摘要：取消高速公路省界收費站的工作推進(jìn)，主要依托電子不停車(chē)快捷收費（ETC）技術(shù)，建立ETC門(mén)架系統，實(shí)現ETC車(chē)輛分段收費，MTC車(chē)輛分段計費，出口統一收費。ETC是典型的物聯(lián)網(wǎng)的場(chǎng)景，同時(shí)作為未來(lái)智慧高速的核心場(chǎng)景，物聯(lián)網(wǎng)安全尤為重要。本文按照《聯(lián)網(wǎng)收費系統省域系統并網(wǎng)接入網(wǎng)絡(luò )安全基本技術(shù)要求》的相關(guān)要求落實(shí)等級保護三級要求，并符合物聯(lián)網(wǎng)安全擴展要求。

關(guān)鍵詞：交通；ETC；等級保護；網(wǎng)絡(luò )安全

Abstract: To cancel the work of provincial toll stations on expressways, we mainly rely on electronic toll collection (ETC) technology to establish ETC portal system, realize ETC vehicle subsection charging, MTC vehicle subsection charging and export unified charging.ETC is a typical scenario of the Internet of Things. As the core scenario of future intelligent high-speed, the security of the Internet of Things is particularly important. In accordance with the relevant requirements of "Basic Technical Requirements for the Security of Provincial and Regional Networked Charging System Connected to the Network", this paper implements three-level protection requirements, and meets the requirements of Internet of Things security expansion.

Key words: Traffic; ETC; Level protection; Network security

1　引言

按照第十三屆全國人民代表大會(huì )第二次會(huì )議上《政府工作報告》中提出的“兩年內基本取消全國高速公路省界收費站，實(shí)現不停車(chē)快捷收費，減少擁堵、便利群眾”工作要求，交通運輸部開(kāi)展相關(guān)工作部署，指導并制定了《取消高速公路省界收費站總體技術(shù)方案》等一系列技術(shù)和實(shí)施方案，加快推進(jìn)取消省界收費站，提高高速公路通行效率、降低物流成本、便利群眾出行、減輕群眾負擔和推動(dòng)高速公路高質(zhì)量發(fā)展。

2　現狀

聯(lián)網(wǎng)收費系統總體架構由全國收費公路聯(lián)網(wǎng)結算管理中心（以下簡(jiǎn)稱(chēng)“全國中心”）、?。▍^、市）聯(lián)網(wǎng)結算管理中心（以下簡(jiǎn)稱(chēng)“省聯(lián)網(wǎng)中心”，含具有清分結算功能的區域及路段中心）、省內區域/路段中心、ETC門(mén)架、收費站、收費車(chē)道（MTC車(chē)道、ETC車(chē)道）等組成。

2.1　系統通信網(wǎng)絡(luò )架構

為保證數據實(shí)時(shí)傳輸，ETC門(mén)架和收費站到省聯(lián)網(wǎng)中心、全國中心采用主備雙鏈路，主用鏈路采用省內現有收費通信網(wǎng)絡(luò )，備份通信鏈路可采用電信運營(yíng)商專(zhuān)線(xiàn)網(wǎng)絡(luò )（或現有全國高速公路信息通信干線(xiàn)傳輸系統網(wǎng)絡(luò )）。省聯(lián)網(wǎng)中心到全國中心復用已有跨省清分結算通信鏈路。為加強聯(lián)網(wǎng)收費系統運行監測，建立聯(lián)合稽查和信用管理體系，建立全國中心與收費站、ETC門(mén)架的直連鏈路。通信網(wǎng)絡(luò )構成如圖1所示。

圖1 聯(lián)網(wǎng)收費通信網(wǎng)絡(luò )構成示意圖

2.2　系統總體架構

全國高速公路聯(lián)網(wǎng)收費系統總體架構如圖2所示。

圖2 全國高速公路聯(lián)網(wǎng)收費系統總體架構示意圖

聯(lián)網(wǎng)收費系統由全國中心系統、省聯(lián)網(wǎng)中心系統、ETC門(mén)架系統、收費站（ETC車(chē)道系統、ETC/MTC混合車(chē)道系統）、結算系統、ETC發(fā)行系統、客服系統、稽查與信用管理系統、在線(xiàn)密鑰管理系統組成。

聯(lián)網(wǎng)收費系統根據功能和數據特點(diǎn)，重要數據可以分為鑒別數據、關(guān)鍵業(yè)務(wù)數據（交易和清分數據、拆分數據等）、服務(wù)支持數據（基礎數據、費率數據、黑名單數據、稽查數據、車(chē)輛圖像數據等）和公民個(gè)人信息。

根據各業(yè)務(wù)模塊功能特點(diǎn)，可將聯(lián)網(wǎng)收費系統分為三大類(lèi)：

業(yè)務(wù)數據處理類(lèi)，對收費數據進(jìn)行計算和存儲的相關(guān)系統，主要包括：結算系統、在線(xiàn)密鑰管理與服務(wù)系統等，該類(lèi)系統對數據完整性、保密性和可用性具有較高的要求。

業(yè)務(wù)生產(chǎn)控制類(lèi)，對車(chē)輛的通行進(jìn)行管理控制的相關(guān)系統，主要包括：ETC門(mén)架系統、收費車(chē)道系統等，該類(lèi)系統對控制類(lèi)數據的完整性和業(yè)務(wù)連續性方面具有較高的要求。

業(yè)務(wù)輔助類(lèi)，輔助支撐業(yè)務(wù)數據處理和業(yè)務(wù)生產(chǎn)控制的信息系統，主要包括：ETC發(fā)行系統、CPC卡發(fā)行與管理系統、客服系統、稽查與信用管理系統等，一般不對收費系統核心業(yè)務(wù)運行產(chǎn)生影響，但根據其系統特性，對數據完整性、保密性或業(yè)務(wù)連續性存在響應要求。

2.3　ETC門(mén)架系統

根據《取消高速公路省界收費站總體技術(shù)方案》的規定，原則上，在高速公路每個(gè)互通立交、入/出口之間均設立ETC門(mén)架系統，實(shí)現ETC車(chē)輛和MTC車(chē)輛分段計費，對于ETC車(chē)輛生成交易流水（或通行憑證）、ETC通行記錄和抓拍圖像信息（包括車(chē)牌號碼、車(chē)牌顏色等），并及時(shí)上傳至省聯(lián)網(wǎng)中心和部聯(lián)網(wǎng)中心；對于MTC車(chē)輛，通過(guò)讀取CPC卡內車(chē)輛信息，計算費額并寫(xiě)入CPC卡內，形成CPC卡通行記錄，并同抓拍圖像信息及時(shí)上傳至省聯(lián)網(wǎng)中心和部聯(lián)網(wǎng)中心。

ETC門(mén)架系統由上、下行雙方向部分組成。在省界和非省界路段設置ETC門(mén)架系統，上、下行方向各設置一個(gè)門(mén)架。每個(gè)門(mén)架應具備關(guān)鍵設備（RSU、車(chē)牌圖像識別設備等）冗余設置，當主設備發(fā)生故障時(shí)，備用設備可立即啟用工作。ETC門(mén)架系統布局示意圖如圖3、圖4所示。

圖3  ETC門(mén)架系統布局示意圖（側視）

圖4  ETC門(mén)架系統布局示意圖（俯視）

ETC門(mén)架系統主要由以下設備和設施組成：車(chē)道控制器、RSU、車(chē)牌圖像識別設備、高清攝像機、站級服務(wù)器、防雷接地設施、補光燈、通信設備、供電設備、車(chē)輛檢測器（可選）、交換機、網(wǎng)絡(luò )安全設備等。

3　風(fēng)險分析

ETC門(mén)架系統主要包含ETC門(mén)架收費軟件，車(chē)道控制器、RSU、車(chē)牌圖像識別等設施設備及有關(guān)網(wǎng)絡(luò )基礎運行環(huán)境。ETC門(mén)架系統業(yè)務(wù)數據通過(guò)收費站與省聯(lián)網(wǎng)中心和全國中心建立連接，收費站內為門(mén)架系統服務(wù)的設備。

ETC門(mén)架系統和收費站存在大量設備，如路側單元（RSU，Road Side Unit）等布設的物聯(lián)網(wǎng)設備、車(chē)牌圖像識別設備、以及傳統的服務(wù)器和計算機終端等。其中RSU又稱(chēng)電子標簽讀寫(xiě)器、路側讀寫(xiě)天線(xiàn)、ETC天線(xiàn)、路側設備，安裝在收費車(chē)道門(mén)架上或收費島立柱上的用于同過(guò)往車(chē)輛上的車(chē)載設備進(jìn)行通信的天線(xiàn)及相應的控制設備。其中門(mén)架也存在大量的終端設備，是網(wǎng)絡(luò )中處于網(wǎng)絡(luò )最外圍的設備，主要用于用戶(hù)信息的輸入以及處理結果的輸出等，在聯(lián)網(wǎng)收費系統中主要包括兩類(lèi)：

一是收費業(yè)務(wù)相關(guān)工作人員使用的設備，包括收費業(yè)務(wù)計算機終端、收費業(yè)務(wù)手持終端等；

二是ETC門(mén)架系統部署的前端設備，包括智能攝像頭、RSU、控制終端等。

大量的終端設備、服務(wù)器、物聯(lián)網(wǎng)設備接入到收費專(zhuān)網(wǎng)中，安全風(fēng)險存在并不局限于：

（1）物聯(lián)網(wǎng)終端眾多，資產(chǎn)情況難以掌握，存在違規接入的風(fēng)險，同時(shí)缺失運維手段、事件監測通報以及應急處理機制；

（2）大量門(mén)架系統包括收費站部署在戶(hù)外、分散安裝、易被接觸到而又沒(méi)有納入管理，導致物理攻擊、篡改和仿冒；

（3）終端普遍存在漏洞和大量開(kāi)放端口等安全風(fēng)險，容易被惡意代碼感染形成僵尸主機，進(jìn)而構成僵尸網(wǎng)絡(luò )；

（4）數據都是明文傳輸，容易被篡改和竊聽(tīng)，對收費專(zhuān)網(wǎng)造成很大的泄密和攻擊隱患。

基于以上安全威脅，黑客入侵物聯(lián)網(wǎng)的設備后可以進(jìn)行大規模的破壞，進(jìn)而威脅到收費專(zhuān)網(wǎng)的核心資產(chǎn)和業(yè)務(wù)。

·分布式拒絕服務(wù)（DDoS, DistributedDenial ofService）攻擊進(jìn)行業(yè)務(wù)破壞或勒索

由于門(mén)架終端數量龐大，且由于其能持續向云端發(fā)送數據，目前已經(jīng)成為攻擊者組建“僵尸網(wǎng)絡(luò )”的主要來(lái)源，并正在成為DDoS發(fā)起的主要陣地。如Mirai通過(guò)對攝像頭入侵，向DNS運營(yíng)商DYN發(fā)起了大規模的DDoS攻擊，致使整個(gè)美國網(wǎng)絡(luò )訪(fǎng)問(wèn)大規模中斷；2017年2月被發(fā)現的Linux.ProxyM物聯(lián)僵尸網(wǎng)絡(luò )，僅用4個(gè)月就控制了超過(guò)萬(wàn)臺物聯(lián)網(wǎng)終端。

·仿冒攻擊

由于門(mén)架終端難以物理管控，因此通過(guò)對物聯(lián)網(wǎng)終端的冒用替換，以此為跳板可以直接威脅到收費專(zhuān)網(wǎng)的核心業(yè)務(wù)系統。如在某行業(yè)紅藍對抗中，黑客通過(guò)ETC系統的冒用進(jìn)入入侵攻破了該行業(yè)的核心業(yè)務(wù)服務(wù)器。

·國家關(guān)鍵基礎設施遭破壞

門(mén)架、收費站、路段中心系統屬于國家關(guān)鍵基礎設施。由于終端設備大都采用相同或者相似的軟硬件方案，意味著(zhù)一臺被攻破，就可以使所有的終端全軍覆沒(méi)。這些事關(guān)國計民生的基礎設施一旦遭遇風(fēng)險，勢必引發(fā)重大后果，可能會(huì )造成無(wú)法估量的經(jīng)濟損失，甚至會(huì )引起社會(huì )恐慌。

4　網(wǎng)絡(luò )安全防護建議

4.1　防護原則

（1）分區分域防護原則

任何安全措施都不是絕對安全可靠的，為保障攻破一層或一類(lèi)保護的攻擊行為不會(huì )破壞整個(gè)信息系統，以達到縱深防御的安全目標，需要合理劃分安全域，綜合采用多種有效安全保護措施，實(shí)施多層、多重保護。

（2）均衡性保護原則

對任何類(lèi)型網(wǎng)絡(luò )，絕對安全難以達到，也不一定是必須的，需正確處理安全需求、安全風(fēng)險與安全保護代價(jià)的關(guān)系。因此，結合適度防護實(shí)現分等級安全保護，做到安全性與可用性平衡，達到技術(shù)上可實(shí)現、經(jīng)濟上可執行。

（3）技術(shù)與管理相結合

信息安全涉及人、技術(shù)、操作等方面要素，單靠技術(shù)或單靠管理都不可能實(shí)現。因此在考慮信息安全時(shí)，必須將各種安全技術(shù)與運行管理機制、人員思想教育、技術(shù)培訓、安全規章制度建設相結合。

（4）動(dòng)態(tài)調整與可擴展

由于網(wǎng)絡(luò )安全需求會(huì )不斷變化，以及環(huán)境、條件、時(shí)間的限制，因此安全防護一步到位，一勞永逸地解決信息安全問(wèn)題是不現實(shí)的。信息安全保障建設可先保證基本的、必須的安全保護，后續再根據應用和網(wǎng)絡(luò )安全技術(shù)的發(fā)展，不斷調整安全策略，加強安全防護力度，以適應新的網(wǎng)絡(luò )安全環(huán)境，滿(mǎn)足新的信息安全需求。

（5）網(wǎng)絡(luò )安全三同步原則

信息系統在新建、改建、擴建時(shí)應當同步建設信息安全設施，確保其具有支持業(yè)務(wù)穩定、持續運行性能的同時(shí)，保證安全技術(shù)措施同步規劃、同步建設、同步使用，以保障信息安全與信息化建設相適應。

4.2　網(wǎng)絡(luò )安全防護思路

參考等級保護安全設計要求，建議設計思路如下：

（1）根據信息系統的安全定級結果，明確該等級對應的總體防護描述；

（2）根據系統和子系統劃分結果、安全定級結果將保護對象歸類(lèi)，并組成保護對象框架；

（3）根據方案的設計目標來(lái)建立整體保障框架，來(lái)指導整個(gè)等級保護方案的設計，明確關(guān)鍵的安全要素、流程及相互關(guān)系；在安全措施框架細化后將補充到整體保障框架中；

（4）根據此等級受到的威脅對應出該等級的保護要求（即需求分析），并分布到物理和環(huán)境、網(wǎng)絡(luò )和通信、設備與計算、應用和數據等層面上；

（5）根據由威脅引出的等級保護基本要求、等級保護實(shí)施過(guò)程、整體保障框架來(lái)確定總體安全策略（即總體安全目標），再根據等級保護的要求將總體安全策略細分為不同的具體策略（即具體安全目標），包括安全域內部、安全域邊界和安全域互聯(lián)策略；

（6）根據保護對象框架、等級化安全措施要求、安全措施的成本來(lái)選擇和調整安全措施；根據安全技術(shù)體系和安全管理體系的劃分，各安全措施共同組成了安全措施框架；

（7）各保護對象根據系統功能特性、安全價(jià)值以及面臨威脅的相似性來(lái)進(jìn)行安全區域的劃分；各安全區域將保護對象框架劃分成不同部分，即各安全措施發(fā)生作用的保護對象集合；

（8）根據選擇好的各保護對象安全措施、安全措施框架、實(shí)際的具體需求來(lái)設計安全解決方案。

4.3　網(wǎng)絡(luò )安全技術(shù)架構

《聯(lián)網(wǎng)收費系統省域系統并網(wǎng)接入網(wǎng)絡(luò )安全基本技術(shù)要求》中要求按照國家網(wǎng)絡(luò )安全政策法規和技術(shù)標準體系的有關(guān)要求，落實(shí)網(wǎng)絡(luò )安全等級保護制度，圍繞聯(lián)網(wǎng)收費三類(lèi)系統的安全保護需求，針對聯(lián)網(wǎng)收費系統重要數據和業(yè)務(wù)系統進(jìn)行分級分類(lèi)管理，從安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境及安全管理中心等五個(gè)方面提出通用安全要求以及云計算、大數據及物聯(lián)網(wǎng)三個(gè)方面提出擴展安全要求，以建立聯(lián)網(wǎng)收費系統網(wǎng)絡(luò )安全技術(shù)防護體系，構建綜合防御能力，總體安全框架體系如圖5所示。

圖5  聯(lián)網(wǎng)收費系統網(wǎng)絡(luò )安全技術(shù)框架

4.4　ETC門(mén)架系統網(wǎng)絡(luò )安全防護建議

綜上，門(mén)架系統網(wǎng)絡(luò )安全防護所采用的產(chǎn)品可以確保并網(wǎng)接入自由流虛擬站、區域中心/路段中心、收費站通過(guò)有效安全認證和訪(fǎng)問(wèn)控制，保證收費專(zhuān)網(wǎng)安全接入和隔離屬性，實(shí)現安全可靠通信傳輸和數據交換共享，及時(shí)監測預警網(wǎng)內網(wǎng)外攻擊行為，具備數據級備份恢復能力。能滿(mǎn)足ETC門(mén)架、收費站等系統的通信傳輸、邊界防護、訪(fǎng)問(wèn)控制、入侵防范、安全審計以及物聯(lián)網(wǎng)擴展安全要求如設備認證、身份鑒別等一體化安全防護需求。

（1）數據安全方面，采用基于國密的數據加密，對關(guān)鍵的計費等數據實(shí)現通信加密。產(chǎn)品嚴格的密鑰管理辦法，采用純硬件算法，嚴格符合國家商用密碼技術(shù)規范。密鑰使用真隨機數發(fā)生器產(chǎn)生，并加密存儲在加密機安全芯片內部，確保信息安全可靠。

（2）區域邊界安全防護方面，產(chǎn)品支持防火墻，具備入侵檢測、監測預警等功能，來(lái)實(shí)現邊界防護、訪(fǎng)問(wèn)控制、入侵防范等區域邊界安全要求。

（3）物聯(lián)網(wǎng)安全擴展要求方面，RSU、高清車(chē)牌視頻識別等設備應通過(guò)部署接入防護設備，實(shí)現設備IP/MAC地址等屬性信息注冊管理，設備通信地址管控，設備訪(fǎng)問(wèn)權限控制和設備遠程安全管理等物聯(lián)網(wǎng)擴展安全要求。網(wǎng)絡(luò )安全防護產(chǎn)品實(shí)現了一種無(wú)代理的安全防護方法，也就是說(shuō)無(wú)須改造門(mén)架和收費站系統中的物聯(lián)網(wǎng)設備，即可有效地幫助解決大型、動(dòng)態(tài)和多樣性等復雜收費網(wǎng)絡(luò )環(huán)境下的物聯(lián)網(wǎng)終端可見(jiàn)性和安全控制的挑戰。如在自由流虛擬站安全方面，RSU、高清車(chē)牌視頻識別等前端設備容易丟失、損壞和仿冒，產(chǎn)品可以準確實(shí)時(shí)的識別設備的在/離線(xiàn)狀態(tài)、是否被仿冒等功能，可以有效地彌補產(chǎn)品在戶(hù)外部署所帶來(lái)的物理環(huán)境安全問(wèn)題。

（4）系統適應性方面，產(chǎn)品支持雙機熱備和Bypass等功能，可有效地保證收費網(wǎng)絡(luò )的業(yè)務(wù)連續性。

5　結論

門(mén)架系統網(wǎng)絡(luò )安全建設建議基于分布式安全防護的理念，實(shí)現了從門(mén)架、收費站、路段中心到省部級立體化的綜合安全防護方案，要覆蓋了《等保2.0》三級的安全建設要求，同時(shí)門(mén)架系統建議實(shí)現物聯(lián)網(wǎng)安全防護能力，能夠覆蓋未來(lái)智慧高速的安全需求。

通過(guò)在每個(gè)門(mén)架部署安全防護設備，實(shí)現了對門(mén)架上車(chē)道攝像頭、ETC天線(xiàn)、曝光燈、RSU、氣象、交調等設備的資產(chǎn)管控、仿冒檢測、訪(fǎng)問(wèn)控制、業(yè)務(wù)安全等防護功能，覆蓋了門(mén)架和收費站安全域防護需求；同時(shí)在路段和省部署安全防護設備，與門(mén)架防護系統建立基于國密的數據鏈路安全加密機制，保護收費等關(guān)鍵數據的安全傳輸；在省/部級部署安全管理平臺實(shí)現統一的設備管理和全局安全決策。

作者簡(jiǎn)介

劉健帥（1984-），男，河北人，高級工程師，碩士，現就職于啟明星辰信息技術(shù)集團股份有限公司，任高級咨詢(xún)顧問(wèn)，研究方向為工業(yè)互聯(lián)網(wǎng)安全。

張　帥（1984-），男，河北人，高級工程師，碩士，現就職于啟明星辰信息技術(shù)集團股份有限公司，任研發(fā)總監，研究方向為物聯(lián)網(wǎng)安全、工控安全及云安全。

孫志華（1981-），男，河北人，本科，現就職于啟明星辰信息技術(shù)集團股份有限公司，任產(chǎn)品經(jīng)理，研究方向為工業(yè)安全、物聯(lián)網(wǎng)安全、車(chē)聯(lián)網(wǎng)安全。

參考文獻：

[1] GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S] .

[2] 全國人民代表大會(huì )常務(wù)委員會(huì ). 中華人民共和國網(wǎng)絡(luò )安全法[Z]. 2016.

[3] 聯(lián)網(wǎng)收費系統省域系統并網(wǎng)接入網(wǎng)絡(luò )安全基本技術(shù)要求[Z].

[4] 國務(wù)院辦公廳. 深化收費公路制度改革取消高速公路省界收費站實(shí)施方案[Z]. 2019.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》