聯網收費系統省域系統并網接入網絡安全檢測規程中國交通通信信息中心交通運輸部路網監測與應急處置中心二〇一九年九月聯網收費系統省域系統并網接入網絡安全檢測規程聯網收費系統省域系統并網接入網絡安全檢測規程(送審稿)為規范聯網收費系統省域系統并網接入網絡安全管理，保障取消省界站中安全建設合規達標及聯網收費系統長期穩定運行，制定本檢測規程。一、適用范圍本規程用于取消高速公路省界收費站工作中新改建的省聯網中心、收費站、ETC門架系統、區域/路段中心、ETC發行等系統并網接入全國聯網收費系統專網時，對《聯網收費系統省域系統并網接入網絡安全基本技術要求》的符合性進行檢測，旨在核驗取消省界站中省域系統網絡架構、安全策略、設備配備等是否具備并網接入安全條件。軟件功能性的并網接入不適用本規程。二、檢測依據并網接入網絡安全檢測主要依據以下標準和規范進行：《聯網收費系統省域系統并網接入網絡安全基本技術要求》（交科技函〔2019〕338號，簡稱“技術要求”）。《收費公路聯網收費系統網絡安全管理暫行辦法》（交科技發〔2019〕86號）三、檢測要求（一）時間要求。并網接入網絡安全檢測，省域系統應在接入全國中心生產系統前完成。（二）檢測機構要求。并網接入網絡安全檢測應由國家有關部門認可的網絡安全等級保護測評或信息安全風險評估機構承擔。（三）安全保密要求。應符合《收費公路聯網收費系統網絡安全管理暫行辦法》對第三方服務安全管理的有關要求。簽署保密協議，明確安全責任，防止敏感信息泄露。（四）等級保護要求。省聯網中心、ETC發行系統應通過等級保護第三級測評。四、檢測方法與結果判定（一）檢測方法并網接入網絡安全檢測應對照《并網接入網絡安全符合性檢測細則》（見附錄A）中“要求小項”逐項開展符合性檢測，檢測方法可采用訪談、文檔核查、配置核查、案例驗證測試、漏洞掃描測試、滲透性測試等方式。（二）結果判定檢測報告結論為“通過”和“不通過”；單個“要求小項”的檢測結果分為“符合”、“視同符合”、“部分符合”、“不符合”、“不適用”；符合記1分，視同符合記1分，部分符合記0.8分，不符合記0分，不適用不納入記分項；標“*”的“要求小項”為“單項否決項”，任一項不符合則檢測結論為“不通過”；省聯網中心、ETC發行系統符合率低于90%則檢測結論為“不通過”；收費站、ETC門架系統、路段/區域中心符合率低于80%則檢測結論為“不通過”。符合率：記分項得分之和除以記分總數（記分項數）。五、檢測組織及接入管理各省（區、市）按照分級檢測、抽測復核、核準實施、整體接入的方式開展檢測及接入管理工作。（一）省域自檢測。省聯網中心、收費站、ETC門架、區域/路段中心、ETC發行等系統的等級保護測評、技術要求符合性檢測，由各省（區、市）結合實際情況自行組織實施。對省聯網中心系統、ETC發行系統、具備清分結算功能或與全國中心系統直連的區域/路段中心系統，應實現100%檢測，對其余區域/路段中心系統可采用抽檢方式檢測。在設計單位相同且建設施工單位也相同的條件下，對收費站系統、ETC門架系統的檢測，可采用抽檢方式開展，結合實際確定檢測數量，抽檢比例不得低于10%，且抽檢數量不得少于2個。等級保護測評報告、技術要求符合性檢測報告，應留檔備查。并網接入管理。在省域自檢測完成后，由省聯網中心或其上級單位向部路網中心提出省域系統整體并網接入申請。由部路網中心對申請接入的省域系統開展復核，方式包括不限于現場技術檢測、調閱文檔、詢問有關工作人員等。如果復核通過，則組織省域系統整體接入；如果復核不通過，由部路網中心通知申請單位開展自查及整改，并重新提交并網接入申請。六、其他要求全國中心系統按照國家關鍵信息基礎設施進行保護，全面落實等級保護第三級要求，并適當予以增強，等級保護測評報告應為“優”級別，由部公路局和科技司負責監督管理。對在技術檢測過程中弄虛作假的第三方服務機構，要嚴肅追究責任，并向全行業通報。本規程由部科技司負責解釋。該規程自2019年10月15日起正式施行。附錄A并網接入網絡安全符合性檢測細則1.省聯網中心1.1通用要求（14項）序號要求項目要求子項要求小項不符合判例“不符合判例”是典型不符合項示例，其他部分由檢測機構根據要求予以明確是否符合。補償措施安全物理環境機房物理訪問控制*機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員。滿足條件（任意條件）：1.機房無電子或機械門鎖，機房入口也無專人值守。2.辦公或外來人員可隨意進出機房，無任何管控、監控措施。機房配備24小時專人值守或配備攝像頭實時監控，可視同符合。安全通信網絡網絡構架a)*應根據業務職能、重要性和所涉及信息的重要程度等因素，根據需要至少劃分收費業務應用（業務數據處理類、業務生產控制類）、其他業務應用（業務輔助類）、數據服務、傳輸接入（部級傳輸接入、下級單位傳輸接入、外部單位傳輸）、運維管理等不同的網絡區域，單獨劃分測試區域，應通過有效措施對各網絡區域進行技術隔離，并按照便捷管理和集約管控的原則為各網絡區域分配地址。滿足條件（任意條件）：1.收費業務應用（業務數據處理類、業務生產控制類）與其他業務應用（業務輔助類等）在同一網絡區域。2.聯網收費業務應用和外部單位存在共享或交換的設備在同一網絡區域。3.運維管理和業務應用在同一區域。4.未單獨劃分測試區域。無。b）應提供關鍵網絡設備的硬件冗余，保證系統的可用性，與全國中心通信應采用雙機熱備。滿足條件（任意條件）：1.與路段公司（或收費站）連接的交換機、防火墻等未提供硬件冗余（至少實現冷備）。2.與全國中心通信未采用雙機熱備。有通信線路冗余及完整的網絡通道，可判定為部分符合。c）*聯網收費系統不得直接提供互聯網服務，如與互聯網應用存在數據交換，應通過設置網閘或者雙防火墻方式實現隔離。滿足條件（任意條件）：1.與互聯網連接，未設置網閘或雙防火墻隔離措施。2.與互聯網區域邊界隔離設備本單位無管理權限。3.與互聯網區域邊界隔離設備訪問控制措施配置不當，存在較大安全隱患。無。通信傳輸應至少采用校驗技術保證部省、省站通信過程中數據的完整性；根據需要可采用密碼技術保證通信過程中數據的完整性；密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網關、IPSecVPN、SSLVPN或其他具有相同功能的設備，且未采用校驗技術進行完整性保護。2.使用AES、RSA、3DES等非國密算法進行通信加密。應用層采用完整性校驗措施，密碼技術滿足國家密碼管理局要求，可視同符合。應采用密碼技術保證部省、省站通信過程中的保密性，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網關、IPSecVPN、SSLVPN或其他具有相同功能的設備。2.使用AES、RSA、3DES等非國密算法進行通信加密。采用應用層加密保護措施，密碼技術滿足國家密碼管理局要求，可視同符合。安全區域邊界邊界保護a)*應保證跨越網絡區域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。滿足條件（任意條件）：1.網絡邊界無任何訪問控制措施。2.網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.網絡邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設備不一定必須是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視同符合。內部網絡邊界如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，可視同符合。b）應能夠對非授權設備私自聯到收費專網的行為進行檢查或限制，阻止非授權訪問。滿足條件（任意條件）：1.物理、網絡等環境不可控，存在非授權接入可能。2.可非授權接入網絡重要區域，如服務器區、管理網段等。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區域有嚴格的物理訪問控制，采用靜態IP地址分配，關閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。能夠對終端或用戶非授權連接到收費網外部網絡的行為進行檢查或限制，阻止非授權訪問。滿足條件（任意條件）未配備終端管控系統、網絡準入系統導致如下情況：1.物理、網絡等環境不可控，存在非授權外聯可能。2.重要核心管理終端、重要業務終端等關鍵設備存在私自外聯互聯網可能。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。4.內部人員可旁路、繞過邊界訪問控制設備私自外聯互聯網。如物理、網絡等環境可控，非授權外聯可能較小，相關設備上的USB接口、無線網卡等有管控措施，對網絡異常進行監控及日志審查，可判定為部分符合。d）*收費專網應嚴格禁止無線局域網絡的使用。滿足條件：存在和收費專網互聯的無線網絡。無。訪問控制應在劃定的網絡區域邊界防護設備上（如防火墻）根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。滿足條件（任意條件）：1.網絡邊界無任何訪問控制措施。2.網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.網絡邊界控制措施失效，無法起到訪問控制功能。可通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現訪問控制，可視同符合。b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區域邊界。訪問控制列表未達到傳輸層端口級訪問控制。無。入侵防范a)應在核心交換機等關鍵網絡節點處部署具備入侵檢測功能的設備，檢測從內部發起的網絡攻擊行為。關鍵網絡節點（如核心服務器區與其他內部網絡區域邊界處）未采取任何防護措施，無法檢測、阻止或限制從內部發起的網絡攻擊行為。如核心服務器區與其他內部網絡之間部署了防火墻等訪問控制設備，且訪問控制措施較為嚴格，發生內部網絡攻擊可能性較小或有一定的檢測、防止或限制能力，可判定為部分符合。如主機層部署入侵檢測產品，且策略庫保持更新，可判定為部分符合。b)應在核心交換機等關鍵網絡節點處部署具備入侵檢測功能的設備，檢測從外部發起的網絡攻擊行為。關鍵網絡節點如收費專網與外部網絡處無入侵防御、防火墻等從外部網絡發起的攻擊行為進行檢測、阻斷或限制。無。c)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析。滿足條件（同時滿足）：1.對網絡行為無分析措施。2.無法對新型網絡攻擊進行分析研判。1.網絡設備具有一定的監測預警和安全分析功能，可判定為部分符合。2.建有網絡安全監測預警或態勢感知平臺，可判定為符合。d)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警，通過人工阻斷方式或配置相應入侵防御設備，防止或限制從內部和外部發起的網絡攻擊行為。入侵檢測設備無法自動防止、限制內部和外部的網絡攻擊行為。建有入侵防御響應機制，可通過告警及時人工阻斷，可判定為視同符合。惡意代碼防范a)應至少在與下級節點和外部連接的防火墻前端部署惡意代碼檢測設備（防毒墻、防病毒網關）或直接部署具備防病毒模塊的防火墻對惡意代碼進行檢測和清除。滿足條件：網絡層無惡意代碼檢測和清除措施。1.如主機層部署惡意代碼檢測和清除產品，且惡意代碼庫保持更新，可判定為部分符合。2.若使用Linux、Unix系統，即使未部署惡意代碼檢測和清除產品，也可判定為部分符合。3.具有十分嚴格的網絡環境、USB介質等管控措施，可判定為部分符合。b)維護惡意代碼防護機制的升級和更新。滿足條件：惡意代碼庫未每月升級。檢查發現未升級記錄后即時升級，可視同符合。安全審計a)*應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要的安全事件進行審計，能對遠程訪問的用戶行為單獨進行行為審計和數據分析。滿足條件：未部署網絡審計系統、日志審計系統，從而在網絡邊界、重要網絡節點無法對重要的用戶行為和重要安全事件進行日志審計。無。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。滿足條件：審計記錄不完整。其他具有安全審計功能的設備具有審計記錄，可視同符合。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。滿足條件：審計記錄未定期備份。安全管理中心對審計記錄進行集中管理，可視同符合。d)*審計記錄留存6個月以上。滿足條件（任意條件）：1.審計記錄未留存6個月。2.審計記錄存儲空間不足以存儲6個月。無。安全計算環境身份鑒別a)應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性。滿足條件：登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可酌情降低風險等級，可判定為部分符合。b)應采用口令、密碼技術、生物技術等鑒別技術對用戶進行身份鑒別，對管理員、運維人員、重要業務系統（業務數據處理類）用戶應采取兩種或兩種以上組合的鑒別技術。滿足條件：重要核心設備、操作系統等未采用兩種或兩種以上鑒別技術對用戶身份進行鑒別。例如僅使用用戶名/口令方式進行身份驗證。1.如設備通過本地登錄方式（非網絡方式）維護，本地物理環境可控，可酌情降低風險等級，可判定為部分符合。2.采用兩重用戶名/口令認證措施（兩重口令不同），例如身份認證服務器、堡壘機等手段，可判定為部分符合。3.如設備所在物理環境、網絡環境安全可控，網絡竊聽、違規接入等隱患較小，口令策略和復雜度、長度符合要求的情況下，可判定為部分符合。c）若只采用用戶口令方式進行身份鑒別，口令須滿足大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換。一、網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統。滿足條件（同時）：1.存在空口令或弱口令帳戶。2.可使用該弱口令帳戶登錄。二、應用系統：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。d)*應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續5次登錄失敗至少鎖定10分鐘。滿足條件（同時）：1.可通過遠程登錄。2.對連續登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進行口令猜測。無。e)當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽。滿足條件（同時）：1.通過不可控網絡環境遠程進行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠程登錄。1.如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可判定為部分符合。2.如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可判定為部分符合。3.如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，根據實際管理情況，及時整改，可判定為部分符合。f)應為與全國中心之間進行通信的計算設備、安全防護設備實現雙向身份標識認證，保障部省傳輸的安全。部省通信的計算設備、安全防護設備未實現雙向身份認證，如基于數字證書的雙向認證。部省通信通過IP+MAC綁定的白名單，可視同符合。訪問控制a)*應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶分配賬戶和權限。可通過直接訪問URL等方式，在不登錄系統的情況下，非授權訪問系統重要功能模塊。無。b)應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令。滿足條件（同時）：1.未修改默認帳戶的默認口令。2.可使用該默認口令賬號登錄。無。c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。存在多余的、過期的賬戶。即時整改，可視同符合。d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離。滿足條件（任意）：1.存在超級管理員。2.未實現賬戶三權分立（安全管理員、審計管理員、系統管理員）。具備堡壘機或其他相應權限管理設備，或者其他輔助審計設備，可視同符合。e)*應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。系統訪問控制策略存在缺陷，可越權訪問系統功能模塊或查看、操作其他用戶的數據。如存在平行越權漏洞，低權限用戶越權訪問高權限用戶所能訪問的功能模塊等。無。f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。訪問控制粒度粗放。無。安全審計a)*應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。滿足條件（同時）：1.業務數據處理類、業務生產控制類等應用系統無任何日志審計功能，重要核心網絡設備、安全設備、操作系統、數據庫等未開啟任何審計功能，無法對用戶的重要行為進行審計。2.無其他技術手段對重要的用戶行為和重要安全事件進行溯源。1.如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安全事件，可視同符合。2.如通過其他技術或管理手段能對事件進行溯源的，可視同符合。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。滿足條件：審計記錄不完整。其他具有安全審計功能的設備具有審計記錄，可視同符合。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。滿足條件：審計記錄未定期備份。安全管理中心對審計記錄進行集中管理，可視同符合。d)*審計記錄留存6個月以上。滿足條件（任意條件）：1.審計記錄未留存6個月。2.審計記錄存儲空間不足以存儲6個月。無。入侵防范a)服務器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序。滿足條件：存在不必要的組件或程序。刪除或卸載相應程序或組件，可視同符合。b)*應關閉不需要的系統服務、默認共享和高危端口。滿足條件：操作系統上的多余系統服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。通過防火墻、入侵防御等防護設備關閉、阻斷對默認共享和高危端口，可視同符合。c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。滿足條件（同時）：1.可通過不可控網絡環境遠程進行管理。2.未采取技術手段對管理終端進行管控（管控措施包括但不限于終端接入管控、網絡地址范圍限制、堡壘機等）。如管理終端部署在運維區、可控網絡或采用多種身份鑒別方式等技術措施，可降低終端管控不善所帶來的安全風險的，可判定為部分符合。d)*應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求。滿足條件：應用系統存在如存在SQL注入、跨站腳本、上傳漏洞等可導致敏感數據泄露、篡改、服務器被入侵等安全事件。無。e)應定期開展漏洞掃描工作，及時發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞。滿足條件：通過驗證測試或滲透測試能夠確認并利用的，可對網絡設備、安全設備、操作系統、數據庫等造成重大安全隱患的漏洞（包括但不限于緩沖區溢出、提權漏洞、遠程代碼執行、嚴重邏輯缺陷、敏感數據泄露等）。只有在相關設備所在的物理、網絡、管理環境嚴格受控，發生攻擊行為可能性較小的情況下，可判定為部分符合。對于互聯網可訪問到的設備，原則上不宜降低其風險等級。f)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。滿足條件：對應用服務器、數據服務器等無入侵檢測報警產品。網絡層面具備入侵檢測/防御設備，可判定為部分符合。g)應嚴格對U盤、移動光驅等外來介質設備的管控，并對各類硬件設備的外接存儲接口進行限制或移除。滿足條件：未對U盤、移動光驅等外來介質設備進行嚴格管控。各類硬件設備的外接接口已移除，可判定為符合。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統未安裝殺毒軟件。2.Windows操作系統安裝的殺毒軟件病毒庫一個月以上未更新至最新病毒庫版本。1.如一個月以上未更新，但有完備的補丁更新/測試計劃，且有歷史計劃執行記錄的，檢測發現后及時更新，可根據服務器部署環境、行業或系統特性，可判定為部分符合。2.惡意代碼防范可與網絡安全部分中的入侵防范和訪問控制措施相結合來綜合評定風險，如網絡層部署了惡意代碼防范設備，可判定為部分符合。3.如具備管控十分嚴格的網絡環境、USB介質等管控措施較好，可判定為部分符合。b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫，支持防惡意代碼的統一升級和管理。滿足條件：主機防惡意代碼產品與網絡防惡意代碼產品為同一品牌或使用相同的惡意代碼庫。無。數據完整性a)采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于鑒別數據、關鍵業務數據（交易和清分數據、拆分數據等）、服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）和公民個人信息等；如使用密碼技術，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.數據在傳輸和存儲過程中無任何完整性保護措施。2.若使用密碼技術，如使用AES、DES、3DES、RSA等。在數據完整性受到破壞時能夠實施數據重傳，并對存儲的數據采取多重備份，可判定為部分符合。數據保密性a)采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據和公民個人信息等；密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.用戶鑒別信息、公民敏感信息數據或重要業務數據等以明文方式在不可控網絡中傳輸。2.若使用密碼技術，如使用AES、DES、3DES、RSA等。如使用國家主管部門認可的網絡加密的技術確保數據在加密通道中傳輸，根據實際情況，可視同符合。采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據和公民個人信息等；如使用密碼技術，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.用戶身份認證信息、個人敏感信息數據等以明文方式存儲。2.無其他有效數據保護措施。3.若使用密碼技術，如使用AES、DES、3DES、RSA等。如采取區域隔離、部署數據庫防火墻、數據防泄露產品等安全防護措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數據備份恢復a)應提供關鍵業務數據（交易和清分數據、拆分數據等）、服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等的本地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份。滿足條件：應用系統未提供任何數據備份措施，一旦遭受數據破壞，無法進行數據恢復。無。b)應提供異地備份功能，利用通信網絡將關鍵業務數據（交易和清分數據、拆分數據等）備份至備份場地；有條件的可提供異地實時備份功能。滿足條件：系統無異地數據備份措施，或異地備份機制無法滿足業務需要。一般來說同城異地機房直接距離不低于為30公里，跨省市異地機房直線距離不低于100公里，如距離上不達標，可酌情降低風險等級，可判定為部分符合。c)應提供關鍵業務數據（交易和清分數據、拆分數據等）處理系統的熱冗余，保證系統的高可用性。滿足條件：關鍵業務數據（交易和清分數據、拆分數據等）處理系統無熱冗余，發生故障可能導致系統停止運行。如當前采取的恢復手段，能夠確保被測單位評估的RTO在可接受范圍內，可判定為部分符合。剩余信息保護a)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。滿足條件（同時）：a)身份鑒別信息釋放或清除機制存在缺陷。b)利用剩余鑒別信息，可非授權訪問系統資源或進行操作。無。b)應保證存有個人信息等敏感數據的存儲空間被釋放或重新分配前得到完全清除。滿足條件（同時）：a)敏感數據釋放或清除機制存在缺陷。b)利用剩余信息，可非授權獲得相關敏感數據。如因特殊業務需要，需要在存儲空間保留敏感數據，且相關敏感數據進行了有效加密/脫敏處理的，并有必要的提示信息，可根據實際情況，可判定為部分符合。安全管理中心權限管理a)應對系統管理員、審計管理員、安全管理員進行身份鑒別，只允許其分別通過特定的命令或操作界面分別進行系統資源配置、安全審計、安全策略配置操作，并對這些操作進行審計。滿足條件：未配備堡壘機或具有其他相同功能設備，導致系統管理員、審計管理員、安全管理員可直接對系統資源配置、安全審計、安全策略進行配置；且操作行為不可審計。無。集中管控a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控。滿足條件：未劃分安全管理區。無。b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理。滿足條件：安全運維操作行為無防竊聽措施。如使用本地內部可控網絡可降低風險，可判定為部分符合。c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。滿足條件：無任何監控措施，發生故障也無法及時對故障進行定位和處理。無。d)應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求。滿足條件：對網絡運行狀態、網絡安全事件等日志的留存不滿足法律法規規定的相關要求（不少于六個月）。無。e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。滿足條件：未對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。如對安全策略、惡意代碼、補丁升級等分別建有安全管理措施，且能嚴格執行，可判定為部分符合。f)應能對網絡中發生的各類安全事件進行識別、報警和分析。滿足條件：無法對網絡中發生的安全事件（包括但不限于網絡攻擊事件、惡意代碼傳播事件等）進行識別、告警和分析。無。

1.2云安全擴展要求（3項）序號要求項目要求子項要求小項不符合判例補償措施基本要求基礎設施位置a）*應確保云計算基礎設施位于中國境內。滿足條件：云計算基礎設施位于中國境外。無。b）*應確保業務數據處理類系統不得部署于公有云平臺。滿足條件：業務數據處理類系統部署于公有云平臺。無。安全通信網絡網絡構架a)應能夠提供虛擬網絡之間的隔離能力，提供按需配置通信傳輸、邊界防護、入侵防范等安全機制的能力。滿足條件（任意條件）：1.未提供虛擬網絡之間的隔離能力。2.無法配置通信傳輸、邊界防護、入侵防范等安全機制。通過硬件設備實現，如硬件防火墻等，可視同符合。b)應允許接入第三方安全產品或服務。滿足條件：未提供接入第三方安全產品或服務的能力。無。安全區域邊界訪問控制a)應采取措施保證虛擬機無法通過網絡非授權訪問宿主機。滿足條件（任意條件）：1.無任何訪問控制措施。2.邊界訪問控制措施配置不當，存在較大安全隱患。3.邊界控制措施失效，無法起到訪問控制功能。無。b)應在虛擬化網絡邊界（云平臺與其他計算環境、虛擬子網與虛擬子網間）部署訪問控制機制，設置訪問控制規則。滿足條件（任意條件）：1.虛擬網絡間無任何訪問控制措施。2.虛擬網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.虛擬網絡邊界控制措施失效，無法起到訪問控制功能。可通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現訪問控制，可視同符合。入侵防范a)應能檢測到內部虛擬機發起的或者針對虛擬網絡節點的網絡攻擊行為，并記錄攻擊類型、攻擊時間和攻擊流量等。滿足條件（同時）：1.無法檢測到內部虛擬機發起的攻擊行為。2.審計記錄不完整。無。b)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量，并進行告警。滿足條件（同時）：1.無法檢測到內部異常流量。2.無法進行告警。無。安全審計a)應對遠程管理時執行的特權命令進行審計，至少包括虛擬機刪除、虛擬機重啟。滿足條件：無日志審計功能或審計不全面。其他具有安全審計功能的設備進行審計記錄，可視同符合。b)應通過云平臺對應用系統和數據進行的操作進行審計。滿足條件：通過云平臺無法對應用系統和數據進行的操作進行審計。其他具有安全審計功能的設備進行審計記錄，可視同符合。安全計算環境身份鑒別a)當進行遠程管理時，管理終端和云計算平臺之間應建立雙向身份驗證機制。滿足條件：未實現雙向身份認證，如基于數字證書的雙向認證。通過IP+MAC綁定的白名單，可判定為部分符合。訪問控制a)*應保證當虛擬機遷移時，訪問控制策略隨其遷移。滿足條件：遷移虛擬機時訪問控制策略無法隨其遷移。無。b)應允許設置不同虛擬機之間的訪問控制策略。滿足條件（任意條件）：1.不同虛擬機之間無任何訪問控制措施。2.不同虛擬機之間無法進行訪問控制策略設置。通過虛擬機自帶防火墻設置訪問控制策略，可判定為部分符合。入侵防范a)應能檢測到虛擬機之間的資源隔離失效，并提供告警。滿足條件（同時）：1.無法檢測到虛擬機之間的隔離失效。2.無法提供有效告警。通過其他監測措施進行檢測，可視同符合。b)應能檢測到非授權新建虛擬機或者重新啟用虛擬機，并提供告警。滿足條件（同時）：1.無法檢測到新建虛擬機、重啟虛擬機等行為。2.無法提供有效告警。通過其他監測措施進行檢測，可視同符合。c)應能夠檢測惡意代碼感染及在虛擬機間蔓延等情況，并提供告警。滿足條件（同時）：1.無法檢測到虛擬機間惡意代碼感染及蔓延等情況。2.無法提供有效告警。通過其他監測措施進行檢測，可視同符合。鏡像和快照保護a)針對收費系統、稽查與信用管理系統等部署在云中的聯網收費業務系統提供加固的操作系統鏡像。滿足條件：1.無云管平臺，對云中的聯網收費業務系統未提供加固的操作系統鏡像。無。b)應采取密碼技術或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。滿足條件：無法保證敏感資源被非法訪問。增配國家主管部門認可的加密軟件，可視同符合。數據完整性和保密性a)應使用校驗碼或密碼技術確保虛擬機遷移過程中，重要數據的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施。如使用密碼技術，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.虛擬機在遷移過程中無任何完整性保護措施。對存儲的數據采取多重備份。保障在完整性受到破壞時能夠實施恢復措施，可視同符合。b)應采用密碼技術保證重要數據傳輸過程中的保密性。滿足條件（任意條件）：1.用戶鑒別信息、公民敏感信息數據或重要業務數據等以明文方式在不可控網絡中傳輸。2.若使用密碼技術，如使用AES、DES、3DES、RSA等。如使用國家主管部門認可的網絡加密的技術確保數據在加密通道中傳輸，根據實際情況，可視同符合。c)應采用密碼技術保證重要數據存儲過程中的保密性。滿足條件（任意條件）：a)用戶身份認證信息、個人敏感信息數據等以明文方式存儲。b)無其他有效數據保護措施。如采取區域隔離、部署數據防泄露產品等安全防護措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數據備份恢復a)應保證業務應用和數據存儲在若干個可用的副本，各副本之間的內容應保持一致。滿足條件（同時）：1.存在若干個副本。2.各副本的內容不一致。具備有效的云集中存儲備份。b)應為業務系統及數據遷移到其他云計算平臺和本地系統提供技術手段。滿足條件（同時）：1.業務系統及數據無法遷移到其他云計算平臺或本地系統。如數據可以遷移，可判定為部分符合。剩余信息保護a)應保證虛擬機所使用的內存和存儲空間回收時得到完全清除。滿足條件（同時）：a)虛擬機釋放或清除機制存在缺陷。b)利用虛擬機使用過的內存或存儲空間，可非授權訪問敏感資源。無。安全管理中心集中管控a)應能對物理資源和虛擬資源按照策略做統一管理調度與分配。滿足條件：無法按照策略做統一管理調度和分配。無。b)應保證云計算平臺管理流量與業務流量分離。滿足條件：管理流量和業務流量未分離。無。c)應對虛擬化網絡、主機等的審計數據進行收集匯總和集中分析。滿足條件：對虛擬化網絡、主機運行狀態、網絡安全事件等進行收集匯總和集中分析。無。d)應對虛擬化網絡、虛擬機、虛擬化安全設備等的運行狀況進行集中監測。滿足條件：無任何監控措施，發生故障也無法及時對故障進行定位和處理。無。e)云安全管理中心應與業務云分開部署于不同物理服務器。滿足條件：部署于同一物理服務器。無。

1.3大數據擴展要求（2項）序號要求類別要求小項不符合判例補償措施大數據安全擴展要求a)大數據平臺應對數據導入服務組件、數據導出終端、數據導出服務組件的使用實施身份鑒別。滿足條件：數據導入服務組件、數據導出終端、數據導出服務組件使用的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。b)大數據平臺應為大數據應用提供管控其計算和存儲資源使用狀況的能力。滿足條件：無法管控其計算和存儲資源使用狀況。無。c)大數據平臺應對其提供的輔助工具或服務組件，實施有效管理。滿足條件：無法對提供的輔助工具或服務組件進行管理。無。d)大數據平臺應屏蔽計算、內存、存儲資源故障，保障業務正常運行。滿足條件：無法屏蔽計算、內存、存儲資源故障。部署于云中，存在多個備份，可視同符合。e)*大數據平臺應提供靜態脫敏和去標識化的工具或服務組件技術。滿足條件；未提供靜態脫敏和去標識化能力。無。f)大數據平臺應提供數據分類分級安全管理功能，供大數據應用針對不同類別級別的數據采取不同的安全保護措施。滿足條件：未提供數據分級分類功能。無。g)*涉及重要數據接口、重要服務接口的調用，應實施訪問控制，包括但不限于數據處理、使用、分析、導出、共享、交換等相關操作。滿足條件：對重要操作提供訪問控制措施。無。h)應在數據清洗和轉換過程中對重要數據進行保護，以保證重要數據清洗和轉換后的一致性，避免數據失真,并在產生問題時能有效還原和恢復。滿足條件（同時）：1.數據清洗和轉換后不一致。2.產生問題后無法進行有效還原和恢復。無。

2.收費站2.1通用要求（10項）序號要求項目要求子項要求小項不符合判例補償措施安全物理環境機房物理訪問控制*機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯系電話、接待人、時間等詳細情況。滿足條件（任意條件）：1.機房無電子或機械門鎖，機房入口也無專人值守。2.辦公或外來人員可隨意進出機房，無任何管控、監控措施。機房配備24小時專人值守或配備攝像頭實時監控，可判定為部分符合。安全通信網絡網絡構架a)*應通過交換機或防火墻等設施至少劃分收費業務、運維管理、設備接入等不同的網絡區域，并為ETC門架系統接入單獨設置網絡區域，按照便捷管理和集約管控的原則為各網絡區域分配地址，通過有效措施對各網絡區域進行技術隔離。滿足條件（任意條件）：1.收費業務和設備接入在同一網絡區域。2.收費業務和運維管理在同一區域。3.未單獨劃分ETC門架系統接入區域。無。b)收費站和全國中心、省聯網中心、區域/路段中心的通信傳輸主干鏈路的通信和安全防護等關鍵設備應采用雙機備份。滿足條件：與全國中心、省聯網中心、區域/路段中心、ETC門架系統連接的交換機、防火墻等未采用雙機備份。具備通信線路冗余及完整的網絡通道，可判定為部分符合。c）*嚴禁在收費站區域內開展收費專網與互聯網數據交互的業務應用。存在收費專網與互聯網數據交互的業務應用，無論是否采用雙防火墻、網閘等隔離措施。無。通信傳輸應至少采用校驗技術保證收費站與全國中心、省聯網中心、路段中心間通信過程中的數據完整性，根據需要還可采用密碼技術保證通信過程中的數據完整性；密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網關、IPSecVPN、SSLVPN或其他具有相同功能的設備，且未采用校驗技術進行完整性保護。2.使用AES、RSA、3DES等非國密算法進行通信加密。應用層采用完整性校驗措施，密碼技術滿足國家密碼管理局要求。可視同符合。b)應采用密碼技術保證收費站和全國中心、省聯網中心、路段中心通信過程中的保密性。滿足條件（任意條件）：1.在收費站與全國中心、省聯網中心、路段中心間通信過程中未配備SSL網關、IPSecVPN、SSLVPN或其他具有相同功能的設備。2.使用AES、RSA、3DES等非國密算法進行通信加密。應用層采用保密保護措施，密碼技術滿足國家密碼管理局要求，可視同符合。安全區域邊界邊界保護a)*應保證跨越網絡區域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。滿足條件（任意條件）：1.網絡邊界無任何訪問控制措施。2.網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.網絡邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設備不一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，可視同符合。應能夠對非授權設備私自聯到收費網絡的行為進行檢查或限制。滿足條件（任意條件）：a)物理、網絡等環境不可控，存在非授權接入可能。b)可非授權接入網絡重要區域，如服務器區、管理網段等。c)無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區域有嚴格的物理訪問控制，采用靜態IP地址分配，關閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。能夠對收費網終端或用戶非授權連接到外部網絡的行為進行檢查或限制。滿足條件（任意條件）未配備終端管系統、網絡準入系統導致如下情況：a)物理、網絡等環境不可控，存在非授權外聯可能。b)重要核心管理終端、重要業務終端等關鍵設備存在私自外聯互聯網可能。c)無任何控制措施，控制措施包括限制、檢查、阻斷等。d)內部人員可旁路、繞過邊界訪問控制設備私自外聯互聯網。如物理、網絡等環境可控，非授權外聯可能較小，相關設備上的USB接口、無線網卡等有管控措施，對網絡異常進行監控及日志審查，可判定為部分符合。*收費專網一般應禁止無線局域網絡的使用，如使用，應采用證書認證技術確保移動設備的可信接入。滿足條件（同時）：a)存在和收費專網互聯的無線網絡。b)未采用有效認證技術確保移動設備的可信接入。無。訪問控制應在劃定的網絡區域邊界防護設備上（如防火墻）根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。滿足條件（任意條件）：1.網絡邊界無任何訪問控制措施。2.網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.網絡邊界控制措施失效，無法起到訪問控制功能。可通過具備ACL功能的路由器、交換機等設備實現訪問控制。則視同符合。b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區域邊界。訪問控制列表未達到傳輸層端口級訪問控制。無。入侵防范a)應在網絡中進行檢測從外部發起的網絡攻擊行為。關鍵網絡節點如收費專網與監控網等外部網絡處無防火墻等從外部網絡發起的攻擊行為進行檢測。無。b)*應在網絡中進行檢測從內部發起的網絡攻擊行為。關鍵網絡節點（如核心服務器區與其他內部網絡區域邊界處）未采取任何防護措施，無法檢測從內部發起的網絡攻擊行為。如網絡設備設置較嚴格的訪問控制策略，且發生內部網絡攻擊可能性較小，可判定為部分符合。安全計算環境身份鑒別a)應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶進行身份標識和鑒別，且保證用戶名具有唯一性。滿足條件：登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，且空/弱口令已整改，可判定為部分符合。b)身份鑒別可采用密碼技術實現，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換。一、網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統。滿足條件（同時）：1.未采用密碼技術。2.存在空口令或弱口令帳戶。二、應用系統：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，且空/弱口令已整改，可判定為部分符合。d)*應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續5次登錄失敗至少鎖定10分鐘。滿足條件（同時）：1.可通過遠程登錄。2.對連續登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進行口令猜測。無。e)當進行遠程管理時，應采取SSH、HTTPS等方式防止管理數據、鑒別信息在網絡傳輸過程中被竊聽。滿足條件（同時）：1.通過不可控網絡環境遠程進行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠程登錄。1.如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可視同符合。2.如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可判定為部分符合。3.如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，根據實際管理情況，可判定為部分符合。f)應為與全國中心之間進行通信的計算設備、安全防護設備實現雙向身份標識認證，保障與全國中心間的傳輸安全。部站通信的計算設備、安全防護設備未實現雙向身份認證，如基于數字證書的雙向認證。部站通信通過IP+MAC綁定的白名單，可判定為部分符合。訪問控制a)應對登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶分配賬戶和權限。可通過直接訪問URL等方式，在不登錄系統的情況下，非授權訪問系統重要功能模塊。無。b)應禁用“超級管理員”權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令。滿足條件（同時）：1.未修改默認帳戶的默認口令。2.可使用該默認口令賬號登錄。無。c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。存在多余的、過期的賬戶。即時整改，可視同符合。安全審計a)*啟用網絡、服務器、中間件、數據庫、終端及應用等計算設備安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。滿足條件（同時）：1.重要核心網絡設備、安全設備、操作系統、數據庫等未開啟任何審計功能，無法對用戶的重要行為進行審計。2.無其他技術手段對重要的用戶行為和重要安全事件進行溯源。a)如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安全事件，可視同符合。b)如通過其他技術或管理手段能對事件進行溯源的，可視同符合。b)審計日志應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。滿足條件：審計記錄不完整。其他具有安全審計功能的設備具有審計記錄。可判定為部分符合。c)應對審計記錄進行保護，定期備份。滿足條件：審計記錄未定期備份。安全管理中心對審計記錄進行集中管理，可視同符合。d)*審計記錄留存6個月以上。滿足條件（任意條件）：1.審計記錄未留存6個月。2.審計記錄存儲空間不足以存儲6個月。無。入侵防范a)服務器、終端等應遵循最小安裝的原則，僅安裝需要的組件和應用程序。滿足條件：存在不必要的組件或程序。刪除或卸載相應程序或組件，可判定為部分符合。b)*應關閉不需要的系統服務、默認共享和高危端口。滿足條件：操作系統上的多余系統服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。通過防火墻、入侵防御等防護設備關閉、阻斷對默認共享和高危端口訪問，可判定為部分符合。c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。滿足條件（同時）：a)可通過不可控網絡環境遠程進行管理。b)未采取技術手段對管理終端進行管控（管控措施包括但不限于終端接入管控、網絡地址范圍限制、堡壘機等）。如管理終端部署在運維區、可控網絡或采用多種身份鑒別方式等技術措施，可降低終端管控不善所帶來的安全風險的，可判定為部分符合。d)應嚴格對U盤、移動光驅等外來介質設備的管控，并對各類硬件設備的外接存儲接口進行限制或移除。滿足條件：未對各類硬件設備的外接接口進行限制或移除。無。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統未安裝殺毒軟件。2.Windows操作系統安裝的殺毒軟件病毒庫一個月以上未更新至最新病毒庫版本。1.如有完備的補丁更新/測試計劃，且有歷史計劃執行記錄的，可判定為部分符合。2.可與網絡層的入侵防范和訪問控制措施相結合來綜合評定風險，如網絡層部署了惡意代碼防范設備，可判定為部分符合。3.如具備管控十分嚴格的網絡環境、USB介質等管控措施較好，可判定為部分符合。b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫，支持防惡意代碼的統一升級和管理。滿足條件：主機防惡意代碼產品與網絡防惡意代碼產品為同一品牌或使用相同的惡意代碼庫。無。數據完整性a)采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，并在檢測到完整性錯誤時采取必要的恢復措施，包括但不限于關鍵業務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等。如使用密碼技術，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.數據在傳輸和存儲過程中無任何完整性保護措施。2.若使用密碼技術，如使用AES、DES、3DES、RSA等。在數據完整性受到破壞時能夠實施數據重傳，并對存儲的數據采取多重備份，可判定為部分符合。數據保密性a)應采用密碼技術保證收費站重要數據（業務數據、鑒別信息）在傳輸過程中的保密性；密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.用戶鑒別信息、重要業務數據等以明文方式在不可控網絡中傳輸。2.若使用密碼技術，如使用AES、DES、3DES、RSA等。如使用國家主管部門認可的網絡加密的技術確保數據在加密通道中傳輸，可根據實際情況，可視同符合。a)應采用密碼技術保證收費站重要數據（業務數據、鑒別信息）在存儲過程中的保密性；密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意條件）：1.用戶身份認證信息等以明文方式存儲。2.無其他有效數據保護措施。3.若使用密碼技術，如使用AES、DES、3DES、RSA等。如采取區域隔離、部署數據庫防火墻、數據防泄露產品等安全防護措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數據備份恢復a)提供關鍵業務數據（交易數據等）和服務支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車輛圖像數據等）等的本地或異地數據備份與恢復功能，每周至少進行一次全備份，每天進行增量備份。滿足條件：應用系統未提供任何數據備份措施，一旦遭受數據破壞，無法進行數據恢復。無。

2.2物聯網安全擴展要求（1項）序號要求項目要求子項要求小項不符合判例補償措施安全物理環境應具備防水、防潮、防塵設計，防護等級應不低于IP55。滿足條件：無法提供證明材料。無。安全區域邊界接入控制應提供設備認證能力，保證只有授權的設備可以接入。滿足條件：未通過部署接入防護設備實現對RSU、車牌圖像識別等設備的IP/MAC地址等屬性信息的注冊管理，以及與部、省聯網中心之間基于國產密碼算法數字證書的可信身份認證。制定嚴格的設備管理接入制度，可判定為部分符合。入侵防范應能夠限制與設備通信的目標地址，以避免對陌生地址的攻擊行為。滿足條件：設備可以與目標地址以外的地址進行通信。無。安全計算環境設備安全a)應保證只有授權的用戶可以對設備上的軟件應用進行配置或變更。滿足條件：登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。設備的合法用戶應具有統一的用戶標識、不得使用默認口令。滿足條件（同時）：1.未修改默認帳戶的默認口令。2.可使用該默認口令賬號登錄。無。c)若只用“用戶名+口令”的鑒別方式進行身份鑒別，則應使用具有一定復雜度的用戶口令（用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位），90天進行更新。一、網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統。滿足條件（同時）：1.未采用密碼技術。2.存在空口令或弱口令帳戶。二、應用系統：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。d)*具有登錄失敗和登錄超時處理功能，連續5次登錄失敗至少鎖定10分鐘。滿足條件（同時）：1.可通過遠程登錄。2.對連續登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進行口令猜測。無。e）當進行遠程管理時應啟用SSH、HTTPS等管理方式，加密管理數據、鑒別信息，防止被網絡竊聽。滿足條件（同時）：1.通過不可控網絡環境遠程進行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠程登錄。1.如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可視同符合。2.如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可判定為部分符合。3.如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，，可判定為部分符合。4.在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，可根據實際管理情況，可判定為部分符合。f）設備應支持遠程集中管控。滿足條件：不支持遠程集中管控。無。

3.ETC門架3.1通用要求（4項）序號要求項目要求子項要求小項不符合判例補償措施安全物理環境物理位置選擇a)ETC門架系統應將計算設備和通信設備布設在具有溫濕度控制、防盜防破壞的環境。滿足條件（同時）：1.計算設備和通信設備布設環境不具備溫濕度控制。2.計算設備和通信設備布設環境不具備防盜防破壞能力。無。b）ETC門架系統的計算設備和通信設備通過有線通信網絡與門架設備連接。滿足條件：未通過有線通信網絡與門架設備連接。無。防盜和防破壞a)應將ETC門架系統的車道控制器、通信設備、供電設備等放置在機柜內，設備及主要部件須進行固定，并設置明顯的不易除去的標記。滿足條件（同時）：1.車道控制器、通信設備、供電設備未放置在機柜內。2.設備及主要部件未進行固定。3.未設置明顯的不易除去的標記。有專人巡邏，或部署有專人值守的視頻監控設施進行監控，可判定為部分符合。b)室外機柜應具備硬件防盜設計，柜體無裸露可拆卸部件，保障柜體難以從外部撬開。滿足條件（任意條件）：1.室外機柜無鎖具等防盜設施。2.柜體存在裸露可拆卸部件。無。c)應通過電子門鎖、視頻監控、設備狀態監測等手段對箱體開啟情況進行監控記錄，及時發現設備的丟失、損壞等異常狀態。滿足條件：無任何措施對箱體開啟進行監測、防護。有嚴密巡邏巡檢制度，可判定為部分符合。防雷擊a)室外機柜內部應集成防雷和接地保護裝置，具備防雷擊和防浪涌沖擊的能力。滿足條件：無任何防雷保護措施。無。防火a)室外機柜應布設剩余電流式電氣火災監控探測器、測溫式電氣火災監控探測器等監測設備。滿足條件：無任何防火保護措施。無。b)室外機柜柜體應采用防火材料。滿足條件：室外機柜柜體未采用防火材料。無。防塵和防水（防潮）a)室外機柜應具備防塵、防水（防潮）設計，防護等級應不低于IP55，部分地區可根據氣候地理條件，采用更高的防護標準。滿足條件：機柜防護級別未達到IP55。未提供相關證明材料。無。溫濕度控制a)室外機柜應集成空調，支持柜內溫度自動調節，保障柜內設備運行在所允許的范圍內。室外機柜無任何溫度控制措施。無。b)室外機柜應具備溫濕度傳感器，ETC門架系統室外設備工作溫度范圍應至少應滿足-20℃~+55℃（寒區-35℃～+40℃），濕度范圍應滿足5%~95%（無凝露），各地區可根據氣候地理條件，進行溫濕度適應范圍調整。滿足條件：ETC門架系統室外設備的工作環境不滿足設備正常運行。無。電力供應a）應配備備用電力供應，保證ETC門架系統的持續電力供應，確保ETC門架系統24小時不間斷工作。滿足條件：無法提供短期備用電力供應或備用電力供應無法滿足系統短期正常運行。無。安全通信網絡網絡構架a)ETC門架系統和省中心、部中心的通信傳輸應提供鏈路冗余，主干鏈路的通信和安全防護等關鍵設備應采用雙機備份。滿足條件：與收費站連接的交換機、防火墻等未提供雙機備份。若有通信線路冗余，則判定為視同符合。b)可根據需要劃分通信設備、計算設備等不同的網絡區域，并按照便捷管理和集約管控的原則為各網絡區域分配地址，應通過有效措施對各網絡區域進行技術隔離。滿足條件（任意條件）：1.未劃分網絡區域。2．對網絡區域邊界隔離設備本單位無管理權限。3.網絡區域邊界隔離設備訪問控制措施配置不當，存在較大安全隱患。無。通信傳輸應至少采用校驗技術保證與全國中心、省聯網中心通信過程中數據的完整性。滿足條件：在與全國中心、省聯網中心通信過程中無數據完整性保護措施。應用層采用完整性校驗措施，可視同符合。b)應采用密碼技術保證與全國中心、省聯網中心通信過程中的保密性，密碼算法應符合國家密碼管理局相關規范要求。滿足條件（任意）：1.在與全國中心、省聯網中心通信過程中未配備SSL網關、IPSecVPN、SSLVPN或其他具有相同功能的設備。2.使用AES、RSA、3DES等非國密算法進行通信加密。采用應用層加密保護措施，密碼技術滿足國家密碼管理局要求，可視同符合。安全區域邊界邊界保護a)通過邊界防護設備，保證跨越網絡區域邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。滿足條件（任意）：1.網絡邊界無任何訪問控制措施。2.網絡邊界訪問控制措施配置不當，存在較大安全隱患。3.網絡邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設備不一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視同符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，可判定為部分符合。b）應能夠對非授權設備私自聯到收費專網的行為進行檢查或限制，阻止非授權訪問。滿足條件（任意條件）：1.物理、網絡等環境不可控，存在非授權接入可能。2.可非授權接入網絡重要區域，如服務器區、管理網段等。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區域有嚴格的物理訪問控制，采用靜態IP地址分配，關閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。c)能夠對終端或用戶非授權連接到收費網外部網絡的行為進行檢查或限制，阻止非授權訪問。滿足條件未配備終端管控系統、網絡準入系統導致如下情況（任意條件）：1.物理、網絡等環境不可控，存在非授權外聯可能。2.重要核心管理終端、重要業務終端等關鍵設備存在私自外聯互聯網可能。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。4.內部人員可旁路、繞過邊界訪問控制設備私自外聯互聯網。如物理、網絡等環境可控，非授權外聯可能較小，相關設備上的USB接口、無線網卡等有管控措施，對網絡異常進行監控及日志審查，可判定為部分符合。訪問控制a）應優化安全設備的訪問控制列表，刪除多余或無效的訪問控制規則，使訪問控制規則數量最小化。滿足條件（任意條件）：1.網絡邊界訪問控制措施配置不當，存在較大安全隱患。2.網絡邊界控制措施失效，無法起到訪問控制功能。無。b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協議等進行檢查，確定是否允許數據包進出該區域邊界。訪問控制列表未達到傳輸層端口級訪問控制。無。入侵防范a)應在核心交換機等關鍵網絡節點處檢測網絡攻擊行為。滿足條件：關鍵網絡節點未配備網絡攻擊檢測設備。配備防火墻，可判定為部分符合。安全計算環境身份鑒別a)ETC門架系統布設的RSU、車牌圖像識別設備、服務器和計算機終端等設施的管理員應進行身份標識和鑒別，且保證在系統整個生存周期用戶名具有唯一性。滿足條件：登錄RSU、車牌圖像識別設備、服務器和計算機終端等管理員用戶存在空口令賬戶，并可以登錄。如采用雙因素認證等鑒別手段，惡意用戶使用空口令帳號無法直接登錄相關設備，可判定為部分符合。b)身份鑒別可采用密碼技術實現，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位，每90天更換。滿足條件（同時）：一、網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統。1.未采用密碼技術。2.存在空口令或弱口令帳戶。二、應用系統：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。如采用雙因素認證等鑒別手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。c)*應啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，連續5次登錄失敗至少鎖定10分鐘。滿足條件（同時）：1.可通過遠程登錄。2.對連續登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進行口令猜測。無。d)當進行遠程管理時，應采取SSH、HTTPS等方式防止鑒別信息在網絡傳輸過程中被竊聽。滿足條件（同時）：1.通過不可控網絡環境遠程進行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠程登錄。1.如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可視同符合。2.如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可判定為部分符合。3.如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，可根據實際管理情況，可判定為部分符合。訪問控制a)*設定特定終端或網絡地址范圍，對通過網絡進行管理的終端進行限制。滿足條件：網絡內非授權終端可對門架系統設備進行管理或操作。無。安全審計a)*應啟用安全審計功能，審計覆蓋到每個遠程連接管理的用戶，對重要的用戶行為和重要安全事件進行審計。滿足條件（同時）：1.無任何日志審計功能，網絡設備、安全設備、操作系統、數據庫等未開啟任何審計功能，無法對用戶的重要行為進行審計。2.無其他技術手段對重要的用戶行為和重要安全事件進行溯源。1.如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安全事件，可視同符合。2.如通過其他技術或管理手段能對事件進行溯源的，可判定為部分符合。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。滿足條件：審計記錄不完整。其他具有安全審計功能的設備具有審計記錄，可視同符合。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。滿足條件：審計記錄未定期備份。如日志上傳到收費站、路段中心或省中心集中備份，可視同符合。入侵防范a)遵循最小安裝原則，所有設備僅安裝需要的組件和應用程序。滿足條件：存在不必要的系統服務、默認共享和高危端口。刪除或卸載相應程序或組件及端口，可判定為部分符合。b）*關閉不必要的系統服務、默認共享和高危端口滿足條件：操作系統上的多余系統服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。通過安全網關等防護設備關閉、阻斷對默認共享和高危端口，可視同符合。c)通過入侵檢測、監測預警等監測手段，發現對ETC門架系統的入侵行為，發生嚴重入侵事件時提供報警。滿足條件（同時）：1.未在收費站門架接入區網絡邊界部署防火墻。2.ETC門架系統計算設備操作系統未開啟防火墻功能。網絡設備具有一定的監測預警和安全分析功能，可判定為部分符合。d)應嚴格對U盤、移動光驅等外來存儲設備的管控，并對各類硬件設備的外接存儲接口進行移除或限制。滿足條件：無對U盤、移動光驅等外來介質設備的管控措施。各類硬件設備的外接接口進行限制或移除，可判定為部分符合。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫，實現對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統未安裝殺毒軟件。2.Windows操作系統安裝的殺毒軟件病毒庫一個月以上未更新至最新病毒庫版本。1.如有完備的補丁更新/測試計劃，且有歷史計劃執行記錄的，可判定為部分符合。2.可與網絡層的入侵防范和訪問控制措施相結合來綜合評定風險，如網絡層部署了惡意代碼防范設備，可判定為部分符合。3.如具備管控十分嚴格的網絡環境、USB介質等管控措施較好，可判定為部分符合。b)對ETC門架系統服務器、終端設備進行統一惡意代碼防范，支持防惡意代碼的統一升級和管理。未配備設備對服務器、終端設備進行惡意代碼防范，或設備不支持統一管理及升級。無。數據可用性a)提供重要數據（指令數據、交易數據、費率數據、車輛圖像數據等）的本地數據存儲。未對重要數據進行本地存儲。在路段分中心或收費站對重要數據進行多重備份存儲，并可及時調取數據，可判定為部分符合。3.2物聯網擴展要求（3項）序號要求項目要求子項要求小項不符合判例補償措施安全物理環境應具備防水、防潮、防塵設計，防護等級應不低于IP55。滿足條件：無法提供證明材料。無。安全區域邊界接入控制應提供設備認證能力，保證只有授權的設備可以接入。滿足條件：未通過部署接入防護設備實現對RSU、車牌圖像識別等設備的IP/MAC地址等屬性信息的注冊管理，以及與部、省聯網中心之間基于國產密碼算法數字證書的可信身份認證。制定嚴格的設備管理接入制度，可判定為部分符合。入侵防范應能夠限制與設備通信的目標地址，以避免對陌生地址的攻擊行為。滿足條件：設備可以與目標地址以外的地址進行通信。無。安全計算環境設備安全a)應保證只有授權的用戶可以對設備上的軟件應用進行配置或變更。滿足條件：登錄網絡、服務器、中間件、數據庫、終端及應用等計算環境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。b)設備的合法用戶應具有統一的用戶標識、不得使用默認口令。滿足條件（同時）：1.未修改默認帳戶的默認口令。2.可使用該默認口令賬號登錄。無。c)*若只用“用戶名+口令”的鑒別方式進行身份鑒別，則應使用具有一定復雜度的用戶口令（用戶口令須由大小寫英文字母、數字、特殊字符3種以上組成、長度不少于8位），90天進行更新。滿足條件（同時）：一、網絡設備、安全設備、服務器、中間件、數據庫、終端及應用系統。1.未采用密碼技術。2.存在空口令或弱口令帳戶。二、應用系統：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可判定為部分符合。d）*具有登錄失敗和登錄超時處理功能，連續5次登錄失敗至少鎖定10分鐘。滿足條件（同時）：1.可通過遠程登錄。2.對連續登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進行口令猜測。無。e）*當進行遠程管理時應啟用SSH、HTTPS等管理方式，加密管理數據、鑒別信息，防止被網絡竊聽。滿足條件（同時）：1.通過不可控網絡環境遠程進行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠程登錄。1.如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可視為等效措施，判符合。2.如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可判定為部分符合。3.如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，可根據實際管理情況，可判定為部分符合。f)設備應支持遠程集中管控。滿足條件：不支持遠程集中管控。無。4.區域/路段中心4.1通用要求（12項）序號要求項目要求子項要求小項不符合判例補償措施安全物理環境機房物理訪問控制a)*機房出入應對外來人員進行身份核實，并記錄下外來人員身份信息、聯系