收費公路聯網系統(tǒng)網絡安全技術要求（試行）收費公路聯網系統(tǒng)網絡安全技術要求（試行）總體安全要求安全保護對象聯網系統(tǒng)網絡安全技術要求的保護對象是高速公路聯網收費系統(tǒng)、聯網監(jiān)控系統(tǒng)和一、二級收費公路聯網收費系統(tǒng)。聯網收費系統(tǒng)（1）互聯網收費系統(tǒng)架構高速公路聯網收費系統(tǒng)架構由省中心、路段分中心、ETC門架、收費站、車道（ETC車道、ETC/MTC混合車道）組成。具體見圖4.1-1所示。圖4.1-1聯網收費系統(tǒng)架構省中心：主要負責全省收費業(yè)務數據收集匯聚、備份與維護、統(tǒng)計和查詢，下發(fā)聯網收費系統(tǒng)的運行參數，完成高速公路網收費業(yè)務管理以及通行費的拆分結算等工作。路段分中心：主要負責所轄路段收費站/ETC門架的運營監(jiān)督管理，通行卡的調配、接收省中心的系統(tǒng)運行參數，向省中心上傳圖像和統(tǒng)計數據，完成與省中心的數據校核等工作。收費站：主要實現車道數據的獲取、收費員日志工作管理、車道過車信息采集及存儲，接收路段分中心下發(fā)的系統(tǒng)參數和下發(fā)必要的車道運營數據，接收車道上傳的原始數據并實時傳至路段分中心，同時完成運行監(jiān)控管理、數據查詢、業(yè)務和票據管理職能，是各路段系統(tǒng)的核心。ETC門架：主要實現MTC車輛的分段計費，ETC車輛的交易流水，將圖像流水記錄表實時上傳至全國、省兩級聯網中心。車道（ETC車道、ETC/MTC混合車道）：主要完成收費車道的收費管理，收費設備控制，采集進出車道車輛信息，上傳原始收費數據等工作。（2）互聯網收費系統(tǒng)通信網絡架構為保證數據實時傳輸，ETC門架和收費站到省中心、全國中心采用主備雙鏈路，以保證數據實時傳輸，主用鏈路采用省內現有收費通信網絡，備份通信鏈路采用運營商專線網絡。省中心到全國中心復用已有跨省清分結算通信鏈路。具體見圖4.1-2所示。圖4.1-2聯網收費系統(tǒng)通信網絡架構聯網監(jiān)控系統(tǒng)（1）聯網監(jiān)控系統(tǒng)架構高速公路聯網監(jiān)控系統(tǒng)架構由省中心、路段分中心、外場設備三級組成。具體見圖4.1-3所示。圖4.1-3聯網監(jiān)控系統(tǒng)架構圖省中心：主要實現全省監(jiān)控數據收集匯聚、備份與維護、統(tǒng)計和查詢的功能。路段分中心：主要負責所轄路段收費站、外場設備的運營監(jiān)督管理及視頻匯聚工作。外場設備：主要負責前端信息采集和信息發(fā)布，由前端攝像頭、情報板等組成。（2）聯網監(jiān)控系統(tǒng)通信網絡架構省中心通過干線傳輸網至路段分中心監(jiān)控交換機，以保證省中心監(jiān)控信號的調用。路段分中心監(jiān)控交換機到外場設備有兩種方式：一種是外場設備通過環(huán)路將業(yè)務傳輸至路段分中心；另一種是外場設備通過環(huán)路傳輸至收費站，在收費站匯聚后將業(yè)務傳輸至路段分中心。在路段分中心租用運營商專線，將外場設備的監(jiān)控信號經轉碼、推流至省中心公有云平臺，以滿足視頻上云的需要。具體見圖4.1-4所示。圖4.1-4聯網監(jiān)控系統(tǒng)通信網絡架構一、二級收費公路聯網收費系統(tǒng)（1）一、二級收費公路聯網收費系統(tǒng)架構一、二級收費公路聯網收費系統(tǒng)架構由省中心、收費站、車道三級組成。具體見圖4.1-5所示。圖4.1-5一、二級收費公路聯網收費系統(tǒng)架構（2）一、二級收費公路聯網收費系統(tǒng)通信網絡架構收費站到省中心采用主備雙鏈路，以保證數據實時傳輸，主用和備份通信鏈路均采用運營商專線網絡。具體見圖4.1-6所示。圖4.1-6一、二級收費公路聯網收費系統(tǒng)通信網絡架構安全技術框架安全技術框架包括聯網收費系統(tǒng)安全技術框架、聯網監(jiān)控系統(tǒng)安全技術框架和一、二級收費公路聯網收費系統(tǒng)安全技術框架。聯網收費系統(tǒng)根據國家網絡安全政策法規(guī)和技術標準體系的有關要求，落實網絡安全等級保護制度，圍繞聯網收費系統(tǒng)的安全保護需求，針對聯網收費系統(tǒng)重要數據和業(yè)務系統(tǒng)進行分類分級管理，從安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等五個方面，提出通用安全要求以及云計算、大數據及物聯網三個方面提出擴展安全要求，以建立聯網收費系統(tǒng)網絡安全技術防護體系，構建綜合防御能力。聯網收費系統(tǒng)安全技術框架體系見圖4.2-1所示。圖4.2-1聯網收費系統(tǒng)安全技術框架體系聯網監(jiān)控系統(tǒng)根據國家網絡安全政策法規(guī)和技術標準體系的有關要求，落實網絡安全等級保護制度，圍繞聯網監(jiān)控系統(tǒng)的安全保護需求，針對聯網監(jiān)控系統(tǒng)重要數據和業(yè)務系統(tǒng)進行分類分級管理，從安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等五個方面，提出通用安全要求以及云計算、大數據及物聯網三個方面提出擴展安全要求，以建立聯網監(jiān)控系統(tǒng)網絡安全技術防護體系，構建綜合防御能力。聯網監(jiān)控系統(tǒng)安全技術框架體系見圖4.2-2所示。圖4.2-2聯網監(jiān)控系統(tǒng)安全技術框架體系一、二級收費公路聯網收費系統(tǒng)一、二級收費公路聯網收費系統(tǒng)安全技術系統(tǒng)框架參照聯網收費系統(tǒng)安全技術框架。整體安全保護要求本技術要求主要涉及網絡安全的技術要求，各單位在網絡安全設計、建設維護期間涉及商用密碼應用的，應滿足《中華人民共和國密碼法》，涉及數據安全的要嚴格遵循《中華人民共和國數據安全法》，本技術要求不再作展開。聯網收費系統(tǒng)（1）省中心聯網收費系統(tǒng)整體按照網絡安全等級保護第三級安全要求進行定級、備案、建設、測評、保護，每年需要做網絡安全等保測評。（2）路段分中心在安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網絡安全等級保護第三級安全要求開展安全保護。新增路段分中心接入聯網收費系統(tǒng)應經過具有網絡安全等級測評或信息安全風險評估等相關資質的第三方檢測評估機構，依據《聯網收費系統(tǒng)省域系統(tǒng)并網接入網絡安全檢測規(guī)程》進行安全接入檢測，并出具技術要求符合性檢測報告。（3）收費站/ETC門禁系統(tǒng)在安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網絡安全等級保護第三級安全要求開展安全保護。新增收費站、ETC門架系統(tǒng)接入聯網收費系統(tǒng)應經過具有網絡安全等級測評或信息安全風險評估等相關資質的第三方檢測評估機構，依據《聯網收費系統(tǒng)省域系統(tǒng)并網接入網絡安全檢測規(guī)程》進行安全接入檢測，并出具技術要求符合性檢測報告。（4）ETC發(fā)行系統(tǒng)整體按照網絡安全等級保護第三級安全要求進行定級、備案、建設、測評、保護，每年需要做網絡安全等保測評，并應按照《中華人民共和國個人信息保護法》等有關法律重點加強個人信息保護。聯網監(jiān)控系統(tǒng)（1）省中心聯網監(jiān)控系統(tǒng)整體按照網絡安全等級保護第二級安全要求進行定級、備案、建設、測評、保護；在安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網絡安全等級保護第三級安全要求開展安全保護。（2）路段分中心在安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網絡安全等級保護第二級安全要求開展安全保護。一、二級收費公路聯網收費系統(tǒng)一、二級收費公路聯網收費系統(tǒng)在安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境等方面，參照網絡安全等級保護第三級安全要求開展安全保護。聯網收費系統(tǒng)網絡安全技術要求省中心安全要求省中心系統(tǒng)主要包含：省級清分結算系統(tǒng)等業(yè)務處理類系統(tǒng)，省級稽查與信用管理系統(tǒng)、密鑰管理系統(tǒng)、客服系統(tǒng)等業(yè)務輔助系統(tǒng)及有關網絡基礎運行環(huán)境。安全通用要求安全物理環(huán)境（1）機房物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。（2）機房物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。實現方式：通過電子門禁系統(tǒng)或其他具備控制、鑒別、記錄等功能的系統(tǒng)實現。（3）防盜和防破壞應將設備或主要部件進行固定，并設置明顯的不易除去的標記；應將通信線纜鋪設在隱蔽安全處；應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)。實現方式：通過機房防盜報警系統(tǒng)或專人值守的視頻監(jiān)控系統(tǒng)等實現。（4）防雷擊應將機柜、設施和設備等通過接地系統(tǒng)安全接地；應采取措施防止感應雷。實現方式：通過防雷保安器或過壓保護裝置等方式實現。（5）防火機房應設置火災自動消防系統(tǒng)，能夠自動監(jiān)測火情、自動報警并自動滅火；機房及相關的工作房間和輔助房間應采用具有耐火等級的建筑材料；應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間可設置隔離防火措施。實現方式：火災自動消防系統(tǒng)等。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；應部署機房環(huán)境監(jiān)測系統(tǒng)對機房進行防水檢測和報警。實現方式：通過機房環(huán)境監(jiān)測系統(tǒng)或具備相同功能的系統(tǒng)實現。（7）防靜電應采用必要的接地防靜電措施；應采取措施防止靜電的產生。實現方式：采用防靜電地板或地面，配置靜電消除器或佩戴防靜電手環(huán)等方式。（8）溫濕度控制機房應設置溫濕度自動調節(jié)設施，使機房內的溫度和濕度的變化在設備運行所允許的范圍內,機房溫度范圍為23±1℃，濕度范圍為40%～55%。實現方式：通過機房精密空調等方式實現。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求；應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，以防止突然斷電對系統(tǒng)造成損壞。實現方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能），雙路市電或備用發(fā)電機等方式實現。（10）電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾。實現方式：配備金屬線槽等方式對電源線及通信電纜進行隔離。安全通信網絡（1）網絡架構應保證核心交換機、核心路由器、出口防火墻等主干線網絡設備的業(yè)務處理能力具備冗余空間，以滿足業(yè)務高峰期需要；應保證部省連接、下級單位接入等線路網絡的帶寬滿足業(yè)務高峰期需要；應根據業(yè)務職能、重要性和所涉及信息的重要程度等因素，根據需要至少劃分收費業(yè)務應用（業(yè)務數據處理類、業(yè)務生產控制類）、其他業(yè)務應用（業(yè)務輔助類）、數據服務、傳輸接入（部級傳輸接入、下級單位傳輸接入、外部單位傳輸）、運維管理等不同的網絡區(qū)域，單獨劃分測試區(qū)域，應通過有效措施對各網絡區(qū)域進行技術隔離，并按照便捷管理和集約管控的原則為各網絡區(qū)域分配地址，采用白名單固定IP方式與全國中心通信；應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性，與全國中心通信應采用雙機熱備；聯網收費系統(tǒng)不得直接提供互聯網服務，如與互聯網應用存在數據交換，應通過設置網閘或者雙防火墻方式實現隔離。實現方式：利用劃分VLAN、配置防火墻等方式進行區(qū)域間隔離，可通過配備三層交換機、防火墻或其他具有相同功能的設備實現，根據需要可增配網閘、負載均衡、下一代防火墻等。原則上宜采用異構安全體系配備安全防護設備。（2）通信傳輸應至少采用校驗技術保證部省、省站間通信過程中數據的完整性，根據需要可采用密碼技術保證通信過程中的數據完整性；應采用密碼技術保證部省、省站通信過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：根據需要配備SSL網關、IPSecVPN或SSLVPN等方式實現，或根據鏈路類型配備其他具有相同功能的設備，設備應具備國家密碼管理局頒發(fā)的商用密碼產品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網絡區(qū)域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；應能夠對非授權設備私自連接到收費專網的行為進行檢查或限制，能夠對終端或用戶非授權連接到收費網外部網絡的行為進行檢查或限制，阻止非授權訪問；收費專網應嚴格禁止無線局域網絡的使用。實現方式：對防火墻、網閘等邊界防護設備進行有效設置；配備終端管控系統(tǒng)、網絡準入系統(tǒng)或其他具有相同功能的設備。（2）訪問控制應在劃定的網絡區(qū)域邊界防護設備上（如防火墻）根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；優(yōu)化防火墻等安全設備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數量最小化；應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區(qū)域邊界。實現方式：通過配置防火墻、網閘等區(qū)域邊界防護設備的安全策略實現。（3）入侵防范應在核心交換機等關鍵網絡節(jié)點處部署具備入侵檢測功能的設備，檢測從內部/外部發(fā)起的網絡攻擊行為；應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警，通過人工阻斷方式或配置相應入侵防御設備，防止或限制從內部和外部發(fā)起的網絡攻擊行為。實現方式：配備入侵檢測/防御、監(jiān)測預警等或其他具有相同功能的安全設備，有條件的可建設監(jiān)測預警與態(tài)勢感知平臺進行集中管控。（4）惡意代碼防范應至少在與下級節(jié)點和外部連接的防火墻前端部署惡意代碼檢測設備對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現方式：配備防火墻（具備防病毒模塊）、防病毒網關或防毒墻等。（5）安全審計應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要的安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數據分析；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計記錄留存6個月以上。實現方式：部署網絡審計系統(tǒng)、日志審計系統(tǒng)等審計功能設施實現。安全計算環(huán)境（1）身份鑒別應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術、生物技術等鑒別技術對用戶進行身份鑒別，并對鑒別數據進行保密性和完整性保護，對管理員、運維人員、重要業(yè)務系統(tǒng)（業(yè)務數據處理類）用戶應采取兩種或兩種以上組合的鑒別技術；若只采用“用戶名+口令”的方式進行身份鑒別，口令須滿足大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽；應為與全國中心之間進行通信的計算設備、安全防護設備實現雙向身份標識認證，保障部省傳輸的安全。實現方式：可通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現，省中心管理人員、運維人員、客服人員可采用“用戶名+口令”和“USBKey數字證書”或其他雙因素認證方式實現用戶身份鑒別。（2）訪問控制應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶分配賬戶和權限；應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應授予管理用戶所需的最小權限，實現管理用戶的權限分離；應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。實現方式：通過堡壘機等設備實現權限分離，配置計算設備系統(tǒng)策略實現，或在應用系統(tǒng)軟件開發(fā)中實現有關要求。（3）安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經授權的中斷；審計記錄留存6個月以上。實現方式：開啟網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統(tǒng)等的訪問和操作審計功能，設置獨立審計員賬戶，限制其他用戶對審計進程操作，可通過配備堡壘機和日志審計等相關系統(tǒng)實現。（4）入侵防范服務器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應關閉不需要的系統(tǒng)服務、默認共享和高危端口；應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求；應定期開展漏洞掃描工作，及時發(fā)現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅等外來介質設備的管控，并對各類硬件設備的外接存儲接口進行限制或移除。實現方式：對設備進行合理配置，定期對服務器、終端進行漏洞掃描，并及時修補漏洞，對于不能及時升級補丁的，采用相應技術措施來降低風險；可根據實際需要配備漏洞掃描、入侵檢測等相應功能的設備，配備服務器主機加固系統(tǒng)，軟件開發(fā)過程中嚴格對數據輸入有效性進行驗證。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷；支持防惡意代碼的統(tǒng)一升級和管理。實現方式：終端、服務器等通過安裝防惡意代碼軟件等方式實現，主機防惡意代碼產品與網絡防惡意代碼產品具有不同的惡意代碼庫。（6）數據完整性采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于鑒別數據、關鍵業(yè)務數據（交易和清分數據、拆分數據等）、服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）和公民個人信息等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：通過軟件開發(fā)等方式實現數據完整性校驗，并在數據完整性受到破壞時實施數據重傳，對存儲的數據采取多重備份。（7）數據保密性采用密碼技術保證重要數據在傳輸和存儲過程中的保密性，包括但不限于鑒別數據和公民個人信息等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：通過服務器密碼、數據庫加密系統(tǒng)等實現。（8）數據備份恢復應提供關鍵業(yè)務數據（交易和清分數據、拆分數據等）、服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等的本地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；應提供異地備份功能，利用通信網絡將關鍵業(yè)務數據（交易和清分數據、拆分數據等）備份至備份場地，有條件的可提供異地實時備份功能；應提供關鍵業(yè)務數據（交易和清分數據、拆分數據等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現方式：配備數據備份服務器，建立異地數據備份系統(tǒng)及通信網絡，并實現關鍵業(yè)務數據庫服務器的雙機熱備。（9）剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；應保證存有個人信息等敏感數據的存儲空間被釋放或重新分配前得到完全清除。實現方式：應通過設置服務器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現。安全管理中心（1）權限管理應對系統(tǒng)管理員、審計管理員、安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面分別進行系統(tǒng)資源配置、安全審計、安全策略配置操作，并對這些操作進行審計。實現方式：通過配置堡壘機或其他相同功能的設備實現。（2）集中管控應劃分出特定的管理區(qū)域，對分布式網絡中的安全設備或安全組件進行管控；應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；應對網絡鏈路、安全設備、網絡設備和服務器等運行狀況進行集中監(jiān)測；對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；應能對網絡中發(fā)生的各類安全事件進行識別、報警和分析。實現方式：可建立省級聯網收費系統(tǒng)網絡安全監(jiān)測預警平臺，實現省中心內部監(jiān)測預警，具備條件的可同時對與其連接的路段分中心、收費站、ETC門架系統(tǒng)的網絡安全監(jiān)測預警；有效配置設備管理系統(tǒng)實現集中管控，要求交換機、路由器、防火墻等設備具備網管功能；可建立省級集中安全審計平臺、集中安全管理平臺、統(tǒng)一安全監(jiān)測預警平臺等完備的信息安全一體化管控平臺。云安全擴展要求省中心如有部分系統(tǒng)部署在私有云平臺（含虛擬化資源池）或公有云平臺（含專屬云平臺，不得為業(yè)務數據處理類系統(tǒng)）應遵循云安全擴展要求。使用公有云平臺應確保其云計算基礎設施位于中國境內，并提供等級保護第三級備案證明。安全通信網絡（1）網絡架構應能夠提供虛擬網絡之間的隔離能力，提供按需配置通信傳輸、邊界防護、入侵防范等安全機制的能力；應允許接入第三方安全產品或服務。實現方式：通過云平臺虛擬網絡管理組件進行虛擬子網劃分，利用云平臺安全組或虛擬化安全設備進行虛擬子網之間的訪問控制。安全區(qū)域邊界（1）訪問控制應采取措施保證虛擬機無法通過網絡非授權訪問宿主機；應在虛擬化網絡邊界（云平臺與其他計算環(huán)境、虛擬子網與虛擬子網間）部署訪問控制機制，設置訪問控制規(guī)則。實現方式：通過云平臺安全組件實現虛擬子網間的訪問控制，或虛擬化防火墻等設備，設置虛擬化網絡邊界訪問控制策略。（2）入侵防范應能檢測到內部虛擬機發(fā)起的或者針對虛擬網絡節(jié)點的網絡攻擊行為，并記錄攻擊類型、攻擊時間和攻擊流量等；應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量，并進行告警。實現方式：在虛擬子網邊界部署虛擬化入侵檢測等相應功能的設備，監(jiān)聽所有出入虛擬子網的流量，實時檢測虛擬子網之間以及虛擬子網內部的攻擊行為和異常流量。（3）安全審計應對遠程管理時執(zhí)行的特權命令進行審計，至少包括虛擬機刪除、虛擬機重啟。應針對通過云平臺對應用系統(tǒng)和數據進行的操作進行審計。實現方式：云管平臺需要具備相關審計功能。安全計算環(huán)境（1）身份鑒別當進行遠程管理時，管理終端和云計算平臺之間應建立雙向身份驗證機制。實現方式：可通過云管平臺實現與管理終端間的雙向身份驗證。（2）訪問控制應保證當虛擬機遷移時，訪問控制策略隨其遷移；應允許設置不同虛擬機之間的訪問控制策略。實現方式：可通過云管平臺實現。（3）入侵防范應能檢測到虛擬機之間的資源隔離失效，并提供告警；應能檢測到非授權新建虛擬機或者重新啟用虛擬機，并提供告警；應能夠檢測惡意代碼感染及在虛擬機間蔓延等情況，并提供告警。實現方式：通過部署的虛擬化入侵檢測等功能的設備，對僵木蠕毒等惡意代碼行為進行實時監(jiān)測，如果有條件可部署云安全態(tài)勢感知平臺進行集中告警。（4）鏡像和快照保護針對收費系統(tǒng)、稽查與信用管理系統(tǒng)等部署在云中的聯網收費業(yè)務系統(tǒng)提供加固的操作系統(tǒng)鏡像；應采取密碼技術或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。實現方式：可通過云管平臺和加密機實現。（5）數據完整性和保密性應使用校驗碼或密碼技術確保虛擬機遷移過程中，重要數據的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施。應采用密碼技術保證重要數據傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過云管平臺和加密機實現。（6）數據備份恢復應保證業(yè)務應用和數據存儲在若干個可用的副本，各副本之間的內容應保持一致；應為業(yè)務系統(tǒng)及數據遷移到其他云計算平臺和本地系統(tǒng)提供技術手段。實現方式：可通過云管平臺實現。（7）剩余信息保護應保證虛擬機所使用的內存和存儲空間回收時得到完全清除。實現方式：可通過云管平臺實現。安全管理中心（1）集中管控應能對物理資源和虛擬資源按照策略做統(tǒng)一管理調度與分配；應保證云計算平臺管理流量與業(yè)務流量分離；對虛擬化網絡、主機等審計數據進行收集匯總和集中分析；應對虛擬化網絡、虛擬機、虛擬化安全設備等運行狀況進行集中監(jiān)測。云安全管理中心應與業(yè)務云分開部署于不同物理服務器。實現方式：可通過云管平臺實現。路段分中心安全要求路段分中心系統(tǒng)主要包含：ETC門架系統(tǒng)的運行監(jiān)測與預警系統(tǒng)、收費稽查管理系統(tǒng)等業(yè)務輔助類系統(tǒng)及有關網絡基礎運行環(huán)境。安全物理環(huán)境物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。物理訪問控制機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯系電話、接待人、時間等詳細情況。根據需要可配置電子門禁系統(tǒng)。防盜和防破壞應將設備及主要部件進行固定，并設置明顯的不易除去的標記；應將通信電纜鋪設在隱蔽處；應設置機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。實現方式：通過機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)或其他具有相同功能的系統(tǒng)實現。防雷擊應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地；可采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。防火機房及相關的工作房間和輔助房間應采用具有耐火級別的建筑材料，配備符合消防管理要求的滅火設備。防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；采取措施防止機房內水蒸氣結露和地下積水的轉移和滲透。防靜電應采用防靜電地板或地面并采用必要的接地防靜電措施。溫濕度控制機房應設置溫、濕度自動調節(jié)設施，使機房內的溫度和濕度的變化在設備運行所允許的范圍內。電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應，至少滿足交換機、防火墻等關鍵設備在斷電情況下的正常運行要求。實現方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）實現。電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾。實現方式：可通過配備金屬線槽對電源線及通信電纜進行隔離。安全通信網絡網絡架構應保證關鍵網絡設備的業(yè)務處理能力具備冗余空間，以滿足業(yè)務高峰期需要；應保證路段分中心與省中心、收費站等傳輸線路網絡的帶寬滿足業(yè)務高峰期需要；應通過交換機或防火墻等設施至少劃分收費業(yè)務、收費站接入和運維管理等網絡區(qū)域，并為各網絡區(qū)域分配地址，應通過有效措施對各網絡區(qū)域進行技術隔離。實現方式：可利用劃分VLAN、配置防火墻等方式，實現區(qū)域間隔離。通信傳輸與省中心采取收費專網傳輸，應至少采用校驗技術保證通信過程中的數據完整性，根據需要還可采用密碼技術保證通信過程中的數據完整性；應采用密碼技術保證路段分中心與省中心、收費站間通信過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：根據需要配備SSL網關、IPSecVPN或SSLVPN等或其他具有相同功能的設備，設備應具備國家密碼管理局頒發(fā)的商用密碼產品型號證書。安全區(qū)域邊界邊界防護應保證跨越網絡邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；應能夠對非授權設備私自連接到收費網絡的行為進行檢查或限制，能夠對收費網終端或用戶非授權連接到外部網絡的行為進行檢查或限制；收費專網應嚴格禁止無線局域網絡的使用。實現方式：對防火墻邊界防護設備進行有效設置，可配置終端管控系統(tǒng)、網絡準入系統(tǒng)或其他具有相同功能的設備。訪問控制應在劃定的網絡區(qū)域邊界或各區(qū)域間防護設備上根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化防火墻等安全設備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數量最小化；應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區(qū)域邊界。實現方式：可通過配置防火墻策略實現。入侵防范應在網絡中進行檢測從外部/內部發(fā)起的網絡攻擊行為。實現方式：定期查看分析防火墻日志，具備條件的可配備工具有入侵檢測功能的設備。惡意代碼防范可在網絡中部署惡意代碼防范功能的設備（如邊界防火墻增加防病毒模塊等）對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現方式：可通過防火墻（具備防病毒模塊）或具有相同功能的設備實現。安全審計應在網絡邊界、重要網絡節(jié)點進行安全審計，對重要的用戶行為和重要安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數據分析；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計日志留存6個月以上。實現方式：可通過部署日志審計相關系統(tǒng)實現。安全計算環(huán)境身份鑒別對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術、生物技術等鑒別技術對用戶進行身份鑒別，并對鑒別數據進行保密性和完整性保護，對管理人員、運維人員、重要業(yè)務系統(tǒng)用戶應采取兩種或兩種以上組合的鑒別技術。若只采用用戶口令方式進行身份鑒別，口令須滿足由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換；啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，如連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽。實現方式：通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現；路段分中心管理人員、運維人員應采用“用戶名+口令”和“USBKey數字證書”或其他雙因素認證方式實現用戶身份鑒別。訪問控制應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶分配賬戶和權限；應授予管理用戶所需的最小權限，實現運維、管理賬號的權限分離；應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。實現方式：可通過安全配置加固方式實現。安全審計啟用網絡、服務器、中間件、數據庫、終端及應用等計算設備安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經授權的中斷；審計日志留存6個月以上。實現方式：可通過開啟網絡、服務器、中間件、數據庫、終端及應用系統(tǒng)審計功能，設置獨立審計員賬戶，限制其他用戶對審計進程操作；可配備堡壘機和日志審計系統(tǒng)等設備實現。入侵防范服務器、終端等遵循最小安裝的原則，僅安裝需要的組件和應用程序；關閉不需要的系統(tǒng)服務、默認共享和高危端口；通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；應定期開展漏洞掃描工作，及時發(fā)現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；應嚴格對U盤、移動光驅等外來存儲設備的管控，并對各類硬件設備的外接存儲接口進行移除或限制。實現方式：對設備進行合理配置，定期對服務器、終端等設備進行漏洞掃描，并及時修補漏洞；可根據實際需要配備漏洞掃描、入侵檢測等功能設備，完善相關設備安全策略。惡意代碼防范應通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現對惡意代碼的有效防范；主機防惡意代碼產品可根據需要，配置具有與網絡防惡意代碼產品不同的惡意代碼庫，支持惡意代碼防范的統(tǒng)一升級和管理。實現方式：聯網收費系統(tǒng)終端、服務器等可通過安裝防惡意代碼軟件等方式實現。數據完整性采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于關鍵業(yè)務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過軟件開發(fā)等方式實現數據完整性校驗，并在數據完整性受到破壞時實施數據重傳，并對存儲的數據采取多重備份。數據保密性應采用密碼技術保證收費站重要數據（業(yè)務數據、鑒別信息）在傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過軟件開發(fā)等方式實現。數據備份恢復提供關鍵業(yè)務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等的本地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；可根據需要提供關鍵業(yè)務數據（交易數據等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現方式：配備數據備份服務器、安裝數據庫自動備份系統(tǒng)軟件等方式實現，可根據需要實現關鍵業(yè)務數據庫服務器的雙機熱備。剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；實現方式：應通過設置服務器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現。安全管理中心權限管理應對系統(tǒng)管理員、審計管理員、安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面分別進行系統(tǒng)資源配置、安全審計、安全策略配置操作，并對這些操作進行審計。實現方式：可通過配置堡壘機等權限分配功能設備實現。集中管控可對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測；可對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；可對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；可對網絡中發(fā)生的各類安全事件進行識別、報警和分析。實現方式：可通過配備網管軟件等方式實現集中管控，或接入省聯網收費系統(tǒng)網絡安全監(jiān)測預警平臺，具備條件的可自建監(jiān)測預警平臺。收費站安全要求收費站系統(tǒng)主要包括：ETC車道系統(tǒng)、ETC/MTC混合車道系統(tǒng)、站級管理系統(tǒng)及有關網絡基礎運行環(huán)境。安全通用要求安全物理環(huán)境（1）物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生火災、水災、易遭受雷擊的地區(qū)。（2）物理訪問控制機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯系電話、接待人、時間等詳細情況?？筛鶕枰渲秒娮娱T禁系統(tǒng)。（3）防盜和防破壞應將設備及主要部件進行固定，并設置明顯的不易除去的標記；應將通信電纜鋪設在隱蔽處；可設置機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。（4）防雷擊應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地；可采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。（5）防火機房及相關的工作房間和輔助房間應采用具有耐火級別的建筑材料，配備符合消防管理要求的滅火設備。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；采取措施防止機房內水蒸氣結露和地下積水的轉移和滲透。（7）防靜電應采用防靜電地板或地面并采用必要的接地防靜電措施。（8）溫濕度控制機房應設置溫、濕度自動調節(jié)設施，使機房內的溫度和濕度的變化在設備運行所允許的范圍內。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應，至少滿足收費站中的服務器、交換機等關鍵設備在斷電情況下的正常運行要求。實現方式：可通過部署不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）等方式實現。（10）電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾。實現方式：可通過配備金屬線槽對電源線及通信電纜進行隔離。安全通信網絡（1）網絡架構應保證通信設備的業(yè)務處理能力具備冗余空間，以滿足業(yè)務高峰期需要；應保證收費站與全國中心、省中心、路段分中心等傳輸線路網絡帶寬滿足業(yè)務高峰期需要；應通過交換機或防火墻等設施至少劃分收費業(yè)務、運維管理、設備接入等不同的網絡區(qū)域，并為ETC門架系統(tǒng)接入單獨設置網絡區(qū)域，按照便捷管理和集約管控的原則為各網絡區(qū)域分配地址，通過有效措施對各網絡區(qū)域進行技術隔離；收費站和全國中心、省中心、路段分中心的通信傳輸應提供鏈路冗余，主干鏈路的通信和安全防護等關鍵設備應采用雙機備份。實現方式：可利用劃分VLAN、配置防火墻等方式，實現區(qū)域間隔離。（2）通信傳輸應至少采用校驗技術保證收費站與全國中心、省中心、路段分中心間通信過程中的數據完整性，根據需要還可采用密碼技術保證通信過程中的數據完整性；應采用密碼技術保證收費站和全國中心、省中心、路段分中心通信過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：根據需要配備SSL網關、IPSecVPN、SSLVPN等或其他具有相同功能的設備，或根據鏈路類型配備其他具有相同功能的設備，設備應具備國家密碼管理局頒發(fā)的商用密碼產品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網絡邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；應能夠對非授權設備私自連接到收費網絡的行為進行檢查或限制，能夠對收費網終端或用戶非授權連接到外部網絡的行為進行檢查或限制；收費專網一般應禁止無線局域網絡的使用，如使用，應采用證書認證技術確保移動設備的可信接入。實現方式：可通過配置防火墻策略或部署邊界防護設備實現。（2）訪問控制應在劃定的網絡區(qū)域邊界或各區(qū)域間防護設備上根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數量最小化；應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區(qū)域邊界。實現方式：通過配置防火墻策略或部署訪問控制設備實現。（3）入侵防范應在網絡中進行檢測從外部/內部發(fā)起的網絡攻擊行為。實現方式：定期查看分析防火墻日志，具備條件的可配備工具有入侵檢測功能的設備。（4）惡意代碼防范可在網絡中部署惡意代碼防范功能的設備（如邊界防火墻增加防病毒模塊等）對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現方式：部署防火墻（具備防病毒模塊）或其他具有惡意代碼防范功能的設備實現。安全計算環(huán)境（1）身份鑒別對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；身份鑒別可采用密碼技術實現，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換；啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，如連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽。應為與全國中心之間進行通信的計算設備、安全防護設備實現雙向身份標識認證，保障與全國中心間的傳輸安全。實現方式：可通過對設備的安全配置等方式實現。具備條件的可對管理人員、運維人員等采用“USBKey數字證書”方式實現用戶身份鑒別。（2）訪問控制應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶分配賬戶和權限；應授予管理用戶所需的最小權限，實現運維、管理賬號的權限分離；應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。實現方式：可安全配置加固方式實現，具備條件的可配置邊界防護設備實現。（3）安全審計啟用網絡、服務器、中間件、數據庫、終端及應用等計算設備安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份；審計日志留存6個月以上。實現方式：通過開啟網絡、服務器、中間件、數據庫、終端及應用系統(tǒng)審計功能，設置獨立審計員賬戶，限制其他用戶對審計進程操作；通過將日志上傳至路段分中心或省中心實現備份。也可配備日志審計系統(tǒng)實現。（4）入侵防范服務器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；關閉不需要的系統(tǒng)服務、默認共享和高危端口；通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；應嚴格對U盤、移動光驅等外來介質設備的管控，并對各類硬件設備的外接存儲接口進行限制或移除。實現方式：通過完善相關設備安全策略實現，也可配置入侵防范系統(tǒng)實現。（5）惡意代碼防范通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現對惡意代碼的有效防范；主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫，支持防惡意代碼的統(tǒng)一升級和管理。配置要求：終端、服務器等可通過安裝防惡意代碼軟件等方式實現。（6）數據完整性采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于關鍵業(yè)務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過軟件開發(fā)相關功能，實現數據完整性校驗，并在數據完整性受到破壞時實施數據重傳。（7）數據保密性應采用密碼技術保證收費站重要數據（業(yè)務數據、鑒別信息）在傳輸和存儲過程中的保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過軟件開發(fā)相關功能實現。（8）數據備份恢復提供關鍵業(yè)務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等的本地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；可根據需要提供關鍵業(yè)務數據（交易數據等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現方式：可配備數據備份服務器，或在路段分中心或省中心實現數據備份，具備條件的可根據需要實現關鍵業(yè)務數據庫服務器的雙機熱備。物聯網安全擴展要求收費車道的RSU、高清車牌視頻識別等設備參考物聯網安全擴展要求。安全物理環(huán)境應具備防水、防潮、防塵設計，防護等級應不低于IP55。安全區(qū)域邊界（1）接入控制應提供設備認證能力，保證只有授權的設備可以接入。實現方式：設備（RSU、車牌圖像識別等）應通過部署接入防護設備等，實現IP/MAC地址等屬性信息的注冊管理，實現與部、省中心之間基于國產密碼算法數字證書的可信身份認證。（2）入侵防范應能夠限制與設備通信的目標地址，以避免對陌生地址的攻擊行為。實現方式：可通過設備源IP/MAC地址、目的IP/MAC地址等屬性實現管控，或部署入侵防范功能設備實現。安全計算環(huán)境（1）設備安全應保證只有授權的用戶可以對設備上的軟件應用進行配置或變更；設備的合法用戶應具有統(tǒng)一的用戶標識、不得使用默認口令，若只用“用戶名+口令”的鑒別方式進行身份鑒別，則應使用具有一定復雜度的用戶口令（用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位），90天進行更新，具有登錄失敗和登錄超時處理功能，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時應啟用SSH、HTTPS等管理方式，加密管理數據、鑒別信息，防止被網絡竊聽；設備應支持遠程集中管控。實現方式：可通過軟件開發(fā)相關功能實現。ETC門架安全要求ETC門架系統(tǒng)主要包含：ETC門架收費軟件，車道控制器、RSU、車牌圖像識別等設施設備及有關網絡基礎運行環(huán)境。安全通用要求安全物理環(huán)境（1）物理位置選擇ETC門架系統(tǒng)應將計算設備和通信設備布設在具有溫濕度控制、防盜防破壞的環(huán)境，并通過有線通信網絡與門架設備連接。應遠離強電磁干擾環(huán)境，避免對ETC門架系統(tǒng)設備的正常工作造成影響。（2）物理訪問控制布設RSU、高清車牌視頻識別等終端設備的ETC門架嚴禁非授權人員攀登。（3）防盜和防破壞應將ETC門架系統(tǒng)的車道控制器、通信設備、供電設備等放置在機柜內，設備及主要部件須進行固定，并設置明顯的不易除去的標記；室外機柜應具備硬件防盜設計，柜體無裸露可拆卸部件，保障柜體難以從外部撬開；應通過電子門鎖、視頻監(jiān)控、設備狀態(tài)監(jiān)測等手段對箱體開啟情況進行監(jiān)控記錄，及時發(fā)現設備的丟失、損壞等異常狀態(tài)。（4）防雷擊室外機柜內部應集成防雷和接地保護裝置，具備防雷擊和防浪涌沖擊的能力。（5）防火室外機柜應布設剩余電流式電氣火災監(jiān)控探測器、測溫式電氣火災監(jiān)控探測器等監(jiān)測設備；室外機柜柜體應采用鐵皮或其他防火材料。（6）防塵和防水（防潮）室外機柜應具備防塵、防水（防潮）設計，防護等級應不低于IP55，部分地區(qū)可根據氣候地理條件，采用更高的防護標準。（7）溫濕度控制室外機柜應集成空調，支持柜內溫度自動調節(jié)，保障柜內設備運行在所允許的范圍內；室外機柜應具備溫濕度傳感器，ETC門架系統(tǒng)室外設備工作溫度范圍應至少應滿足-20℃~+55℃（寒區(qū)-35℃～+40℃），濕度范圍應滿足5%~95%（無凝露），各地區(qū)可根據氣候地理條件，進行溫濕度適應范圍調整。（8）電力供應應配備備用電力供應，保證ETC門架系統(tǒng)的持續(xù)電力供應，確保ETC門架系統(tǒng)24小時不間斷工作。安全通信網絡（1）網絡架構應保證ETC門架系統(tǒng)相關通信設備的業(yè)務處理能力具備冗余空間，以滿足業(yè)務高峰期需要；應保證與全國中心、省中心等的傳輸線路網絡帶寬滿足業(yè)務高峰期需要；可根據需要劃分通信設備、計算設備等不同的網絡區(qū)域，并按照便捷管理和集約管控的原則為各網絡區(qū)域分配地址，應通過有效措施對各網絡區(qū)域進行技術隔離；ETC門架系統(tǒng)和省中心、部中心的通信傳輸應提供鏈路冗余，主干鏈路的通信和安全防護等關鍵設備應采用雙機備份。實現方式：可利用VLAN、防火墻區(qū)域設置等技術手段，實現區(qū)域間隔離。（2）通信傳輸應至少采用校驗技術保證與全國中心、省中心通信過程中的數據完整性，根據需要可采用密碼技術保證通信過程中的數據完整性。應采用密碼技術保證與全國中心、省中心通信過程中的保密性。密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：可通過配備接入認證、加密傳輸等功能的安全網關設備實現。安全區(qū)域邊界（1）邊界防護通過邊界防護設備，保證跨越網絡區(qū)域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；應能夠對非授權設備私自連接到收費專網的行為進行檢查或限制，能夠對收費專網終端或用戶非授權連接到外部網絡的行為進行檢查或限制，阻止非授權訪問。實現方式：可通過邊界防護設備實現。（2）訪問控制可在網絡區(qū)域邊界上配置訪問控制策略，默認情況下除允許通信外，受控接口拒絕所有通信；應優(yōu)化安全設備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數量最小化；應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區(qū)域邊界。實現方式：可通過邊界網絡設備或防護設備配置策略實現。（3）入侵防范應在關鍵網絡節(jié)點處檢測網絡攻擊行為。實現方式：定期查看分析邊界設備如防火墻的日志，具備條件的可配備具有入侵檢測功能的設備。安全計算環(huán)境（1）身份鑒別ETC門架系統(tǒng)布設的RSU、車牌圖像識別設備、服務器和計算機終端等設施的管理員應進行身份標識和鑒別，且保證在系統(tǒng)整個生存周期用戶名具有唯一性；身份鑒別可采用密碼技術實現，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止鑒別信息在網絡傳輸過程中被竊聽。實現方式：可對管理人員、運維人員等采用“用戶名+口令”和“USBKey數字證書”等方式實現用戶身份鑒別。（2）訪問控制設定特定終端或網絡地址范圍，對通過網絡進行管理的終端進行限制；實現方式：可在交換機中配置訪問控制列表實現或通過其他邊界訪問控制設備實現。（3）安全審計應啟用安全審計功能，審計覆蓋到每個遠程連接管理的用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經授權的中斷。實現方式：開啟邊界防護設備日志審計功能，對遠程連接、管理的用戶進行審計，可通過將日志上傳至路段分中心或省中心實現備份。（4）入侵防范遵循最小安裝原則，所有設備僅安裝需要的組件和應用程序，關閉不必要的系統(tǒng)服務、默認共享和高危端口；通過統(tǒng)一管理系統(tǒng)等手段，發(fā)現可能已知漏洞，并在經過充分測試評估后，及時修補漏洞；通過入侵檢測、監(jiān)測預警等監(jiān)測手段，發(fā)現對ETC門架系統(tǒng)的入侵行為，發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅等外來存儲設備的管控，并對各類硬件設備的外接存儲接口進行移除或限制。實現方式：可通過完善相關設備安全策略實現，對設備進行合理配置，至少每半年對網絡設備、服務器、數據庫、中間件、RSU、車牌圖像識別設備和終端等進行一次漏洞掃描，并及時進行系統(tǒng)加固和漏洞修補。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷；對ETC門禁系統(tǒng)服務器、終端設備進行統(tǒng)一惡意代碼防范，支持防惡意代碼的統(tǒng)一升級和管理。實現方式：終端、服務器安裝惡意代碼防范軟件，并支持策略的統(tǒng)一配置和管理。（6）數據完整性采用校驗碼技術或密碼技術保證重要數據（指令數據、交易數據、費率數據、車輛圖像數據等）在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施。實現方式：通過軟件開發(fā)相關功能等方式實現數據完整性校驗，并在數據完整性受到破壞時實施數據重傳，對存儲的數據采取多重備份。（7）數據保密性應采用密碼技術保證ETC門架系統(tǒng)重要數據（指令數據、業(yè)務數據）在傳輸和存儲過程中的保密性；可對發(fā)送方和接受方進行身份認證，在建立連接前，利用密碼技術進行初始化會話驗證，必要時采用專用傳輸協議或安全協議服務，避免來自基于協議的攻擊破壞保密性；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：通過軟件開發(fā)相關功能等方式實現數據保密性。（8）數據可用性提供重要數據（指令數據、交易數據、費率數據、車輛圖像數據等）的本地數據存儲。實現方式：可通過本地存儲方式或傳輸至路段分中心進行備份。物聯網安全擴展要求ETC門架系統(tǒng)中的RSU、高清車牌視頻識別等設備參考物聯網安全擴展要求。安全物理環(huán)境應具備防水、防潮、防塵設計，防護等級應不低于IP55。安全區(qū)域邊界（1）接入控制應提供設備認證能力，保證只有授權的設備可以接入，與全國中心之間連接實現雙向身份標識認證。實現方式：設備（RSU、車牌圖像識別等）應通過部署接入防護設備實現IP/MAC地址等屬性信息注冊管理，實現與部、省中心之間基于國產密碼算法數字證書的可信身份認證。（2）入侵防范應能夠限制與設備通信的目標地址，以避免對陌生地址的攻擊行為。實現方式：可通過設備源IP/MAC地址、目的IP/MAC地址等屬性實現管控，或部署入侵防范功能設備實現。安全計算環(huán)境（1）設備安全應保證只有授權的用戶可以對設備上的軟件應用進行配置或變更；設備應支持遠程集中管控。實現方式：可通過開發(fā)安全軟件等方式實現。ETC發(fā)行系統(tǒng)安全要求ETC發(fā)行系統(tǒng)主要包含發(fā)行中心系統(tǒng)、網點發(fā)行系統(tǒng)、互聯網發(fā)行系統(tǒng)、便攜式發(fā)行系統(tǒng)等。ETC發(fā)行系統(tǒng)不承擔聯網收費業(yè)務生產控制核心功能，但其與聯網收費系統(tǒng)存在網絡連接和數據交互，且存有大量公民個人信息。ETC發(fā)行系統(tǒng)整體按照網絡安全等級保護第三級安全要求進行定級、備案、建設、測評、保護，應通過嚴格的網絡訪問控制策略管控其與省中心系統(tǒng)的網絡連接和數據交互，同時，針對互聯網訪問邊界進行嚴格管控，并應按照《中華人民共和國個人信息保護法》等有關法律重點加強個人信息保護。收費公路聯網系統(tǒng)網絡安全技術要求（試行）聯網監(jiān)控系統(tǒng)網絡安全技術要求省中心安全要求省中心系統(tǒng)主要包含：高速公路交通運行狀態(tài)監(jiān)測與預警系統(tǒng)，高速公路數據綜合處理與分析挖掘系統(tǒng)、跨區(qū)域大范圍路網協同運行控制系統(tǒng)、綜合信息發(fā)布系統(tǒng)、設備運維管理系統(tǒng)、高速公路視頻現場采集系統(tǒng)及有關網絡基礎運行環(huán)境。安全通用要求安全物理環(huán)境（1）機房物理位置選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。（2）機房物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。實現方式：通過電子門禁系統(tǒng)或其他具備控制、鑒別、記錄等功能的系統(tǒng)實現。（3）防盜和防破壞應將設備或主要部件進行固定，并設置明顯的不易除去的標記；應將通信線纜鋪設在隱蔽安全處。（4）防雷擊應將機柜、設施和設備等通過接地系統(tǒng)安全接地。（5）防火機房應設置火災自動消防系統(tǒng)，能夠自動監(jiān)測火情、自動報警并自動滅火；機房及相關的工作房間和輔助房間應采用具有耐火等級的建筑材料。實現方式：火災自動消防系統(tǒng)等。（6）防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。（7）防靜電應采用防靜電地板或必要的接地防靜電措施。（8）溫濕度控制機房應設置溫濕度自動調節(jié)設施，使機房內的溫度和濕度的變化在設備運行所允許的范圍內。（9）電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。實現方式：可通過不間斷電源系統(tǒng)（具備穩(wěn)壓和過電保護功能）。（10）電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾。實現方式：配備金屬線槽等方式對電源線及通信電纜進行隔離。安全通信網絡（1）網絡架構應保證核心交換機、核心路由器、出口防火墻等主干線網絡設備的業(yè)務處理能力具備冗余空間，以滿足業(yè)務高峰期需要；應保證部省連接、下級單位接入等線路網絡的帶寬滿足業(yè)務高峰期需要；應根據業(yè)務職能、重要性和所涉及信息的重要程度等因素，根據需要進行網絡區(qū)域劃分，應通過有效措施對各網絡區(qū)域進行技術隔離，并按照便捷管理和集約管控的原則為各網絡區(qū)域分配地址；聯網監(jiān)控系統(tǒng)不得直接提供互聯網服務，如與互聯網應用存在數據交換，應通過設置網閘或者雙防火墻方式實現隔離。實現方式：利用劃分VLAN、配置防火墻等方式進行區(qū)域間隔離，可通過配備三層交換機、防火墻或其他具有相同功能的設備實現，根據需要可增配網閘、負載均衡、下一代防火墻等。原則上宜采用異構安全體系配備安全防護設備。（2）通信傳輸應采用校驗技術保證通信過程中數據的完整性。實現方式：根據需要配備SSL網關、IPSecVPN或SSLVPN等或其他具有相同功能的設備，設備應具備國家密碼管理局頒發(fā)的商用密碼產品型號證書。安全區(qū)域邊界（1）邊界防護應保證跨越網絡區(qū)域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；應能夠對非授權設備私自連接到收費專網的行為進行檢查或限制，能夠對終端或用戶非授權連接到收費網外部網絡的行為進行檢查或限制，阻止非授權訪問；監(jiān)控專網應嚴格禁止無線局域網絡的使用。實現方式：對防火墻、網閘等邊界防護設備進行有效設置；配備終端管控系統(tǒng)、網絡準入系統(tǒng)或其他具有相同功能的設備。（2）訪問控制應在劃定的網絡區(qū)域邊界防護設備上（如防火墻）根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；優(yōu)化防火墻等安全設備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數量最小化；應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區(qū)域邊界。實現方式：通過配置防火墻、網閘等區(qū)域邊界防護設備的安全策略實現。（3）入侵防范應在核心交換機等關鍵網絡節(jié)點處部署具備入侵檢測功能的設備，檢測從內部/外部發(fā)起的網絡攻擊行為；應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警，通過人工阻斷方式或配置相應入侵防御設備，防止或限制從內部和外部發(fā)起的網絡攻擊行為。實現方式：配備入侵檢測/防御、監(jiān)測預警等或其他具有相同功能的安全設備，有條件的可建設監(jiān)測預警與態(tài)勢感知平臺進行集中管控。（4）惡意代碼防范應至少在與下級節(jié)點和外部連接的防火墻前端部署惡意代碼檢測設備對惡意代碼進行檢測和清除；維護惡意代碼防護機制的升級和更新。實現方式：配備防火墻（具備防病毒模塊）、防病毒網關或防毒墻等。（5）安全審計應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要的安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數據分析；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；審計記錄留存6個月以上。實現方式：部署網絡審計系統(tǒng)、日志審計系統(tǒng)等審計功能設施實現。安全計算環(huán)境（1）身份鑒別應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性；應采用口令、密碼技術、生物技術等鑒別技術對用戶進行身份鑒別，并對鑒別數據進行保密性和完整性保護，對管理員、運維人員、重要業(yè)務系統(tǒng)（業(yè)務數據處理類）用戶應采取兩種或兩種以上組合的鑒別技術；若只采用“用戶名+口令”的方式進行身份鑒別，口令須滿足大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換；應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘；當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽；應為與全國中心之間進行通信的計算設備、安全防護設備實現雙向身份標識認證，保障部省傳輸的安全。實現方式：可通過部署統(tǒng)一身份認證系統(tǒng)、堡壘機等方式實現，省中心管理人員、運維人員、客服人員可采用“用戶名+口令”和“USBKey數字證書”或其他雙因素認證方式實現用戶身份鑒別。（2）訪問控制應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環(huán)境的用戶分配賬戶和權限；應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令；應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應授予管理用戶所需的最小權限，實現管理用戶的權限分離；應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。實現方式：通過堡壘機等設備實現權限分離，配置計算設備系統(tǒng)策略實現，或在應用系統(tǒng)軟件開發(fā)中實現有關要求。（3）安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；對審計進程進行保護，防止未經授權的中斷；審計記錄留存6個月以上。實現方式：開啟網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統(tǒng)等的訪問和操作審計功能，設置獨立審計員賬戶，限制其他用戶對審計進程操作，可通過配備堡壘機和日志審計等相關系統(tǒng)實現。（4）入侵防范服務器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應關閉不需要的系統(tǒng)服務、默認共享和高危端口；應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求；應定期開展漏洞掃描工作，及時發(fā)現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警；應嚴格對U盤、移動光驅等外來介質設備的管控，并對各類硬件設備的外接存儲接口進行限制或移除。實現方式：對設備進行合理配置，定期對服務器、終端進行漏洞掃描，并及時修補漏洞，對于不能及時升級補丁的，采用相應技術措施來降低風險；可根據實際需要配備漏洞掃描、入侵檢測等相應功能的設備，配備服務器主機加固系統(tǒng)，軟件開發(fā)過程中嚴格對數據輸入有效性進行驗證。（5）惡意代碼防范應采用免受惡意代碼攻擊的技術措施或主動防御機制及時識別入侵和病毒行為，并將其有效阻斷支持防惡意代碼的統(tǒng)一升級和管理。實現方式：終端、服務器等通過安裝防惡意代碼軟件等方式實現，主機防惡意代碼產品與網絡防惡意代碼產品具有不同的惡意代碼庫。（6）數據完整性采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于鑒別數據、關鍵業(yè)務數據、服務支持數據和公民個人信息等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：通過軟件開發(fā)等方式實現數據完整性校驗，并在數據完整性受到破壞時實施數據重傳，對存儲的數據采取多重備份。（7）數據保密性采用密碼技術保證重要數據在傳輸和存儲過程中的保密性，包括但不限于鑒別數據和公民個人信息等；密碼算法應符合國家密碼管理局相關規(guī)范要求。實現方式：通過服務器密碼、數據庫加密系統(tǒng)等實現。（8）數據備份恢復應提供關鍵業(yè)務數據、服務支持數據等的本地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份；應提供異地備份功能，利用通信網絡將關鍵業(yè)務數據備份至備份場地，有條件的可提供異地實時備份功能；應提供關鍵業(yè)務數據處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。實現方式：配備數據備份服務器，建立異地數據備份系統(tǒng)及通信網絡，并實現關鍵業(yè)務數據庫服務器的雙機熱備。（9）剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；應保證存有個人信息等敏感數據的存儲空間被釋放或重新分配前得到完全清除。實現方式：應通過設置服務器操作系統(tǒng)策略或在應用系統(tǒng)軟件開發(fā)中實現。安全管理中心（1）系統(tǒng)管理a)應對系統(tǒng)管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計；b)應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數據和設備的備份與恢復等。實現方式：通過配置堡壘機或其他相同功能的設備實現。（2）審計管理a)應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計；b)應通過審計管理員對審計記錄進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。實現方式：可通過配置堡壘機等權限分配功能設備實現。云安全擴展要求省中心如有部分系統(tǒng)部署在私有云平臺（含虛擬化資源池）或公有云平臺（含專屬云平臺，不得為業(yè)務數據處理類系統(tǒng)）應遵循云安全擴展要求。安全通信網絡（1）網絡架構應保證云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)；應實現不同云服務客戶虛擬網絡之間的隔離；應具有根據云服務客戶業(yè)務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。實現方式：通過云平臺虛擬網絡管理組件進行虛擬子網劃分，利用云平臺安全組或虛擬化安全設備進行虛擬子網之間的訪問控制。安全區(qū)域邊界（1）訪問控制應在虛擬化網絡邊界部署訪問控制機制,并設置訪問控制規(guī)則；應在不同等級的網絡區(qū)域邊界部署訪問控制機制,設置訪問控制規(guī)則。實現方式：通過云平臺安全組件實現虛擬子網間的訪問控制，或虛擬化防火墻等設備，設置虛擬化網絡邊界訪問控制策略。（2）入侵防范應能檢測到云服務客戶發(fā)起的網絡攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等；應能檢測到對虛擬網絡節(jié)點的網絡攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等；應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。實現方式：在虛擬子網邊界部署虛擬化入侵檢測等相應功能的設備，監(jiān)聽所有出入虛擬子網的流量，實時檢測虛擬子網之間以及虛擬子網內部的攻擊行為和異常流量。（3）安全審計應對云服務商和云服務客戶在遠程管理時執(zhí)行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟；應保證云服務商對云服務客戶系統(tǒng)和數據的操作可被云服務客戶審計。實現方式：云管平臺需要具備相關審計功能。安全計算環(huán)境（1）訪問控制應保證當虛擬機遷移時,訪問控制策略隨其遷移；應允許云服務客戶設置不同虛擬機之間的訪問控制策略。實現方式：可通過云管平臺實現。（2）鏡像和快照保護應針對重要業(yè)務系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務；應提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改。實現方式：可通過云管平臺和加密機實現。（3）數據完整性和保密性應確保云服務客戶數據、用戶個人信息等存儲于中國境內,如需出境應遵循國家相關規(guī)定；應確保只有在云服務客戶授權下,云服務商或第三方才具有云服務客戶數據的管理權限；應確保虛擬機遷移過程中重要數據的完整性,并在檢測到完整性受到破壞時采取必要的恢復措施。實現方式：可通過云管平臺和加密機實現。（4）數據備份恢復云服務客戶應在本地保存其業(yè)務數據的備份；應提供查詢云服務客戶數據及備份存儲位置的能力。實現方式：可通過云管平臺實現。（5）剩余信息保護應保證虛擬機所使用的內存和存儲空間回收時得到完全清除；云服務客戶刪除業(yè)務應用數據時,云計算平臺應將云存儲中所有副本刪除。實現方式：可通過云管平臺實現。安全建設管理（1）云服務商選擇應選擇安全合規(guī)的云服務商,其所提供的云計算平臺應為其所承載的業(yè)務應用系統(tǒng)提供相應等級的安全保護能力；應在服務水平協議中規(guī)定云服務的各項服務內容和具體技術指標；應在服務水平協議中規(guī)定云服務商的權限與責任,包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等；應在服務水平協議中規(guī)定服務合約到期時,完整提供云服務客戶數據,并承諾相關數據在云計算平臺上清除。（2）供應鏈管理應確保供應商的選擇符合國家有關規(guī)定；應將供應鏈安全事件信息或安全威脅信息及時傳達到云服務客戶。安全運維管理（1）云計算環(huán)境管理云計算平臺的運維地點應位于中國境內,境外對境內云計算平臺實施運維操作應遵循國家相關規(guī)定。路段分中心安