测到完整性错误时采取必要的恢复措施，包括但不限于鉴别数据、关键业务数据、服务支持数据和公民个人信息等；密码算法应符合国家密码管理局相关规范要求。实现方式：通过软件开发等方式实现数据完整性校验，并在数据完整性受到破坏时实施数据重传，对存储的数据采取多重备份。（7）数据保密性采用密码技术保证重要数据在传输和存储过程中的保密性，包括但不限于鉴别数据和公民个人信息等；密码算法应符合国家密码管理局相关规范要求。实现方式：通过服务器密码、数据库加密系统等实现。（8）数据备份恢复应提供关键业务数据、服务支持数据等的本地数据备份与恢复功能，每周至少进行一次全备份，每天进行增量备份；应提供异地备份功能，利用通信网络将关键业务数据备份至备份场地，有条件的可提供异地实时备份功能；应提供关键业务数据处理系统的热冗余，保证系统的高可用性。实现方式：配备数据备份服务器，建立异地数据备份系统及通信网络，并实现关键业务数据库服务器的双机热备。（9）剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；应保证存有个人信息等敏感数据的存储空间被释放或重新分配前得到完全清除。实现方式：应通过设置服务器操作系统策略或在应用系统软件开发中实现。安全管理中心（1）系统管理a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计；b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。实现方式：通过配置堡垒机或其他相同功能的设备实现。（2）审计管理a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计；b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。实现方式：可通过配置堡垒机等权限分配功能设备实现。云安全扩展要求省中心如有部分系统部署在私有云平台（含虚拟化资源池）或公有云平台（含专属云平台，不得为业务数据处理类系统）应遵循云安全扩展要求。安全通信网络（1）网络架构应保证云计算平台不承载高于其安全保护等级的业务应用系统；应实现不同云服务客户虚拟网络之间的隔离；应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。实现方式：通过云平台虚拟网络管理组件进行虚拟子网划分，利用云平台安全组或虚拟化安全设备进行虚拟子网之间的访问控制。安全区域边界（1）访问控制应在虚拟化网络边界部署访问控制机制,并设置访问控制规则；应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。实现方式：通过云平台安全组件实现虚拟子网间的访问控制，或虚拟化防火墙等设备，设置虚拟化网络边界访问控制策略。（2）入侵防范应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等；应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等；应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。实现方式：在虚拟子网边界部署虚拟化入侵检测等相应功能的设备，监听所有出入虚拟子网的流量，实时检测虚拟子网之间以及虚拟子网内部的攻击行为和异常流量。（3）安全审计应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启；应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。实现方式：云管平台需要具备相关审计功能。安全计算环境（1）访问控制应保证当虚拟机迁移时,访问控制策略随其迁移；应允许云服务客户设置不同虚拟机之间的访问控制策略。实现方式：可通过云管平台实现。（2）镜像和快照保护应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。实现方式：可通过云管平台和加密机实现。（3）数据完整性和保密性应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定；应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限；应确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。实现方式：可通过云管平台和加密机实现。（4）数据备份恢复云服务客户应在本地保存其业务数据的备份；应提供查询云服务客户数据及备份存储位置的能力。实现方式：可通过云管平台实现。（5）剩余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完全清除；云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。实现方式：可通过云管平台实现。安全建设管理（1）云服务商选择应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；应在服务水平协议中规定云服务的各项服务内容和具体技术指标；应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。（2）供应链管理应确保供应商的选择符合国家有关规定；应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。安全运维管理（1）云计算环境管理云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。路段分中心安