收費公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求（試行）

收費公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求（試行）收費公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求（試行）總體安全要求安全保護對象聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求的保護對象是高速公路聯(lián)網(wǎng)收費系統(tǒng)、聯(lián)網(wǎng)監(jiān)控系統(tǒng)和一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)。聯(lián)網(wǎng)收費系統(tǒng)（1）互聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)高速公路聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)由省中心、路段分中心、ETC門架、收費站、車道（ETC車道、ETC/MTC混合車道）組成。具體見圖4.1-1所示。圖4.1-1聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)省中心：主要負責全省收費業(yè)務(wù)數(shù)據(jù)收集匯聚、備份與維護、統(tǒng)計和查詢，下發(fā)聯(lián)網(wǎng)收費系統(tǒng)的運行參數(shù)，完成高速公路網(wǎng)收費業(yè)務(wù)管理以及通行費的拆分結(jié)算等工作。路段分中心：主要負責所轄路段收費站/ETC門架的運營監(jiān)督管理，通行卡的調(diào)配、接收省中心的系統(tǒng)運行參數(shù)，向省中心上傳圖像和統(tǒng)計數(shù)據(jù)，完成與省中心的數(shù)據(jù)校核等工作。收費站：主要實現(xiàn)車道數(shù)據(jù)的獲取、收費員日志工作管理、車道過車信息采集及存儲，接收路段分中心下發(fā)的系統(tǒng)參數(shù)和下發(fā)必要的車道運營數(shù)據(jù)，接收車道上傳的原始數(shù)據(jù)并實時傳至路段分中心，同時完成運行監(jiān)控管理、數(shù)據(jù)查詢、業(yè)務(wù)和票據(jù)管理職能，是各路段系統(tǒng)的核心。ETC門架：主要實現(xiàn)MTC車輛的分段計費，ETC車輛的交易流水，將圖像流水記錄表實時上傳至全國、省兩級聯(lián)網(wǎng)中心。車道（ETC車道、ETC/MTC混合車道）：主要完成收費車道的收費管理，收費設(shè)備控制，采集進出車道車輛信息，上傳原始收費數(shù)據(jù)等工作。（2）互聯(lián)網(wǎng)收費系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)為保證數(shù)據(jù)實時傳輸，ETC門架和收費站到省中心、全國中心采用主備雙鏈路，以保證數(shù)據(jù)實時傳輸，主用鏈路采用省內(nèi)現(xiàn)有收費通信網(wǎng)絡(luò)，備份通信鏈路采用運營商專線網(wǎng)絡(luò)。省中心到全國中心復用已有跨省清分結(jié)算通信鏈路。具體見圖4.1-2所示。圖4.1-2聯(lián)網(wǎng)收費系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)聯(lián)網(wǎng)監(jiān)控系統(tǒng)（1）聯(lián)網(wǎng)監(jiān)控系統(tǒng)架構(gòu)高速公路聯(lián)網(wǎng)監(jiān)控系統(tǒng)架構(gòu)由省中心、路段分中心、外場設(shè)備三級組成。具體見圖4.1-3所示。圖4.1-3聯(lián)網(wǎng)監(jiān)控系統(tǒng)架構(gòu)圖省中心：主要實現(xiàn)全省監(jiān)控數(shù)據(jù)收集匯聚、備份與維護、統(tǒng)計和查詢的功能。路段分中心：主要負責所轄路段收費站、外場設(shè)備的運營監(jiān)督管理及視頻匯聚工作。外場設(shè)備：主要負責前端信息采集和信息發(fā)布，由前端攝像頭、情報板等組成。（2）聯(lián)網(wǎng)監(jiān)控系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)省中心通過干線傳輸網(wǎng)至路段分中心監(jiān)控交換機，以保證省中心監(jiān)控信號的調(diào)用。路段分中心監(jiān)控交換機到外場設(shè)備有兩種方式：一種是外場設(shè)備通過環(huán)路將業(yè)務(wù)傳輸至路段分中心；另一種是外場設(shè)備通過環(huán)路傳輸至收費站，在收費站匯聚后將業(yè)務(wù)傳輸至路段分中心。在路段分中心租用運營商專線，將外場設(shè)備的監(jiān)控信號經(jīng)轉(zhuǎn)碼、推流至省中心公有云平臺，以滿足視頻上云的需要。具體見圖4.1-4所示。圖4.1-4聯(lián)網(wǎng)監(jiān)控系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)（1）一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)由省中心、收費站、車道三級組成。具體見圖4.1-5所示。圖4.1-5一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)架構(gòu)（2）一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)收費站到省中心采用主備雙鏈路，以保證數(shù)據(jù)實時傳輸，主用和備份通信鏈路均采用運營商專線網(wǎng)絡(luò)。具體見圖4.1-6所示。圖4.1-6一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)通信網(wǎng)絡(luò)架構(gòu)安全技術(shù)框架安全技術(shù)框架包括聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)框架、聯(lián)網(wǎng)監(jiān)控系統(tǒng)安全技術(shù)框架和一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)框架。聯(lián)網(wǎng)收費系統(tǒng)根據(jù)國家網(wǎng)絡(luò)安全政策法規(guī)和技術(shù)標準體系的有關(guān)要求，落實網(wǎng)絡(luò)安全等級保護制度，圍繞聯(lián)網(wǎng)收費系統(tǒng)的安全保護需求，針對聯(lián)網(wǎng)收費系統(tǒng)重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進行分類分級管理，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等五個方面，提出通用安全要求以及云計算、大數(shù)據(jù)及物聯(lián)網(wǎng)三個方面提出擴展安全要求，以建立聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護體系，構(gòu)建綜合防御能力。聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)框架體系見圖4.2-1所示。圖4.2-1聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)框架體系聯(lián)網(wǎng)監(jiān)控系統(tǒng)根據(jù)國家網(wǎng)絡(luò)安全政策法規(guī)和技術(shù)標準體系的有關(guān)要求，落實網(wǎng)絡(luò)安全等級保護制度，圍繞聯(lián)網(wǎng)監(jiān)控系統(tǒng)的安全保護需求，針對聯(lián)網(wǎng)監(jiān)控系統(tǒng)重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進行分類分級管理，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等五個方面，提出通用安全要求以及云計算、大數(shù)據(jù)及物聯(lián)網(wǎng)三個方面提出擴展安全要求，以建立聯(lián)網(wǎng)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護體系，構(gòu)建綜合防御能力。聯(lián)網(wǎng)監(jiān)控系統(tǒng)安全技術(shù)框架體系見圖4.2-2所示。圖4.2-2聯(lián)網(wǎng)監(jiān)控系統(tǒng)安全技術(shù)框架體系一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)系統(tǒng)框架參照聯(lián)網(wǎng)收費系統(tǒng)安全技術(shù)框架。整體安全保護要求本技術(shù)要求主要涉及網(wǎng)絡(luò)安全的技術(shù)要求，各單位在網(wǎng)絡(luò)安全設(shè)計、建設(shè)維護期間涉及商用密碼應用的，應滿足《中華人民共和國密碼法》，涉及數(shù)據(jù)安全的要嚴格遵循《中華人民共和國數(shù)據(jù)安全法》，本技術(shù)要求不再作展開。聯(lián)網(wǎng)收費系統(tǒng)（1）省中心聯(lián)網(wǎng)收費系統(tǒng)整體按照網(wǎng)絡(luò)安全等級保護第三級安全要求進行定級、備案、建設(shè)、測評、保護，每年需要做網(wǎng)絡(luò)安全等保測評。（2）路段分中心在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網(wǎng)絡(luò)安全等級保護第三級安全要求開展安全保護。新增路段分中心接入聯(lián)網(wǎng)收費系統(tǒng)應經(jīng)過具有網(wǎng)絡(luò)安全等級測評或信息安全風險評估等相關(guān)資質(zhì)的第三方檢測評估機構(gòu)，依據(jù)《聯(lián)網(wǎng)收費系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全檢測規(guī)程》進行安全接入檢測，并出具技術(shù)要求符合性檢測報告。（3）收費站/ETC門禁系統(tǒng)在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網(wǎng)絡(luò)安全等級保護第三級安全要求開展安全保護。新增收費站、ETC門架系統(tǒng)接入聯(lián)網(wǎng)收費系統(tǒng)應經(jīng)過具有網(wǎng)絡(luò)安全等級測評或信息安全風險評估等相關(guān)資質(zhì)的第三方檢測評估機構(gòu)，依據(jù)《聯(lián)網(wǎng)收費系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全檢測規(guī)程》進行安全接入檢測，并出具技術(shù)要求符合性檢測報告。（4）ETC發(fā)行系統(tǒng)整體按照網(wǎng)絡(luò)安全等級保護第三級安全要求進行定級、備案、建設(shè)、測評、保護，每年需要做網(wǎng)絡(luò)安全等保測評，并應按照《中華人民共和國個人信息保護法》等有關(guān)法律重點加強個人信息保護。聯(lián)網(wǎng)監(jiān)控系統(tǒng)（1）省中心聯(lián)網(wǎng)監(jiān)控系統(tǒng)整體按照網(wǎng)絡(luò)安全等級保護第二級安全要求進行定級、備案、建設(shè)、測評、保護；在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網(wǎng)絡(luò)安全等級保護第三級安全要求開展安全保護。（2）路段分中心在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網(wǎng)絡(luò)安全等級保護第二級安全要求開展安全保護。一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)一、二級收費公路聯(lián)網(wǎng)收費系統(tǒng)在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網(wǎng)絡(luò)安全等級保護第三級安全要求開展安全保護。聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求省中心安全要求省中心系統(tǒng)主要包含：省級清分結(jié)算系統(tǒng)等業(yè)務(wù)處理類系統(tǒng)，省級稽查與信用管理系統(tǒng)、密鑰管理系統(tǒng)、客服系統(tǒng)等業(yè)務(wù)輔助系統(tǒng)及有關(guān)網(wǎng)絡(luò)基礎(chǔ)運行環(huán)境。安全通用要求安全物理環(huán)境（1）機房物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房場地應避免設(shè)在建筑物的頂層或地下室，否則應加強防水和防潮措施；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。（2）機房物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。實現(xiàn)方式：通過電子門禁系統(tǒng)或其他具備控制、鑒別、記錄等功能的系統(tǒng)實現(xiàn)。（3）防盜和防破壞應將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記；應將通信線纜鋪設(shè)在隱蔽安全處；應設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。實現(xiàn)方式：通過機房防盜報警系統(tǒng)或?qū)Ｈ酥凳氐囊曨l監(jiān)控系統(tǒng)等實現(xiàn)。（4）防雷擊應將機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地；應采取措施防止感應雷。實現(xiàn)方式：通過防雷保安器或過壓保護裝置等方式實現(xiàn)。（5）防火機房應設(shè)置火災自動消防系統(tǒng)，能夠自動監(jiān)測火情、自動報警并自動滅火；機房及相關(guān)的工作房間和輔助房間應采用具有耐火等級的建筑材料；應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間可設(shè)置隔離防火措施。實現(xiàn)方式：火災自動消防系統(tǒng)等。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；應部署機房環(huán)境監(jiān)測系統(tǒng)對機房進行防水檢測和報警。實現(xiàn)方式：通過機房環(huán)境監(jiān)測系統(tǒng)或具備相同功能的系統(tǒng)實現(xiàn)。（7）防靜電應采用必要的接地防靜電措施；應采取措施防止靜電的產(chǎn)生。實現(xiàn)方式：采用防靜電地板或地面，配置靜電消除器或佩戴防靜電手環(huán)等方式。（8）溫濕度控制機房應設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房內(nèi)的溫度和濕度的變化在設(shè)備運行所允許的范圍內(nèi),機房溫度范圍為23±1℃，濕度范圍為40%～55%。實現(xiàn)方式：通過機房精密空調(diào)等方式實現(xiàn)。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；應提供短期的備用電力供應，至少滿足設(shè)備在斷電情況下的正常運行要求；應設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，以防止突然斷電對系統(tǒng)造成損壞。實現(xiàn)方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能），雙路市電或備用發(fā)電機等方式實現(xiàn)。（10）電磁防護電源線和通信線纜應隔離鋪設(shè)，避免互相干擾。實現(xiàn)方式：配備金屬線槽等方式對電源線及通信電纜進行隔離。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應保證核心交換機、核心路由器、出口防火墻等主干線網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，以滿足業(yè)務(wù)高峰期需要；應保證部省連接、下級單位接入等線路網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；應根據(jù)業(yè)務(wù)職能、重要性和所涉及信息的重要程度等因素，根據(jù)需要至少劃分收費業(yè)務(wù)應用（業(yè)務(wù)數(shù)據(jù)處理類、業(yè)務(wù)生產(chǎn)控制類）、其他業(yè)務(wù)應用（業(yè)務(wù)輔助類）、數(shù)據(jù)服務(wù)、傳輸接入（部級傳輸接入、下級單位傳輸接入、外部單位傳輸）、運維管理等不同的網(wǎng)絡(luò)區(qū)域，單獨劃分測試區(qū)域，應通過有效措施對各網(wǎng)絡(luò)區(qū)域進行技術(shù)隔離，并按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址，采用白名單固定IP方式與全國中心通信；應提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性，與全國中心通信應采用雙機熱備；聯(lián)網(wǎng)收費系統(tǒng)不得直接提供互聯(lián)網(wǎng)服務(wù)，如與互聯(lián)網(wǎng)應用存在數(shù)據(jù)交換，應通過設(shè)置網(wǎng)閘或者雙防火墻方式實現(xiàn)隔離。實現(xiàn)方式：利用劃分VLAN、配置防火墻等方式進行區(qū)域間隔離，可通過配備三層交換機、防火墻或其他具有相同功能的設(shè)備實現(xiàn)，根據(jù)需要可增配網(wǎng)閘、負載均衡、下一代防火墻等。原則上宜采用異構(gòu)安全體系配備安全防護設(shè)備。（2）通信傳輸應至少采用校驗技術(shù)保證部省、省站間通信過程中數(shù)據(jù)的完整性，根據(jù)需要可采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性；應采用密碼技術(shù)保證部省、省站通信過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：根據(jù)需要配備SSL網(wǎng)關(guān)、IPSecVPN或SSLVPN等方式實現(xiàn)，或根據(jù)鏈路類型配備其他具有相同功能的設(shè)備，設(shè)備應具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到收費專網(wǎng)的行為進行檢查或限制，能夠?qū)K端或用戶非授權(quán)連接到收費網(wǎng)外部網(wǎng)絡(luò)的行為進行檢查或限制，阻止非授權(quán)訪問；收費專網(wǎng)應嚴格禁止無線局域網(wǎng)絡(luò)的使用。實現(xiàn)方式：對防火墻、網(wǎng)閘等邊界防護設(shè)備進行有效設(shè)置；配備終端管控系統(tǒng)、網(wǎng)絡(luò)準入系統(tǒng)或其他具有相同功能的設(shè)備。（2）訪問控制應在劃定的網(wǎng)絡(luò)區(qū)域邊界防護設(shè)備上（如防火墻）根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；優(yōu)化防火墻等安全設(shè)備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，確定是否允許數(shù)據(jù)包進出該區(qū)域邊界。實現(xiàn)方式：通過配置防火墻、網(wǎng)閘等區(qū)域邊界防護設(shè)備的安全策略實現(xiàn)。（3）入侵防范應在核心交換機等關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署具備入侵檢測功能的設(shè)備，檢測從內(nèi)部/外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警，通過人工阻斷方式或配置相應入侵防御設(shè)備，防止或限制從內(nèi)部和外部發(fā)起的網(wǎng)絡(luò)攻擊行為。實現(xiàn)方式：配備入侵檢測/防御、監(jiān)測預警等或其他具有相同功能的安全設(shè)備，有條件的可建設(shè)監(jiān)測預警與態(tài)勢感知平臺進行集中管控。（4）惡意代碼防范應至少在與下級節(jié)點和外部連接的防火墻前端部署惡意代碼檢測設(shè)備對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現(xiàn)方式：配備防火墻（具備防病毒模塊）、防病毒網(wǎng)關(guān)或防毒墻等。（5）安全審計應在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要的安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數(shù)據(jù)分析；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計記錄留存6個月以上。實現(xiàn)方式：部署網(wǎng)絡(luò)審計系統(tǒng)、日志審計系統(tǒng)等審計功能設(shè)施實現(xiàn)。安全計算環(huán)境（1）身份鑒別應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對用戶進行身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，對管理員、運維人員、重要業(yè)務(wù)系統(tǒng)（業(yè)務(wù)數(shù)據(jù)處理類）用戶應采取兩種或兩種以上組合的鑒別技術(shù)；若只采用“用戶名+口令”的方式進行身份鑒別，口令須滿足大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應為與全國中心之間進行通信的計算設(shè)備、安全防護設(shè)備實現(xiàn)雙向身份標識認證，保障部省傳輸?shù)陌踩崿F(xiàn)方式：可通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現(xiàn)，省中心管理人員、運維人員、客服人員可采用“用戶名+口令”和“USBKey數(shù)字證書”或其他雙因素認證方式實現(xiàn)用戶身份鑒別。（2）訪問控制應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶分配賬戶和權(quán)限；應禁用“超級管理員”權(quán)限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。實現(xiàn)方式：通過堡壘機等設(shè)備實現(xiàn)權(quán)限分離，配置計算設(shè)備系統(tǒng)策略實現(xiàn)，或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)有關(guān)要求。（3）安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；審計記錄留存6個月以上。實現(xiàn)方式：開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用系統(tǒng)等的訪問和操作審計功能，設(shè)置獨立審計員賬戶，限制其他用戶對審計進程操作，可通過配備堡壘機和日志審計等相關(guān)系統(tǒng)實現(xiàn)。（4）入侵防范服務(wù)器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；應通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；應定期開展漏洞掃描工作，及時發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅(qū)等外來介質(zhì)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲接口進行限制或移除。實現(xiàn)方式：對設(shè)備進行合理配置，定期對服務(wù)器、終端進行漏洞掃描，并及時修補漏洞，對于不能及時升級補丁的，采用相應技術(shù)措施來降低風險；可根據(jù)實際需要配備漏洞掃描、入侵檢測等相應功能的設(shè)備，配備服務(wù)器主機加固系統(tǒng)，軟件開發(fā)過程中嚴格對數(shù)據(jù)輸入有效性進行驗證。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術(shù)措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷；支持防惡意代碼的統(tǒng)一升級和管理。實現(xiàn)方式：終端、服務(wù)器等通過安裝防惡意代碼軟件等方式實現(xiàn)，主機防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品具有不同的惡意代碼庫。（6）數(shù)據(jù)完整性采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于鑒別數(shù)據(jù)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分數(shù)據(jù)、拆分數(shù)據(jù)等）、服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）和公民個人信息等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：通過軟件開發(fā)等方式實現(xiàn)數(shù)據(jù)完整性校驗，并在數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳，對存儲的數(shù)據(jù)采取多重備份。（7）數(shù)據(jù)保密性采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)和公民個人信息等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：通過服務(wù)器密碼、數(shù)據(jù)庫加密系統(tǒng)等實現(xiàn)。（8）數(shù)據(jù)備份恢復應提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分數(shù)據(jù)、拆分數(shù)據(jù)等）、服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等的本地數(shù)據(jù)備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；應提供異地備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分數(shù)據(jù)、拆分數(shù)據(jù)等）備份至備份場地，有條件的可提供異地實時備份功能；應提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分數(shù)據(jù)、拆分數(shù)據(jù)等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現(xiàn)方式：配備數(shù)據(jù)備份服務(wù)器，建立異地數(shù)據(jù)備份系統(tǒng)及通信網(wǎng)絡(luò)，并實現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫服務(wù)器的雙機熱備。（9）剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；應保證存有個人信息等敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。實現(xiàn)方式：應通過設(shè)置服務(wù)器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)。安全管理中心（1）權(quán)限管理應對系統(tǒng)管理員、審計管理員、安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面分別進行系統(tǒng)資源配置、安全審計、安全策略配置操作，并對這些操作進行審計。實現(xiàn)方式：通過配置堡壘機或其他相同功能的設(shè)備實現(xiàn)。（2）集中管控應劃分出特定的管理區(qū)域，對分布式網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控；應能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理；應對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等運行狀況進行集中監(jiān)測；對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；應對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；應能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。實現(xiàn)方式：可建立省級聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測預警平臺，實現(xiàn)省中心內(nèi)部監(jiān)測預警，具備條件的可同時對與其連接的路段分中心、收費站、ETC門架系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測預警；有效配置設(shè)備管理系統(tǒng)實現(xiàn)集中管控，要求交換機、路由器、防火墻等設(shè)備具備網(wǎng)管功能；可建立省級集中安全審計平臺、集中安全管理平臺、統(tǒng)一安全監(jiān)測預警平臺等完備的信息安全一體化管控平臺。云安全擴展要求省中心如有部分系統(tǒng)部署在私有云平臺（含虛擬化資源池）或公有云平臺（含專屬云平臺，不得為業(yè)務(wù)數(shù)據(jù)處理類系統(tǒng)）應遵循云安全擴展要求。使用公有云平臺應確保其云計算基礎(chǔ)設(shè)施位于中國境內(nèi)，并提供等級保護第三級備案證明。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應能夠提供虛擬網(wǎng)絡(luò)之間的隔離能力，提供按需配置通信傳輸、邊界防護、入侵防范等安全機制的能力；應允許接入第三方安全產(chǎn)品或服務(wù)。實現(xiàn)方式：通過云平臺虛擬網(wǎng)絡(luò)管理組件進行虛擬子網(wǎng)劃分，利用云平臺安全組或虛擬化安全設(shè)備進行虛擬子網(wǎng)之間的訪問控制。安全區(qū)域邊界（1）訪問控制應采取措施保證虛擬機無法通過網(wǎng)絡(luò)非授權(quán)訪問宿主機；應在虛擬化網(wǎng)絡(luò)邊界（云平臺與其他計算環(huán)境、虛擬子網(wǎng)與虛擬子網(wǎng)間）部署訪問控制機制，設(shè)置訪問控制規(guī)則。實現(xiàn)方式：通過云平臺安全組件實現(xiàn)虛擬子網(wǎng)間的訪問控制，或虛擬化防火墻等設(shè)備，設(shè)置虛擬化網(wǎng)絡(luò)邊界訪問控制策略。（2）入侵防范應能檢測到內(nèi)部虛擬機發(fā)起的或者針對虛擬網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)攻擊行為，并記錄攻擊類型、攻擊時間和攻擊流量等；應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量，并進行告警。實現(xiàn)方式：在虛擬子網(wǎng)邊界部署虛擬化入侵檢測等相應功能的設(shè)備，監(jiān)聽所有出入虛擬子網(wǎng)的流量，實時檢測虛擬子網(wǎng)之間以及虛擬子網(wǎng)內(nèi)部的攻擊行為和異常流量。（3）安全審計應對遠程管理時執(zhí)行的特權(quán)命令進行審計，至少包括虛擬機刪除、虛擬機重啟。應針對通過云平臺對應用系統(tǒng)和數(shù)據(jù)進行的操作進行審計。實現(xiàn)方式：云管平臺需要具備相關(guān)審計功能。安全計算環(huán)境（1）身份鑒別當進行遠程管理時，管理終端和云計算平臺之間應建立雙向身份驗證機制。實現(xiàn)方式：可通過云管平臺實現(xiàn)與管理終端間的雙向身份驗證。（2）訪問控制應保證當虛擬機遷移時，訪問控制策略隨其遷移；應允許設(shè)置不同虛擬機之間的訪問控制策略。實現(xiàn)方式：可通過云管平臺實現(xiàn)。（3）入侵防范應能檢測到虛擬機之間的資源隔離失效，并提供告警；應能檢測到非授權(quán)新建虛擬機或者重新啟用虛擬機，并提供告警；應能夠檢測惡意代碼感染及在虛擬機間蔓延等情況，并提供告警。實現(xiàn)方式：通過部署的虛擬化入侵檢測等功能的設(shè)備，對僵木蠕毒等惡意代碼行為進行實時監(jiān)測，如果有條件可部署云安全態(tài)勢感知平臺進行集中告警。（4）鏡像和快照保護針對收費系統(tǒng)、稽查與信用管理系統(tǒng)等部署在云中的聯(lián)網(wǎng)收費業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像；應采取密碼技術(shù)或其他技術(shù)手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。實現(xiàn)方式：可通過云管平臺和加密機實現(xiàn)。（5）數(shù)據(jù)完整性和保密性應使用校驗碼或密碼技術(shù)確保虛擬機遷移過程中，重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施。應采用密碼技術(shù)保證重要數(shù)據(jù)傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過云管平臺和加密機實現(xiàn)。（6）數(shù)據(jù)備份恢復應保證業(yè)務(wù)應用和數(shù)據(jù)存儲在若干個可用的副本，各副本之間的內(nèi)容應保持一致；應為業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計算平臺和本地系統(tǒng)提供技術(shù)手段。實現(xiàn)方式：可通過云管平臺實現(xiàn)。（7）剩余信息保護應保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除。實現(xiàn)方式：可通過云管平臺實現(xiàn)。安全管理中心（1）集中管控應能對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；應保證云計算平臺管理流量與業(yè)務(wù)流量分離；對虛擬化網(wǎng)絡(luò)、主機等審計數(shù)據(jù)進行收集匯總和集中分析；應對虛擬化網(wǎng)絡(luò)、虛擬機、虛擬化安全設(shè)備等運行狀況進行集中監(jiān)測。云安全管理中心應與業(yè)務(wù)云分開部署于不同物理服務(wù)器。實現(xiàn)方式：可通過云管平臺實現(xiàn)。路段分中心安全要求路段分中心系統(tǒng)主要包含：ETC門架系統(tǒng)的運行監(jiān)測與預警系統(tǒng)、收費稽查管理系統(tǒng)等業(yè)務(wù)輔助類系統(tǒng)及有關(guān)網(wǎng)絡(luò)基礎(chǔ)運行環(huán)境。安全物理環(huán)境物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房場地應避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。物理訪問控制機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯(lián)系電話、接待人、時間等詳細情況。根據(jù)需要可配置電子門禁系統(tǒng)。防盜和防破壞應將設(shè)備及主要部件進行固定，并設(shè)置明顯的不易除去的標記；應將通信電纜鋪設(shè)在隱蔽處；應設(shè)置機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。實現(xiàn)方式：通過機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)或其他具有相同功能的系統(tǒng)實現(xiàn)。防雷擊應將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地；可采取措施防止感應雷，例如設(shè)置防雷保安器或過壓保護裝置等。防火機房及相關(guān)的工作房間和輔助房間應采用具有耐火級別的建筑材料，配備符合消防管理要求的滅火設(shè)備。防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移和滲透。防靜電應采用防靜電地板或地面并采用必要的接地防靜電措施。溫濕度控制機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房內(nèi)的溫度和濕度的變化在設(shè)備運行所允許的范圍內(nèi)。電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；應提供短期的備用電力供應，至少滿足交換機、防火墻等關(guān)鍵設(shè)備在斷電情況下的正常運行要求。實現(xiàn)方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）實現(xiàn)。電磁防護電源線和通信線纜應隔離鋪設(shè)，避免互相干擾。實現(xiàn)方式：可通過配備金屬線槽對電源線及通信電纜進行隔離。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)應保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，以滿足業(yè)務(wù)高峰期需要；應保證路段分中心與省中心、收費站等傳輸線路網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；應通過交換機或防火墻等設(shè)施至少劃分收費業(yè)務(wù)、收費站接入和運維管理等網(wǎng)絡(luò)區(qū)域，并為各網(wǎng)絡(luò)區(qū)域分配地址，應通過有效措施對各網(wǎng)絡(luò)區(qū)域進行技術(shù)隔離。實現(xiàn)方式：可利用劃分VLAN、配置防火墻等方式，實現(xiàn)區(qū)域間隔離。通信傳輸與省中心采取收費專網(wǎng)傳輸，應至少采用校驗技術(shù)保證通信過程中的數(shù)據(jù)完整性，根據(jù)需要還可采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性；應采用密碼技術(shù)保證路段分中心與省中心、收費站間通信過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：根據(jù)需要配備SSL網(wǎng)關(guān)、IPSecVPN或SSLVPN等或其他具有相同功能的設(shè)備，設(shè)備應具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品型號證書。安全區(qū)域邊界邊界防護應保證跨越網(wǎng)絡(luò)邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到收費網(wǎng)絡(luò)的行為進行檢查或限制，能夠?qū)κ召M網(wǎng)終端或用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進行檢查或限制；收費專網(wǎng)應嚴格禁止無線局域網(wǎng)絡(luò)的使用。實現(xiàn)方式：對防火墻邊界防護設(shè)備進行有效設(shè)置，可配置終端管控系統(tǒng)、網(wǎng)絡(luò)準入系統(tǒng)或其他具有相同功能的設(shè)備。訪問控制應在劃定的網(wǎng)絡(luò)區(qū)域邊界或各區(qū)域間防護設(shè)備上根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化防火墻等安全設(shè)備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，確定是否允許數(shù)據(jù)包進出該區(qū)域邊界。實現(xiàn)方式：可通過配置防火墻策略實現(xiàn)。入侵防范應在網(wǎng)絡(luò)中進行檢測從外部/內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。實現(xiàn)方式：定期查看分析防火墻日志，具備條件的可配備工具有入侵檢測功能的設(shè)備。惡意代碼防范可在網(wǎng)絡(luò)中部署惡意代碼防范功能的設(shè)備（如邊界防火墻增加防病毒模塊等）對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現(xiàn)方式：可通過防火墻（具備防病毒模塊）或具有相同功能的設(shè)備實現(xiàn)。安全審計應在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，對重要的用戶行為和重要安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數(shù)據(jù)分析；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計日志留存6個月以上。實現(xiàn)方式：可通過部署日志審計相關(guān)系統(tǒng)實現(xiàn)。安全計算環(huán)境身份鑒別對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對用戶進行身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，對管理人員、運維人員、重要業(yè)務(wù)系統(tǒng)用戶應采取兩種或兩種以上組合的鑒別技術(shù)。若只采用用戶口令方式進行身份鑒別，口令須滿足由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換；啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，如連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。實現(xiàn)方式：通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現(xiàn)；路段分中心管理人員、運維人員應采用“用戶名+口令”和“USBKey數(shù)字證書”或其他雙因素認證方式實現(xiàn)用戶身份鑒別。訪問控制應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶分配賬戶和權(quán)限；應授予管理用戶所需的最小權(quán)限，實現(xiàn)運維、管理賬號的權(quán)限分離；應禁用“超級管理員”權(quán)限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。實現(xiàn)方式：可通過安全配置加固方式實現(xiàn)。安全審計啟用網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算設(shè)備安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；審計日志留存6個月以上。實現(xiàn)方式：可通過開啟網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用系統(tǒng)審計功能，設(shè)置獨立審計員賬戶，限制其他用戶對審計進程操作；可配備堡壘機和日志審計系統(tǒng)等設(shè)備實現(xiàn)。入侵防范服務(wù)器、終端等遵循最小安裝的原則，僅安裝需要的組件和應用程序；關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；應定期開展漏洞掃描工作，及時發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；應嚴格對U盤、移動光驅(qū)等外來存儲設(shè)備的管控，并對各類硬件設(shè)備的外接存儲接口進行移除或限制。實現(xiàn)方式：對設(shè)備進行合理配置，定期對服務(wù)器、終端等設(shè)備進行漏洞掃描，并及時修補漏洞；可根據(jù)實際需要配備漏洞掃描、入侵檢測等功能設(shè)備，完善相關(guān)設(shè)備安全策略。惡意代碼防范應通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現(xiàn)對惡意代碼的有效防范；主機防惡意代碼產(chǎn)品可根據(jù)需要，配置具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫，支持惡意代碼防范的統(tǒng)一升級和管理。實現(xiàn)方式：聯(lián)網(wǎng)收費系統(tǒng)終端、服務(wù)器等可通過安裝防惡意代碼軟件等方式實現(xiàn)。數(shù)據(jù)完整性采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過軟件開發(fā)等方式實現(xiàn)數(shù)據(jù)完整性校驗，并在數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳，并對存儲的數(shù)據(jù)采取多重備份。數(shù)據(jù)保密性應采用密碼技術(shù)保證收費站重要數(shù)據(jù)（業(yè)務(wù)數(shù)據(jù)、鑒別信息）在傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過軟件開發(fā)等方式實現(xiàn)。數(shù)據(jù)備份恢復提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等的本地數(shù)據(jù)備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；可根據(jù)需要提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現(xiàn)方式：配備數(shù)據(jù)備份服務(wù)器、安裝數(shù)據(jù)庫自動備份系統(tǒng)軟件等方式實現(xiàn)，可根據(jù)需要實現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫服務(wù)器的雙機熱備。剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；實現(xiàn)方式：應通過設(shè)置服務(wù)器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)。安全管理中心權(quán)限管理應對系統(tǒng)管理員、審計管理員、安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面分別進行系統(tǒng)資源配置、安全審計、安全策略配置操作，并對這些操作進行審計。實現(xiàn)方式：可通過配置堡壘機等權(quán)限分配功能設(shè)備實現(xiàn)。集中管控可對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測；可對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；可對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；可對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。實現(xiàn)方式：可通過配備網(wǎng)管軟件等方式實現(xiàn)集中管控，或接入省聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測預警平臺，具備條件的可自建監(jiān)測預警平臺。收費站安全要求收費站系統(tǒng)主要包括：ETC車道系統(tǒng)、ETC/MTC混合車道系統(tǒng)、站級管理系統(tǒng)及有關(guān)網(wǎng)絡(luò)基礎(chǔ)運行環(huán)境。安全通用要求安全物理環(huán)境（1）物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房場地應避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。（2）物理訪問控制機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯(lián)系電話、接待人、時間等詳細情況?？筛鶕?jù)需要配置電子門禁系統(tǒng)。（3）防盜和防破壞應將設(shè)備及主要部件進行固定，并設(shè)置明顯的不易除去的標記；應將通信電纜鋪設(shè)在隱蔽處；可設(shè)置機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。（4）防雷擊應將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地；可采取措施防止感應雷，例如設(shè)置防雷保安器或過壓保護裝置等。（5）防火機房及相關(guān)的工作房間和輔助房間應采用具有耐火級別的建筑材料，配備符合消防管理要求的滅火設(shè)備。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移和滲透。（7）防靜電應采用防靜電地板或地面并采用必要的接地防靜電措施。（8）溫濕度控制機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房內(nèi)的溫度和濕度的變化在設(shè)備運行所允許的范圍內(nèi)。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；應提供短期的備用電力供應，至少滿足收費站中的服務(wù)器、交換機等關(guān)鍵設(shè)備在斷電情況下的正常運行要求。實現(xiàn)方式：可通過部署不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）等方式實現(xiàn)。（10）電磁防護電源線和通信線纜應隔離鋪設(shè)，避免互相干擾。實現(xiàn)方式：可通過配備金屬線槽對電源線及通信電纜進行隔離。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應保證通信設(shè)備的業(yè)務(wù)處理能力具備冗余空間，以滿足業(yè)務(wù)高峰期需要；應保證收費站與全國中心、省中心、路段分中心等傳輸線路網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要；應通過交換機或防火墻等設(shè)施至少劃分收費業(yè)務(wù)、運維管理、設(shè)備接入等不同的網(wǎng)絡(luò)區(qū)域，并為ETC門架系統(tǒng)接入單獨設(shè)置網(wǎng)絡(luò)區(qū)域，按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址，通過有效措施對各網(wǎng)絡(luò)區(qū)域進行技術(shù)隔離；收費站和全國中心、省中心、路段分中心的通信傳輸應提供鏈路冗余，主干鏈路的通信和安全防護等關(guān)鍵設(shè)備應采用雙機備份。實現(xiàn)方式：可利用劃分VLAN、配置防火墻等方式，實現(xiàn)區(qū)域間隔離。（2）通信傳輸應至少采用校驗技術(shù)保證收費站與全國中心、省中心、路段分中心間通信過程中的數(shù)據(jù)完整性，根據(jù)需要還可采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性；應采用密碼技術(shù)保證收費站和全國中心、省中心、路段分中心通信過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：根據(jù)需要配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN等或其他具有相同功能的設(shè)備，或根據(jù)鏈路類型配備其他具有相同功能的設(shè)備，設(shè)備應具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網(wǎng)絡(luò)邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到收費網(wǎng)絡(luò)的行為進行檢查或限制，能夠?qū)κ召M網(wǎng)終端或用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進行檢查或限制；收費專網(wǎng)一般應禁止無線局域網(wǎng)絡(luò)的使用，如使用，應采用證書認證技術(shù)確保移動設(shè)備的可信接入。實現(xiàn)方式：可通過配置防火墻策略或部署邊界防護設(shè)備實現(xiàn)。（2）訪問控制應在劃定的網(wǎng)絡(luò)區(qū)域邊界或各區(qū)域間防護設(shè)備上根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，確定是否允許數(shù)據(jù)包進出該區(qū)域邊界。實現(xiàn)方式：通過配置防火墻策略或部署訪問控制設(shè)備實現(xiàn)。（3）入侵防范應在網(wǎng)絡(luò)中進行檢測從外部/內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。實現(xiàn)方式：定期查看分析防火墻日志，具備條件的可配備工具有入侵檢測功能的設(shè)備。（4）惡意代碼防范可在網(wǎng)絡(luò)中部署惡意代碼防范功能的設(shè)備（如邊界防火墻增加防病毒模塊等）對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現(xiàn)方式：部署防火墻（具備防病毒模塊）或其他具有惡意代碼防范功能的設(shè)備實現(xiàn)。安全計算環(huán)境（1）身份鑒別對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；身份鑒別可采用密碼技術(shù)實現(xiàn)，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換；啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，如連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。應為與全國中心之間進行通信的計算設(shè)備、安全防護設(shè)備實現(xiàn)雙向身份標識認證，保障與全國中心間的傳輸安全。實現(xiàn)方式：可通過對設(shè)備的安全配置等方式實現(xiàn)。具備條件的可對管理人員、運維人員等采用“USBKey數(shù)字證書”方式實現(xiàn)用戶身份鑒別。（2）訪問控制應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶分配賬戶和權(quán)限；應授予管理用戶所需的最小權(quán)限，實現(xiàn)運維、管理賬號的權(quán)限分離；應禁用“超級管理員”權(quán)限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。實現(xiàn)方式：可安全配置加固方式實現(xiàn)，具備條件的可配置邊界防護設(shè)備實現(xiàn)。（3）安全審計啟用網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算設(shè)備安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份；審計日志留存6個月以上。實現(xiàn)方式：通過開啟網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用系統(tǒng)審計功能，設(shè)置獨立審計員賬戶，限制其他用戶對審計進程操作；通過將日志上傳至路段分中心或省中心實現(xiàn)備份。也可配備日志審計系統(tǒng)實現(xiàn)。（4）入侵防范服務(wù)器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；應嚴格對U盤、移動光驅(qū)等外來介質(zhì)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲接口進行限制或移除。實現(xiàn)方式：通過完善相關(guān)設(shè)備安全策略實現(xiàn)，也可配置入侵防范系統(tǒng)實現(xiàn)。（5）惡意代碼防范通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現(xiàn)對惡意代碼的有效防范；主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫，支持防惡意代碼的統(tǒng)一升級和管理。配置要求：終端、服務(wù)器等可通過安裝防惡意代碼軟件等方式實現(xiàn)。（6）數(shù)據(jù)完整性采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過軟件開發(fā)相關(guān)功能，實現(xiàn)數(shù)據(jù)完整性校驗，并在數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳。（7）數(shù)據(jù)保密性應采用密碼技術(shù)保證收費站重要數(shù)據(jù)（業(yè)務(wù)數(shù)據(jù)、鑒別信息）在傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過軟件開發(fā)相關(guān)功能實現(xiàn)。（8）數(shù)據(jù)備份恢復提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持數(shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等的本地數(shù)據(jù)備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；可根據(jù)需要提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現(xiàn)方式：可配備數(shù)據(jù)備份服務(wù)器，或在路段分中心或省中心實現(xiàn)數(shù)據(jù)備份，具備條件的可根據(jù)需要實現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫服務(wù)器的雙機熱備。物聯(lián)網(wǎng)安全擴展要求收費車道的RSU、高清車牌視頻識別等設(shè)備參考物聯(lián)網(wǎng)安全擴展要求。安全物理環(huán)境應具備防水、防潮、防塵設(shè)計，防護等級應不低于IP55。安全區(qū)域邊界（1）接入控制應提供設(shè)備認證能力，保證只有授權(quán)的設(shè)備可以接入。實現(xiàn)方式：設(shè)備（RSU、車牌圖像識別等）應通過部署接入防護設(shè)備等，實現(xiàn)IP/MAC地址等屬性信息的注冊管理，實現(xiàn)與部、省中心之間基于國產(chǎn)密碼算法數(shù)字證書的可信身份認證。（2）入侵防范應能夠限制與設(shè)備通信的目標地址，以避免對陌生地址的攻擊行為。實現(xiàn)方式：可通過設(shè)備源IP/MAC地址、目的IP/MAC地址等屬性實現(xiàn)管控，或部署入侵防范功能設(shè)備實現(xiàn)。安全計算環(huán)境（1）設(shè)備安全應保證只有授權(quán)的用戶可以對設(shè)備上的軟件應用進行配置或變更；設(shè)備的合法用戶應具有統(tǒng)一的用戶標識、不得使用默認口令，若只用“用戶名+口令”的鑒別方式進行身份鑒別，則應使用具有一定復雜度的用戶口令（用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位），90天進行更新，具有登錄失敗和登錄超時處理功能，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時應啟用SSH、HTTPS等管理方式，加密管理數(shù)據(jù)、鑒別信息，防止被網(wǎng)絡(luò)竊聽；設(shè)備應支持遠程集中管控。實現(xiàn)方式：可通過軟件開發(fā)相關(guān)功能實現(xiàn)。ETC門架安全要求ETC門架系統(tǒng)主要包含：ETC門架收費軟件，車道控制器、RSU、車牌圖像識別等設(shè)施設(shè)備及有關(guān)網(wǎng)絡(luò)基礎(chǔ)運行環(huán)境。安全通用要求安全物理環(huán)境（1）物理位置選擇ETC門架系統(tǒng)應將計算設(shè)備和通信設(shè)備布設(shè)在具有溫濕度控制、防盜防破壞的環(huán)境，并通過有線通信網(wǎng)絡(luò)與門架設(shè)備連接。應遠離強電磁干擾環(huán)境，避免對ETC門架系統(tǒng)設(shè)備的正常工作造成影響。（2）物理訪問控制布設(shè)RSU、高清車牌視頻識別等終端設(shè)備的ETC門架嚴禁非授權(quán)人員攀登。（3）防盜和防破壞應將ETC門架系統(tǒng)的車道控制器、通信設(shè)備、供電設(shè)備等放置在機柜內(nèi)，設(shè)備及主要部件須進行固定，并設(shè)置明顯的不易除去的標記；室外機柜應具備硬件防盜設(shè)計，柜體無裸露可拆卸部件，保障柜體難以從外部撬開；應通過電子門鎖、視頻監(jiān)控、設(shè)備狀態(tài)監(jiān)測等手段對箱體開啟情況進行監(jiān)控記錄，及時發(fā)現(xiàn)設(shè)備的丟失、損壞等異常狀態(tài)。（4）防雷擊室外機柜內(nèi)部應集成防雷和接地保護裝置，具備防雷擊和防浪涌沖擊的能力。（5）防火室外機柜應布設(shè)剩余電流式電氣火災監(jiān)控探測器、測溫式電氣火災監(jiān)控探測器等監(jiān)測設(shè)備；室外機柜柜體應采用鐵皮或其他防火材料。（6）防塵和防水（防潮）室外機柜應具備防塵、防水（防潮）設(shè)計，防護等級應不低于IP55，部分地區(qū)可根據(jù)氣候地理條件，采用更高的防護標準。（7）溫濕度控制室外機柜應集成空調(diào)，支持柜內(nèi)溫度自動調(diào)節(jié)，保障柜內(nèi)設(shè)備運行在所允許的范圍內(nèi)；室外機柜應具備溫濕度傳感器，ETC門架系統(tǒng)室外設(shè)備工作溫度范圍應至少應滿足-20℃~+55℃（寒區(qū)-35℃～+40℃），濕度范圍應滿足5%~95%（無凝露），各地區(qū)可根據(jù)氣候地理條件，進行溫濕度適應范圍調(diào)整。（8）電力供應應配備備用電力供應，保證ETC門架系統(tǒng)的持續(xù)電力供應，確保ETC門架系統(tǒng)24小時不間斷工作。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應保證ETC門架系統(tǒng)相關(guān)通信設(shè)備的業(yè)務(wù)處理能力具備冗余空間，以滿足業(yè)務(wù)高峰期需要；應保證與全國中心、省中心等的傳輸線路網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要；可根據(jù)需要劃分通信設(shè)備、計算設(shè)備等不同的網(wǎng)絡(luò)區(qū)域，并按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址，應通過有效措施對各網(wǎng)絡(luò)區(qū)域進行技術(shù)隔離；ETC門架系統(tǒng)和省中心、部中心的通信傳輸應提供鏈路冗余，主干鏈路的通信和安全防護等關(guān)鍵設(shè)備應采用雙機備份。實現(xiàn)方式：可利用VLAN、防火墻區(qū)域設(shè)置等技術(shù)手段，實現(xiàn)區(qū)域間隔離。（2）通信傳輸應至少采用校驗技術(shù)保證與全國中心、省中心通信過程中的數(shù)據(jù)完整性，根據(jù)需要可采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性。應采用密碼技術(shù)保證與全國中心、省中心通信過程中的保密性。密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：可通過配備接入認證、加密傳輸?shù)裙δ艿陌踩W(wǎng)關(guān)設(shè)備實現(xiàn)。安全區(qū)域邊界（1）邊界防護通過邊界防護設(shè)備，保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到收費專網(wǎng)的行為進行檢查或限制，能夠?qū)κ召M專網(wǎng)終端或用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進行檢查或限制，阻止非授權(quán)訪問。實現(xiàn)方式：可通過邊界防護設(shè)備實現(xiàn)。（2）訪問控制可在網(wǎng)絡(luò)區(qū)域邊界上配置訪問控制策略，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化安全設(shè)備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，確定是否允許數(shù)據(jù)包進出該區(qū)域邊界。實現(xiàn)方式：可通過邊界網(wǎng)絡(luò)設(shè)備或防護設(shè)備配置策略實現(xiàn)。（3）入侵防范應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測網(wǎng)絡(luò)攻擊行為。實現(xiàn)方式：定期查看分析邊界設(shè)備如防火墻的日志，具備條件的可配備具有入侵檢測功能的設(shè)備。安全計算環(huán)境（1）身份鑒別ETC門架系統(tǒng)布設(shè)的RSU、車牌圖像識別設(shè)備、服務(wù)器和計算機終端等設(shè)施的管理員應進行身份標識和鑒別，且保證在系統(tǒng)整個生存周期用戶名具有唯一性；身份鑒別可采用密碼技術(shù)實現(xiàn)，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。實現(xiàn)方式：可對管理人員、運維人員等采用“用戶名+口令”和“USBKey數(shù)字證書”等方式實現(xiàn)用戶身份鑒別。（2）訪問控制設(shè)定特定終端或網(wǎng)絡(luò)地址范圍，對通過網(wǎng)絡(luò)進行管理的終端進行限制；實現(xiàn)方式：可在交換機中配置訪問控制列表實現(xiàn)或通過其他邊界訪問控制設(shè)備實現(xiàn)。（3）安全審計應啟用安全審計功能，審計覆蓋到每個遠程連接管理的用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經(jīng)授權(quán)的中斷。實現(xiàn)方式：開啟邊界防護設(shè)備日志審計功能，對遠程連接、管理的用戶進行審計，可通過將日志上傳至路段分中心或省中心實現(xiàn)備份。（4）入侵防范遵循最小安裝原則，所有設(shè)備僅安裝需要的組件和應用程序，關(guān)閉不必要的系統(tǒng)服務(wù)、默認共享和高危端口；通過統(tǒng)一管理系統(tǒng)等手段，發(fā)現(xiàn)可能已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；通過入侵檢測、監(jiān)測預警等監(jiān)測手段，發(fā)現(xiàn)對ETC門架系統(tǒng)的入侵行為，發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅(qū)等外來存儲設(shè)備的管控，并對各類硬件設(shè)備的外接存儲接口進行移除或限制。實現(xiàn)方式：可通過完善相關(guān)設(shè)備安全策略實現(xiàn)，對設(shè)備進行合理配置，至少每半年對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、RSU、車牌圖像識別設(shè)備和終端等進行一次漏洞掃描，并及時進行系統(tǒng)加固和漏洞修補。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術(shù)措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷；對ETC門禁系統(tǒng)服務(wù)器、終端設(shè)備進行統(tǒng)一惡意代碼防范，支持防惡意代碼的統(tǒng)一升級和管理。實現(xiàn)方式：終端、服務(wù)器安裝惡意代碼防范軟件，并支持策略的統(tǒng)一配置和管理。（6）數(shù)據(jù)完整性采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)（指令數(shù)據(jù)、交易數(shù)據(jù)、費率數(shù)據(jù)、車輛圖像數(shù)據(jù)等）在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施。實現(xiàn)方式：通過軟件開發(fā)相關(guān)功能等方式實現(xiàn)數(shù)據(jù)完整性校驗，并在數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳，對存儲的數(shù)據(jù)采取多重備份。（7）數(shù)據(jù)保密性應采用密碼技術(shù)保證ETC門架系統(tǒng)重要數(shù)據(jù)（指令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)）在傳輸和存儲過程中的保密性；可對發(fā)送方和接受方進行身份認證，在建立連接前，利用密碼技術(shù)進行初始化會話驗證，必要時采用專用傳輸協(xié)議或安全協(xié)議服務(wù)，避免來自基于協(xié)議的攻擊破壞保密性；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：通過軟件開發(fā)相關(guān)功能等方式實現(xiàn)數(shù)據(jù)保密性。（8）數(shù)據(jù)可用性提供重要數(shù)據(jù)（指令數(shù)據(jù)、交易數(shù)據(jù)、費率數(shù)據(jù)、車輛圖像數(shù)據(jù)等）的本地數(shù)據(jù)存儲。實現(xiàn)方式：可通過本地存儲方式或傳輸至路段分中心進行備份。物聯(lián)網(wǎng)安全擴展要求ETC門架系統(tǒng)中的RSU、高清車牌視頻識別等設(shè)備參考物聯(lián)網(wǎng)安全擴展要求。安全物理環(huán)境應具備防水、防潮、防塵設(shè)計，防護等級應不低于IP55。安全區(qū)域邊界（1）接入控制應提供設(shè)備認證能力，保證只有授權(quán)的設(shè)備可以接入，與全國中心之間連接實現(xiàn)雙向身份標識認證。實現(xiàn)方式：設(shè)備（RSU、車牌圖像識別等）應通過部署接入防護設(shè)備實現(xiàn)IP/MAC地址等屬性信息注冊管理，實現(xiàn)與部、省中心之間基于國產(chǎn)密碼算法數(shù)字證書的可信身份認證。（2）入侵防范應能夠限制與設(shè)備通信的目標地址，以避免對陌生地址的攻擊行為。實現(xiàn)方式：可通過設(shè)備源IP/MAC地址、目的IP/MAC地址等屬性實現(xiàn)管控，或部署入侵防范功能設(shè)備實現(xiàn)。安全計算環(huán)境（1）設(shè)備安全應保證只有授權(quán)的用戶可以對設(shè)備上的軟件應用進行配置或變更；設(shè)備應支持遠程集中管控。實現(xiàn)方式：可通過開發(fā)安全軟件等方式實現(xiàn)。ETC發(fā)行系統(tǒng)安全要求ETC發(fā)行系統(tǒng)主要包含發(fā)行中心系統(tǒng)、網(wǎng)點發(fā)行系統(tǒng)、互聯(lián)網(wǎng)發(fā)行系統(tǒng)、便攜式發(fā)行系統(tǒng)等。ETC發(fā)行系統(tǒng)不承擔聯(lián)網(wǎng)收費業(yè)務(wù)生產(chǎn)控制核心功能，但其與聯(lián)網(wǎng)收費系統(tǒng)存在網(wǎng)絡(luò)連接和數(shù)據(jù)交互，且存有大量公民個人信息。ETC發(fā)行系統(tǒng)整體按照網(wǎng)絡(luò)安全等級保護第三級安全要求進行定級、備案、建設(shè)、測評、保護，應通過嚴格的網(wǎng)絡(luò)訪問控制策略管控其與省中心系統(tǒng)的網(wǎng)絡(luò)連接和數(shù)據(jù)交互，同時，針對互聯(lián)網(wǎng)訪問邊界進行嚴格管控，并應按照《中華人民共和國個人信息保護法》等有關(guān)法律重點加強個人信息保護。收費公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求（試行）聯(lián)網(wǎng)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求省中心安全要求省中心系統(tǒng)主要包含：高速公路交通運行狀態(tài)監(jiān)測與預警系統(tǒng)，高速公路數(shù)據(jù)綜合處理與分析挖掘系統(tǒng)、跨區(qū)域大范圍路網(wǎng)協(xié)同運行控制系統(tǒng)、綜合信息發(fā)布系統(tǒng)、設(shè)備運維管理系統(tǒng)、高速公路視頻現(xiàn)場采集系統(tǒng)及有關(guān)網(wǎng)絡(luò)基礎(chǔ)運行環(huán)境。安全通用要求安全物理環(huán)境（1）機房物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房場地應避免設(shè)在建筑物的頂層或地下室，否則應加強防水和防潮措施。（2）機房物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。實現(xiàn)方式：通過電子門禁系統(tǒng)或其他具備控制、鑒別、記錄等功能的系統(tǒng)實現(xiàn)。（3）防盜和防破壞應將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記；應將通信線纜鋪設(shè)在隱蔽安全處。（4）防雷擊應將機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。（5）防火機房應設(shè)置火災自動消防系統(tǒng)，能夠自動監(jiān)測火情、自動報警并自動滅火；機房及相關(guān)的工作房間和輔助房間應采用具有耐火等級的建筑材料。實現(xiàn)方式：火災自動消防系統(tǒng)等。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。（7）防靜電應采用防靜電地板或必要的接地防靜電措施。（8）溫濕度控制機房應設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房內(nèi)的溫度和濕度的變化在設(shè)備運行所允許的范圍內(nèi)。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；應提供短期的備用電力供應，至少滿足設(shè)備在斷電情況下的正常運行要求。實現(xiàn)方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）。（10）電磁防護電源線和通信線纜應隔離鋪設(shè)，避免互相干擾。實現(xiàn)方式：配備金屬線槽等方式對電源線及通信電纜進行隔離。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應保證核心交換機、核心路由器、出口防火墻等主干線網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，以滿足業(yè)務(wù)高峰期需要；應保證部省連接、下級單位接入等線路網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；應根據(jù)業(yè)務(wù)職能、重要性和所涉及信息的重要程度等因素，根據(jù)需要進行網(wǎng)絡(luò)區(qū)域劃分，應通過有效措施對各網(wǎng)絡(luò)區(qū)域進行技術(shù)隔離，并按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址；聯(lián)網(wǎng)監(jiān)控系統(tǒng)不得直接提供互聯(lián)網(wǎng)服務(wù)，如與互聯(lián)網(wǎng)應用存在數(shù)據(jù)交換，應通過設(shè)置網(wǎng)閘或者雙防火墻方式實現(xiàn)隔離。實現(xiàn)方式：利用劃分VLAN、配置防火墻等方式進行區(qū)域間隔離，可通過配備三層交換機、防火墻或其他具有相同功能的設(shè)備實現(xiàn)，根據(jù)需要可增配網(wǎng)閘、負載均衡、下一代防火墻等。原則上宜采用異構(gòu)安全體系配備安全防護設(shè)備。（2）通信傳輸應采用校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性。實現(xiàn)方式：根據(jù)需要配備SSL網(wǎng)關(guān)、IPSecVPN或SSLVPN等或其他具有相同功能的設(shè)備，設(shè)備應具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到收費專網(wǎng)的行為進行檢查或限制，能夠?qū)K端或用戶非授權(quán)連接到收費網(wǎng)外部網(wǎng)絡(luò)的行為進行檢查或限制，阻止非授權(quán)訪問；監(jiān)控專網(wǎng)應嚴格禁止無線局域網(wǎng)絡(luò)的使用。實現(xiàn)方式：對防火墻、網(wǎng)閘等邊界防護設(shè)備進行有效設(shè)置；配備終端管控系統(tǒng)、網(wǎng)絡(luò)準入系統(tǒng)或其他具有相同功能的設(shè)備。（2）訪問控制應在劃定的網(wǎng)絡(luò)區(qū)域邊界防護設(shè)備上（如防火墻）根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；優(yōu)化防火墻等安全設(shè)備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，確定是否允許數(shù)據(jù)包進出該區(qū)域邊界。實現(xiàn)方式：通過配置防火墻、網(wǎng)閘等區(qū)域邊界防護設(shè)備的安全策略實現(xiàn)。（3）入侵防范應在核心交換機等關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署具備入侵檢測功能的設(shè)備，檢測從內(nèi)部/外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警，通過人工阻斷方式或配置相應入侵防御設(shè)備，防止或限制從內(nèi)部和外部發(fā)起的網(wǎng)絡(luò)攻擊行為。實現(xiàn)方式：配備入侵檢測/防御、監(jiān)測預警等或其他具有相同功能的安全設(shè)備，有條件的可建設(shè)監(jiān)測預警與態(tài)勢感知平臺進行集中管控。（4）惡意代碼防范應至少在與下級節(jié)點和外部連接的防火墻前端部署惡意代碼檢測設(shè)備對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現(xiàn)方式：配備防火墻（具備防病毒模塊）、防病毒網(wǎng)關(guān)或防毒墻等。（5）安全審計應在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要的安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數(shù)據(jù)分析；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計記錄留存6個月以上。實現(xiàn)方式：部署網(wǎng)絡(luò)審計系統(tǒng)、日志審計系統(tǒng)等審計功能設(shè)施實現(xiàn)。安全計算環(huán)境（1）身份鑒別應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對用戶進行身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，對管理員、運維人員、重要業(yè)務(wù)系統(tǒng)（業(yè)務(wù)數(shù)據(jù)處理類）用戶應采取兩種或兩種以上組合的鑒別技術(shù)；若只采用“用戶名+口令”的方式進行身份鑒別，口令須滿足大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應為與全國中心之間進行通信的計算設(shè)備、安全防護設(shè)備實現(xiàn)雙向身份標識認證，保障部省傳輸?shù)陌踩?。實現(xiàn)方式：可通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現(xiàn)，省中心管理人員、運維人員、客服人員可采用“用戶名+口令”和“USBKey數(shù)字證書”或其他雙因素認證方式實現(xiàn)用戶身份鑒別。（2）訪問控制應對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用等計算環(huán)境的用戶分配賬戶和權(quán)限；應禁用“超級管理員”權(quán)限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。實現(xiàn)方式：通過堡壘機等設(shè)備實現(xiàn)權(quán)限分離，配置計算設(shè)備系統(tǒng)策略實現(xiàn)，或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)有關(guān)要求。（3）安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；審計記錄留存6個月以上。實現(xiàn)方式：開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應用系統(tǒng)等的訪問和操作審計功能，設(shè)置獨立審計員賬戶，限制其他用戶對審計進程操作，可通過配備堡壘機和日志審計等相關(guān)系統(tǒng)實現(xiàn)。（4）入侵防范服務(wù)器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；應通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；應定期開展漏洞掃描工作，及時發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅(qū)等外來介質(zhì)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲接口進行限制或移除。實現(xiàn)方式：對設(shè)備進行合理配置，定期對服務(wù)器、終端進行漏洞掃描，并及時修補漏洞，對于不能及時升級補丁的，采用相應技術(shù)措施來降低風險；可根據(jù)實際需要配備漏洞掃描、入侵檢測等相應功能的設(shè)備，配備服務(wù)器主機加固系統(tǒng)，軟件開發(fā)過程中嚴格對數(shù)據(jù)輸入有效性進行驗證。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術(shù)措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷支持防惡意代碼的統(tǒng)一升級和管理。實現(xiàn)方式：終端、服務(wù)器等通過安裝防惡意代碼軟件等方式實現(xiàn)，主機防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品具有不同的惡意代碼庫。（6）數(shù)據(jù)完整性采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于鑒別數(shù)據(jù)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)、服務(wù)支持數(shù)據(jù)和公民個人信息等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：通過軟件開發(fā)等方式實現(xiàn)數(shù)據(jù)完整性校驗，并在數(shù)據(jù)完整性受到破壞時實施數(shù)據(jù)重傳，對存儲的數(shù)據(jù)采取多重備份。（7）數(shù)據(jù)保密性采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)和公民個人信息等；密碼算法應符合國家密碼管理局相關(guān)規(guī)范要求。實現(xiàn)方式：通過服務(wù)器密碼、數(shù)據(jù)庫加密系統(tǒng)等實現(xiàn)。（8）數(shù)據(jù)備份恢復應提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)、服務(wù)支持數(shù)據(jù)等的本地數(shù)據(jù)備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；應提供異地備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵業(yè)務(wù)數(shù)據(jù)備份至備份場地，有條件的可提供異地實時備份功能；應提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現(xiàn)方式：配備數(shù)據(jù)備份服務(wù)器，建立異地數(shù)據(jù)備份系統(tǒng)及通信網(wǎng)絡(luò)，并實現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫服務(wù)器的雙機熱備。（9）剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；應保證存有個人信息等敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。實現(xiàn)方式：應通過設(shè)置服務(wù)器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現(xiàn)。安全管理中心（1）系統(tǒng)管理a)應對系統(tǒng)管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計；b)應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復等。實現(xiàn)方式：通過配置堡壘機或其他相同功能的設(shè)備實現(xiàn)。（2）審計管理a)應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計；b)應通過審計管理員對審計記錄進行分析,并根據(jù)分析結(jié)果進行處理,包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。實現(xiàn)方式：可通過配置堡壘機等權(quán)限分配功能設(shè)備實現(xiàn)。云安全擴展要求省中心如有部分系統(tǒng)部署在私有云平臺（含虛擬化資源池）或公有云平臺（含專屬云平臺，不得為業(yè)務(wù)數(shù)據(jù)處理類系統(tǒng)）應遵循云安全擴展要求。安全通信網(wǎng)絡(luò)（1）網(wǎng)絡(luò)架構(gòu)應保證云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應用系統(tǒng)；應實現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；應具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。實現(xiàn)方式：通過云平臺虛擬網(wǎng)絡(luò)管理組件進行虛擬子網(wǎng)劃分，利用云平臺安全組或虛擬化安全設(shè)備進行虛擬子網(wǎng)之間的訪問控制。安全區(qū)域邊界（1）訪問控制應在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制,并設(shè)置訪問控制規(guī)則；應在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機制,設(shè)置訪問控制規(guī)則。實現(xiàn)方式：通過云平臺安全組件實現(xiàn)虛擬子網(wǎng)間的訪問控制，或虛擬化防火墻等設(shè)備，設(shè)置虛擬化網(wǎng)絡(luò)邊界訪問控制策略。（2）入侵防范應能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等；應能檢測到對虛擬網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等；應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。實現(xiàn)方式：在虛擬子網(wǎng)邊界部署虛擬化入侵檢測等相應功能的設(shè)備，監(jiān)聽所有出入虛擬子網(wǎng)的流量，實時檢測虛擬子網(wǎng)之間以及虛擬子網(wǎng)內(nèi)部的攻擊行為和異常流量。（3）安全審計應對云服務(wù)商和云服務(wù)客戶在遠程管理時執(zhí)行的特權(quán)命令進行審計,至少包括虛擬機刪除、虛擬機重啟；應保證云服務(wù)商對云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計。實現(xiàn)方式：云管平臺需要具備相關(guān)審計功能。安全計算環(huán)境（1）訪問控制應保證當虛擬機遷移時,訪問控制策略隨其遷移；應允許云服務(wù)客戶設(shè)置不同虛擬機之間的訪問控制策略。實現(xiàn)方式：可通過云管平臺實現(xiàn)。（2）鏡像和快照保護應針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務(wù)；應提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改。實現(xiàn)方式：可通過云管平臺和加密機實現(xiàn)。（3）數(shù)據(jù)完整性和保密性應確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi),如需出境應遵循國家相關(guān)規(guī)定；應確保只有在云服務(wù)客戶授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限；應確保虛擬機遷移過程中重要數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時采取必要的恢復措施。實現(xiàn)方式：可通過云管平臺和加密機實現(xiàn)。（4）數(shù)據(jù)備份恢復云服務(wù)客戶應在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；應提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置的能力。實現(xiàn)方式：可通過云管平臺實現(xiàn)。（5）剩余信息保護應保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除；云服務(wù)客戶刪除業(yè)務(wù)應用數(shù)據(jù)時,云計算平臺應將云存儲中所有副本刪除。實現(xiàn)方式：可通過云管平臺實現(xiàn)。安全建設(shè)管理（1）云服務(wù)商選擇應選擇安全合規(guī)的云服務(wù)商,其所提供的云計算平臺應為其所承載的業(yè)務(wù)應用系統(tǒng)提供相應等級的安全保護能力；應在服務(wù)水平協(xié)議中規(guī)定云服務(wù)的各項服務(wù)內(nèi)容和具體技術(shù)指標；應在服務(wù)水平協(xié)議中規(guī)定云服務(wù)商的權(quán)限與責任,包括管理范圍、職責劃分、訪問授權(quán)、隱私保護、行為準則、違約責任等；應在服務(wù)水平協(xié)議中規(guī)定服務(wù)合約到期時,完整提供云服務(wù)客戶數(shù)據(jù),并承諾相關(guān)數(shù)據(jù)在云計算平臺上清除。（2）供應鏈管理應確保供應商的選擇符合國家有關(guān)規(guī)定；應將供應鏈安全事件信息或安全威脅信息及時傳達到云服務(wù)客戶。安全運維管理（1）云計算環(huán)境管理云計算平臺的運維地點應位于中國境內(nèi),境外對境內(nèi)云計算平臺實施運維操作應遵循國家相關(guān)規(guī)定。路段分中心安