1　范围
DB11/T 1165的本部分规定了收费公路联网收费系统的物理安全、网络安全、主机安全、应用安全、数据安全。
DB11/T 1165的本部分适用于收费公路联网收费系统信息安全部分的新建、改建或扩建。
2　规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB 17859-1999   计算机信息系统安全保护等级保护划分准则
GB 50045  高层民用建筑设计防火规范
GB 50016  建筑设计防火规范标准
GB 50116  火灾自动报警系统设计规范
GB 50174-2008  电子信息系统机房设计规范
GB/T 5271  信息技术 词汇
GB/T 9361  计算机场地安全要求
GB/T 22239-2008  信息安全技术 信息系统安全等级保护基本要求
GB/T 24719-2009  公路收费亭
交通运输部2007年第35号公告  收费公路联网收费技术要求

3　术语和定义
GB 17859-1999、GB/T 25069-2010、GB/T 5271.8、DB11/T 1165.1界定的以及下列术语和定义适应于本文件。为了便于使用，以下重复列出了  中的某些术语和定义。
3.1　
收费总中心 toll center
负责承担收费公路收费各路数据汇总后清分管理的专门部门。
3.2　
收费分中心 toll sub-center
收费公路基层管理单元，主要负责数据生产、校核、封账。
3.3　
收费车道 toll lane
在收费广场用收费岛或其他设施隔离出来并用于收费目的的车道。
3.4　
骨干网络  Backbone network
收费总中心网络及区域中心网络构建成骨干网络，负责完成各收费分中心所管辖范围内业务数据上传收费总中心等工作。
增加
4　信息系统安全保护等级
本标准与 GB17859-1999、GB/T 22239—2008 等标准共同构成了北京市收费公路的联网收费系统信息系统安全等级保护的相关配套标准。其中 GB17859-1999 、GB/T 22239—2008 是基础性标准，本标准是在 GB17859-1999 和GB/T 22239—2008 基础上，根据北京市收费公路的联网收费系统和信息安全防护特点及要求，对 GB/T 22239—2008的进一步细化和扩展。北京市收费公路的联网收费系统的信息安全等级应满足GB/T 22239—2008中三级等保要求，具有相应的安全防护能力。
本文内容针对北京市收费公路联网收费系统信息安全等级保护三级要求对物理、网络、主机、应用、数据安全方面提出了技术性要求。
5　信息安全技术要求
5.1　物理安全
5.1.1　无人值守机房
无人值守机房包括收费所机房、收费广场机房，应制定和实施机房的出入申请审批制度，专人管理并审查进入人员的身份、物品，机房的物理安全要求如下：
a) 应设置防盗门；
b) 应配置UPS设备，应急供电时间应不小于2小时；
c) 应设置温、湿度自动检测和调节设备；
d) 应配置消防灭火设备，室内禁止存放易燃物质；
e) 内置设备应采取联合接地等防雷措施，联合接地小于1Ω；
f) 门窗应采用阻燃材料，并采取防盗、防火和密闭措施。
5.1.2　有人值守机房
有人值守机房应包括收费总中心机房、收费分中心机房、灾备中心机房的物理安全要求如下：
a) 应配置具有显著标志的固定式电子门禁系统，控制、鉴别和记录人员的进出；
b) 应具有备用供电电源。备用电源采用UPS时，收费收费总中心机房的应急供电时间宜不小于1小时，其他机房的应急供电时间宜不小于2小时。收费分中心收费机房应配置备用柴油发电机，作为备用供电电源；
c) 应设置温、湿度自动检测和调节设施；
d) 应设置灭火设备，重要区域应设置火灾自动消防系统，应实现火情的自动检测、自动报警，自动灭火；
e) 应符合《电子信息系统机房设计规范》中防震、防风、防雨、防潮、防尘、防静电等的技术要求，并应设置避雷、防雷装置；
f) 供电装置和供电线路应设置防雷装置。
g) 收费总中心的灾备中心机房应设立操作间，操作间发生异常时，机房通信设备应不受影响。操作间宜采用玻璃墙与主机房进行区域隔离；
h) 应配置监控系统进行全范围监控，监控数据保存时间应不少于2天；
i) 供电线路应配置稳压器和过电压防护设备；
5.1.3　收费车道
收费车道应包括MTC车道、ETC车道的物理安全要求如下：
a) 应设置防盗门；
b) 应设置灭火装置。
c) 供电线路•应配置漏电压防护设备；
d) 供电装置和供电线路应设置接地。
e) 应设置联动报警装置；
f) 应符合《公路收费亭》中防护性能的技术要求。

5.2　网络安全
5.2.1　网络安全结构
网络安全结构的要求包括：
a) 应将联网收费系统的网络与监控网络、办公自动化网络、外网隔离，应明确安全边界，增强网络的可控性，防范外部黑客攻击；
b) 骨干网络应具有自愈保护能力，应采用环型网络结构或多环型网络结构，具有冗余路由或链路。收费分中心局域网应具有自愈保护能力；
c) 收费收费总中心、收费分中心、收费所应划分子网或网段，应利用核心交换机、汇聚交换机的虚拟子网功能将网络划分为不同的广播域，并进行内部网段之间的隔离；
5.2.2　访问控制
访问控制的要求包括：
a) 在收费总中心与收费分中心，网络安全域之间应部署防火墙、统一安全网关和网络设备的访问控制列表，进行安全域之间的安全隔离和访问控制；
b) 区域的边界防护设备（防火墙、统一安全网关）或交换机上应采取访问控制策略，控制数据传输，并只允许特定授权的终端用户访问该安全域。
5.2.3　数据安全交换
数据安全交换的安全要求如下：
a) 收费分中心与收费站之间应使用专网连接，需要外部网络接入时，应有防监听、数据加密等安全防护措施；
b) 收费所、收费站的收费系统不允许数据向系统外传递，应由联网收费系统收费总中心、分中心对数据进行推送。
5.2.4　入侵防范
入侵防范的要求包括：
a) 收费总中心和收费分中心应配置入侵检测系统；
b) 入侵检测设备应能按照特定的事件、广度和细度配置多个扫描器进行多个层次的扫描。
5.2.5　网络设备防护
网络设备防护的要求包括：
a) 网络设备应先鉴别并防止非法设备接入和非法用户登陆；
b) 远程管理网络设备时，应采取措施防止鉴别信息被窃听；
c) 应防止IP地址被盗用或仿冒，防止用户间的相互攻击；
d) 应关闭网络设备不安全或不使用的服务；
e) 应限制管理员登录网络设备的地址，只允许管理员所用终端进行登录；
f) 应启用网络设备的登录失败处理功能。无人为操作时间应不超过10min。登录失败超过5次，应锁定账户，并由指定管理员才能解锁账户；
g) 应对网络设备设置指定的网络地址或MAC地址进行远程访问。
5.3　主机安全
5.3.1　账户安全管理
账户安全管理的要求如下：
a) 收费系统收费总中心和收费分中心，应对登录主机操作系统的系统级账户、业务操作级账户建立适当的安全级别；应按照用户权限最小化原则用不同的操作环境限定不同权限，宜将系统级账户划分为系统管理员、安全管理员、系统操作员；并限制用户尝试登陆到系统的次数；
b) 操作系统用户口令应分级设置和管理，要求联网收费系统应尽可能废止操作系统默认的账户、口令、可被攻击的系统网络服务，设置的口令至少有 8位包含字母数字和特殊字符的密码；所有的口令有效期都应有时间限制，最长不宜超过三个月；
c) 收费系统数据库系统，宜将数据库访问权限分为登录权限、管理权限、管理员权限三种用户权限。登录权限用户只能登入、查阅部分数据库信息，不能改动数据库中的任何数据；管理权限用户有权登入系统、穿件数据库对象，修改、授权、审计等资源管理权限；管路员权限用户具有数据库 管理的一切权限。此外，可以充分利用数据库的数据分类功能，将数据逻辑分类成不同的视图，授予用户合理的视图访问权限，保证基表数据的安全；
d) 数据库口令安全应尽可能废止数据库中的演示账户，加强口令复杂性并对口令文件进行过验证，口令至少有8位包含字母数字的密码；所有的口令有效期都应有时间限制，最长不宜超过三个月。
5.3.2　日志审计
日志审计的要求如下：
a) 应对收费总中心内网的服务器系统与工作站系统日志进行严格管理，实时监测系统状态，监测和跟踪入侵者，并记录；
b) 应对收费分中心内网的服务器和客户端的主机操作系统用户进行审计；
c) 在收费总中心和收费分中心的数据库管理系统应采用用户审计、系统审计、操作审计、对象审计等多种审计管理方法；
d) 系统审计由系统管理员对系统级命令以及数据库客体进行系统级安全分析。
5.3.3　剩余信息保护
收费系统服务器应开启操作系统剩余信息保护安全策略，在其他用户登录系统前，应完全清除前一用户残留的身份鉴别信息。
5.3.4　入侵防范
入侵防范的要求如下：
a) 操作系统和数据库系统应进行漏洞检测，并根据检测结果下载补丁程序进行版本更新；
b) 应卸载主机操作系统中无用的组件和应用程序，禁用远程修改注册表功能；
c) 应设置操作系统的屏幕密码保护，人员未操作时间应不超过10分钟；
d) 远程登录的操作系统账号，不活动或断连时间应不超过20分钟；
e) 应部署网络入侵检测系统增强入侵防范能力，检测联网收费系统内的服务器受入侵行为，记录入侵源IP、攻击类型、攻击目的、攻击时间，并提供实时报警；
f) 应使用漏洞扫描软件对主机操作系统和数据库管理系统定期进行漏洞扫描，根据检测报告，分析安全漏洞，并采取防护措施。漏洞扫描软件应定期进行系統升级。
5.3.5　恶意代码防范
联网收费系统防范恶意代码的要求如下：
a) 在主机层面应通过防范软件查杀恶意代码，并进行统一管理；
b) 应统一部署恶意代码防范策略,实时监测各个节点的防范状态；
c) 应合理定制恶意代码查杀策略，每日应在系统运行相对空闲时进行系統扫描,发现病毒后对染毒计算机进行全面扫描、清除；
d) 应统一定期升级防病毒软件的恶意代码库,宜一周进行一次；
e) 应严格管理非系统内计算机的接入，并且必须通过病毒扫描检查。
5.3.6　资源控制
应对收费总中心和收费分中心承载的应用系统的主机进行监控，宜采用设定终端接入方式、设置主机安全策略、监视服务器、合理限制用户系统资源使用等措施对主机进行保护。
5.4　应用安全
5.4.1　身份鉴别
应用身份鉴别的安全要求如下：
a) 注册用户名应具有唯一性；
b) 注册用户使用口令的长度应不少于8位，由数字、字母和特殊字符中两种及以上的字符种类组成，并验证口令的复杂度；
c) 登录失败次数应通参数设置的方式配置，用户连续登录失败次数宜不超过5次；
d) 用户应进行双因素认证。
5.4.2　访问控制
访问控制的安全要求如下：
a) 在应用开发过程中，通过对所有登录用户的权限来限制用户是否可以访问相应的资源；
b) 在应用中初始化权限信息，对不同的用户授予不同的权限信息；
c) 通过规定的权限对管理系统与用户管理系统进行访问控制策略配置，禁止创建使用默认账户；
d) 根据系统模块以及模块中所具有的功能，完成系统权限的划分，确保最细粒度的权限控制，通过规定的、指定的用户账户、系统管理账户和审计账户，实现所有账户之间的相互制约；
e) 信息资源应设置敏感标记，规定的指定的用户不能进行修改；
f) 根据不同级别账户权限，限制账户对具有相应级别敏感标记的数据进行操作。
5.4.3　剩余信息保护
剩余信息保护的安全要求如下：
a) 应用安全方面的剩余信息包括应用系统的鉴别信息、应用系统生成的临时文件和目录与数据库记录；
b) 其中应用系统生成的临时文件和目录与数据库记录存储在硬盘上，因此根据主机中对硬盘的剩余信息保护方式进行保护；
c) 应用系统的鉴别信息存储在内存中，当用户身份鉴别过程结束之后，立即对内存中存储鉴别信息的内存资源进行释放。
5.4.4　通信传输完整性和保密性
在应用系统的设计与开发中，通信传输完整性和保密性的要求如下：
a) 应校验收费原始数据传输的完整性；
b) 应采用密码技术实现通信过程中的保密性，通过HTTPS等的方式进行数据传输；
c) 应采用数字签名技术保障数据通信过程的完整性。
5.4.5　抗抵赖性
应用系统应结合数字证书认证系统，采用电子签章技术对重要文件和数据进行电子签章以及时间戳技术，实现对数据发送方的抗抵赖防护。
5.4.6　软件容错
软件容错的安全要求如下：
a) 在应用系统开发过程中，对于从所有人机接口输入或通过通信接口输入的数据格式或长度进行格式验证和非法参数过滤，减少系统错误的发生。
b) 对用户输入异常参数进行检查，当检测到系统出现异常时，采用系统重新初始化或者页面重定向等方式对系统进行自动恢复。
c) 收费总中心机房、收费分中心机房数据库服务器宜采用双机热备的方式部署，当一台服务器宕机后另一台服务器可以在60秒以内进行故障切换。服务器硬盘宜采用RAID的方式配置，当一个硬盘出现故障后，可以进行数据的自动恢复。
5.4.7　资源控制
资源控制的安全要求如下：
a) 配置系统会话人员未操作的最大时常为30分钟，当会话人员未操作的时常超过30分钟时自动结束会话；
b) 通过应用中间件的相关配置，限制系统的最大并发会话连接数；
c) 对同一账户的多重并发访问操作进行限制，保护系统资源的合理、有效利用；
d) 通过程序代码，对一个时间段内可能的并发会话连接数进行限制；
e) 充分利用应用中间件的相关配置，对于一个账户对系统资源的最大值和最小值进行合理设置；
f) 实时监控系统资源使用情况，当系统资源使用水平降低到一定程度时，系统自动报警，通知系统管理员进行处理。
5.5　数据安全
5.5.1　数据完整性
传输数据完整性的安全要求如下：
a) 应建立数字证书认证系统为北京市高速公路联网机电收费系统的用户颁发数字证书，并为信息系统颁发服务器证书，
b) 应用系统宜使用SSL协议的数字签名等功能实现业务数据在传输过程中的完整性。
c) 应结合数字证书系统对应用系统传输过程中的系统数据进行数字签名以确保其传输完整性。
5.5.2　份和恢复
收费公路联网收费系统应建设本地数据备份及异地灾备系统，可以满足三级等保对数据备份和恢复的要求即可。
5.5.3　数据保密性
数据保密性的安全要求如下：
a) 应通过数字证书认证系统为登录到应用系统的用户颁发数字证书，并为应用系统颁发服务器证书；
b) 应使用数字证书认证系统为安全登录主机发放服务器端证书，
c) 服务器、数据库、网络设备和安全设备的管理数据宜使用具有加密功能的传输协议进行传输；
d) 应通过安全登录主机将设备的访问进行控制，禁止运维人员直接访问设备。
e) 通过将所有运维设备的账户口令录入到运维服务审计系统中，实现运维服务审计系统与运维设备之间认证和权限管理。安全登录主机的工作流程如下：
1) 运维人员使用数字证书USB key访问安全登录主机；
2) 安全登录主机将数字证书信息提交给北京市高速公路联网机电收费系统的数字证书认证系统进行身份鉴别；
3) 数字证书认证系统验证用户证书的合法性、时间有效性、验证CRL，认证通过后为运维人员产生动态票据交给安全登录主机用于身份验证；
4) 运维人员信息通过认证后登录安全登录主机，可以操作和查看权限内的资源，运维人员使用Telnet、FTP、SSH、SFTP、RDP、Xwindows和VNC等协议通过运维服务审计系统连接运维设备。连接过程中安全登录主机使用运维设备的账户口令进行验证，运维人员无法看到运维设备的账户口令；
5) 安全登录主机向运维设备验证身份通过后，将建立连接并反馈信息；
6) 安全登录主机将运维设备反馈信息展示给运维人员，运维人员可以进行操作和维护运维设备。