摘要：取消高速公路省界收費站的工作推進，主要依托電子不停車快捷收費（ETC）技術，建立ETC門架系統(tǒng)，實現(xiàn)ETC車輛分段收費，MTC車輛分段計費，出口統(tǒng)一收費。ETC是典型的物聯(lián)網(wǎng)的場景，同時作為未來智慧高速的核心場景，物聯(lián)網(wǎng)安全尤為重要。本文按照《聯(lián)網(wǎng)收費系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡安全基本技術要求》的相關要求落實等級保護三級要求，并符合物聯(lián)網(wǎng)安全擴展要求。

關鍵詞：交通；ETC；等級保護；網(wǎng)絡安全

Abstract: To cancel the work of provincial toll stations on expressways, we mainly rely on electronic toll collection (ETC) technology to establish ETC portal system, realize ETC vehicle subsection charging, MTC vehicle subsection charging and export unified charging.ETC is a typical scenario of the Internet of Things. As the core scenario of future intelligent high-speed, the security of the Internet of Things is particularly important. In accordance with the relevant requirements of "Basic Technical Requirements for the Security of Provincial and Regional Networked Charging System Connected to the Network", this paper implements three-level protection requirements, and meets the requirements of Internet of Things security expansion.

Key words: Traffic; ETC; Level protection; Network security

1　引言

按照第十三屆全國人民代表大會第二次會議上《政府工作報告》中提出的“兩年內(nèi)基本取消全國高速公路省界收費站，實現(xiàn)不停車快捷收費，減少擁堵、便利群眾”工作要求，交通運輸部開展相關工作部署，指導并制定了《取消高速公路省界收費站總體技術方案》等一系列技術和實施方案，加快推進取消省界收費站，提高高速公路通行效率、降低物流成本、便利群眾出行、減輕群眾負擔和推動高速公路高質(zhì)量發(fā)展。

2　現(xiàn)狀

聯(lián)網(wǎng)收費系統(tǒng)總體架構由全國收費公路聯(lián)網(wǎng)結算管理中心（以下簡稱“全國中心”）、省（區(qū)、市）聯(lián)網(wǎng)結算管理中心（以下簡稱“省聯(lián)網(wǎng)中心”，含具有清分結算功能的區(qū)域及路段中心）、省內(nèi)區(qū)域/路段中心、ETC門架、收費站、收費車道（MTC車道、ETC車道）等組成。

2.1　系統(tǒng)通信網(wǎng)絡架構

為保證數(shù)據(jù)實時傳輸，ETC門架和收費站到省聯(lián)網(wǎng)中心、全國中心采用主備雙鏈路，主用鏈路采用省內(nèi)現(xiàn)有收費通信網(wǎng)絡，備份通信鏈路可采用電信運營商專線網(wǎng)絡（或現(xiàn)有全國高速公路信息通信干線傳輸系統(tǒng)網(wǎng)絡）。省聯(lián)網(wǎng)中心到全國中心復用已有跨省清分結算通信鏈路。為加強聯(lián)網(wǎng)收費系統(tǒng)運行監(jiān)測，建立聯(lián)合稽查和信用管理體系，建立全國中心與收費站、ETC門架的直連鏈路。通信網(wǎng)絡構成如圖1所示。

圖1 聯(lián)網(wǎng)收費通信網(wǎng)絡構成示意圖

2.2　系統(tǒng)總體架構

全國高速公路聯(lián)網(wǎng)收費系統(tǒng)總體架構如圖2所示。

圖2 全國高速公路聯(lián)網(wǎng)收費系統(tǒng)總體架構示意圖

聯(lián)網(wǎng)收費系統(tǒng)由全國中心系統(tǒng)、省聯(lián)網(wǎng)中心系統(tǒng)、ETC門架系統(tǒng)、收費站（ETC車道系統(tǒng)、ETC/MTC混合車道系統(tǒng)）、結算系統(tǒng)、ETC發(fā)行系統(tǒng)、客服系統(tǒng)、稽查與信用管理系統(tǒng)、在線密鑰管理系統(tǒng)組成。

聯(lián)網(wǎng)收費系統(tǒng)根據(jù)功能和數(shù)據(jù)特點，重要數(shù)據(jù)可以分為鑒別數(shù)據(jù)、關鍵業(yè)務數(shù)據(jù)（交易和清分數(shù)據(jù)、拆分數(shù)據(jù)等）、服務支持數(shù)據(jù)（基礎數(shù)據(jù)、費率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）和公民個人信息。

根據(jù)各業(yè)務模塊功能特點，可將聯(lián)網(wǎng)收費系統(tǒng)分為三大類：

業(yè)務數(shù)據(jù)處理類，對收費數(shù)據(jù)進行計算和存儲的相關系統(tǒng)，主要包括：結算系統(tǒng)、在線密鑰管理與服務系統(tǒng)等，該類系統(tǒng)對數(shù)據(jù)完整性、保密性和可用性具有較高的要求。

業(yè)務生產(chǎn)控制類，對車輛的通行進行管理控制的相關系統(tǒng)，主要包括：ETC門架系統(tǒng)、收費車道系統(tǒng)等，該類系統(tǒng)對控制類數(shù)據(jù)的完整性和業(yè)務連續(xù)性方面具有較高的要求。

業(yè)務輔助類，輔助支撐業(yè)務數(shù)據(jù)處理和業(yè)務生產(chǎn)控制的信息系統(tǒng)，主要包括：ETC發(fā)行系統(tǒng)、CPC卡發(fā)行與管理系統(tǒng)、客服系統(tǒng)、稽查與信用管理系統(tǒng)等，一般不對收費系統(tǒng)核心業(yè)務運行產(chǎn)生影響，但根據(jù)其系統(tǒng)特性，對數(shù)據(jù)完整性、保密性或業(yè)務連續(xù)性存在響應要求。

2.3　ETC門架系統(tǒng)

根據(jù)《取消高速公路省界收費站總體技術方案》的規(guī)定，原則上，在高速公路每個互通立交、入/出口之間均設立ETC門架系統(tǒng)，實現(xiàn)ETC車輛和MTC車輛分段計費，對于ETC車輛生成交易流水（或通行憑證）、ETC通行記錄和抓拍圖像信息（包括車牌號碼、車牌顏色等），并及時上傳至省聯(lián)網(wǎng)中心和部聯(lián)網(wǎng)中心；對于MTC車輛，通過讀取CPC卡內(nèi)車輛信息，計算費額并寫入CPC卡內(nèi)，形成CPC卡通行記錄，并同抓拍圖像信息及時上傳至省聯(lián)網(wǎng)中心和部聯(lián)網(wǎng)中心。

ETC門架系統(tǒng)由上、下行雙方向部分組成。在省界和非省界路段設置ETC門架系統(tǒng)，上、下行方向各設置一個門架。每個門架應具備關鍵設備（RSU、車牌圖像識別設備等）冗余設置，當主設備發(fā)生故障時，備用設備可立即啟用工作。ETC門架系統(tǒng)布局示意圖如圖3、圖4所示。

圖3  ETC門架系統(tǒng)布局示意圖（側視）

圖4  ETC門架系統(tǒng)布局示意圖（俯視）

ETC門架系統(tǒng)主要由以下設備和設施組成：車道控制器、RSU、車牌圖像識別設備、高清攝像機、站級服務器、防雷接地設施、補光燈、通信設備、供電設備、車輛檢測器（可選）、交換機、網(wǎng)絡安全設備等。

3　風險分析

ETC門架系統(tǒng)主要包含ETC門架收費軟件，車道控制器、RSU、車牌圖像識別等設施設備及有關網(wǎng)絡基礎運行環(huán)境。ETC門架系統(tǒng)業(yè)務數(shù)據(jù)通過收費站與省聯(lián)網(wǎng)中心和全國中心建立連接，收費站內(nèi)為門架系統(tǒng)服務的設備。

ETC門架系統(tǒng)和收費站存在大量設備，如路側單元（RSU，Road Side Unit）等布設的物聯(lián)網(wǎng)設備、車牌圖像識別設備、以及傳統(tǒng)的服務器和計算機終端等。其中RSU又稱電子標簽讀寫器、路側讀寫天線、ETC天線、路側設備，安裝在收費車道門架上或收費島立柱上的用于同過往車輛上的車載設備進行通信的天線及相應的控制設備。其中門架也存在大量的終端設備，是網(wǎng)絡中處于網(wǎng)絡最外圍的設備，主要用于用戶信息的輸入以及處理結果的輸出等，在聯(lián)網(wǎng)收費系統(tǒng)中主要包括兩類：

一是收費業(yè)務相關工作人員使用的設備，包括收費業(yè)務計算機終端、收費業(yè)務手持終端等；

二是ETC門架系統(tǒng)部署的前端設備，包括智能攝像頭、RSU、控制終端等。

大量的終端設備、服務器、物聯(lián)網(wǎng)設備接入到收費專網(wǎng)中，安全風險存在并不局限于：

（1）物聯(lián)網(wǎng)終端眾多，資產(chǎn)情況難以掌握，存在違規(guī)接入的風險，同時缺失運維手段、事件監(jiān)測通報以及應急處理機制；

（2）大量門架系統(tǒng)包括收費站部署在戶外、分散安裝、易被接觸到而又沒有納入管理，導致物理攻擊、篡改和仿冒；

（3）終端普遍存在漏洞和大量開放端口等安全風險，容易被惡意代碼感染形成僵尸主機，進而構成僵尸網(wǎng)絡；

（4）數(shù)據(jù)都是明文傳輸，容易被篡改和竊聽，對收費專網(wǎng)造成很大的泄密和攻擊隱患。

基于以上安全威脅，黑客入侵物聯(lián)網(wǎng)的設備后可以進行大規(guī)模的破壞，進而威脅到收費專網(wǎng)的核心資產(chǎn)和業(yè)務。

·分布式拒絕服務（DDoS, DistributedDenial ofService）攻擊進行業(yè)務破壞或勒索

由于門架終端數(shù)量龐大，且由于其能持續(xù)向云端發(fā)送數(shù)據(jù)，目前已經(jīng)成為攻擊者組建“僵尸網(wǎng)絡”的主要來源，并正在成為DDoS發(fā)起的主要陣地。如Mirai通過對攝像頭入侵，向DNS運營商DYN發(fā)起了大規(guī)模的DDoS攻擊，致使整個美國網(wǎng)絡訪問大規(guī)模中斷；2017年2月被發(fā)現(xiàn)的Linux.ProxyM物聯(lián)僵尸網(wǎng)絡，僅用4個月就控制了超過萬臺物聯(lián)網(wǎng)終端。

·仿冒攻擊

由于門架終端難以物理管控，因此通過對物聯(lián)網(wǎng)終端的冒用替換，以此為跳板可以直接威脅到收費專網(wǎng)的核心業(yè)務系統(tǒng)。如在某行業(yè)紅藍對抗中，黑客通過ETC系統(tǒng)的冒用進入入侵攻破了該行業(yè)的核心業(yè)務服務器。

·國家關鍵基礎設施遭破壞

門架、收費站、路段中心系統(tǒng)屬于國家關鍵基礎設施。由于終端設備大都采用相同或者相似的軟硬件方案，意味著一臺被攻破，就可以使所有的終端全軍覆沒。這些事關國計民生的基礎設施一旦遭遇風險，勢必引發(fā)重大后果，可能會造成無法估量的經(jīng)濟損失，甚至會引起社會恐慌。

4　網(wǎng)絡安全防護建議

4.1　防護原則

（1）分區(qū)分域防護原則

任何安全措施都不是絕對安全可靠的，為保障攻破一層或一類保護的攻擊行為不會破壞整個信息系統(tǒng)，以達到縱深防御的安全目標，需要合理劃分安全域，綜合采用多種有效安全保護措施，實施多層、多重保護。

（2）均衡性保護原則

對任何類型網(wǎng)絡，絕對安全難以達到，也不一定是必須的，需正確處理安全需求、安全風險與安全保護代價的關系。因此，結合適度防護實現(xiàn)分等級安全保護，做到安全性與可用性平衡，達到技術上可實現(xiàn)、經(jīng)濟上可執(zhí)行。

（3）技術與管理相結合

信息安全涉及人、技術、操作等方面要素，單靠技術或單靠管理都不可能實現(xiàn)。因此在考慮信息安全時，必須將各種安全技術與運行管理機制、人員思想教育、技術培訓、安全規(guī)章制度建設相結合。

（4）動態(tài)調(diào)整與可擴展

由于網(wǎng)絡安全需求會不斷變化，以及環(huán)境、條件、時間的限制，因此安全防護一步到位，一勞永逸地解決信息安全問題是不現(xiàn)實的。信息安全保障建設可先保證基本的、必須的安全保護，后續(xù)再根據(jù)應用和網(wǎng)絡安全技術的發(fā)展，不斷調(diào)整安全策略，加強安全防護力度，以適應新的網(wǎng)絡安全環(huán)境，滿足新的信息安全需求。

（5）網(wǎng)絡安全三同步原則

信息系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施，確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行性能的同時，保證安全技術措施同步規(guī)劃、同步建設、同步使用，以保障信息安全與信息化建設相適應。

4.2　網(wǎng)絡安全防護思路

參考等級保護安全設計要求，建議設計思路如下：

（1）根據(jù)信息系統(tǒng)的安全定級結果，明確該等級對應的總體防護描述；

（2）根據(jù)系統(tǒng)和子系統(tǒng)劃分結果、安全定級結果將保護對象歸類，并組成保護對象框架；

（3）根據(jù)方案的設計目標來建立整體保障框架，來指導整個等級保護方案的設計，明確關鍵的安全要素、流程及相互關系；在安全措施框架細化后將補充到整體保障框架中；

（4）根據(jù)此等級受到的威脅對應出該等級的保護要求（即需求分析），并分布到物理和環(huán)境、網(wǎng)絡和通信、設備與計算、應用和數(shù)據(jù)等層面上；

（5）根據(jù)由威脅引出的等級保護基本要求、等級保護實施過程、整體保障框架來確定總體安全策略（即總體安全目標），再根據(jù)等級保護的要求將總體安全策略細分為不同的具體策略（即具體安全目標），包括安全域內(nèi)部、安全域邊界和安全域互聯(lián)策略；

（6）根據(jù)保護對象框架、等級化安全措施要求、安全措施的成本來選擇和調(diào)整安全措施；根據(jù)安全技術體系和安全管理體系的劃分，各安全措施共同組成了安全措施框架；

（7）各保護對象根據(jù)系統(tǒng)功能特性、安全價值以及面臨威脅的相似性來進行安全區(qū)域的劃分；各安全區(qū)域?qū)⒈Ｗo對象框架劃分成不同部分，即各安全措施發(fā)生作用的保護對象集合；

（8）根據(jù)選擇好的各保護對象安全措施、安全措施框架、實際的具體需求來設計安全解決方案。

4.3　網(wǎng)絡安全技術架構

《聯(lián)網(wǎng)收費系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡安全基本技術要求》中要求按照國家網(wǎng)絡安全政策法規(guī)和技術標準體系的有關要求，落實網(wǎng)絡安全等級保護制度，圍繞聯(lián)網(wǎng)收費三類系統(tǒng)的安全保護需求，針對聯(lián)網(wǎng)收費系統(tǒng)重要數(shù)據(jù)和業(yè)務系統(tǒng)進行分級分類管理，從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心等五個方面提出通用安全要求以及云計算、大數(shù)據(jù)及物聯(lián)網(wǎng)三個方面提出擴展安全要求，以建立聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡安全技術防護體系，構建綜合防御能力，總體安全框架體系如圖5所示。

圖5  聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡安全技術框架

4.4　ETC門架系統(tǒng)網(wǎng)絡安全防護建議

綜上，門架系統(tǒng)網(wǎng)絡安全防護所采用的產(chǎn)品可以確保并網(wǎng)接入自由流虛擬站、區(qū)域中心/路段中心、收費站通過有效安全認證和訪問控制，保證收費專網(wǎng)安全接入和隔離屬性，實現(xiàn)安全可靠通信傳輸和數(shù)據(jù)交換共享，及時監(jiān)測預警網(wǎng)內(nèi)網(wǎng)外攻擊行為，具備數(shù)據(jù)級備份恢復能力。能滿足ETC門架、收費站等系統(tǒng)的通信傳輸、邊界防護、訪問控制、入侵防范、安全審計以及物聯(lián)網(wǎng)擴展安全要求如設備認證、身份鑒別等一體化安全防護需求。

（1）數(shù)據(jù)安全方面，采用基于國密的數(shù)據(jù)加密，對關鍵的計費等數(shù)據(jù)實現(xiàn)通信加密。產(chǎn)品嚴格的密鑰管理辦法，采用純硬件算法，嚴格符合國家商用密碼技術規(guī)范。密鑰使用真隨機數(shù)發(fā)生器產(chǎn)生，并加密存儲在加密機安全芯片內(nèi)部，確保信息安全可靠。

（2）區(qū)域邊界安全防護方面，產(chǎn)品支持防火墻，具備入侵檢測、監(jiān)測預警等功能，來實現(xiàn)邊界防護、訪問控制、入侵防范等區(qū)域邊界安全要求。

（3）物聯(lián)網(wǎng)安全擴展要求方面，RSU、高清車牌視頻識別等設備應通過部署接入防護設備，實現(xiàn)設備IP/MAC地址等屬性信息注冊管理，設備通信地址管控，設備訪問權限控制和設備遠程安全管理等物聯(lián)網(wǎng)擴展安全要求。網(wǎng)絡安全防護產(chǎn)品實現(xiàn)了一種無代理的安全防護方法，也就是說無須改造門架和收費站系統(tǒng)中的物聯(lián)網(wǎng)設備，即可有效地幫助解決大型、動態(tài)和多樣性等復雜收費網(wǎng)絡環(huán)境下的物聯(lián)網(wǎng)終端可見性和安全控制的挑戰(zhàn)。如在自由流虛擬站安全方面，RSU、高清車牌視頻識別等前端設備容易丟失、損壞和仿冒，產(chǎn)品可以準確實時的識別設備的在/離線狀態(tài)、是否被仿冒等功能，可以有效地彌補產(chǎn)品在戶外部署所帶來的物理環(huán)境安全問題。

（4）系統(tǒng)適應性方面，產(chǎn)品支持雙機熱備和Bypass等功能，可有效地保證收費網(wǎng)絡的業(yè)務連續(xù)性。

5　結論

門架系統(tǒng)網(wǎng)絡安全建設建議基于分布式安全防護的理念，實現(xiàn)了從門架、收費站、路段中心到省部級立體化的綜合安全防護方案，要覆蓋了《等保2.0》三級的安全建設要求，同時門架系統(tǒng)建議實現(xiàn)物聯(lián)網(wǎng)安全防護能力，能夠覆蓋未來智慧高速的安全需求。

通過在每個門架部署安全防護設備，實現(xiàn)了對門架上車道攝像頭、ETC天線、曝光燈、RSU、氣象、交調(diào)等設備的資產(chǎn)管控、仿冒檢測、訪問控制、業(yè)務安全等防護功能，覆蓋了門架和收費站安全域防護需求；同時在路段和省部署安全防護設備，與門架防護系統(tǒng)建立基于國密的數(shù)據(jù)鏈路安全加密機制，保護收費等關鍵數(shù)據(jù)的安全傳輸；在省/部級部署安全管理平臺實現(xiàn)統(tǒng)一的設備管理和全局安全決策。

作者簡介

劉健帥（1984-），男，河北人，高級工程師，碩士，現(xiàn)就職于啟明星辰信息技術集團股份有限公司，任高級咨詢顧問，研究方向為工業(yè)互聯(lián)網(wǎng)安全。

張　帥（1984-），男，河北人，高級工程師，碩士，現(xiàn)就職于啟明星辰信息技術集團股份有限公司，任研發(fā)總監(jiān)，研究方向為物聯(lián)網(wǎng)安全、工控安全及云安全。

孫志華（1981-），男，河北人，本科，現(xiàn)就職于啟明星辰信息技術集團股份有限公司，任產(chǎn)品經(jīng)理，研究方向為工業(yè)安全、物聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全。

參考文獻：

[1] GB/T 22239-2019, 信息安全技術 網(wǎng)絡安全等級保護基本要求[S] .

[2] 全國人民代表大會常務委員會. 中華人民共和國網(wǎng)絡安全法[Z]. 2016.

[3] 聯(lián)網(wǎng)收費系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡安全基本技術要求[Z].

[4] 國務院辦公廳. 深化收費公路制度改革取消高速公路省界收費站實施方案[Z]. 2019.

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》