高速公路联网收费系统安全与管理

　　高速公路的联网收费之后，各路段的通行费结算拆分以出口交易数据作为唯一依据，所以，联网收费系统的安全性、可靠性是整个高速公路运营的重中之重。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。联网收费系统的安全是联网收费正常运作的重要保障，必须有足够强的安全措施及完善的内部管理策略，才能确保联网收费的保密性、完整性和可用性。因此对高速公路的联网收费系统进行有效的安全管理，有利于降低运行风险．提高运作效率，保证联网收费业务的正常运作。

　　一．系统安全技术目标

　　1、具有抵抗一般强度地震、台风等自然灾害的能力。

　　2、具有防雷击能力。

　　3、具有防水、防潮、防火能力。

　　4、具有防止电压波动、短时断电、抗静电、抗电磁干扰的能力。

　　5、关键硬件设备应具有冗余能力。

　　6、具有对数据传输、存储进行完整性检测的能力。

　　7、对传输和存储信息进行保密性保护的能力。

　　8、具有重要数据恢复的能力。

　　9、具有系统软件、应用软件容错能力。

　　10、具有软件故障分析能力。

　　11、具有记录用户操作行为的能力。

　　12、具有对网络漏洞进行检测、防止网络攻击的能力。

　　13、具有用户识别、访问控制的能力。

　　二．物理安全保证

　　1、联网收费系统采用避雷针加防雷器的模式，根据设备分别选用电源、数据、视频、网络、控制等信号的防雷器，并做到多重分级保护。

　　2、供电采用两路电源，实现一主一备。重要负荷（收费计算机、收费车道）采用双UPS1+1方式备份，双UPS同时供电。

　　3、关键机电设备、链路冗余：核心交换机、路由器、服务器等宜采用冗余配置，交换引擎、路由模块、服务器模块、电源模块出现故障或整台设备不能工作时，会自动切换至备份的模块或设备上；收费数据传输中一条骨干链路发生故障时，备用链路会自动切换保护。

　　4、内外网隔离：应严格将联网收费网络系统与办公自动化网络系统（OA） 和因特网物理隔离，保证内部信息网络不受外部黑客攻击，明确安全边界，以增强网络的可控性，便于内部管理。

　　三． 网络安全

　　1、网络反病毒技术：在省收费结算中心设置防病毒服务器，负责对全省高速公路联网收费网络进行统一防病毒管理，包括统一升级、更新。

　　2、入侵检测系统：在联网收费网络系统中可设置入侵检测系统，以发现违规访问、隐蔽攻击、阻断网络连接、内部越权访问等。

　　3、网络边界访问控制：在内部局域网与外部广域网之间，应设置防火墙实现内外网的隔离与访问控制。在联网收费结算管理中心的骨干路由器与骨干网连接处、拨号访问服务器与PSTN 网连接处、专线与银行连接处均要分别设置防火墙。

　　4、网络安全域的划分、隔离及访问控制：通过在交换机上划分虚拟局域网（VLAN），实现内部网段的隔离，以防止影响单个网段的问题在整个网络传播。

　　5、综合性安全管理平台：通过设置安全管理平台，对联网收费网络中各种安全设备和安全软件的集中管理和监控。

　　四．操作系统安全

　　1、账户安全管理：将操作系统的系统级账户、业务操作级账户建立适当的安全级别；应按照用户权限最小化原则，用不同的操作环境限定不同权限，宜将系统级账户划分为系统管理员、安全管理员、系统操作员。

　　2、操作系统用户口令分级设置和管理：设置的口令至少有6 位的非字母字符式的密码，包括数字和特殊字符；所有的口令都应有时间限制，最长不宜超过三个月，系统管理员可以强制用户定期做口令修改。

　　3、系统安全检测及防范：应建立完备的联网收费操作系统配置信息档案，对服务器、工作站操作系统的配置文件、后台服务进程、文件的属主、用户账户、工作组及权限进行安全检测；宜合理修改操作系统网络配置，设置合适的TCP 等外部连接端口；安装必要的安全加强工具，加强系统完整性检测；宜严格管理系统日志，实时地监测系统状态、检测和跟踪入侵者，并记录重要的系统文件，为控管、审计和监测提供数据。

　　4、系统入侵检测：宜采用身份鉴别、自主访问控制、强制访问控制、安全审计等以进一步提高操作系统的安全管理技术。

 
　　五．数据库安全

　　1、账户安全管理：宜将数据库访问分为登录权限、管理权限、管理员权限等三种用户权限。

　　2、口令安全管理：口令至少有6 位的非字母字符式的密码，包括数字和特殊字符；所有的口令有效期最长不宜超过三个月，系统管理员可以强制用户定期做口令修改。

　　3、角色权限管理：应合理设置访问对象的权限，给开发人员、数据库管理员和普通用户授予应有的角色和权限。为全部的数据库文件设置恰当的保护级别。

　　4、审计管理：数据库系统可以采用用户审计、系统审计、操作审计、对象审计等多种审计管理方式。

　　六 ．数据生成和存取的安全性保障

　　1、应对输入信息的数据类型和取值范围进行校核，当企图录入不正确的数据类型或者取值超出范围时应给予警示并拒绝录入。

　　2、对各类收费业务流程，除了考虑适当的灵活性，还应当充分考虑防作弊功能，对一些重要的操作（例如车型改判的确认、超时车、回头车、坏卡车、车牌不符车的处理等）采用动态联机授权，确保有两个以上的人员同时在场进行处理。

　　3、车道软件应具有动态屏蔽按键的功能，尤其对系统功能键要具有很好的屏蔽效果，防止因按键失误而产生误操作，产生错误的数据。

　　4、数据库密码、操作员口令等敏感数据必须采用加密存储，并且对密码的使用进行严格控制，防止盗用数据库账号或者使用他人身份伪造或篡改数据。

　　5、联网收费划账指令必须加密，指令内容必须包含支付密码，支付密码由支付密码器根据划账指令中的关键信息临时生成，由银行负责校验，支付密码器由银行提供并由专人负责保管和使用。

　　6、非接触式IC 卡上的信息应按照卡片基本信息、持卡人、免费资料、入口交易信息等分别存取，按照一定的加密体系和措施进行加密，并做到一卡一密，防止别有用心的人利用卡片上的信息进行破解。

　　7、非现金支付卡、电子标签内的原始交易数据、支付数据、车辆信息、持卡人信息等按照统一的安全标准进行安全认证和安全管理，确保其安全性、可靠性。

　　七 数据存储的安全

　　1、系统冗余：宜采用系统冗余来提高系统的高可用性，应采用组件冗余和使用实时应用集群来保护数据存储系统。

　　2、灾难恢复：灾难恢复包括完整的备份计划和灾难后恢复计划，应从根本上确保联网收费数据的安全。

　　3、联网收费结算管理中心异地冗灾：根据路网分布的条件，可在较远的路中心设置省联网收费管理中心的异地容灾点。备份通道采用高速公路通信专网为主，带宽100M，以ADSL公网通道作为备份。异地容灾点需增加一套服务器和磁盘阵列，数据备份采用同步镜像技术。

　　八． 数据传输的安全

　　1、联网收费软件应首选成熟的商用中间件，直接进行通讯时，应选择安全的通讯协议，连接双方应具有严格的握手协议、双向身份验证机制，传输节点之间应互相保留对方的认证信息，对对方的身份进行检测和识别，只有身份合法者可以进行数据传输业务。

　　2、各级系统间需要相互传递的数据采用加密传输，接收方对发送方送出的数据进行严格的校验，如MAC 校验、CRC 校验等，防止伪造数据或者数据在传输过程中被修改，校验不通过的数据将被视为非法数据，并被记入通讯日志，并产生相应的报警信息。

　　3、宜采用RSA、DES、3DES 等经典数据加密算法，定期更换加密解密的密钥，防止加密信息遭到恶意破解。

　　4、加密解密过程应使用经过有关部门检测认证的硬件加密产品，也可以使用软件加密。选择软件加密时，应慎重选择加密算法，并对密钥进行严格的管理。

　　5、为了减少因原始收费数据中途停留而遭到恶意篡改，应尽量选择使用最短的途径将原始收费数据直接送达省收费结算中心，并提供相应的措施检查原始收费数据的真实性、完整性、一致性、安全性和抗抵赖性。

　　6、原则上不允许进行跨系统的联机实时交易，与银行等外部网络间数据交换应特别强调网络的隔离和放火墙的设置。

　　九．应用软件的安全

　　1、应用软件的人机界面友好，避免误操作。

　　2、对输入信息的数据类型、取值范围进行校核，错误者拒绝录入。

　　3、对重要操作采用动态联机授权方式处理。

　　4、车道收费软件具有动态屏蔽按键功能。

　　5、数据库密码、操作员口令等敏感数据必须采用加密存储。

　　6、划账指令必须加密。支付密码根据划账指令中的关键信息临时生成，由清算银行负责校验。

　　7、非接触IC卡按照严密的加密体系和措施进行加密，一卡一密。

　　8、非现金支付卡、电子标签内的原始交易数据、支付数据、车辆信息、持卡人信息按照统一的安全标准进行安全认证和管理。

 
　　十． IC卡的安全

　　1、IC卡基本安全管理要求

　　公路联网收费的IC 卡的密钥安全体系以数据加密标准（DES）算法（包括Triple-DES）为基础，以《中国金融集成电路（IC）卡规范》等要求为依据设计卡的安全体系。卡片中各文件的密钥应设计为一卡一密、一扇区一密，以防止整个应用系统的安全体系被攻破。

　　2、IC卡读写机具安全要求

　　IC 卡读写机具应支持一卡一密的各类卡片（非接触逻辑加密卡、CPU 卡等）的读写。所有IC 卡读写机具中都应有负责安全控制管理的SAM。

　　3、通用数据安全要求

　　在更新参数和下载新的应用程序时，IC 卡读写机具必须做到：

　　★验证更新方的身份，对于应用程序重新下载，只允许IC 卡读写机具制造厂商、IC 卡读写机具所有者或者有授权的第三方执行；

　　★校验下载数据的完整性；

　　★无论在什么情况下，IC 卡读写机具中的数据都不会随意改变和丢失，并保证数据有效。

　　4、敏感数据安全要求

　　所有敏感数据都存储在SAM 中。SAM 主要负责和处理所有的敏感数据，这些数据包括消费密钥或传输密钥等。

　　5、安全存取模块的安全要求

　　SAM 任何部分的损坏或失效都不会导致敏感数据的泄露；SAM 应具有一定防窃、查窃机制和足够的防范特性，能够发现数据是否被篡改过。

　　6、安全存取模块的逻辑安全要求

　　SAM的逻辑设计应保证：调用任何单一功能或组合功能，都不会导致敏感数据的泄露。对于某些敏感数据操作，应有一定的权限限制。

　　SAM中可以存放多组不同版本不同索引的主密钥。

　　为避免伪操作，存放在SAM中的不同类型的主密钥必须与不同特定的应用操作相结合。

　　7、联网收费系统IC卡密钥管理体系

　　高速公路联网收费系统的密钥管理体系可分为两大类，包括：非接触逻辑加密卡密钥管理体系以及非现金支付CPU卡的密钥管理体系。人工现金收费系统中非接触逻辑加密卡（用于通行券、身份卡、公务卡等）的密钥由省收费结算中心统一管理。

　　考虑到未来跨区域非现金方式的通行费支付与结算，电子收费系统中使用的双界面CPU 卡等的密钥须由全国公路联网电子收费密钥管理中心实行统一管理。密钥的装载、更新和下发应符合中国人民银行PSAM 卡标准。

　　各区域联网收费系统所使用的密钥为全国公路联网电子收费密钥管理中心从根密钥分散后得到的二级密钥。

　　高速公路联网电子收费非现金支付密钥管理系统采用3DES 加密算法，采用由全国公路联网电子收费密钥管理中心、区域（省、市）联网收费结算中心组成的二级管理体制，可在全国范围内实现公共主密钥的安全共享、跨区域收费交易。

　　十一．系统安全管理保障措施

　　在联网收费管理安全性方面可以考虑如下措施：

　　- 制定统一、合理、高效的安全策略并坚决执行。

　　- 在关键岗位选拔有责任心的觉悟高的员工。

　　- 提高内部人员的安全意识。

　　- 长抓不懈，及时发现安全隐患并加以解决。

　　联网收费安全管理的核心是建立和执行安全制度。这种安全制度应人人了解并严格执行。在安全全制度中，一般要考虑如下问题：

　　- 具体明确地规定用户责任和工作要求。

　　- 具体明确地规定如何按责任考察用户的工作情况。

　　- 具体明确地规定本地和远地的用户认证方法。

　　- 具体明确地规定数据备份和恢复策略。

　　- 具体明确地规定病毒防护措施。

　　- 具体明确地规定日常应该检查的安全隐患，如磁盘空间已满，日志信息中出现可疑操作等。

　　- 具体明确地规定网络访问、服务访问等方面的细节。

　　—具体明确地规定员工有关安全意识及安全技术等方面的教育培训措施。
 

  【中安网原创稿件声明】转载中安网文章时应遵循以下三个规则：1、保持原创文章中图表、图片、音视频的完整性；2、完整标注文章作者［文章前后有说明］；3、转载中安网原创中部分内容也要完整标注来源"中安网"，违者本网将依法追究。