1　范圍
DB11/T 1165的本部分規定了收費公路聯網收費系統的物理安全、網絡安全、主機安全、應用安全、數據安全。
DB11/T 1165的本部分適用于收費公路聯網收費系統信息安全部分的新建、改建或擴建。
2　規范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。
GB 17859-1999   計算機信息系統安全保護等級保護劃分準則
GB 50045  高層民用建筑設計防火規范
GB 50016  建筑設計防火規范標準
GB 50116  火災自動報警系統設計規范
GB 50174-2008  電子信息系統機房設計規范
GB/T 5271  信息技術 詞匯
GB/T 9361  計算機場地安全要求
GB/T 22239-2008  信息安全技術 信息系統安全等級保護基本要求
GB/T 24719-2009  公路收費亭
交通運輸部2007年第35號公告  收費公路聯網收費技術要求

3　術語和定義
GB 17859-1999、GB/T 25069-2010、GB/T 5271.8、DB11/T 1165.1界定的以及下列術語和定義適應于本文件。為了便于使用，以下重復列出了  中的某些術語和定義。
3.1　
收費總中心 toll center
負責承擔收費公路收費各路數據匯總后清分管理的專門部門。
3.2　
收費分中心 toll sub-center
收費公路基層管理單元，主要負責數據生產、校核、封賬。
3.3　
收費車道 toll lane
在收費廣場用收費島或其他設施隔離出來并用于收費目的的車道。
3.4　
骨干網絡  Backbone network
收費總中心網絡及區域中心網絡構建成骨干網絡，負責完成各收費分中心所管轄范圍內業務數據上傳收費總中心等工作。
增加
4　信息系統安全保護等級
本標準與 GB17859-1999、GB/T 22239—2008 等標準共同構成了北京市收費公路的聯網收費系統信息系統安全等級保護的相關配套標準。其中 GB17859-1999 、GB/T 22239—2008 是基礎性標準，本標準是在 GB17859-1999 和GB/T 22239—2008 基礎上，根據北京市收費公路的聯網收費系統和信息安全防護特點及要求，對 GB/T 22239—2008的進一步細化和擴展。北京市收費公路的聯網收費系統的信息安全等級應滿足GB/T 22239—2008中三級等保要求，具有相應的安全防護能力。
本文內容針對北京市收費公路聯網收費系統信息安全等級保護三級要求對物理、網絡、主機、應用、數據安全方面提出了技術性要求。
5　信息安全技術要求
5.1　物理安全
5.1.1　無人值守機房
無人值守機房包括收費所機房、收費廣場機房，應制定和實施機房的出入申請審批制度，專人管理并審查進入人員的身份、物品，機房的物理安全要求如下：
a) 應設置防盜門；
b) 應配置UPS設備，應急供電時間應不小于2小時；
c) 應設置溫、濕度自動檢測和調節設備；
d) 應配置消防滅火設備，室內禁止存放易燃物質；
e) 內置設備應采取聯合接地等防雷措施，聯合接地小于1Ω；
f) 門窗應采用阻燃材料，并采取防盜、防火和密閉措施。
5.1.2　有人值守機房
有人值守機房應包括收費總中心機房、收費分中心機房、災備中心機房的物理安全要求如下：
a) 應配置具有顯著標志的固定式電子門禁系統，控制、鑒別和記錄人員的進出；
b) 應具有備用供電電源。備用電源采用UPS時，收費收費總中心機房的應急供電時間宜不小于1小時，其他機房的應急供電時間宜不小于2小時。收費分中心收費機房應配置備用柴油發電機，作為備用供電電源；
c) 應設置溫、濕度自動檢測和調節設施；
d) 應設置滅火設備，重要區域應設置火災自動消防系統，應實現火情的自動檢測、自動報警，自動滅火；
e) 應符合《電子信息系統機房設計規范》中防震、防風、防雨、防潮、防塵、防靜電等的技術要求，并應設置避雷、防雷裝置；
f) 供電裝置和供電線路應設置防雷裝置。
g) 收費總中心的災備中心機房應設立操作間，操作間發生異常時，機房通信設備應不受影響。操作間宜采用玻璃墻與主機房進行區域隔離；
h) 應配置監控系統進行全范圍監控，監控數據保存時間應不少于2天；
i) 供電線路應配置穩壓器和過電壓防護設備；
5.1.3　收費車道
收費車道應包括MTC車道、ETC車道的物理安全要求如下：
a) 應設置防盜門；
b) 應設置滅火裝置。
c) 供電線路?應配置漏電壓防護設備；
d) 供電裝置和供電線路應設置接地。
e) 應設置聯動報警裝置；
f) 應符合《公路收費亭》中防護性能的技術要求。

5.2　網絡安全
5.2.1　網絡安全結構
網絡安全結構的要求包括：
a) 應將聯網收費系統的網絡與監控網絡、辦公自動化網絡、外網隔離，應明確安全邊界，增強網絡的可控性，防范外部黑客攻擊；
b) 骨干網絡應具有自愈保護能力，應采用環型網絡結構或多環型網絡結構，具有冗余路由或鏈路。收費分中心局域網應具有自愈保護能力；
c) 收費收費總中心、收費分中心、收費所應劃分子網或網段，應利用核心交換機、匯聚交換機的虛擬子網功能將網絡劃分為不同的廣播域，并進行內部網段之間的隔離；
5.2.2　訪問控制
訪問控制的要求包括：
a) 在收費總中心與收費分中心，網絡安全域之間應部署防火墻、統一安全網關和網絡設備的訪問控制列表，進行安全域之間的安全隔離和訪問控制；
b) 區域的邊界防護設備（防火墻、統一安全網關）或交換機上應采取訪問控制策略，控制數據傳輸，并只允許特定授權的終端用戶訪問該安全域。
5.2.3　數據安全交換
數據安全交換的安全要求如下：
a) 收費分中心與收費站之間應使用專網連接，需要外部網絡接入時，應有防監聽、數據加密等安全防護措施；
b) 收費所、收費站的收費系統不允許數據向系統外傳遞，應由聯網收費系統收費總中心、分中心對數據進行推送。
5.2.4　入侵防范
入侵防范的要求包括：
a) 收費總中心和收費分中心應配置入侵檢測系統；
b) 入侵檢測設備應能按照特定的事件、廣度和細度配置多個掃描器進行多個層次的掃描。
5.2.5　網絡設備防護
網絡設備防護的要求包括：
a) 網絡設備應先鑒別并防止非法設備接入和非法用戶登陸；
b) 遠程管理網絡設備時，應采取措施防止鑒別信息被竊聽；
c) 應防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；
d) 應關閉網絡設備不安全或不使用的服務；
e) 應限制管理員登錄網絡設備的地址，只允許管理員所用終端進行登錄；
f) 應啟用網絡設備的登錄失敗處理功能。無人為操作時間應不超過10min。登錄失敗超過5次，應鎖定賬戶，并由指定管理員才能解鎖賬戶；
g) 應對網絡設備設置指定的網絡地址或MAC地址進行遠程訪問。
5.3　主機安全
5.3.1　賬戶安全管理
賬戶安全管理的要求如下：
a) 收費系統收費總中心和收費分中心，應對登錄主機操作系統的系統級賬戶、業務操作級賬戶建立適當的安全級別；應按照用戶權限最小化原則用不同的操作環境限定不同權限，宜將系統級賬戶劃分為系統管理員、安全管理員、系統操作員；并限制用戶嘗試登陸到系統的次數；
b) 操作系統用戶口令應分級設置和管理，要求聯網收費系統應盡可能廢止操作系統默認的賬戶、口令、可被攻擊的系統網絡服務，設置的口令至少有 8位包含字母數字和特殊字符的密碼；所有的口令有效期都應有時間限制，最長不宜超過三個月；
c) 收費系統數據庫系統，宜將數據庫訪問權限分為登錄權限、管理權限、管理員權限三種用戶權限。登錄權限用戶只能登入、查閱部分數據庫信息，不能改動數據庫中的任何數據；管理權限用戶有權登入系統、穿件數據庫對象，修改、授權、審計等資源管理權限；管路員權限用戶具有數據庫 管理的一切權限。此外，可以充分利用數據庫的數據分類功能，將數據邏輯分類成不同的視圖，授予用戶合理的視圖訪問權限，保證基表數據的安全；
d) 數據庫口令安全應盡可能廢止數據庫中的演示賬戶，加強口令復雜性并對口令文件進行過驗證，口令至少有8位包含字母數字的密碼；所有的口令有效期都應有時間限制，最長不宜超過三個月。
5.3.2　日志審計
日志審計的要求如下：
a) 應對收費總中心內網的服務器系統與工作站系統日志進行嚴格管理，實時監測系統狀態，監測和跟蹤入侵者，并記錄；
b) 應對收費分中心內網的服務器和客戶端的主機操作系統用戶進行審計；
c) 在收費總中心和收費分中心的數據庫管理系統應采用用戶審計、系統審計、操作審計、對象審計等多種審計管理方法；
d) 系統審計由系統管理員對系統級命令以及數據庫客體進行系統級安全分析。
5.3.3　剩余信息保護
收費系統服務器應開啟操作系統剩余信息保護安全策略，在其他用戶登錄系統前，應完全清除前一用戶殘留的身份鑒別信息。
5.3.4　入侵防范
入侵防范的要求如下：
a) 操作系統和數據庫系統應進行漏洞檢測，并根據檢測結果下載補丁程序進行版本更新；
b) 應卸載主機操作系統中無用的組件和應用程序，禁用遠程修改注冊表功能；
c) 應設置操作系統的屏幕密碼保護，人員未操作時間應不超過10分鐘；
d) 遠程登錄的操作系統賬號，不活動或斷連時間應不超過20分鐘；
e) 應部署網絡入侵檢測系統增強入侵防范能力，檢測聯網收費系統內的服務器受入侵行為，記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間，并提供實時報警；
f) 應使用漏洞掃描軟件對主機操作系統和數據庫管理系統定期進行漏洞掃描，根據檢測報告，分析安全漏洞，并采取防護措施。漏洞掃描軟件應定期進行系統升級。
5.3.5　惡意代碼防范
聯網收費系統防范惡意代碼的要求如下：
a) 在主機層面應通過防范軟件查殺惡意代碼，并進行統一管理；
b) 應統一部署惡意代碼防范策略,實時監測各個節點的防范狀態；
c) 應合理定制惡意代碼查殺策略，每日應在系統運行相對空閑時進行系統掃描,發現病毒后對染毒計算機進行全面掃描、清除；
d) 應統一定期升級防病毒軟件的惡意代碼庫,宜一周進行一次；
e) 應嚴格管理非系統內計算機的接入，并且必須通過病毒掃描檢查。
5.3.6　資源控制
應對收費總中心和收費分中心承載的應用系統的主機進行監控，宜采用設定終端接入方式、設置主機安全策略、監視服務器、合理限制用戶系統資源使用等措施對主機進行保護。
5.4　應用安全
5.4.1　身份鑒別
應用身份鑒別的安全要求如下：
a) 注冊用戶名應具有唯一性；
b) 注冊用戶使用口令的長度應不少于8位，由數字、字母和特殊字符中兩種及以上的字符種類組成，并驗證口令的復雜度；
c) 登錄失敗次數應通參數設置的方式配置，用戶連續登錄失敗次數宜不超過5次；
d) 用戶應進行雙因素認證。
5.4.2　訪問控制
訪問控制的安全要求如下：
a) 在應用開發過程中，通過對所有登錄用戶的權限來限制用戶是否可以訪問相應的資源；
b) 在應用中初始化權限信息，對不同的用戶授予不同的權限信息；
c) 通過規定的權限對管理系統與用戶管理系統進行訪問控制策略配置，禁止創建使用默認賬戶；
d) 根據系統模塊以及模塊中所具有的功能，完成系統權限的劃分，確保最細粒度的權限控制，通過規定的、指定的用戶賬戶、系統管理賬戶和審計賬戶，實現所有賬戶之間的相互制約；
e) 信息資源應設置敏感標記，規定的指定的用戶不能進行修改；
f) 根據不同級別賬戶權限，限制賬戶對具有相應級別敏感標記的數據進行操作。
5.4.3　剩余信息保護
剩余信息保護的安全要求如下：
a) 應用安全方面的剩余信息包括應用系統的鑒別信息、應用系統生成的臨時文件和目錄與數據庫記錄；
b) 其中應用系統生成的臨時文件和目錄與數據庫記錄存儲在硬盤上，因此根據主機中對硬盤的剩余信息保護方式進行保護；
c) 應用系統的鑒別信息存儲在內存中，當用戶身份鑒別過程結束之后，立即對內存中存儲鑒別信息的內存資源進行釋放。
5.4.4　通信傳輸完整性和保密性
在應用系統的設計與開發中，通信傳輸完整性和保密性的要求如下：
a) 應校驗收費原始數據傳輸的完整性；
b) 應采用密碼技術實現通信過程中的保密性，通過HTTPS等的方式進行數據傳輸；
c) 應采用數字簽名技術保障數據通信過程的完整性。
5.4.5　抗抵賴性
應用系統應結合數字證書認證系統，采用電子簽章技術對重要文件和數據進行電子簽章以及時間戳技術，實現對數據發送方的抗抵賴防護。
5.4.6　軟件容錯
軟件容錯的安全要求如下：
a) 在應用系統開發過程中，對于從所有人機接口輸入或通過通信接口輸入的數據格式或長度進行格式驗證和非法參數過濾，減少系統錯誤的發生。
b) 對用戶輸入異常參數進行檢查，當檢測到系統出現異常時，采用系統重新初始化或者頁面重定向等方式對系統進行自動恢復。
c) 收費總中心機房、收費分中心機房數據庫服務器宜采用雙機熱備的方式部署，當一臺服務器宕機后另一臺服務器可以在60秒以內進行故障切換。服務器硬盤宜采用RAID的方式配置，當一個硬盤出現故障后，可以進行數據的自動恢復。
5.4.7　資源控制
資源控制的安全要求如下：
a) 配置系統會話人員未操作的最大時常為30分鐘，當會話人員未操作的時常超過30分鐘時自動結束會話；
b) 通過應用中間件的相關配置，限制系統的最大并發會話連接數；
c) 對同一賬戶的多重并發訪問操作進行限制，保護系統資源的合理、有效利用；
d) 通過程序代碼，對一個時間段內可能的并發會話連接數進行限制；
e) 充分利用應用中間件的相關配置，對于一個賬戶對系統資源的最大值和最小值進行合理設置；
f) 實時監控系統資源使用情況，當系統資源使用水平降低到一定程度時，系統自動報警，通知系統管理員進行處理。
5.5　數據安全
5.5.1　數據完整性
傳輸數據完整性的安全要求如下：
a) 應建立數字證書認證系統為北京市高速公路聯網機電收費系統的用戶頒發數字證書，并為信息系統頒發服務器證書，
b) 應用系統宜使用SSL協議的數字簽名等功能實現業務數據在傳輸過程中的完整性。
c) 應結合數字證書系統對應用系統傳輸過程中的系統數據進行數字簽名以確保其傳輸完整性。
5.5.2　份和恢復
收費公路聯網收費系統應建設本地數據備份及異地災備系統，可以滿足三級等保對數據備份和恢復的要求即可。
5.5.3　數據保密性
數據保密性的安全要求如下：
a) 應通過數字證書認證系統為登錄到應用系統的用戶頒發數字證書，并為應用系統頒發服務器證書；
b) 應使用數字證書認證系統為安全登錄主機發放服務器端證書，
c) 服務器、數據庫、網絡設備和安全設備的管理數據宜使用具有加密功能的傳輸協議進行傳輸；
d) 應通過安全登錄主機將設備的訪問進行控制，禁止運維人員直接訪問設備。
e) 通過將所有運維設備的賬戶口令錄入到運維服務審計系統中，實現運維服務審計系統與運維設備之間認證和權限管理。安全登錄主機的工作流程如下：
1) 運維人員使用數字證書USB key訪問安全登錄主機；
2) 安全登錄主機將數字證書信息提交給北京市高速公路聯網機電收費系統的數字證書認證系統進行身份鑒別；
3) 數字證書認證系統驗證用戶證書的合法性、時間有效性、驗證CRL，認證通過后為運維人員產生動態票據交給安全登錄主機用于身份驗證；
4) 運維人員信息通過認證后登錄安全登錄主機，可以操作和查看權限內的資源，運維人員使用Telnet、FTP、SSH、SFTP、RDP、Xwindows和VNC等協議通過運維服務審計系統連接運維設備。連接過程中安全登錄主機使用運維設備的賬戶口令進行驗證，運維人員無法看到運維設備的賬戶口令；
5) 安全登錄主機向運維設備驗證身份通過后，將建立連接并反饋信息；
6) 安全登錄主機將運維設備反饋信息展示給運維人員，運維人員可以進行操作和維護運維設備。