智能公路行业解决方案蓝皮书2024.docx

《智能公路行业解决方案蓝皮书2024.docx》由会员分享，可在线阅读，更多相关《智能公路行业解决方案蓝皮书2024.docx（47页珍藏版）》请在三一办公上搜索。

1、目录3公路行业新场景网络安全解决方案公路可蚯息板综合防m改方案32公路集团企业网络安全运官托管服务解决方案35车路协同试点网络安全保障方案38公珞集团企业网络安全运营无营H蟠解决方案40智能公路数据要素安全共享方案431安恒信息观点智能公88建设是交通强国战路实现的而要领域02智能公路数字化的行业特性03睡公路数字化的典型技术04公路行业信息安全现状综述06未来（三息安全建设堂点展望072联网收费系统优化升级工程解决方案专题联网收费系统网络安全态势感知系统升级方案11联网收英系统全生命周期效闿安全保降方案14联网收魅系统供应链安全解决方案17联网收得系统B0产密码技术应用方案20收益站安全能力

2、提升方案23联网收费系统一体化网络安全运苕解决方案27智能公路建设是交通强国战略实现的重要领域在未来公路行业的发展过程中，数字化将是行业高质量发展的重要特征，也是现代综合交通运输体系的关键要素。数字化，既包括对现有交通基础设施的数字化、智能化改造，也包括具有数字化特征的交通基础设施建设。智能公路是数字化技术在交通领域的具体应用，实现了公路全流程的数字化转型，从而提高了公路的建设与运行管理服务水平。在智能公路中，数据被视为关键要素和核心驱动，通过采用Al智能技术、大数据、物联网、5G通信等多种先进技术手段，实现了对公路全生命周期全流程的数字化转型，促进了物理空间和虚拟空间的不断融合和交互作用，是

3、我国交通强国战略的重要实践之一，未来现代化智能交通体系中不可或缺的关键一环。从2019年9月交通强国建设纲要正式印发，到2020年3月“新基建”的提出，再到同年8月关于推动交通运输领域新型基础设施建设的指导意见的发布，数字化、网络化智能化已经成为推进交通运输提效能、扩功能、增动能的重要手段。我国首个针对综合立体交通网的中长期规划纲要国家综合立体交通网规划纲要明确提出：我国将加快提升交通运输的科技创新能力，推进交通基础设施数字化、网联化。预计到2035年，交通基础设施数字化率将达到90K此外，该规划纲要还强调，到本世纪中叶，我国将全面建成现代化、高质量的国家综合立体交通网，并拥有世界一流的交通基

4、础设施体系。届时，交通运输供需将实现有效平衡，服务优质均等，安全得到有力保障。同时，新技术的广泛应用将推动行业实现数字化、网络化智能化和绿色化。在出行方面，人们将享受到安全、便捷、舒适的环境；物流方面第一章安恒信息观点 行业应用特点：建、管、养、运公路行业的数字化业务围绕着公路的建设、管理、养护和运营等核心业务构建.通过更大的时空范围的综合交通体系。智慧交通可以提高交通系统的运行效率，减少交通事故、陶氐环境污染，促进交通管理及出行服务系统的信息化、智能化、社会化、人性化水平提高。 数据要素特点：才互动公路行业的数据包含了行程信息、高精度地图等为代表的高敏数据，具有多源复杂、数据量大、实时性高、

5、数据价值高等基础特征，并具有时空移动性、多维结构、社会关联性等行业特征，是由信息世界、物理空间和人类社会三元互动产生的数据，人类行为在交通行业数据中占有的特殊地位，使交通行业数据具有极高的价值，既能显著改善交通行业自身的建设、运行、养护和管理水平，也对其他各行各业更好的理解人的行为、社会实体的行为提供了重要的数据维度.智能公路数字化的典型技术 物联网技术物联网技术是智能公路数字化的核心，可以实现公路全流程的数字化转型.通过物联网技术，可以采集各种数据，如车辆位置、速度、道路状况等，为后续的数据分析提供基础。相比于其他行业，基于物联网技术构建的公路感知网具有地理空间范围广、采集数据类型丰富、综合

6、决策分析支撑作用强等特点，是智能公路的核心基础设施. 大数据分析技术智能公路需要处理海量数据，必须借助大数据分析技术才能有效地挖掘出有用的信息.通过大数据分析技术，可以对采集到的各种数据进行处理、分析和挖掘，从而为交通管理提供科学决策则实现高效、经济、可靠的目标。最终，我国将全面建成交通强国，实现“人享其行、物优其流.2023年9月，交通运输部印发关于加快推进公路数字化转型智慧公路建设的意见,意见中明确指出，数字化转型是公路交通高质量发展的必由之路，就升公路服务和管理水平的重要手段.在上述政策的指引下，智能公路行业正在筑牢数字化底座，快速推进云计算、大数据、5G、Al等新技术与公路行业智慧建造

7、、智慧养护、智慧出行、智慧治理等应用场景的深度融合，全面提升公路基础设施运行效率、安全水平和服务质量，加速公路行业数字化转型工作落地。智能公路数字化的行业特性作为交通强国与数字经济的重要组成领域，智能公路的数字化发展具有独特的行业特性。这些特性主要体现在以下方面：基础设施特点：丰富泛在交通基础设施之于国家建设如同血管之于生命，不停服务于人民生活，激发看经济活力。相对于其他行业，公路行业穗字依专型，是对实体空间醐嚅求最为迫切的，相应地，公路基础设施的种类也最为丰富庞杂：既需要应用运输路线沿线的海量实体感知设备，也需要dt4卫星、高精度遥感等技术的支持与辅助.各种I。T感知终端、OT控制设备、IT

8、基础设施及专有基站、雷达、微波、卫星等设施都被应用于公路全产业链条各阶段的数字化应用.演空醐e点：专网为核心公路行业一直以来在信息化建设中对稳定和运行安全的要求极高，其核心通信网络普遍随着其实体运输路线的建成而建成，形成了公路通信系统为基础的联网收费专网、综合监控专网等专有网络.公路行业在数字例专型的过程中，既要维护关键业务的专网属性，也要探索如何在现状下如何有序、合理的开放数据、进一步利用健。公路行业信息安全现状综述公路行业作为关键信息基础设施最为密集的细分行业之一，其网络安全保障的重要性不言而喻。从全局视角来看，交通行业的网络安全与技术支撑体系已经基本建立，网络安全政策体系也已基本完善,信

9、息系统安全等级保护能力普遍提升，行业关键信息基础设施清单和数据分级分类管理制度不断完善，行业密码和密钥管理体系不断健全，行业网络安全保障工作已经取得了显著的成果。然而，与交通运输部提出的全链条、全要素、全周期，构建事前防范、监测预警、应急处置三位一体的网络安全防护体系”的目标相比，仍存在一定的差距:一是揄出不牢，等保惹盖落实仍有欠缺：公路行业客户安全保障从整体来看对专网的依赖性仍然较高，且业务直接影响对实体交通运输的调度指挥和控制，在部分重要信息系统网络安全防护上，存在不想上、不敢上的情况，在行业标准及文件中有明确定级要求的系统仍存在部分未依照等建设的情况.二是人力缺乏，安全运维工作开展难：作

10、为行业主体的公路行业央国企体量巨大，业务复杂，员工众多，但安全运维团队人数少,工作量大，与网络运维分工界面不清晰等问题较为普遍，在发生可能危害业务的严重网络安全事件时，凭借自身员工和驻场外包人三是新技术引入的新风睑：Io,5G、大数据、云计算、中台、微服务、Al技术、dt4等新技术呈喷涌之势在公路行业被快速地大规模应用.在行业攻防演练等活动中出现了利用物联感知设备漏洞、大数据环境漏洞、虚拟化平台漏洞、不安全APl发起攻击并成功突破的诸多案例，而公路行业用户在相应安全能力的建设中还没有跟上。四是数据要素敏感性高，数据安全保障不足：公路行业活动产生的数据反映了人、物的时空轨迹，与人的个人生活、社会

11、活动、生产经营息息相关，相对于其他行业数据具有更高的数据敏感性和数据价值。在数据安全保障方面，公路行业目前面Iis顶层设计不明确、行业标准规范不健全、行业相关成功实践少等一系列问题。导致交通行业用户一方面希望利用自身的高价值数据，深化利用；另一方面担心法律风险，不敢迈出第一步. am技术云计算技术可以为智能公路提供强大的计算能力和存储空间,可以快速处理和分析大量数据。同时，云计算还可以实现数据共享和信息交互，提高顺利用效率。 人工智能技术人工智能技术是实现智能公路数字化的关键。通过人工智能技术，可以实现自动化决策、智能化管理、智能化控制等，提高公路的运行效轲口服务水平. 5G通信技术5G通信技

12、术是智能公路数字化转型的重要支撑。5G通信技术具有高速度、低延迟、大容量等特点，可以满足大量数据的传输和处理需求，同时也可以实现车路协同通信，提高交通运行的安全性和效率。 BIM技术建筑信息模型(BuildingInformationModeling)是建筑学、工程学及土木工程的新工具，随着在民建领域的大放异彩，自2017年9月，交通运输部办公厅关于开展公路BlM技术应用示范工程建设的通知发布，BlM技术开始在公路基建领域发挥价值，通过充分的数据化供给，BlM模型取代传统的看图说话的CAD设计，提供了设计可视化、工程计算准确性提高、自动关联降彳氐工作量、促进多领域协作等优点，改善工程建设全生命

13、周期的质效. 1的术卫星导航系统是交通运输行业升级发展的重要基础，是助力实现交通运输信息化和现代化的重要手段。北斗作为先进的高精度导航系统，除了其在通行服务中提供的基础能力外，还广泛应用于包括车路协同，无人化作业，高精度行业地图测绘等领域。未来信息安全建设重点展望联网收费系统是公路行业多级主体共同运营的关键信息基础设施，在公路行业，取消省界收费站工程开创了“一张网运行、一体化服务”的新局面，有力推动了交通运揄的转型升级和提质增效。然而，随着工程建设的不断深入，我们也必须面对一些新的问题和挑战，其中最为突出的问题就是信息安全保护。在公路信息安全建设方面，我们首先需要基于交通运输部整体部署的联网收

14、费系统优化升级工程中的网络安全和数据安全保障任务实现联网收费系统安全防护能力的专项提升，履行关键信息基础设施运营者的保护任务。部路网中心、省级联网收费中心和各路段业主应共同依据工程要求，在部省两级联网中心、区域/路段中心、收费站及门架等各个层级明确网络安全责任与分工界面，建立多级协同的安全运营体系，采用适当的技术措施落地，并依据并网接入技术要求切实落实网络安全技术要求。同时，我们还需要关注公路行业I。T设备部署和应用广泛而安全保护机制不足的现状。随着智慧公路新型基础设施的布设、新技术的不断应用和新业务场景的涌现，也引入了新的网络安全隐患。因此，我们需要有针对性的技术手段来保障网络安全底线，确保

15、公路行业的稳定和可持续发展。作为关键基础设施行业，信息安全防护不仅需要关注设备的部署，更应注重持续的运营保障。我们需要将安全运营管理工作作为支撑信息化与数字化业务发展的一项业务来开展，通过加强安全运行管理的可见性、可度量性和可控性，实现人与人对抗的网络攻防中取得良好的结果。综上所述，未来公路行业的信息安全建设需要结合业务场景，采取综合性的技术措施和管理措施来保障网络安全。只有通过这样的方式，我们才能够有效应对日益复杂的网络攻击和威胁，确保公路行业的信息安全和稳定发展。联网收费系统是公路行业重要的关键信息基础设施，根据交通运输部的整体规划，将在23年启动高速公路联网收费系统优化升级工程，根据前期

16、高速公路联网收费业务发展过程中的成果和挑战，提出了“提升计费准确性、提升业务规范化程度提升系统标准化程度、提升客户服务水平、提升ETC拓展交易在线化水平、提升网络和数据安全保障能力”六大升级工程任务。在取消省界收费站开展的安全建设成果基础之上，根据过往安全运行过程中暴露的问题，新形势下的新合规政策要求，进一步提升安全技防能力，强化安全运行水平。联网收费系统的运营单位包括交通运输部路网监测与应急响应中心，各省承担升级联网收费清分结算业务的企事业单位、ETC发行机构和高速公路路段运营企业等多级运营主体；在业务系统层面上，则包括了ETC门架与收费车道系统、高速公路收费站系统、路段中心与区域中心系统、

17、省联网中心系统和部路网中心系统等多层的受保护客体。为实现高速公路联网收费系统优化升级工程中提升网络和数据安全保障能力的任务目标，安恒建议开展从强基、明目、协同三项主要工作，建立部-省-路段的三级安全运营体系，理清权责，强化管理，提升交通关键信息基础设施联网收费系统的安全保障水平。强基：根据前期建设不足提升各级系统的网络安全、数据安全保障能力，根据密码应用安全性测评要求积极组织密码改造，为联网收费系统安全构筑监视的技防基础。明目：进一步完善部省态势感知体系的覆盖能力，改善目前部分省份流量采集不全，数据集成水平不高的现状，充分运用大数据技术，强化对网络安全风险的感知和分析能力。协同：进一步明确高速

18、公路业主、省级联网收费系统运行单位、部路网中心三者的职责与分工界面，制定清晰的安全工作流程并实现标准化、线上化，让各级主体充分能够更好的协同应对网络安全风险，履行各自的安全保护义务。第一早联网收费系统优化升级工程解决方案专题L省联网中心部署一级态势感知平台，区域/路段中心及ETC发行机构部署二级态势感知平台。根据各省已建设备情况补充部署流量探针和日志采集与审计工具，以全域漫盖的流量感知数据结合日志数据进行汇聚分析，作为安全风险/事件感知、防护、检测及响应的基础。省联网中心、区域/路段中心、ETC发行机构分别部署的态势感知平台基于工单系统形成级联的协同体系，各运营单位根据资产范围、安全责任基于态

19、势感知平台对网络安全威胁进行及时地识Slk响应与处置。2 .省联网中心平台负责本级的流量数据和二级态势感知系统上报的安全事件信息，汇聚省域设备及系统日志，融合大数据技术和人工智能算法实现对全省网络安全风险的识别、监测、响应处置。3 .区域/路段中心及ETC发行方建设与省中心态势感知系统级联的二级态势感知系统，负责实现本路段范围内路段中心及各收费站（ETC发行单位及发行网点）的网络安全风险感知与处置。二级态势感知系统自身集成流量探针特性，具备强大的告警消噪能力，具体功能包括流量采集、威胁检测、威胁分析、威胁可视化、工单与通报管理、响应处置和安全报告.4 .收费站探针是态势感知的感知末端，可以有专

20、用流量探针或安恒高速公路网络安全一体机集成实现，负责实现收费站级的流量采集，将流量采集发送至区域/路段二级态势感知系统，由二级态势蜘系统对本区域/路段整体谢技全威胁检测与分析.联网收费系统网络安全态势感知系统升级方案具备丰富的灵活性，可以通过平台替换、扩容升级，二级平台补充建设，态势感知探针补充部署等方式与现有省域网络安全态势感知系统进行平滑的补充与补强，利用安恒态势感知领先的大数据技术、Al分析与研判技术、基于联网收费系统实战积累的行业特色告警消躁技术、Se）AR联动响应技术作为基础，可以完全满足公路联网收费业务网络安全态势感知建设需求.联网收费系统优化升级工程解决方案专题联网收费系统网络安

21、全态势感知系统升级方案建设背景收费公路联网收费系统网络安全态势感知平台体系建设是取消高速公路省界收费站工程建设的重要内容，也是部省协同网络安全综合防御体系的核心组成部分。目前，大部分省份已完成省域网络安全态势平台的搭建并实现了与部级网络安全态势感知平台的对接。在实际运行过程中，各省平台通过数据汇聚、关联分析、可视化呈现、工单协同等功能模块，已在一定程度上实现了部省协同的安全运行维护工作.然而，与此同时，各省态势感知平台在使用过程中也暴露出态势感知芨盖面不全、异构安全数据来源不充分、安全告警误报较多、安全事件研判能力不强、安全可视化程度不高等问题，安全态势感知能力有待进一步提高。在本次优化升级工

22、程中，明确提出了态势感知能力应覆盖至收费站的安全建设要求。这需要在收费站通过探针部署等形式实现态势感知能力的覆盖，并考虑现有平台的性能瓶颈，对态势感知平台进行升级、扩容和迭代。针对目前各省联网中心态势感知使用中存在的问题和本次优化升级工程提出的态势感知能力提升要求，安恒提出了省中心-区域/路段中心两级协同的省域态势的协同体系。该体系在各省建设现状揄出上，对态势感知平台进行升级优化，以满足未来长期省域网络安全风险识SU、防护、检测和处置等在内的整体网络安全感知需求。方案设计态势感知平台是是交通运输网络安全监测预警体系的重要组成部分，根据大部分省份下辖路段多，运营主体多的特点，为满足省中心高速公路

23、管理单位与路段中心业主不同的安全管理诉求,网络安全态势感知平台采用多级部署，级联协同的方式进行设计，态势感知平台采用省中心-区域/路段中心及ETC发行单位-收费站的三级架构部署：*IX咫&同原慢优化升虹a*决万家万般海量安全设备进行策略控制，自动检测风险和阻断威胁，让安全威胁的处置更及时有效。大模型技术M能，Al骐动让安全更简单：安恒基于多年网络安全攻防实战，采用大模型技术沉淀实战成果。提供的问答服务大模型可以在态势感知使用中，提供总结分析内容生成、脚本和剧本编写及模型优化等高阶应用，让安全感知的学习和使用变成交互性问答，即可达成安全管理提升的目标。简单经济：在提供更多功能的前提下，为了平衡建

24、设成本与建设效果，安恒方案在路段/区域中心和收费站都提供了探针与其他安全特性集成的建设方案，在降低项目总体投资的前提下，实现两级平台、三级部署的多级协同效果。联网收轰系统优化升级工程解决方案专题联网收费系统全生命周期数据安全保障方案厘设背景全国高速公路联网收费系统是管理高速公路通行费用及相关服务的关键信息基础设施。从省域角度看，该系统涵盖了从省联网中心到路段中心、收费站、门架等各个层面，承担了包括ETC/MTC车辆通行费清分结算、通行费率管理、稽核、出入口信息登记及扣费等全部业务。因此，一旦数据遭到鼐改或窃取，将直接关系到高速公路的运行效率以及广大车主和运营方的利益。此外，随着科技的发展，人工

25、智能大数据等新技术在联网收费系统中的应用不断深化，为系统带来了便利，但同时也增加了数据安全的风险。因此，如何在利用新技术提升高速公路服务效率的同时确保数据安全，已成为一个日益重要的问题。然而，目前全国大部分省份的联网收费系统安全建设主要集中在2019年的省界工程。当时，数据安全法、个人信息保护法、关键信息基础设施保护条例等重要政策省联网中心*M二&;二照IS!i8ffl收 费 站图联网收费系统网络安全态势感知系统升级方案总体架构路段中心方案特包分工协同与业主责任边界相匹配，安全责任清峰：配合部中心平台建立部-省-分中心的三级协同体系，由自动化响应技术和跨平台工单流转驱动跨组织的网络安全监管与协

26、同，使省域联网收费业务的安全保障、工作协同更为清晰有序。哥厂商友好，支持多种改造方式实现态势惠知升级目标：安恒信息具备丰富的多厂商多级平台态势感知建设经验，方案中提供的一级平台、二级平台和探针组件都具备开放的数据协同和工单协同接口，能够适配各省具体的网络安全态势感知平台升级决策，提供差异化的适配和集成方案，满足态势感知平台升级建设要求。强大的技术基底帮助公路实现安全，件自动响应：安恒网络安全态势感知方案已在15年重大活动保障任务和近2000家行业大客户进行应用与验证，积累了丰富的安全检测经验、模型策略和领先的技术。在本方案中，安恒为两级平台都提供了SOAR技术引擎，可适配第a鹿系雌工检班方案a

27、 数据风险SS知动态权限管理、败据安全合Ia数据安全运管.数黔奖分逊跤陶S路辍访i硼度分析冈绘量件溯源实体行为分析败据安全态势以身份为中心以故据为中心动态权限控制合规知识应检佥指标楂型运营工单管理安全网边处置安全事件处图联网收费系统全生命周期数据安全保障方案总体架构方案特色服务先行：在数据安全工作中，为确保数据安全工作结果的成效，安恒将结合行业案例经验及现场调研并规划数据安全工作的蓝图，制定分类分级的框架和流程细则，数据安全防护在采集、传输、存储使用、共享销毁等环节的实施方案及流程细则，以确保后续工作的顺利进行。全程防御：为了更好地保障数据安全，安恒方案建立了覆盖数据全生命周期的防御机制和动态

28、的访问控制手段。从数据的产生、存储、传输到使用、销毁等各个环节，我们都采取了相应的安全措施，确保数据的机密性、完整性和可用性。同时，我们根据数据的不同等级和类型，实施不同的访问控制策略，严格控制数据的访问和使用权限。立云部,弹性易管理：丰富的数据安全防护组件可作为云安全资源池组件交付，将网络安全与数据安全能力进行灵活的调度与扩展。文件尚未发布，导致针对数据安全的相关工作尚未引起足够重视。如今，高速公路联网收费系统的数据安全保障工作已经成为联网收费系统网络和数据安全保障中的巨大洼地。因此，全面、系统化的全生命周期数据安全保障建设势在必行。方案设计根据联网收费业务的数据流转特点、数据汇集方式，可以

29、识别出联网收费系统，数据安全保护的核心目标对象是汇集和共享数据的省联网收费中心和ETC发行机构中的重要数据系统和共享服务。以省联网收费中心和ETC发行机构为数据安全保护目标，安恒提出了面向收费业务的全生命周期数据安全保障方案，在总体上，采用技术工具与持续服务并重的方式，优先进行调研与访谈，以深入理解业务为前提设计数据安全实现路径，并通过关联协同的数据安全防护工具体系实现保障目标，主要防护要点包括：首先，实施数据分类分级活动，根据数据外泄、震改事件发生后产生的影响，对省域数据资产的敏感性进行标识。其次基于数据分类分级成果，采用数据加密、访问控制、多层次的安全审计等多种手段，确保联网收费业务活动中

30、的数据传输、存储、使用等各个环节的安全性。此外，审慎分析各相关单位的数据共享需求，对数据外发进行严格的限制，并对涉及敏感数据的共享提前进行脱敏，全面保护结构化数据和非结构化数据的全生命周期安全。最后，在数据技术措施全面、正确应用的基础上，构建集成数据稽核实体行为分析、风险告警、集中策略管理事件工单处置、安全态势感知等能力的数据安全管控平台，在数据活动的持续过程中同步识别潜在的数据安全威胁并及时进行处置反馈。（征求意见稿）中，也对省域联网收费系统的供应链管理，提出了明确的要求。供应链安全建设对联网收费业务来说已经刻不容缓。方案设计针对联网收费系统所面临的严重供应链安全挑战，我们建议以省为单位建立

31、供应链安全管理中心，对供应商提供的面向省联网中心、ETC发行单位、路段/区域中心、高速收费站管理及车道和ETC门架的软件进行统一的安全治理。具体建设思路如下：1 .建立统一的供应商安全管理中心：由省中心牵头建设，通过平台与行业软件开发环境与测试环境的对接，形成与中心自研软件及驻场开发软件的在软件开发周期的深度融合。在开发流水线执行的过程中，将安全燧!三务与开发过程持续集成，实现安全左移，在软件交付前,最大程度的识别并消除安全隐患，避免后门植入。在此基础上，对所有软件供应商进行整体管理，建立供应商台账和软件资产台账，利用威胁情报与本次软件资产进行关联，通过情报信息识别本地业务中隐藏的安全隐患,对

32、隐患消除过程进行管理，避免已公开漏洞对本省联网收费安全带来进一步危害。2 .建立一套供应链安全技术工具集：建设包括威胁建模工具、源代码扫描、开源软件成分分析、灰盒测试工具、黑盒扫描工具和运行时自保SDK等安全开发工具集合,由供应链安全管理中西进行统一的集成联动管理可以在开发、测试和上线运行过程中按需调用,通过安全开发辅助类工具（威胁建模、安全开发SDK等）提高代码质量,利用自动化的风险分析工具（源代码扫描、软件成分分析、灰盒测试、黑盒扫描等）多维度分析,检视安全隐患，及时上报并处置。3 .提供有效的安全开发支持服务：利用安恒多年的基于SDLC为基础工程化开发经验、开发安全服务经验、行业攻防演练

33、实战经验和业务理解,为省域联网收费系统的供应商提供统一安全开发支持服务,从整体的安全开发要求、供应商管理制度规划,到具体的安全开发实施流程设计,供应链管理实施工程中的持续评估支持和针对供应商提供的安全开发培训,帮助联网收费系统实现从有序、有效、持续提高的供应链安全管理。持续监测：为了及时发现和应对辘安全威胁，方案建立了以平台为核心持续监测机制。充分利用数据安全技术措施的持续采集能力，从应用和数据活动视角出发,刻画并持续分析业务流，感知数据安全威胁.通过实时监测和分析城活动，从而及时发现异常行为和潜在的安全威胁，并采取相应的措施加以应对，确保数据的安全性和可用性.联网收费系统优化升级工程解决方案

34、专题联网收费系统供应链安全解决方案建设背景因联网收费系统涉及诸多管理单位、ETC发行服务单位和运营业主单位，目承载着众多业务，包括但不限于省内拆分结算、跨省非现金结算、数据汇聚管理、密钥管理、跨省现金拆分结算、费率计算特情业务、CPC卡综合管理、ETC门架等运行监测、发行认证和监管、省内费率管理、稽查和信用管理、综合业务管理、ETC发行、客户服务、风睑控制、质量控制、资产管理、联网收费大数据平台以及对外业务服务管理等,故其开发和运行支撑服务单位在各省都有大量存在。然而，由于业务复杂且开发单位众多，加之收费软件行业属性较强，联网收费系统的供应链安全一直存在的管理缺乏抓手的挑战，能够对行业应用进行

35、的安全监测手段也不多。一旦行业软件存在漏洞、后门或开源软件依赖安全风险等供应链安全隐患，管理单位、ETC发行服务单位和运营业主单位往往缺乏识别和控制手段，而且此类问题一旦发生，往往造成的攻击面极大，且处置复杂度较高，将对联网收费业务安全将造成较为严重的影响。根据关键信息基础设施保护条例及信息安全技术关键信息基础设施保护基本要求等法规和标准提出的要求，联网收费系统作为关键信息基础设施，必须对联网收费系统的供应链安全进行觎的治理，避免威胁的蔓延。在联网收费系统优化升级工程方案奥二取即攵普系前C代升级工行第送方案多国联网收费礴优化升级工程解决方案专髓联网收费系统国产密码技术应用方案建设背景密码是保障

36、网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段。中华人民共和国密码法的颁布实施以及商用密码管理条例的修订发布，从法律层面为开展商用密码应用提供了根本遵循，联网收费系统作为公路行业重要的关键信息基础设施，承载了数百套等保定级为三级的重要业务系统，从实施密码技术视角看，联网收费系统商用密码应用安全管理和技术保护能力不足，未全面落实国家商用密码应用安全管理要求，三级系统未全面开展商用密码应用安全评估、未全面采用符合国家密码管理局认可的密码算法等问题较为普遍。未全面对数据传输、数据存储、身份鉴别、接入认证等方面采用密码技术进行保护。在联网收费系统优化升级工程方

37、案（征求意见稿）中，明确要求各省完成等保三级系统的密评及整改工作，各省亟需根据相关法规及标准，正确的应用商用密码技术，建设符合中华人民共和国密码法以及GB/T39786-2021信息安全技术信息系统密码应用基本要求的信息系统，实现对联网收费系统保护对象（重要业务数据、鉴别数据重要日志数据等）的机密性、完整性、真实性和不可否认性保护。方案设计围绕着密码安全可视化为核心，在构建底层密码基础支撑设施和密码应用中间件基础上，运用密码服务虚拟化技术和APl网关功能，形成统一的应用对接接口，满足联网收费业务多系统、多场景、大并发等不同密码应用技术、管理、密钥要求，通过统一部署的密码服务平台和分布式部署的密

38、码基础设施，将密码产品和能力封装为各项密码服务向用户提供，为密评整改提供各个层面所需的密码技术支撑服务。供需鬻*前期M-寓求设计一TDfe靖梢一C阶坦-测试阶段一-上线运营支图联网收费系统供应链安全解决方案总体架构方案特色开发流水线集成，便于使用：支持与主流的代码仓库、IDE集成开发环境、缺陷管理工具、项目管理系统、看板工具集成，可以在单元测试、系统测试、回归测试、工件测试软件验收等各个环节服务于研发人员自测测试人员测试、运维人员测试和交付评审等各种场景，直观快速地消除代码开发隐患。组件化方案，便于适应实际环境：安恒提供的供应链安全解决方案以供应链安全管理中心为核心，其他模块可以作为组件按需选

39、用，已经部署的源代码审计系统、漏洞扫描系统提供的产品力，或源代码审计服务、渗透测试服务产生的服务结果都可以与平台进行方便的集成导入，无需重复投资，即可在实际环境中发挥全面的供应链安全管理价值。知识库沉淀：供应链安全方案的持续使用中，将同步为联网收费系统沉淀安全开发知识库，知识库形式包括但不限于：安全培训耀程、安全需求库、安全设计库、安全开发SDK、安全组件库、漏洞库、APl管理等，做到知识库与联网收费实际业务紧密结合，为长久安全运营以及团队的整体安全能力的提高打下基础。方案特色构建统一密码服务体系，自助式服务按需选择：引入平台级统一管壬野里念，在满足合规性及各项安全性要求的前提下，通过统一的密

40、码服务平台，屏蔽底层的密码设备，面向各类应用以服务目录的方式提供，服务按需订阅，灵活搭配，基于业务扩展灵活调整规格和性能，服务化交付，提高应用系统的密码安全服务使用效率，通过搭建云密码计算资源池，实现密码技术、产品的多样化组合与服务调度，达到多类密码产品与服务的异构化管理与监控Ii云部,弹性易管理，丰富的密码安全技术组件可作为云安全资源池组件交付，配合专用的商用密码硬件，可以将密码硬件资源分割供应给不同业务复用，将网络安全与密码安全能力进行灵活的调度与扩展。完善密码监管体系，实现安全可持续运营：通过建立密码服务平台，从密码设备运行监测、数据收集统计、教学培训、合规测评、执法监管等对范围内系统开

41、展常态化、体系化、实战化安全运营管理，落实安全运营机制，打造“可管理、可感知、可预警、可处置”的一体化监管能力，对网络空间中密码应用进行全面有效监测和管理，提高密码管理工作的威信力和执行力。在管理维度，平台通过流量监测、数据采集、数据上报日志采集、第三方数据导入等方式，对网络空间中密码应用进行全面有效监测和管理，实现密码应用的“可管理、可感知、可预警、可处置”的一体化运营监管能力目标。密码服务平台组件包括：密码服务平台：软件，本身执行密码管理工作不进行密码运算，可使用普通虚拟机或通用服务器部署；密码基础设施：各类密码产品，软硬一体形态，密码服务层能力底层依托于专用硬件提供服务，根据实际配置的服

42、务能力按需配置底层硬件产品；APl网关：属于密码服务平台的中间件，为用户提供统一的APl调用接口，对后端密码设备起到负载均衡的功能。密码服务平台内置APl网关，支持多APl网关负载均衡。rc发行廉ML,ETC门架系统图联网收费系统国产密码技术应用方案总体架构M-朝硼灸希貌优化升也L0*决方案全功能进行编排调度，构建完全符合收费站站级安全要求的安全一体机的行业专用安全产品（高速公路网络安全一体机一优化升级工程专版，以下简称收费站一体机），为收费站安全保驾护航。 5* *xvuaAJ*eWb图联网收费系统收费站安全能力提升部署逻辑图收费站一体机具备以流量感知和I。T安全为基础的丰富功能特性，具体包

43、括：资产发现：采用终端指纹技术，对收费站全部资产进行扫描识别，发现Ip化资产并识别终端类型，通过设备指纹识别技术，结合应用流量特征分析技术，识别终端的类型。可识别视频终端、1。T设备、WindOWs、LinUX、网络设备、苹果终端、安卓终端等终端，可收集提供设备类型、品牌型号、系统版本固件版本、应用名称、品牌、版本服务类型以及端口等信息。膝网收费化升虹收费站安全能力提升方案建设背景在取省界工程实施后，绝大部分收费站及门架在取消高速公路省界收费站工程中部署了收费站边界防火墙、网络入侵防护系统（串接部署或由防火墙集成）、网络防病毒（防火墙集成），ETC门架安全网关、主机恶意代码防护、网络准入（收费

44、站部署或路段中心统一管理准入）等安全工具，在安全保障上取得了明显的建设成效。但由于各省中心、业主单位在工程执行中存在的方案差异和网络安全威胁的演进变化，导致在收费站及门架网络中仍存在态势感知覆盖不全，无法识别一机双网，I。T安全防护措施不足，部分改扩建收费站安全功能配置不全等安全风险。在本次联网收费系统升级优化工程中，将网络安全强化作为六大工程任务之一，提出了进一步强化网络安全建设的相关要求，在联网收费系统省域系统并网接入网络安全基本要求基础上，对联网收费站和ETC门架提出了“实现站级态势感知覆盖、加强站级安全防护能力、提升站级系统安全运维管控能力、加强移动支付终端接入安全、提升ETC11架设

45、施安全防护能力、加强门架无人值守设施设备安全防护、加强门架设施接入认证、加强门架通信传输安全”等一系列安全提升要求。方案设计本次升级工程针对收费站及ETC门架提出了多项安全特性要求，如果分别采用独立的安全设备实现，存在设备前期部署调试复杂工期长、收费站交换机接口紧张、机房机位不足、长期用电成本高昂等一系列不利因素。针对这一现状，我方采用集约化建设的思路，利用虚拟化技术，聚合收费站资产管理与边界防护所需的多种分散于不同安全产品的安全功能于一体，灵活利用基础计算资源，对安第二喇155系蜕优化升圾工将龈决方宗号长敏捷部:收费站、安全一体机完全采用旁路部署，旁路部署，免去传统单品堆设备复杂的部署过程，

46、不影响已有的网络架构，智能引流，部署更简单，使用更高效。经济节能：收费站一体机全面满足本次站级、门架级安全提升的各个环节要求，且在长期使用中具备初始成本低，长期成本低的显著优势，帮助业主用更少的经费实现合规诉求。准入控制：以可信资产列表为基础，结合主被动探测与分析技术定位网络中存在的非授权设备接入，包括非授权登记设备、移动设备等。违规外联监涌：主动监测收费站专网内存在的违规和非授权网络边界，发现受控隐蔽的跨边界数据传榆和网络访问通道，以及监测外部设备非授权入网和内部用户违规外联外部网络等高危风险行为。从而预防专网资源被不法人员利用，造成网内资源被破坏、数据被泄露以及非法入侵等安全事件。流一感瞰

47、针：作为省级态势感知系统的站级流量探针发挥功能，探针使用深度威胁检测技术，对流量进行深度解析，完整还原流量并发现流量中的恶意攻击，并将采集结果汇总上报至上级态势感知平台。主机安全及终端管理（选配）：具备病毒查杀、访问控制、进程防护、单机扩展、隧道搭建、远控持久化、内网探测、痕迹清除等高级威胁检测，挖矿与勒索病毒防护，容器安全防护异常进行成为监控网络对外连接审计、暴力破解防护文件完整性保护等主机安全防护和终端管理功能。边界安全防护功能（选配，需逻辑串按部）.具备传统防火墙的访问控制功能，还具备应用层入侵防御功能和恶意代码防范（防病毒）功能，通过多路径并行处理的安全检测引擎和应用识别，实现对用户、

48、应用和内容的深入分析，为收费站提供安全智能的一体化边界防护能力。方案特色全面有效：收费站一体机提供的功能集合完整涵盖终端安全、网络边界安全、资产管理、网络准入、防违规外联流量感知，用一台设备充分满足本次优化升级工程建设的需要。软件定义、灵活扩展：收费站一体机采用虚拟化技术，用软件定义安全，将原有离散割裂的独立安全硬件设备，抽象为软件功能，收费站可根据自身安全现状灵活选用其所需的功能，并可根据网络安全演进的趋势和部中心相关要求的提升进行进一步功能扩容，满足收费站长期合规的需要。第二3收带系晚优化升0HXJ5索号状运营团队三大体系相互支撑的，与省域联网收费系统网络安全协同组织相适应的安全运营中心。提供统一的安