高速公路收费系统安全能力现状、建议及提升思路有哪些？

自2020年5月恢复收费以来，高速公路联网收费系统初步建立起了较为完备的网络安全 及数据安全体系。

一、高速公路收费系统安全能力现状分析及建议

1. 过于复杂的边侧安全防护需求。我们经常发现，网络数据安全防护意识、重视程度，呈现省联网中心-路段分中心-发行机 构-收费站层层递减的情况，然而我认为主要原因并不是工作积极性的逐级降温，而是从省至 站安全专业知识技能要求的“倒梯形”与从省至站实际安全运维能力的“倒三角形”的不匹配。因此，一方面应当加强基层安全管理人 员的培训工作，逐级根据实际情况，建立健 全网络及数据安全管理制度并强化执行；另 一方面则应当尽可能采用精简化、集成化、 易操作、易运维的站级安全防护方案。

2. 需要完善的安全运维管理制度 。当前安全运维工作，大多由外包技术服务公司负责，且由于部分系统随不同项目建设，各系统维护单位众多，可能导致重要系统的运维工作分散到各运维机构，责任边界可能重叠或存 在真空区域，缺乏统一的监控手段；运维工程师使用的终端，缺乏统一授权管控机制，却可以 直接接入收费内网，存在安全隐患。 因此，一方面应当健全安全运维管理制度，明确各服务单位的职责范围，建立健全运维技 术支撑单位之间的协作机制；另一方面，通过技术手段加强运维终端管控，确保只有授信终端 方能接入收费网络。

3. 有待提升的安全技术防护能力。 按照《取消高速公路省界收费站总体技术方案》要求，省联网中心、ETC发行机构按照三 级等保要求建设，路段分中心及收费站参照三级等保要求建设。但在多个方面仍然存在短板。 其一是安全风险监测未覆盖全网，态势感知基本只覆盖到省中心及部分路段中心，未延伸至收 费站及门架；其二是门架设施布设广泛，收费系统中存在大量的终端分散在外场，变相扩大了 安全暴露面，而系统普遍缺乏基于资产的边界准入控制能力，无法阻断非授信终端入网，造成 巨大的安全隐患；其三是部分单位存在一台终端双网卡分别接入专网和互联网、在专网注册的 终端频繁接入互联网的情况，造成专网边界模糊；其四是终端杀毒及主机安全防护的缺失，主 流的终端杀毒软件与部分收费站终端收费软件不兼容，大部分Linux主机未安装杀毒软件或主 机防护系统，无法为主机提供杀毒、进程黑白名单管理、文件保护等保护措施；其五是部分边 界防护设备存在参数配置不合理、部分功能未启用，特征库升级不及时等现象，造成现有安全 资源的浪费。

技术层面的安全防护是重灾区，但却不可能一蹴而就，应当结合自身实际情况，按照由急 至缓的原则，分阶段实施。如优先补足基于资产的准入控制能力，同时提升管理水平尽量杜绝 非法违规外联，盘点安全资源利用情况，再逐步扩大态势感知覆盖范围，完善终端杀毒、主机 安全等能力。

4. 暂时缺位的数据安全防护措施。 数据是联网收费系统的重要资产，然而当前大部分运营管理单位不同程度存在未发布数据 安全管理制度或相关管理制度不健全等问题。数据分级分类标准、数据安全保护工作流程、数 据安全应急处置流程、数据共享监督及审查机制均不明确；同时，缺乏有效、配套的数据分类分级、存储加密、数据安全审计、数据防泄漏、数据脱敏、传输加密等措施对重要数据、核心 数据、敏感数据实行不同级别的安全防护。 因此，一方面应当出台数据安全相关规范，明确数据安全防护责任主体及边界；另一方 面，建立数据安全管控平台，理清数据资产台账，完善数据加密、数据脱敏、数据库审计、数 据水印、数据流量分析溯源等系统，优先以保有大量数据的省中心、发行方为主，但在路段分 中心、收费站等层级，仍应当加强数据传输过程中的安全防护。

5. 尚待完善的国密加密应用要求 。收费系统需要按照三级等保的要求进行测评，在《联网收费系统省域系统并网接入网络安 全基本技术要求》中也有对国密加密有相关要求，但部分收费站部站通信链路、省站通信链路 却没有采用国密加密的方式实现安全防护；除ETC专用设备外，未全面对数据传输、数据存 储、身份鉴别、接入认证等方面采用密码技术进行保护。

二、高速公路安全能力提升思路

总的来说，行业当前面临的安全问题大致分为两类，其一是安全相关制度建设，包含了 安全运维及安全运营两大板块，其二是安全系统架构。由于制度和体系的建设与运营主体的 管理机制紧密相关，因此本文主要介绍第二类安全系统架构的规划思路。 当前系统架构存在诸多安全隐患，受限于一次性资金投入、安全技术不断迭代升级等原 因，难以一劳永逸“一锤子”完成安全能力补全，因此采用“由急至缓”的原则，规划安全能 力提升方案。

在收费站部署功能多合一的安全设备，对收费站欠缺的终端防护、态势感知等能力进行补 齐提升；在路段中心新增对应的资产准入管理及态势感知平台，完成态势感知的分级部署及全 网覆盖；在省中心及部中心，新增或升级原有平台，另外，通过SD-WAN平台，实现IPsec隧道 的自动化部署。

1. 高度集成的站级安全，降低运维难度 为缓解收费站、门架层级的运营维护压力，规划采用功能高度集成的国密安全网关，在满 足边界安全防护的同时，具备态势感知探针、终端资产准入控制、SD-WAN接入网关、国密加 密的全部能力，ALL in ONE一体集成，大幅降低运维难度。 2. 网安融合的隧道加密，简化上线流程 IPsec隧道能够保障数据在专网及互联网链路传输过程中的安全性，也可与国密加密结 合，但由于配置上线复杂，运营维护困难，实际使用率极低，因此考虑引入SD-WAN技术，完 成IPsec隧道的自动化建立及维护。

3. 分级部署的准入控制，实现资产可控 建立省-路段两级的资产管理平台，对全网资产进行盘点，形成资产清单；对安全运维 终端进行授权，形成运维授信清单，与国密安全网关配合，完成可信终端的入网管控。可考 虑与数字证书结合，完成资产授信，实现“入网可知、资产可视、边界可控、仿冒可鉴、外 联可管”。 4. 基于数据的全链防护，强化数据安全 建立数据安全管控平台，实现数据安全管控能力、数据安全风险监测能力、数据安全溯 源能力，主动梳理、掌握敏感数据资产分布，跟踪敏感数据流转情况，控制敏感数据共享范 围，以及数据加密、脱敏、容灾备份等机制，减少“非恶意”情况下出现数据泄露，数据丢 失等情况。