联网收费系统省域系统并网接入网络安全基本技术要求.pdf

1、 联网收费系统省域系统并网接入网络安全基本技术要求 交通运输部交通运输部 二一九年五月二一九年五月 I 目 录 前言.IV 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总体安全要求.3 4.1 安全保护对象.3 4.1.1 通信网络架构.3 4.1.2 系统架构.4 4.2 安全技术框架.5 4.3 整体安全保护要求.7 4.3.1 全国中心整体要求.8 4.3.2 省联网中心整体要求.8 4.3.3 ETC 门架及收费站整体要求.8 4.3.4 区域/路段中心整体要求.8 4.3.5 ETC 发行系统整体要求.9 4.3.6 接入检测要求.9 5 省联网中心安全要求.9 5

2、.1 安全通用要求.10 5.1.1 安全物理环境.10 II 5.1.2 安全通信网络.12 5.1.3 安全区域边界.14 5.1.4 安全计算环境.16 5.1.5 安全管理中心.20 5.2 云安全扩展要求.21 5.2.1 安全通信网络.22 5.2.2 安全区域边界.22 5.2.3 安全计算环境.23 5.2.4 安全管理中心.24 5.3 大数据安全扩展要求.25 6 收费站安全要求.26 6.1 安全通用要求.26 6.1.1 安全物理环境.26 6.1.2 安全通信网络.28 6.1.3 安全区域边界.29 6.1.4 安全计算环境.30 6.2 物联网安全扩展要求.34

3、6.2.1 安全物理环境.34 6.2.2 安全区域边界.34 6.2.3 安全计算环境.34 7 ETC 门架安全要求.35 III7.1 安全通用要求.35 7.1.1 安全物理环境.35 7.1.2 安全通信网络.37 7.1.3 安全区域边界.38 7.1.4 安全计算环境.39 7.2 物联网安全扩展要求.42 7.2.1 安全物理环境.42 7.2.2 安全区域边界.42 7.2.3 安全计算环境.42 8 区域/路段中心安全要求.43 8.1 安全通用要求.43 8.1.1 安全物理环境.43 8.1.2 安全通信网络.45 8.1.3 安全区域边界.46 8.1.4 安全计算环

4、境.47 8.1.5 安全管理中心.51 9 ETC 发行系统安全要求.52 IV 前前 言言 为贯彻深化收费公路体制改革取消高速公路省界收费站总体工作部署，落实中华人民共和国网络安全法相关要求，指导和规范收费公路联网收费系统（以下简称联网收费系统）安全建设、省域系统并网安全接入，保障联网收费系统整体网络安全，为联网收费系统长期安全稳定运行奠定基础，制定本技术要求。本要求充分结合取消高速公路省界收费站总体技术方案提出的网络架构和系统组成，适应云计算、物联网、大数据等新技术，全面贯彻落实国家网络安全等级保护新制度、新标准，遵循规范性、合理性、实用性和经济性原则，按照专网专用、分区分域、纵向认证、

5、横向隔离的方针，针对联网收费系统安全重点保护对象提出相应的安全技术要求。本要求基于 GB/T 222392019信息安全技术 网络安全等级保护基本要求，提出了省域联网收费系统接入联网收费系统国家中心的基线安全要求，并明确了部分技术指标的实现方式，其他要求按照 GB/T 222392019 执行。1 1 范围 本技术要求规定了联网收费系统中省联网中心系统、收费站系统、ETC 门架系统、区域/路段中心系统以及 ETC 发行系统等安全通用要求及安全扩展要求。本技术要求适用于指导规范省域联网收费系统安全规划设计、设备选型、建设实施、并网接入安全检测等工作。2 规范性引用文件（1）GB 17859199

6、9 计算机信息系统 安全保护等级划分准则（2）GB/T 222392019 信息安全技术 网络安全等级保护基本要求（3）取消高速公路省界收费站总体技术方案（4）GB/T 250692010 信息安全技术 术语（5）GB/T 284482019 信息安全技术 网络安全等级保护测评要求（6）GB/T 250702019 信息安全技术 网络安全等级保护安全设计技术要求 3 术语和定义 网络安全网络安全（Cybersecurity）。通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。云计算云计算（C

7、loud Computing）。2 通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式，包括公有云、私有云。宿主机宿主机（Host Machine）。运行虚拟机监视器的物理服务器。入侵检测入侵检测（Intrusion Detection）。检测入侵的正式过程。该过程特征为采集如下知识：反常的使用模式，被利用的脆弱性及其类型、利用的方式，以及何时发生如何发生。远程访问远程访问（Remote Access）。从另一个网络或者从一个并不永久连接到所访问网络的终端设备上访问网络资源的过程。加密（加密（Encipherment/Encryption）。对数据进行密码变换以产

8、生密文的过程。一般包含一个变换集合，该变换使用一套算法和一套输入参量。输入参量通常被称为密钥。安全策略（安全策略（Security Policy）。指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。路侧单元（路侧单元（Road Side Unit，简称，简称 RSU）。又称电子标签读写器、路侧读写天线、ETC 天线、路侧设备。安装在收费车道门架上或收费岛立柱上的用于同过往车辆上的车载设备进行通信的天线及相应的控制设备。3 终端终端（Terminal）。又称终端设备，是计算机网络中处于网络最外围的设备，主要用于用户信息的输入以及处理

9、结果的输出等，在联网收费系统中主要包括两类，一是收费业务相关工作人员使用的设备，包括收费业务计算机终端、收费业务手持终端等，二是 ETC 门架系统部署的前端设备，包括智能摄像头、RSU、控制终端等。鉴别数据（鉴别数据（Authentication Data）。用来验证用户所声称身份的信息。4 总体安全要求 安全保护对象安全保护对象。4.1.1 通信网络架构通信网络架构 联网收费系统总体架构由全国收费公路联网结算管理中心（以下简称全国中心）、省（区、市）联网结算管理中心（以下简称省联网中心，含具有清分结算功能的区域及路段中心）、省内区域/路段中心、ETC 门架、收费站、收费车道（MTC 车道、E

10、TC车道）等组成。为保证数据实时传输，ETC 门架和收费站到省联网中心、全国中心采用主备双链路，主用链路采用省内现有收费通信网络，备份通信链路可采用电信运营商专线网络（或现有全国高速公路信息通信干线传输系统网络）。省联网中心到全国中心复用已有跨省清分结算通信链路。为加强联网收费系统运行监测，建立联合稽查和信用管理体系，建立全国中心与收费站、ETC 门架的直连链路。通信网络构成如图 4-1 所示。4 已有已有ETCETC专线网络专线网络省联网中心省联网中心收费专网收费专网区域中心区域中心/路段中心路段中心已有已有ETCETC专线网络专线网络省联网中心省联网中心全国中心全国中心省联网中心省联网中心

11、路段中心路段中心已有已有ETCETC专线网络专线网络收费专网收费专网收费专网收费专网ETCETC门架门架上行上行收费站收费站ETCETC门架门架下行下行ETCETC车车道道ETC/MTCETC/MTC混合车道混合车道出口出口入口入口ETCETC车车道道ETC/MTCETC/MTC混合车道混合车道ETCETC门架门架上行上行收费站收费站ETCETC门架门架下行下行ETCETC车车道道ETC/MTCETC/MTC混合车道混合车道出口出口入口入口ETCETC车车道道ETC/MTCETC/MTC混合车道混合车道ETCETC门架门架上行上行收费站收费站ETCETC门架门架下行下行ETCETC车车道道ET

12、C/MTCETC/MTC混合车道混合车道出口出口入口入口ETCETC车车道道ETC/MTCETC/MTC混合车道混合车道收费专网收费专网备备份份网网络络备备份份网网络络备备份份网网络络收收费费专专网网 图 4-1 联网收费通信网络构成示意图 4.1.2 系统架构系统架构 联网收费系统由全国中心系统、省联网中心系统、ETC 门架系统、收费站（ETC 车道系统、ETC/MTC 混合车道系统）、结算系统、ETC 发行系统、客服系统、稽查与信用管理系统、在线密钥管理系统组成。联网收费系统根据功能和数据特点，重要数据可以分为鉴别数据、关键业务数据（交易和清分数据、拆分数据等）、服务支持数据（基础数据、费

13、率数据、黑名单数据、稽查数据、车辆图像数据等）和公民个人信息。根据各业务模块功能特点，可将联网收费系统分为三大类：业务数据处理类，对收费数据进行计算和存储的相关系统，主要包括：结算系统、在线密钥管理与服务系统等，该类系统对数据完整性、保密性和可用性具有较高的要求。5 业务生产控制类，对车辆的通行进行管理控制的相关系统，主要包括：ETC 门架系统、收费车道系统等，该类系统对控制类数据的完整性和业务连续性方面具有较高的要求。业务辅助类，辅助支撑业务数据处理和业务生产控制的信息系统，主要包括：ETC 发行系统、CPC 卡发行与管理系统、客服系统、稽查与信用管理系统等，一般不对收费系统核心业务运行产生

14、影响，但根据其系统特性，对数据完整性、保密性或业务连续性存在响应要求。安全技术框架安全技术框架。根据国家网络安全政策法规和技术标准体系的有关要求，落实网络安全等级保护制度，围绕联网收费三类系统的安全保护需求，针对联网收费系统重要数据和业务系统进行分级分类管理，从安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心等五个方面提出通用安全要求以及云计算、大数据及物联网三个方面提出扩展安全要求，以建立联网收费系统网络安全技术防护体系，构建综合防御能力，总体安全框架体系如图 4-2 所示。6 联网收费系统网络安全保护对象联网收费系统网络安全保护对象安全通信网络安全通信网络安全计算环境安

15、全计算环境国国家家网网络络安安全全等等级级保保护护政政策策标标准准体体系系国国家家网网络络安安全全法法律律法法规规政政策策体体系系业务数据处理类业务数据处理类结算系统在线秘钥管理与服务系统 业务生产控制类业务生产控制类ETC车道系统ETC/MTC车道系统ETC门架系统 业务辅助类业务辅助类ETC发行系统CPC卡发行与管理系统客服系统稽查与信用管理系统 安全物理环境安全物理环境访问控制安全区域边界安全区域边界访问控制入侵防范恶意代码防范边界防护安全审计防盗防破坏 防火防雷击防水和防潮温湿度控制防静电电力供应安全管理中心安全管理中心身份鉴别 访问控制安全审计入侵防范 恶意代码防范数据保密性数据完整

16、性备份恢复通信传输网络架构网络安全等级保护制度网络安全等级保护制度电磁防护权限管理云安全扩展要求云安全扩展要求访问控制网络架构安全审计入侵防范入侵防范身份鉴别数据完整性和保密性镜像和快照保护数据备份恢复剩余信息保护大数据扩展要求大数据扩展要求管控资源身份鉴别屏蔽故障管控组件访问控制静态脱敏数据分级分类管理还原恢复物联网扩展要求物联网扩展要求入侵防范接入控制设备安全集中管控集中管控鉴别数据鉴别数据，业务数据业务数据，服务支持数据服务支持数据，公民个人信息公民个人信息，图 4-2 联网收费系统网络安全技术框架 7 整体安全保护要求整体安全保护要求。传输接入区传输接入区传输接入区传输接入区收费业务应

17、用区区域区域/路段路段中心中心收收费费站站外联边界外联边界收费专网收费专网专线光纤网电子发票业务服务移动支付应用银行互联网互联网发行方数据备份中心光纤网税务ETCETC门架门架系统系统省级单位传输接入区站级传输接入区数据服务区其他业务应用区运维管理区 收费业务应用区部级传输接入区下级单位传输接入区外部单位传输区数据服务区其他业务应用区 收费业务区运维管理区收费站接入区 收费业务区运维管理区 光纤网通信设备区计算设备区 外部单位外部单位/系统系统运维管理区外部单位传输区省省联联网网中中心心全全国国中中心心公安 图 4-3 联网收费系统网络安全区域划分示意图 联网收费系统在整体上，应确保收费专网的

18、专网属性，一是严格控制外部网络接入，明确联网收费系统与银行、公安等外部单位的边界保护规则，在统一安全策略下由全国中心或省中心统一提供出口，并在内部建立独立的接入区域，设置严格的逻辑隔离及安全审计措施。收费专网内部合理划分网络安全区域，并通过有效技术措施对安全区域进行隔离，确保安全控制策略有效、安全风险影响范围最小，综合运用互补的安全措施，构建从外到内的网络安全纵深防御体系。同时，充分考虑国家安全战略要求及新技术发展和应用，设备及应用有效支持 IPv6，推进关键软硬件设备国产化，实现 8 联网收费系统安全、稳定、高效运行。4.3.1 全国中心整体要求全国中心整体要求 联网收费系统整体严格落实国家

19、网络安全等级保护要求，全国中心按照国家关键信息基础设施进行保护，全面落实等级保护第三级要求，并适当予以增强。建立基于行为的安全管控措施，形成部省一体的全方位网络安全态势感知体系。建立完善的联网收费系统密钥管理体系，支撑省联网中心、路段中心、收费站及 ETC 门架系统在身份鉴别、访问控制、数据安全等方面的密码技术应用需求，建立联网收费系统网络安全信任体系。4.3.2 省联网中心整体要求省联网中心整体要求 省联网中心整体按照等级保护第三级进行定级、备案、建设、测评、保护，运用云计算、大数据等技术时参照等级保护第三级扩展要求开展相关工作。推动省联网中心逐步建立覆盖收费站及 ETC 门架系统的网络安全

20、态势感知平台，与全国中心态势感知平台实现对接，能够按统一要求上报安全相关数据。4.3.3 收费站及收费站及 ETC 门架整体要求门架整体要求 收费站及 ETC 门架系统参照网络安全等级保护中在安全通信网络、安全区域边界及安全计算环境等方面的三级安全保护要求，同时充分考虑外场设备的物联网属性，开展安全保护。4.3.4 区域区域/路段中心整体要求路段中心整体要求 9 区域/路段中心系统与联网收费系统存在网络连接和数据交换，是全网系统的重要接入点和组成部分，参照网络安全等级保护中安全通信网络、安全区域边界及安全计算环境方面的三级安全保护要求开展安全保护。4.3.5 ETC 发行系统整体要求发行系统整

21、体要求 ETC 发行系统支撑联网收费业务开展，与联网收费系统存在网络连接和数据交互，应按照等级保护第三级要求进行定级、备案、测评、保护，严格管控其与其他网络区域的网络连接和数据交互，并按照国家相关标准重点加强对个人信息保护。4.3.6 接入检测要求接入检测要求 省域联网收费系统中，省联网中心系统接入全国中心须提供等级保护测评报告，并经过具有网络安全等级测评或信息安全风险评估等相关资质的第三方检测评估机构依据本技术要求进行安全接入检测，并出具技术要求符合性检测报告。路段中心、收费站、ETC 门架系统接入联网收费系统应经过具有网络安全等级测评或安全风险评估等相关资质的第三方检测评估机构，依据本技术

22、要求进行安全接入检测，并出具技术要求符合性检测报告。5 省联网中心安全要求 省联网中心系统包含省级清分结算系统等业务处理类系统，省级稽查与信用管理系统、密钥管理系统、客服系统等业务辅助系统，以及网络基础运行环境。具有清分结算功能的区域及路段中心以省联网中心安全要求为标准。10 安全通用要求安全通用要求。5.1.1 安全物理环境安全物理环境 5.1.1.1 机房物理位置选择机房物理位置选择 a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；c)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生

23、火灾、水灾、易遭受雷击的地区。5.1.1.2 机房物理访问控制机房物理访问控制 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。实现方式：通过电子门禁系统或其他具备控制、鉴别、记录等功能的系统实现。5.1.1.3 防盗和防破坏防盗和防破坏 a)应将设备或主要部件进行固定，并设置明显的不易除去的标记；b)应将通信线缆铺设在隐蔽安全处；c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。实现方式：通过机房防盗报警系统或专人值守的视频监控系统等实现。5.1.1.4 防雷击防雷击 a)应将机柜、设施和设备等通过接地系统安全接地；11 b)应采取措施防止感应雷。实现方式：通过防雷保安器或

24、过压保护装置等方式实现。5.1.1.5 防火防火 a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警并自动灭火；b)机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料；c)应对机房划分区域进行管理，区域和区域之间可设置隔离防火措施。实现方式：火灾自动消防系统等。5.1.1.6 防水和防潮防水和防潮 a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；c)应部署机房环境监测系统对机房进行防水检测和报警。实现方式：通过机房环境监测系统或具备相同功能的系统实现。5.1.1.7 防静电防静电 a)应采用必要的接地防静电措施；b)

25、应采取措施防止静电的产生。实现方式：采用防静电地板或地面，配置静电消除器或佩戴防静电手环等方式。5.1.1.8 温湿度控制温湿度控制 机房应设置温湿度自动调节设施，使机房内的温度和湿度的 12 变化在设备运行所允许的范围内,机房温度范围为 231，湿度范围为 40%-55%。实现方式：通过机房精密空调等方式实现。5.1.1.9 电力供应电力供应 a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；c)应设置冗余或并行的电力电缆线路为计算机系统供电，以防止突然断电对系统造成的损坏。实现方式：可通过不间断电源系统（具备稳压和过电保

26、护功能），双路市电或备用发电机等方式实现。5.1.1.10 电磁防护电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。实现方式：配备金属线槽等方式对电源线及通信电缆进行隔离。5.1.2 安全通信网络安全通信网络 5.1.2.1 网络架构网络架构 a)应保证核心交换机、核心路由器、出口防火墙等主干线网络设备的业务处理能力具备冗余空间，以满足业务高峰期需要；b)应保证部省连接、下级单位接入等线路网络的带宽满足业务高峰期需要；c)应根据业务职能、重要性和所涉及信息的重要程度等因素，根据需要至少划分收费业务应用（业务数据处理类、业务生产控制类）、其他业务应用（业务辅助类）、数据服务、传输接入（部 1

27、3 级传输接入、下级单位传输接入、外部单位传输）、运维管理等不同的网络区域，单独划分测试区域，应通过有效措施对各网络区域进行技术隔离，并按照便捷管理和集约管控的原则为各网络区域分配地址，采用白名单固定 IP 方式（由全国中心统一划分，原则上不超过 10 个）与全国中心通信；d)应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性，与全国中心通信应采用双机热备；e)联网收费系统不得直接提供互联网服务，如与互联网应用存在数据交换，应通过设置网闸或者双防火墙方式实现隔离。实现方式：利用划分 VLAN、配置防火墙等方式进行区域间隔离，可通过配备三层交换机、防火墙或其他具有相同功能的设

28、备实现，根据需要可增配网闸、负载均衡、下一代防火墙等。原则上宜采用异构安全体系配备安全防护设备。5.1.2.2 通信传输通信传输 a)应至少采用校验技术保证部省、省站间通信过程中数据的完整性，根据需要可采用密码技术保证通信过程中的数据完整性；b)应采用密码技术保证部省、省站通信过程中的保密性；c)密码算法应符合国家密码管理局相关规范要求。实现方式：根据需要配备 SSL 网关、IP Sec VPN 或 SSL VPN等方式实现，或根据链路类型配备其他具有相同功能的设备，设备应具备国家密码管理局颁发的商用密码产品型号证书。14 5.1.3 安全区域边界安全区域边界 5.1.3.1 边界防护边界防护

29、 a)应保证跨越网络区域边界的访问和数据流通过边界设备提供的受控接口进行通信；b)应能够对非授权设备私自连接到收费专网的行为进行检查或限制，能够对终端或用户非授权连接到收费网外部网络的行为进行检查或限制，阻止非授权访问；c)收费专网应严格禁止无线局域网络的使用。实现方式：对防火墙、网闸等边界防护设备进行有效设置；配备终端管控系统、网络准入系统或其他具有相同功能的设备。5.1.3.2 访问控制访问控制 a)应在 5.1.2.1 划定的网络区域边界防护设备上（如防火墙）根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；b)优化防火墙等安全设备的访问控制列表，删除多余或无

30、效的访问控制规则，使访问控制规则数量最小化；c)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为传输层端口级，对源地址、目的地址、源端口、目的端口和协议等进行检查，确定是否允许数据包进出该区域边界。实现方式：通过配置防火墙、网闸等区域边界防护设备的安全策略实现。5.1.3.3 入侵防范入侵防范 a)应在核心交换机等关键网络节点处部署具备入侵检测功 15 能的设备，检测从内部/外部发起的网络攻击行为；b)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；c)当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应

31、提供报警，通过人工阻断方式或配置相应入侵防御设备，防止或限制从内部和外部发起的网络攻击行为。实现方式：配备入侵检测/防御、监测预警等或其他具有相同功能的安全设备，有条件的可建设监测预警与态势感知平台进行集中管控。5.1.3.4 恶意代码防范恶意代码防范 a)应至少在与下级节点和外部连接的防火墙前端部署恶意代码检测设备对恶意代码进行检测和清除；b)维护恶意代码防护机制的升级和更新。实现方式：配备防火墙（具备防病毒模块）、防病毒网关或防毒墙等。5.1.3.5 安全审计安全审计 a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计，能对远程访问的用

32、户行为单独进行行为审计和数据分析；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；16 d)审计记录留存 6 个月以上。实现方式：部署网络审计系统、日志审计系统等审计功能设施实现。5.1.4 安全计算环境安全计算环境 5.1.4.1 身份鉴别身份鉴别 a)应对登录网络、服务器、中间件、数据库、终端及应用等计算环境的用户进行身份标识和鉴别，且保证用户名具有唯一性；b)应采用口令、密码技术、生物技术等鉴别技术对用户进行身份鉴别，并对鉴别数据进行保密性和完整性保护，对管理员、运维人员、重要

33、业务系统（业务数据处理类）用户应采取两种或两种以上组合的鉴别技术；c)若只采用“用户名+口令”的方式进行身份鉴别，口令须满足大小写英文字母、数字、特殊字符 3 种以上组成、长度不少于8 位，每 90 天更换；d)应启用登录失败处理功能，登录失败后采取结束会话、限制非法登录次数和自动退出等措施，连续 5 次登录失败至少锁定10 分钟；e)当进行远程管理时，应采取 SSH、HTTPS 等方式防止管理数据、鉴别信息在网络传输过程中被窃听；f)应为与全国中心之间进行通信的计算设备、安全防护设备实现双向身份标识认证，保障部省传输的安全。实现方式：可通过部署统一身份认证系统、堡垒机等方式实现，省联网中心管理人员、运维人员、客服人员可采用“用户名+口令”和“USBKey 数字证书”或其他双因素认证方式实现用 17 户身份鉴别。5.1.4.2 访问控制访问控制 a)应对登录网络、服务器、中间件、数据库、终