高速公路收費(fèi)并網(wǎng)安全檢測規(guī)程

聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全檢測規(guī)程中國交通通信信息中心交通運(yùn)輸部路網(wǎng)監(jiān)測與應(yīng)急處置中心二〇一九年九月聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全檢測規(guī)程聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全檢測規(guī)程(送審稿)為規(guī)范聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全管理，保障取消省界站中安全建設(shè)合規(guī)達(dá)標(biāo)及聯(lián)網(wǎng)收費(fèi)系統(tǒng)長期穩(wěn)定運(yùn)行，制定本檢測規(guī)程。一、適用范圍本規(guī)程用于取消高速公路省界收費(fèi)站工作中新改建的省聯(lián)網(wǎng)中心、收費(fèi)站、ETC門架系統(tǒng)、區(qū)域/路段中心、ETC發(fā)行等系統(tǒng)并網(wǎng)接入全國聯(lián)網(wǎng)收費(fèi)系統(tǒng)專網(wǎng)時(shí)，對《聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全基本技術(shù)要求》的符合性進(jìn)行檢測，旨在核驗(yàn)取消省界站中省域系統(tǒng)網(wǎng)絡(luò)架構(gòu)、安全策略、設(shè)備配備等是否具備并網(wǎng)接入安全條件。軟件功能性的并網(wǎng)接入不適用本規(guī)程。二、檢測依據(jù)并網(wǎng)接入網(wǎng)絡(luò)安全檢測主要依據(jù)以下標(biāo)準(zhǔn)和規(guī)范進(jìn)行：《聯(lián)網(wǎng)收費(fèi)系統(tǒng)省域系統(tǒng)并網(wǎng)接入網(wǎng)絡(luò)安全基本技術(shù)要求》（交科技函〔2019〕338號，簡稱“技術(shù)要求”）。《收費(fèi)公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理暫行辦法》（交科技發(fā)〔2019〕86號）三、檢測要求（一）時(shí)間要求。并網(wǎng)接入網(wǎng)絡(luò)安全檢測，省域系統(tǒng)應(yīng)在接入全國中心生產(chǎn)系統(tǒng)前完成。（二）檢測機(jī)構(gòu)要求。并網(wǎng)接入網(wǎng)絡(luò)安全檢測應(yīng)由國家有關(guān)部門認(rèn)可的網(wǎng)絡(luò)安全等級保護(hù)測評或信息安全風(fēng)險(xiǎn)評估機(jī)構(gòu)承擔(dān)。（三）安全保密要求。應(yīng)符合《收費(fèi)公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全管理暫行辦法》對第三方服務(wù)安全管理的有關(guān)要求。簽署保密協(xié)議，明確安全責(zé)任，防止敏感信息泄露。（四）等級保護(hù)要求。省聯(lián)網(wǎng)中心、ETC發(fā)行系統(tǒng)應(yīng)通過等級保護(hù)第三級測評。四、檢測方法與結(jié)果判定（一）檢測方法并網(wǎng)接入網(wǎng)絡(luò)安全檢測應(yīng)對照《并網(wǎng)接入網(wǎng)絡(luò)安全符合性檢測細(xì)則》（見附錄A）中“要求小項(xiàng)”逐項(xiàng)開展符合性檢測，檢測方法可采用訪談、文檔核查、配置核查、案例驗(yàn)證測試、漏洞掃描測試、滲透性測試等方式。（二）結(jié)果判定檢測報(bào)告結(jié)論為“通過”和“不通過”；單個(gè)“要求小項(xiàng)”的檢測結(jié)果分為“符合”、“視同符合”、“部分符合”、“不符合”、“不適用”；符合記1分，視同符合記1分，部分符合記0.8分，不符合記0分，不適用不納入記分項(xiàng)；標(biāo)“*”的“要求小項(xiàng)”為“單項(xiàng)否決項(xiàng)”，任一項(xiàng)不符合則檢測結(jié)論為“不通過”；省聯(lián)網(wǎng)中心、ETC發(fā)行系統(tǒng)符合率低于90%則檢測結(jié)論為“不通過”；收費(fèi)站、ETC門架系統(tǒng)、路段/區(qū)域中心符合率低于80%則檢測結(jié)論為“不通過”。符合率：記分項(xiàng)得分之和除以記分總數(shù)（記分項(xiàng)數(shù)）。五、檢測組織及接入管理各?。▍^(qū)、市）按照分級檢測、抽測復(fù)核、核準(zhǔn)實(shí)施、整體接入的方式開展檢測及接入管理工作。（一）省域自檢測。省聯(lián)網(wǎng)中心、收費(fèi)站、ETC門架、區(qū)域/路段中心、ETC發(fā)行等系統(tǒng)的等級保護(hù)測評、技術(shù)要求符合性檢測，由各?。▍^(qū)、市）結(jié)合實(shí)際情況自行組織實(shí)施。對省聯(lián)網(wǎng)中心系統(tǒng)、ETC發(fā)行系統(tǒng)、具備清分結(jié)算功能或與全國中心系統(tǒng)直連的區(qū)域/路段中心系統(tǒng)，應(yīng)實(shí)現(xiàn)100%檢測，對其余區(qū)域/路段中心系統(tǒng)可采用抽檢方式檢測。在設(shè)計(jì)單位相同且建設(shè)施工單位也相同的條件下，對收費(fèi)站系統(tǒng)、ETC門架系統(tǒng)的檢測，可采用抽檢方式開展，結(jié)合實(shí)際確定檢測數(shù)量，抽檢比例不得低于10%，且抽檢數(shù)量不得少于2個(gè)。等級保護(hù)測評報(bào)告、技術(shù)要求符合性檢測報(bào)告，應(yīng)留檔備查。并網(wǎng)接入管理。在省域自檢測完成后，由省聯(lián)網(wǎng)中心或其上級單位向部路網(wǎng)中心提出省域系統(tǒng)整體并網(wǎng)接入申請。由部路網(wǎng)中心對申請接入的省域系統(tǒng)開展復(fù)核，方式包括不限于現(xiàn)場技術(shù)檢測、調(diào)閱文檔、詢問有關(guān)工作人員等。如果復(fù)核通過，則組織省域系統(tǒng)整體接入；如果復(fù)核不通過，由部路網(wǎng)中心通知申請單位開展自查及整改，并重新提交并網(wǎng)接入申請。六、其他要求全國中心系統(tǒng)按照國家關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)，全面落實(shí)等級保護(hù)第三級要求，并適當(dāng)予以增強(qiáng)，等級保護(hù)測評報(bào)告應(yīng)為“優(yōu)”級別，由部公路局和科技司負(fù)責(zé)監(jiān)督管理。對在技術(shù)檢測過程中弄虛作假的第三方服務(wù)機(jī)構(gòu)，要嚴(yán)肅追究責(zé)任，并向全行業(yè)通報(bào)。本規(guī)程由部科技司負(fù)責(zé)解釋。該規(guī)程自2019年10月15日起正式施行。附錄A并網(wǎng)接入網(wǎng)絡(luò)安全符合性檢測細(xì)則1.省聯(lián)網(wǎng)中心1.1通用要求（14項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例“不符合判例”是典型不符合項(xiàng)示例，其他部分由檢測機(jī)構(gòu)根據(jù)要求予以明確是否符合。補(bǔ)償措施安全物理環(huán)境機(jī)房物理訪問控制*機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。滿足條件（任意條件）：1.機(jī)房無電子或機(jī)械門鎖，機(jī)房入口也無專人值守。2.辦公或外來人員可隨意進(jìn)出機(jī)房，無任何管控、監(jiān)控措施。機(jī)房配備24小時(shí)專人值守或配備攝像頭實(shí)時(shí)監(jiān)控，可視同符合。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)構(gòu)架a)*應(yīng)根據(jù)業(yè)務(wù)職能、重要性和所涉及信息的重要程度等因素，根據(jù)需要至少劃分收費(fèi)業(yè)務(wù)應(yīng)用（業(yè)務(wù)數(shù)據(jù)處理類、業(yè)務(wù)生產(chǎn)控制類）、其他業(yè)務(wù)應(yīng)用（業(yè)務(wù)輔助類）、數(shù)據(jù)服務(wù)、傳輸接入（部級傳輸接入、下級單位傳輸接入、外部單位傳輸）、運(yùn)維管理等不同的網(wǎng)絡(luò)區(qū)域，單獨(dú)劃分測試區(qū)域，應(yīng)通過有效措施對各網(wǎng)絡(luò)區(qū)域進(jìn)行技術(shù)隔離，并按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址。滿足條件（任意條件）：1.收費(fèi)業(yè)務(wù)應(yīng)用（業(yè)務(wù)數(shù)據(jù)處理類、業(yè)務(wù)生產(chǎn)控制類）與其他業(yè)務(wù)應(yīng)用（業(yè)務(wù)輔助類等）在同一網(wǎng)絡(luò)區(qū)域。2.聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)應(yīng)用和外部單位存在共享或交換的設(shè)備在同一網(wǎng)絡(luò)區(qū)域。3.運(yùn)維管理和業(yè)務(wù)應(yīng)用在同一區(qū)域。4.未單獨(dú)劃分測試區(qū)域。無。b）應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性，與全國中心通信應(yīng)采用雙機(jī)熱備。滿足條件（任意條件）：1.與路段公司（或收費(fèi)站）連接的交換機(jī)、防火墻等未提供硬件冗余（至少實(shí)現(xiàn)冷備）。2.與全國中心通信未采用雙機(jī)熱備。有通信線路冗余及完整的網(wǎng)絡(luò)通道，可判定為部分符合。c）*聯(lián)網(wǎng)收費(fèi)系統(tǒng)不得直接提供互聯(lián)網(wǎng)服務(wù)，如與互聯(lián)網(wǎng)應(yīng)用存在數(shù)據(jù)交換，應(yīng)通過設(shè)置網(wǎng)閘或者雙防火墻方式實(shí)現(xiàn)隔離。滿足條件（任意條件）：1.與互聯(lián)網(wǎng)連接，未設(shè)置網(wǎng)閘或雙防火墻隔離措施。2.與互聯(lián)網(wǎng)區(qū)域邊界隔離設(shè)備本單位無管理權(quán)限。3.與互聯(lián)網(wǎng)區(qū)域邊界隔離設(shè)備訪問控制措施配置不當(dāng)，存在較大安全隱患。無。通信傳輸應(yīng)至少采用校驗(yàn)技術(shù)保證部省、省站通信過程中數(shù)據(jù)的完整性；根據(jù)需要可采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN或其他具有相同功能的設(shè)備，且未采用校驗(yàn)技術(shù)進(jìn)行完整性保護(hù)。2.使用AES、RSA、3DES等非國密算法進(jìn)行通信加密。應(yīng)用層采用完整性校驗(yàn)措施，密碼技術(shù)滿足國家密碼管理局要求，可視同符合。應(yīng)采用密碼技術(shù)保證部省、省站通信過程中的保密性，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN或其他具有相同功能的設(shè)備。2.使用AES、RSA、3DES等非國密算法進(jìn)行通信加密。采用應(yīng)用層加密保護(hù)措施，密碼技術(shù)滿足國家密碼管理局要求，可視同符合。安全區(qū)域邊界邊界保護(hù)a)*應(yīng)保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。滿足條件（任意條件）：1.網(wǎng)絡(luò)邊界無任何訪問控制措施。2.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設(shè)備不一定必須是防火墻，只要是能實(shí)現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報(bào)告，可視同符合。內(nèi)部網(wǎng)絡(luò)邊界如通過路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè)備性能壓力等因素，可視同符合。b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到收費(fèi)專網(wǎng)的行為進(jìn)行檢查或限制，阻止非授權(quán)訪問。滿足條件（任意條件）：1.物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)接入可能。2.可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區(qū)域有嚴(yán)格的物理訪問控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。能夠?qū)K端或用戶非授權(quán)連接到收費(fèi)網(wǎng)外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，阻止非授權(quán)訪問。滿足條件（任意條件）未配備終端管控系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)導(dǎo)致如下情況：1.物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)外聯(lián)可能。2.重要核心管理終端、重要業(yè)務(wù)終端等關(guān)鍵設(shè)備存在私自外聯(lián)互聯(lián)網(wǎng)可能。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。4.內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)。如物理、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上的USB接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查，可判定為部分符合。d）*收費(fèi)專網(wǎng)應(yīng)嚴(yán)格禁止無線局域網(wǎng)絡(luò)的使用。滿足條件：存在和收費(fèi)專網(wǎng)互聯(lián)的無線網(wǎng)絡(luò)。無。訪問控制應(yīng)在劃定的網(wǎng)絡(luò)區(qū)域邊界防護(hù)設(shè)備上（如防火墻）根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。滿足條件（任意條件）：1.網(wǎng)絡(luò)邊界無任何訪問控制措施。2.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能?？赏ㄟ^路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn)訪問控制，可視同符合。b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，確定是否允許數(shù)據(jù)包進(jìn)出該區(qū)域邊界。訪問控制列表未達(dá)到傳輸層端口級訪問控制。無。入侵防范a)應(yīng)在核心交換機(jī)等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署具備入侵檢測功能的設(shè)備，檢測從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）未采取任何防護(hù)措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)之間部署了防火墻等訪問控制設(shè)備，且訪問控制措施較為嚴(yán)格，發(fā)生內(nèi)部網(wǎng)絡(luò)攻擊可能性較小或有一定的檢測、防止或限制能力，可判定為部分符合。如主機(jī)層部署入侵檢測產(chǎn)品，且策略庫保持更新，可判定為部分符合。b)應(yīng)在核心交換機(jī)等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署具備入侵檢測功能的設(shè)備，檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)如收費(fèi)專網(wǎng)與外部網(wǎng)絡(luò)處無入侵防御、防火墻等從外部網(wǎng)絡(luò)發(fā)起的攻擊行為進(jìn)行檢測、阻斷或限制。無。c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。滿足條件（同時(shí)滿足）：1.對網(wǎng)絡(luò)行為無分析措施。2.無法對新型網(wǎng)絡(luò)攻擊進(jìn)行分析研判。1.網(wǎng)絡(luò)設(shè)備具有一定的監(jiān)測預(yù)警和安全分析功能，可判定為部分符合。2.建有網(wǎng)絡(luò)安全監(jiān)測預(yù)警或態(tài)勢感知平臺(tái)，可判定為符合。d)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警，通過人工阻斷方式或配置相應(yīng)入侵防御設(shè)備，防止或限制從內(nèi)部和外部發(fā)起的網(wǎng)絡(luò)攻擊行為。入侵檢測設(shè)備無法自動(dòng)防止、限制內(nèi)部和外部的網(wǎng)絡(luò)攻擊行為。建有入侵防御響應(yīng)機(jī)制，可通過告警及時(shí)人工阻斷，可判定為視同符合。惡意代碼防范a)應(yīng)至少在與下級節(jié)點(diǎn)和外部連接的防火墻前端部署惡意代碼檢測設(shè)備（防毒墻、防病毒網(wǎng)關(guān)）或直接部署具備防病毒模塊的防火墻對惡意代碼進(jìn)行檢測和清除。滿足條件：網(wǎng)絡(luò)層無惡意代碼檢測和清除措施。1.如主機(jī)層部署惡意代碼檢測和清除產(chǎn)品，且惡意代碼庫保持更新，可判定為部分符合。2.若使用Linux、Unix系統(tǒng)，即使未部署惡意代碼檢測和清除產(chǎn)品，也可判定為部分符合。3.具有十分嚴(yán)格的網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施，可判定為部分符合。b)維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。滿足條件：惡意代碼庫未每月升級。檢查發(fā)現(xiàn)未升級記錄后即時(shí)升級，可視同符合。安全審計(jì)a)*應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要的安全事件進(jìn)行審計(jì)，能對遠(yuǎn)程訪問的用戶行為單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。滿足條件：未部署網(wǎng)絡(luò)審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)，從而在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無法對重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)。無。b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。滿足條件：審計(jì)記錄不完整。其他具有安全審計(jì)功能的設(shè)備具有審計(jì)記錄，可視同符合。c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。滿足條件：審計(jì)記錄未定期備份。安全管理中心對審計(jì)記錄進(jìn)行集中管理，可視同符合。d)*審計(jì)記錄留存6個(gè)月以上。滿足條件（任意條件）：1.審計(jì)記錄未留存6個(gè)月。2.審計(jì)記錄存儲(chǔ)空間不足以存儲(chǔ)6個(gè)月。無。安全計(jì)算環(huán)境身份鑒別a)應(yīng)對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶進(jìn)行身份標(biāo)識和鑒別，且保證用戶名具有唯一性。滿足條件：登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可酌情降低風(fēng)險(xiǎn)等級，可判定為部分符合。b)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對用戶進(jìn)行身份鑒別，對管理員、運(yùn)維人員、重要業(yè)務(wù)系統(tǒng)（業(yè)務(wù)數(shù)據(jù)處理類）用戶應(yīng)采取兩種或兩種以上組合的鑒別技術(shù)。滿足條件：重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對用戶身份進(jìn)行鑒別。例如僅使用用戶名/口令方式進(jìn)行身份驗(yàn)證。1.如設(shè)備通過本地登錄方式（非網(wǎng)絡(luò)方式）維護(hù)，本地物理環(huán)境可控，可酌情降低風(fēng)險(xiǎn)等級，可判定為部分符合。2.采用兩重用戶名/口令認(rèn)證措施（兩重口令不同），例如身份認(rèn)證服務(wù)器、堡壘機(jī)等手段，可判定為部分符合。3.如設(shè)備所在物理環(huán)境、網(wǎng)絡(luò)環(huán)境安全可控，網(wǎng)絡(luò)竊聽、違規(guī)接入等隱患較小，口令策略和復(fù)雜度、長度符合要求的情況下，可判定為部分符合。c）若只采用用戶口令方式進(jìn)行身份鑒別，口令須滿足大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換。一、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用系統(tǒng)。滿足條件（同時(shí)）：1.存在空口令或弱口令帳戶。2.可使用該弱口令帳戶登錄。二、應(yīng)用系統(tǒng)：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。d)*應(yīng)啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘。滿足條件（同時(shí)）：1.可通過遠(yuǎn)程登錄。2.對連續(xù)登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進(jìn)行口令猜測。無。e)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。滿足條件（同時(shí)）：1.通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠(yuǎn)程登錄。1.如整個(gè)遠(yuǎn)程管理過程中，只能使用加密傳輸通道進(jìn)行鑒別信息傳輸?shù)?，可判定為部分符合?.如采用多因素身份認(rèn)證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡(luò)進(jìn)行訪問的措施時(shí)，竊聽到口令而無法直接進(jìn)行遠(yuǎn)程登錄的，可判定為部分符合。3.如通過其他技術(shù)管控手段（如準(zhǔn)入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認(rèn)采用加密進(jìn)行管理，但同時(shí)也開啟非加密管理方式，根據(jù)實(shí)際管理情況，及時(shí)整改，可判定為部分符合。f)應(yīng)為與全國中心之間進(jìn)行通信的計(jì)算設(shè)備、安全防護(hù)設(shè)備實(shí)現(xiàn)雙向身份標(biāo)識認(rèn)證，保障部省傳輸?shù)陌踩?。部省通信的?jì)算設(shè)備、安全防護(hù)設(shè)備未實(shí)現(xiàn)雙向身份認(rèn)證，如基于數(shù)字證書的雙向認(rèn)證。部省通信通過IP+MAC綁定的白名單，可視同符合。訪問控制a)*應(yīng)對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶分配賬戶和權(quán)限。可通過直接訪問URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)重要功能模塊。無。b)應(yīng)禁用“超級管理員”權(quán)限，重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。滿足條件（同時(shí)）：1.未修改默認(rèn)帳戶的默認(rèn)口令。2.可使用該默認(rèn)口令賬號登錄。無。c)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。存在多余的、過期的賬戶。即時(shí)整改，可視同符合。d)應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。滿足條件（任意）：1.存在超級管理員。2.未實(shí)現(xiàn)賬戶三權(quán)分立（安全管理員、審計(jì)管理員、系統(tǒng)管理員）。具備堡壘機(jī)或其他相應(yīng)權(quán)限管理設(shè)備，或者其他輔助審計(jì)設(shè)備，可視同符合。e)*應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)。如存在平行越權(quán)漏洞，低權(quán)限用戶越權(quán)訪問高權(quán)限用戶所能訪問的功能模塊等。無。f)訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。訪問控制粒度粗放。無。安全審計(jì)a)*應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。滿足條件（同時(shí)）：1.業(yè)務(wù)數(shù)據(jù)處理類、業(yè)務(wù)生產(chǎn)控制類等應(yīng)用系統(tǒng)無任何日志審計(jì)功能，重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計(jì)功能，無法對用戶的重要行為進(jìn)行審計(jì)。2.無其他技術(shù)手段對重要的用戶行為和重要安全事件進(jìn)行溯源。1.如使用堡壘機(jī)或其他第三方審計(jì)工具進(jìn)行日志審計(jì)，能有效記錄用戶行為和重要安全事件，可視同符合。2.如通過其他技術(shù)或管理手段能對事件進(jìn)行溯源的，可視同符合。b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。滿足條件：審計(jì)記錄不完整。其他具有安全審計(jì)功能的設(shè)備具有審計(jì)記錄，可視同符合。c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。滿足條件：審計(jì)記錄未定期備份。安全管理中心對審計(jì)記錄進(jìn)行集中管理，可視同符合。d)*審計(jì)記錄留存6個(gè)月以上。滿足條件（任意條件）：1.審計(jì)記錄未留存6個(gè)月。2.審計(jì)記錄存儲(chǔ)空間不足以存儲(chǔ)6個(gè)月。無。入侵防范a)服務(wù)器、終端等應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。滿足條件：存在不必要的組件或程序。刪除或卸載相應(yīng)程序或組件，可視同符合。b)*應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。滿足條件：操作系統(tǒng)上的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在可被利用的高風(fēng)險(xiǎn)漏洞或重大安全隱患。通過防火墻、入侵防御等防護(hù)設(shè)備關(guān)閉、阻斷對默認(rèn)共享和高危端口，可視同符合。c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。滿足條件（同時(shí)）：1.可通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.未采取技術(shù)手段對管理終端進(jìn)行管控（管控措施包括但不限于終端接入管控、網(wǎng)絡(luò)地址范圍限制、堡壘機(jī)等）。如管理終端部署在運(yùn)維區(qū)、可控網(wǎng)絡(luò)或采用多種身份鑒別方式等技術(shù)措施，可降低終端管控不善所帶來的安全風(fēng)險(xiǎn)的，可判定為部分符合。d)*應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。滿足條件：應(yīng)用系統(tǒng)存在如存在SQL注入、跨站腳本、上傳漏洞等可導(dǎo)致敏感數(shù)據(jù)泄露、篡改、服務(wù)器被入侵等安全事件。無。e)應(yīng)定期開展漏洞掃描工作，及時(shí)發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時(shí)修補(bǔ)漏洞。滿足條件：通過驗(yàn)證測試或滲透測試能夠確認(rèn)并利用的，可對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等造成重大安全隱患的漏洞（包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏輯缺陷、敏感數(shù)據(jù)泄露等）。只有在相關(guān)設(shè)備所在的物理、網(wǎng)絡(luò)、管理環(huán)境嚴(yán)格受控，發(fā)生攻擊行為可能性較小的情況下，可判定為部分符合。對于互聯(lián)網(wǎng)可訪問到的設(shè)備，原則上不宜降低其風(fēng)險(xiǎn)等級。f)應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。滿足條件：對應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器等無入侵檢測報(bào)警產(chǎn)品。網(wǎng)絡(luò)層面具備入侵檢測/防御設(shè)備，可判定為部分符合。g)應(yīng)嚴(yán)格對U盤、移動(dòng)光驅(qū)等外來介質(zhì)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲(chǔ)接口進(jìn)行限制或移除。滿足條件：未對U盤、移動(dòng)光驅(qū)等外來介質(zhì)設(shè)備進(jìn)行嚴(yán)格管控。各類硬件設(shè)備的外接接口已移除，可判定為符合。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫，實(shí)現(xiàn)對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統(tǒng)未安裝殺毒軟件。2.Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一個(gè)月以上未更新至最新病毒庫版本。1.如一個(gè)月以上未更新，但有完備的補(bǔ)丁更新/測試計(jì)劃，且有歷史計(jì)劃執(zhí)行記錄的，檢測發(fā)現(xiàn)后及時(shí)更新，可根據(jù)服務(wù)器部署環(huán)境、行業(yè)或系統(tǒng)特性，可判定為部分符合。2.惡意代碼防范可與網(wǎng)絡(luò)安全部分中的入侵防范和訪問控制措施相結(jié)合來綜合評定風(fēng)險(xiǎn)，如網(wǎng)絡(luò)層部署了惡意代碼防范設(shè)備，可判定為部分符合。3.如具備管控十分嚴(yán)格的網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可判定為部分符合。b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫，支持防惡意代碼的統(tǒng)一升級和管理。滿足條件：主機(jī)防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品為同一品牌或使用相同的惡意代碼庫。無。數(shù)據(jù)完整性a)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施，包括但不限于鑒別數(shù)據(jù)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分?jǐn)?shù)據(jù)、拆分?jǐn)?shù)據(jù)等）、服務(wù)支持?jǐn)?shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費(fèi)率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）和公民個(gè)人信息等；如使用密碼技術(shù)，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.數(shù)據(jù)在傳輸和存儲(chǔ)過程中無任何完整性保護(hù)措施。2.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。在數(shù)據(jù)完整性受到破壞時(shí)能夠?qū)嵤?shù)據(jù)重傳，并對存儲(chǔ)的數(shù)據(jù)采取多重備份，可判定為部分符合。數(shù)據(jù)保密性a)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)和公民個(gè)人信息等；密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸。2.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。如使用國家主管部門認(rèn)可的網(wǎng)絡(luò)加密的技術(shù)確保數(shù)據(jù)在加密通道中傳輸，根據(jù)實(shí)際情況，可視同符合。采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性，包括但不限于鑒別數(shù)據(jù)和公民個(gè)人信息等；如使用密碼技術(shù)，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.用戶身份認(rèn)證信息、個(gè)人敏感信息數(shù)據(jù)等以明文方式存儲(chǔ)。2.無其他有效數(shù)據(jù)保護(hù)措施。3.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。如采取區(qū)域隔離、部署數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄露產(chǎn)品等安全防護(hù)措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數(shù)據(jù)備份恢復(fù)a)應(yīng)提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分?jǐn)?shù)據(jù)、拆分?jǐn)?shù)據(jù)等）、服務(wù)支持?jǐn)?shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費(fèi)率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等的本地?cái)?shù)據(jù)備份與恢復(fù)功能，每周至少進(jìn)行一次全備份，每天進(jìn)行增量備份。滿足條件：應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無法進(jìn)行數(shù)據(jù)恢復(fù)。無。b)應(yīng)提供異地備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分?jǐn)?shù)據(jù)、拆分?jǐn)?shù)據(jù)等）備份至備份場地；有條件的可提供異地實(shí)時(shí)備份功能。滿足條件：系統(tǒng)無異地?cái)?shù)據(jù)備份措施，或異地備份機(jī)制無法滿足業(yè)務(wù)需要。一般來說同城異地機(jī)房直接距離不低于為30公里，跨省市異地機(jī)房直線距離不低于100公里，如距離上不達(dá)標(biāo)，可酌情降低風(fēng)險(xiǎn)等級，可判定為部分符合。c)應(yīng)提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分?jǐn)?shù)據(jù)、拆分?jǐn)?shù)據(jù)等）處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。滿足條件：關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易和清分?jǐn)?shù)據(jù)、拆分?jǐn)?shù)據(jù)等）處理系統(tǒng)無熱冗余，發(fā)生故障可能導(dǎo)致系統(tǒng)停止運(yùn)行。如當(dāng)前采取的恢復(fù)手段，能夠確保被測單位評估的RTO在可接受范圍內(nèi)，可判定為部分符合。剩余信息保護(hù)a)應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。滿足條件（同時(shí)）：a)身份鑒別信息釋放或清除機(jī)制存在缺陷。b)利用剩余鑒別信息，可非授權(quán)訪問系統(tǒng)資源或進(jìn)行操作。無。b)應(yīng)保證存有個(gè)人信息等敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。滿足條件（同時(shí)）：a)敏感數(shù)據(jù)釋放或清除機(jī)制存在缺陷。b)利用剩余信息，可非授權(quán)獲得相關(guān)敏感數(shù)據(jù)。如因特殊業(yè)務(wù)需要，需要在存儲(chǔ)空間保留敏感數(shù)據(jù)，且相關(guān)敏感數(shù)據(jù)進(jìn)行了有效加密/脫敏處理的，并有必要的提示信息，可根據(jù)實(shí)際情況，可判定為部分符合。安全管理中心權(quán)限管理a)應(yīng)對系統(tǒng)管理員、審計(jì)管理員、安全管理員進(jìn)行身份鑒別，只允許其分別通過特定的命令或操作界面分別進(jìn)行系統(tǒng)資源配置、安全審計(jì)、安全策略配置操作，并對這些操作進(jìn)行審計(jì)。滿足條件：未配備堡壘機(jī)或具有其他相同功能設(shè)備，導(dǎo)致系統(tǒng)管理員、審計(jì)管理員、安全管理員可直接對系統(tǒng)資源配置、安全審計(jì)、安全策略進(jìn)行配置；且操作行為不可審計(jì)。無。集中管控a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控。滿足條件：未劃分安全管理區(qū)。無。b)應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理。滿足條件：安全運(yùn)維操作行為無防竊聽措施。如使用本地內(nèi)部可控網(wǎng)絡(luò)可降低風(fēng)險(xiǎn)，可判定為部分符合。c)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測。滿足條件：無任何監(jiān)控措施，發(fā)生故障也無法及時(shí)對故障進(jìn)行定位和處理。無。d)應(yīng)對分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。滿足條件：對網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件等日志的留存不滿足法律法規(guī)規(guī)定的相關(guān)要求（不少于六個(gè)月）。無。e)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理。滿足條件：未對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理。如對安全策略、惡意代碼、補(bǔ)丁升級等分別建有安全管理措施，且能嚴(yán)格執(zhí)行，可判定為部分符合。f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報(bào)警和分析。滿足條件：無法對網(wǎng)絡(luò)中發(fā)生的安全事件（包括但不限于網(wǎng)絡(luò)攻擊事件、惡意代碼傳播事件等）進(jìn)行識別、告警和分析。無。

1.2云安全擴(kuò)展要求（3項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施基本要求基礎(chǔ)設(shè)施位置a）*應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。滿足條件：云計(jì)算基礎(chǔ)設(shè)施位于中國境外。無。b）*應(yīng)確保業(yè)務(wù)數(shù)據(jù)處理類系統(tǒng)不得部署于公有云平臺(tái)。滿足條件：業(yè)務(wù)數(shù)據(jù)處理類系統(tǒng)部署于公有云平臺(tái)。無。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)構(gòu)架a)應(yīng)能夠提供虛擬網(wǎng)絡(luò)之間的隔離能力，提供按需配置通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力。滿足條件（任意條件）：1.未提供虛擬網(wǎng)絡(luò)之間的隔離能力。2.無法配置通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制。通過硬件設(shè)備實(shí)現(xiàn)，如硬件防火墻等，可視同符合。b)應(yīng)允許接入第三方安全產(chǎn)品或服務(wù)。滿足條件：未提供接入第三方安全產(chǎn)品或服務(wù)的能力。無。安全區(qū)域邊界訪問控制a)應(yīng)采取措施保證虛擬機(jī)無法通過網(wǎng)絡(luò)非授權(quán)訪問宿主機(jī)。滿足條件（任意條件）：1.無任何訪問控制措施。2.邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.邊界控制措施失效，無法起到訪問控制功能。無。b)應(yīng)在虛擬化網(wǎng)絡(luò)邊界（云平臺(tái)與其他計(jì)算環(huán)境、虛擬子網(wǎng)與虛擬子網(wǎng)間）部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)則。滿足條件（任意條件）：1.虛擬網(wǎng)絡(luò)間無任何訪問控制措施。2.虛擬網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.虛擬網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能?？赏ㄟ^路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn)訪問控制，可視同符合。入侵防范a)應(yīng)能檢測到內(nèi)部虛擬機(jī)發(fā)起的或者針對虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并記錄攻擊類型、攻擊時(shí)間和攻擊流量等。滿足條件（同時(shí)）：1.無法檢測到內(nèi)部虛擬機(jī)發(fā)起的攻擊行為。2.審計(jì)記錄不完整。無。b)應(yīng)能檢測到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量，并進(jìn)行告警。滿足條件（同時(shí)）：1.無法檢測到內(nèi)部異常流量。2.無法進(jìn)行告警。無。安全審計(jì)a)應(yīng)對遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟。滿足條件：無日志審計(jì)功能或?qū)徲?jì)不全面。其他具有安全審計(jì)功能的設(shè)備進(jìn)行審計(jì)記錄，可視同符合。b)應(yīng)通過云平臺(tái)對應(yīng)用系統(tǒng)和數(shù)據(jù)進(jìn)行的操作進(jìn)行審計(jì)。滿足條件：通過云平臺(tái)無法對應(yīng)用系統(tǒng)和數(shù)據(jù)進(jìn)行的操作進(jìn)行審計(jì)。其他具有安全審計(jì)功能的設(shè)備進(jìn)行審計(jì)記錄，可視同符合。安全計(jì)算環(huán)境身份鑒別a)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。滿足條件：未實(shí)現(xiàn)雙向身份認(rèn)證，如基于數(shù)字證書的雙向認(rèn)證。通過IP+MAC綁定的白名單，可判定為部分符合。訪問控制a)*應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移。滿足條件：遷移虛擬機(jī)時(shí)訪問控制策略無法隨其遷移。無。b)應(yīng)允許設(shè)置不同虛擬機(jī)之間的訪問控制策略。滿足條件（任意條件）：1.不同虛擬機(jī)之間無任何訪問控制措施。2.不同虛擬機(jī)之間無法進(jìn)行訪問控制策略設(shè)置。通過虛擬機(jī)自帶防火墻設(shè)置訪問控制策略，可判定為部分符合。入侵防范a)應(yīng)能檢測到虛擬機(jī)之間的資源隔離失效，并提供告警。滿足條件（同時(shí)）：1.無法檢測到虛擬機(jī)之間的隔離失效。2.無法提供有效告警。通過其他監(jiān)測措施進(jìn)行檢測，可視同符合。b)應(yīng)能檢測到非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并提供告警。滿足條件（同時(shí)）：1.無法檢測到新建虛擬機(jī)、重啟虛擬機(jī)等行為。2.無法提供有效告警。通過其他監(jiān)測措施進(jìn)行檢測，可視同符合。c)應(yīng)能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延等情況，并提供告警。滿足條件（同時(shí)）：1.無法檢測到虛擬機(jī)間惡意代碼感染及蔓延等情況。2.無法提供有效告警。通過其他監(jiān)測措施進(jìn)行檢測，可視同符合。鏡像和快照保護(hù)a)針對收費(fèi)系統(tǒng)、稽查與信用管理系統(tǒng)等部署在云中的聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像。滿足條件：1.無云管平臺(tái)，對云中的聯(lián)網(wǎng)收費(fèi)業(yè)務(wù)系統(tǒng)未提供加固的操作系統(tǒng)鏡像。無。b)應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源被非法訪問。滿足條件：無法保證敏感資源被非法訪問。增配國家主管部門認(rèn)可的加密軟件，可視同符合。數(shù)據(jù)完整性和保密性a)應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過程中，重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時(shí)采取必要的恢復(fù)措施。如使用密碼技術(shù)，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.虛擬機(jī)在遷移過程中無任何完整性保護(hù)措施。對存儲(chǔ)的數(shù)據(jù)采取多重備份。保障在完整性受到破壞時(shí)能夠?qū)嵤┗謴?fù)措施，可視同符合。b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)傳輸過程中的保密性。滿足條件（任意條件）：1.用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸。2.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。如使用國家主管部門認(rèn)可的網(wǎng)絡(luò)加密的技術(shù)確保數(shù)據(jù)在加密通道中傳輸，根據(jù)實(shí)際情況，可視同符合。c)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)存儲(chǔ)過程中的保密性。滿足條件（任意條件）：a)用戶身份認(rèn)證信息、個(gè)人敏感信息數(shù)據(jù)等以明文方式存儲(chǔ)。b)無其他有效數(shù)據(jù)保護(hù)措施。如采取區(qū)域隔離、部署數(shù)據(jù)防泄露產(chǎn)品等安全防護(hù)措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數(shù)據(jù)備份恢復(fù)a)應(yīng)保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)存儲(chǔ)在若干個(gè)可用的副本，各副本之間的內(nèi)容應(yīng)保持一致。滿足條件（同時(shí)）：1.存在若干個(gè)副本。2.各副本的內(nèi)容不一致。具備有效的云集中存儲(chǔ)備份。b)應(yīng)為業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng)提供技術(shù)手段。滿足條件（同時(shí)）：1.業(yè)務(wù)系統(tǒng)及數(shù)據(jù)無法遷移到其他云計(jì)算平臺(tái)或本地系統(tǒng)。如數(shù)據(jù)可以遷移，可判定為部分符合。剩余信息保護(hù)a)應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除。滿足條件（同時(shí)）：a)虛擬機(jī)釋放或清除機(jī)制存在缺陷。b)利用虛擬機(jī)使用過的內(nèi)存或存儲(chǔ)空間，可非授權(quán)訪問敏感資源。無。安全管理中心集中管控a)應(yīng)能對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配。滿足條件：無法按照策略做統(tǒng)一管理調(diào)度和分配。無。b)應(yīng)保證云計(jì)算平臺(tái)管理流量與業(yè)務(wù)流量分離。滿足條件：管理流量和業(yè)務(wù)流量未分離。無。c)應(yīng)對虛擬化網(wǎng)絡(luò)、主機(jī)等的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析。滿足條件：對虛擬化網(wǎng)絡(luò)、主機(jī)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件等進(jìn)行收集匯總和集中分析。無。d)應(yīng)對虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況進(jìn)行集中監(jiān)測。滿足條件：無任何監(jiān)控措施，發(fā)生故障也無法及時(shí)對故障進(jìn)行定位和處理。無。e)云安全管理中心應(yīng)與業(yè)務(wù)云分開部署于不同物理服務(wù)器。滿足條件：部署于同一物理服務(wù)器。無。

1.3大數(shù)據(jù)擴(kuò)展要求（2項(xiàng)）序號要求類別要求小項(xiàng)不符合判例補(bǔ)償措施大數(shù)據(jù)安全擴(kuò)展要求a)大數(shù)據(jù)平臺(tái)應(yīng)對數(shù)據(jù)導(dǎo)入服務(wù)組件、數(shù)據(jù)導(dǎo)出終端、數(shù)據(jù)導(dǎo)出服務(wù)組件的使用實(shí)施身份鑒別。滿足條件：數(shù)據(jù)導(dǎo)入服務(wù)組件、數(shù)據(jù)導(dǎo)出終端、數(shù)據(jù)導(dǎo)出服務(wù)組件使用的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。b)大數(shù)據(jù)平臺(tái)應(yīng)為大數(shù)據(jù)應(yīng)用提供管控其計(jì)算和存儲(chǔ)資源使用狀況的能力。滿足條件：無法管控其計(jì)算和存儲(chǔ)資源使用狀況。無。c)大數(shù)據(jù)平臺(tái)應(yīng)對其提供的輔助工具或服務(wù)組件，實(shí)施有效管理。滿足條件：無法對提供的輔助工具或服務(wù)組件進(jìn)行管理。無。d)大數(shù)據(jù)平臺(tái)應(yīng)屏蔽計(jì)算、內(nèi)存、存儲(chǔ)資源故障，保障業(yè)務(wù)正常運(yùn)行。滿足條件：無法屏蔽計(jì)算、內(nèi)存、存儲(chǔ)資源故障。部署于云中，存在多個(gè)備份，可視同符合。e)*大數(shù)據(jù)平臺(tái)應(yīng)提供靜態(tài)脫敏和去標(biāo)識化的工具或服務(wù)組件技術(shù)。滿足條件；未提供靜態(tài)脫敏和去標(biāo)識化能力。無。f)大數(shù)據(jù)平臺(tái)應(yīng)提供數(shù)據(jù)分類分級安全管理功能，供大數(shù)據(jù)應(yīng)用針對不同類別級別的數(shù)據(jù)采取不同的安全保護(hù)措施。滿足條件：未提供數(shù)據(jù)分級分類功能。無。g)*涉及重要數(shù)據(jù)接口、重要服務(wù)接口的調(diào)用，應(yīng)實(shí)施訪問控制，包括但不限于數(shù)據(jù)處理、使用、分析、導(dǎo)出、共享、交換等相關(guān)操作。滿足條件：對重要操作提供訪問控制措施。無。h)應(yīng)在數(shù)據(jù)清洗和轉(zhuǎn)換過程中對重要數(shù)據(jù)進(jìn)行保護(hù)，以保證重要數(shù)據(jù)清洗和轉(zhuǎn)換后的一致性，避免數(shù)據(jù)失真,并在產(chǎn)生問題時(shí)能有效還原和恢復(fù)。滿足條件（同時(shí)）：1.數(shù)據(jù)清洗和轉(zhuǎn)換后不一致。2.產(chǎn)生問題后無法進(jìn)行有效還原和恢復(fù)。無。

2.收費(fèi)站2.1通用要求（10項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施安全物理環(huán)境機(jī)房物理訪問控制*機(jī)房出入應(yīng)對外來人員進(jìn)行身份核實(shí)，并記錄下外來人員身份信息、聯(lián)系電話、接待人、時(shí)間等詳細(xì)情況。滿足條件（任意條件）：1.機(jī)房無電子或機(jī)械門鎖，機(jī)房入口也無專人值守。2.辦公或外來人員可隨意進(jìn)出機(jī)房，無任何管控、監(jiān)控措施。機(jī)房配備24小時(shí)專人值守或配備攝像頭實(shí)時(shí)監(jiān)控，可判定為部分符合。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)構(gòu)架a)*應(yīng)通過交換機(jī)或防火墻等設(shè)施至少劃分收費(fèi)業(yè)務(wù)、運(yùn)維管理、設(shè)備接入等不同的網(wǎng)絡(luò)區(qū)域，并為ETC門架系統(tǒng)接入單獨(dú)設(shè)置網(wǎng)絡(luò)區(qū)域，按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址，通過有效措施對各網(wǎng)絡(luò)區(qū)域進(jìn)行技術(shù)隔離。滿足條件（任意條件）：1.收費(fèi)業(yè)務(wù)和設(shè)備接入在同一網(wǎng)絡(luò)區(qū)域。2.收費(fèi)業(yè)務(wù)和運(yùn)維管理在同一區(qū)域。3.未單獨(dú)劃分ETC門架系統(tǒng)接入?yún)^(qū)域。無。b)收費(fèi)站和全國中心、省聯(lián)網(wǎng)中心、區(qū)域/路段中心的通信傳輸主干鏈路的通信和安全防護(hù)等關(guān)鍵設(shè)備應(yīng)采用雙機(jī)備份。滿足條件：與全國中心、省聯(lián)網(wǎng)中心、區(qū)域/路段中心、ETC門架系統(tǒng)連接的交換機(jī)、防火墻等未采用雙機(jī)備份。具備通信線路冗余及完整的網(wǎng)絡(luò)通道，可判定為部分符合。c）*嚴(yán)禁在收費(fèi)站區(qū)域內(nèi)開展收費(fèi)專網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)交互的業(yè)務(wù)應(yīng)用。存在收費(fèi)專網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)交互的業(yè)務(wù)應(yīng)用，無論是否采用雙防火墻、網(wǎng)閘等隔離措施。無。通信傳輸應(yīng)至少采用校驗(yàn)技術(shù)保證收費(fèi)站與全國中心、省聯(lián)網(wǎng)中心、路段中心間通信過程中的數(shù)據(jù)完整性，根據(jù)需要還可采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性；密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.在部省、省站的通信過程中未配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN或其他具有相同功能的設(shè)備，且未采用校驗(yàn)技術(shù)進(jìn)行完整性保護(hù)。2.使用AES、RSA、3DES等非國密算法進(jìn)行通信加密。應(yīng)用層采用完整性校驗(yàn)措施，密碼技術(shù)滿足國家密碼管理局要求?？梢曂稀)應(yīng)采用密碼技術(shù)保證收費(fèi)站和全國中心、省聯(lián)網(wǎng)中心、路段中心通信過程中的保密性。滿足條件（任意條件）：1.在收費(fèi)站與全國中心、省聯(lián)網(wǎng)中心、路段中心間通信過程中未配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN或其他具有相同功能的設(shè)備。2.使用AES、RSA、3DES等非國密算法進(jìn)行通信加密。應(yīng)用層采用保密保護(hù)措施，密碼技術(shù)滿足國家密碼管理局要求，可視同符合。安全區(qū)域邊界邊界保護(hù)a)*應(yīng)保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。滿足條件（任意條件）：1.網(wǎng)絡(luò)邊界無任何訪問控制措施。2.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設(shè)備不一定要是防火墻，只要是能實(shí)現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報(bào)告，可視為等效措施，判符合。如通過路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè)備性能壓力等因素，可視同符合。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到收費(fèi)網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。滿足條件（任意條件）：a)物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)接入可能。b)可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等。c)無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區(qū)域有嚴(yán)格的物理訪問控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。能夠?qū)κ召M(fèi)網(wǎng)終端或用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。滿足條件（任意條件）未配備終端管系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)導(dǎo)致如下情況：a)物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)外聯(lián)可能。b)重要核心管理終端、重要業(yè)務(wù)終端等關(guān)鍵設(shè)備存在私自外聯(lián)互聯(lián)網(wǎng)可能。c)無任何控制措施，控制措施包括限制、檢查、阻斷等。d)內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)。如物理、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上的USB接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查，可判定為部分符合。*收費(fèi)專網(wǎng)一般應(yīng)禁止無線局域網(wǎng)絡(luò)的使用，如使用，應(yīng)采用證書認(rèn)證技術(shù)確保移動(dòng)設(shè)備的可信接入。滿足條件（同時(shí)）：a)存在和收費(fèi)專網(wǎng)互聯(lián)的無線網(wǎng)絡(luò)。b)未采用有效認(rèn)證技術(shù)確保移動(dòng)設(shè)備的可信接入。無。訪問控制應(yīng)在劃定的網(wǎng)絡(luò)區(qū)域邊界防護(hù)設(shè)備上（如防火墻）根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。滿足條件（任意條件）：1.網(wǎng)絡(luò)邊界無任何訪問控制措施。2.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能。可通過具備ACL功能的路由器、交換機(jī)等設(shè)備實(shí)現(xiàn)訪問控制。則視同符合。b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，確定是否允許數(shù)據(jù)包進(jìn)出該區(qū)域邊界。訪問控制列表未達(dá)到傳輸層端口級訪問控制。無。入侵防范a)應(yīng)在網(wǎng)絡(luò)中進(jìn)行檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)如收費(fèi)專網(wǎng)與監(jiān)控網(wǎng)等外部網(wǎng)絡(luò)處無防火墻等從外部網(wǎng)絡(luò)發(fā)起的攻擊行為進(jìn)行檢測。無。b)*應(yīng)在網(wǎng)絡(luò)中進(jìn)行檢測從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）未采取任何防護(hù)措施，無法檢測從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。如網(wǎng)絡(luò)設(shè)備設(shè)置較嚴(yán)格的訪問控制策略，且發(fā)生內(nèi)部網(wǎng)絡(luò)攻擊可能性較小，可判定為部分符合。安全計(jì)算環(huán)境身份鑒別a)應(yīng)對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶進(jìn)行身份標(biāo)識和鑒別，且保證用戶名具有唯一性。滿足條件：登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，且空/弱口令已整改，可判定為部分符合。b)身份鑒別可采用密碼技術(shù)實(shí)現(xiàn)，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換。一、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用系統(tǒng)。滿足條件（同時(shí)）：1.未采用密碼技術(shù)。2.存在空口令或弱口令帳戶。二、應(yīng)用系統(tǒng)：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，且空/弱口令已整改，可判定為部分符合。d)*應(yīng)啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘。滿足條件（同時(shí)）：1.可通過遠(yuǎn)程登錄。2.對連續(xù)登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進(jìn)行口令猜測。無。e)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取SSH、HTTPS等方式防止管理數(shù)據(jù)、鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。滿足條件（同時(shí)）：1.通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠(yuǎn)程登錄。1.如整個(gè)遠(yuǎn)程管理過程中，只能使用加密傳輸通道進(jìn)行鑒別信息傳輸?shù)模梢曂稀?.如采用多因素身份認(rèn)證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡(luò)進(jìn)行訪問的措施時(shí)，竊聽到口令而無法直接進(jìn)行遠(yuǎn)程登錄的，可判定為部分符合。3.如通過其他技術(shù)管控手段（如準(zhǔn)入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認(rèn)采用加密進(jìn)行管理，但同時(shí)也開啟非加密管理方式，根據(jù)實(shí)際管理情況，可判定為部分符合。f)應(yīng)為與全國中心之間進(jìn)行通信的計(jì)算設(shè)備、安全防護(hù)設(shè)備實(shí)現(xiàn)雙向身份標(biāo)識認(rèn)證，保障與全國中心間的傳輸安全。部站通信的計(jì)算設(shè)備、安全防護(hù)設(shè)備未實(shí)現(xiàn)雙向身份認(rèn)證，如基于數(shù)字證書的雙向認(rèn)證。部站通信通過IP+MAC綁定的白名單，可判定為部分符合。訪問控制a)應(yīng)對登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶分配賬戶和權(quán)限?？赏ㄟ^直接訪問URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)重要功能模塊。無。b)應(yīng)禁用“超級管理員”權(quán)限，重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。滿足條件（同時(shí)）：1.未修改默認(rèn)帳戶的默認(rèn)口令。2.可使用該默認(rèn)口令賬號登錄。無。c)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。存在多余的、過期的賬戶。即時(shí)整改，可視同符合。安全審計(jì)a)*啟用網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算設(shè)備安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。滿足條件（同時(shí)）：1.重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計(jì)功能，無法對用戶的重要行為進(jìn)行審計(jì)。2.無其他技術(shù)手段對重要的用戶行為和重要安全事件進(jìn)行溯源。a)如使用堡壘機(jī)或其他第三方審計(jì)工具進(jìn)行日志審計(jì)，能有效記錄用戶行為和重要安全事件，可視同符合。b)如通過其他技術(shù)或管理手段能對事件進(jìn)行溯源的，可視同符合。b)審計(jì)日志應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。滿足條件：審計(jì)記錄不完整。其他具有安全審計(jì)功能的設(shè)備具有審計(jì)記錄?？膳卸椴糠址?。c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份。滿足條件：審計(jì)記錄未定期備份。安全管理中心對審計(jì)記錄進(jìn)行集中管理，可視同符合。d)*審計(jì)記錄留存6個(gè)月以上。滿足條件（任意條件）：1.審計(jì)記錄未留存6個(gè)月。2.審計(jì)記錄存儲(chǔ)空間不足以存儲(chǔ)6個(gè)月。無。入侵防范a)服務(wù)器、終端等應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。滿足條件：存在不必要的組件或程序。刪除或卸載相應(yīng)程序或組件，可判定為部分符合。b)*應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。滿足條件：操作系統(tǒng)上的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在可被利用的高風(fēng)險(xiǎn)漏洞或重大安全隱患。通過防火墻、入侵防御等防護(hù)設(shè)備關(guān)閉、阻斷對默認(rèn)共享和高危端口訪問，可判定為部分符合。c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。滿足條件（同時(shí)）：a)可通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。b)未采取技術(shù)手段對管理終端進(jìn)行管控（管控措施包括但不限于終端接入管控、網(wǎng)絡(luò)地址范圍限制、堡壘機(jī)等）。如管理終端部署在運(yùn)維區(qū)、可控網(wǎng)絡(luò)或采用多種身份鑒別方式等技術(shù)措施，可降低終端管控不善所帶來的安全風(fēng)險(xiǎn)的，可判定為部分符合。d)應(yīng)嚴(yán)格對U盤、移動(dòng)光驅(qū)等外來介質(zhì)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲(chǔ)接口進(jìn)行限制或移除。滿足條件：未對各類硬件設(shè)備的外接接口進(jìn)行限制或移除。無。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫，實(shí)現(xiàn)對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統(tǒng)未安裝殺毒軟件。2.Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一個(gè)月以上未更新至最新病毒庫版本。1.如有完備的補(bǔ)丁更新/測試計(jì)劃，且有歷史計(jì)劃執(zhí)行記錄的，可判定為部分符合。2.可與網(wǎng)絡(luò)層的入侵防范和訪問控制措施相結(jié)合來綜合評定風(fēng)險(xiǎn)，如網(wǎng)絡(luò)層部署了惡意代碼防范設(shè)備，可判定為部分符合。3.如具備管控十分嚴(yán)格的網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可判定為部分符合。b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫，支持防惡意代碼的統(tǒng)一升級和管理。滿足條件：主機(jī)防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品為同一品牌或使用相同的惡意代碼庫。無。數(shù)據(jù)完整性a)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施，包括但不限于關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持?jǐn)?shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費(fèi)率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等。如使用密碼技術(shù)，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.數(shù)據(jù)在傳輸和存儲(chǔ)過程中無任何完整性保護(hù)措施。2.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。在數(shù)據(jù)完整性受到破壞時(shí)能夠?qū)嵤?shù)據(jù)重傳，并對存儲(chǔ)的數(shù)據(jù)采取多重備份，可判定為部分符合。數(shù)據(jù)保密性a)應(yīng)采用密碼技術(shù)保證收費(fèi)站重要數(shù)據(jù)（業(yè)務(wù)數(shù)據(jù)、鑒別信息）在傳輸過程中的保密性；密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.用戶鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸。2.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。如使用國家主管部門認(rèn)可的網(wǎng)絡(luò)加密的技術(shù)確保數(shù)據(jù)在加密通道中傳輸，可根據(jù)實(shí)際情況，可視同符合。a)應(yīng)采用密碼技術(shù)保證收費(fèi)站重要數(shù)據(jù)（業(yè)務(wù)數(shù)據(jù)、鑒別信息）在存儲(chǔ)過程中的保密性；密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意條件）：1.用戶身份認(rèn)證信息等以明文方式存儲(chǔ)。2.無其他有效數(shù)據(jù)保護(hù)措施。3.若使用密碼技術(shù)，如使用AES、DES、3DES、RSA等。如采取區(qū)域隔離、部署數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄露產(chǎn)品等安全防護(hù)措施的，可對通過分析造成信息泄露的難度和影響程度，可判定為部分符合。數(shù)據(jù)備份恢復(fù)a)提供關(guān)鍵業(yè)務(wù)數(shù)據(jù)（交易數(shù)據(jù)等）和服務(wù)支持?jǐn)?shù)據(jù)（基礎(chǔ)數(shù)據(jù)、費(fèi)率數(shù)據(jù)、黑名單數(shù)據(jù)、稽查數(shù)據(jù)、車輛圖像數(shù)據(jù)等）等的本地或異地?cái)?shù)據(jù)備份與恢復(fù)功能，每周至少進(jìn)行一次全備份，每天進(jìn)行增量備份。滿足條件：應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無法進(jìn)行數(shù)據(jù)恢復(fù)。無。

2.2物聯(lián)網(wǎng)安全擴(kuò)展要求（1項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施安全物理環(huán)境應(yīng)具備防水、防潮、防塵設(shè)計(jì)，防護(hù)等級應(yīng)不低于IP55。滿足條件：無法提供證明材料。無。安全區(qū)域邊界接入控制應(yīng)提供設(shè)備認(rèn)證能力，保證只有授權(quán)的設(shè)備可以接入。滿足條件：未通過部署接入防護(hù)設(shè)備實(shí)現(xiàn)對RSU、車牌圖像識別等設(shè)備的IP/MAC地址等屬性信息的注冊管理，以及與部、省聯(lián)網(wǎng)中心之間基于國產(chǎn)密碼算法數(shù)字證書的可信身份認(rèn)證。制定嚴(yán)格的設(shè)備管理接入制度，可判定為部分符合。入侵防范應(yīng)能夠限制與設(shè)備通信的目標(biāo)地址，以避免對陌生地址的攻擊行為。滿足條件：設(shè)備可以與目標(biāo)地址以外的地址進(jìn)行通信。無。安全計(jì)算環(huán)境設(shè)備安全a)應(yīng)保證只有授權(quán)的用戶可以對設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更。滿足條件：登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。設(shè)備的合法用戶應(yīng)具有統(tǒng)一的用戶標(biāo)識、不得使用默認(rèn)口令。滿足條件（同時(shí)）：1.未修改默認(rèn)帳戶的默認(rèn)口令。2.可使用該默認(rèn)口令賬號登錄。無。c)若只用“用戶名+口令”的鑒別方式進(jìn)行身份鑒別，則應(yīng)使用具有一定復(fù)雜度的用戶口令（用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位），90天進(jìn)行更新。一、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用系統(tǒng)。滿足條件（同時(shí)）：1.未采用密碼技術(shù)。2.存在空口令或弱口令帳戶。二、應(yīng)用系統(tǒng)：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。d)*具有登錄失敗和登錄超時(shí)處理功能，連續(xù)5次登錄失敗至少鎖定10分鐘。滿足條件（同時(shí)）：1.可通過遠(yuǎn)程登錄。2.對連續(xù)登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進(jìn)行口令猜測。無。e）當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)應(yīng)啟用SSH、HTTPS等管理方式，加密管理數(shù)據(jù)、鑒別信息，防止被網(wǎng)絡(luò)竊聽。滿足條件（同時(shí)）：1.通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠(yuǎn)程登錄。1.如整個(gè)遠(yuǎn)程管理過程中，只能使用加密傳輸通道進(jìn)行鑒別信息傳輸?shù)?，可視同符合?.如采用多因素身份認(rèn)證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡(luò)進(jìn)行訪問的措施時(shí)，竊聽到口令而無法直接進(jìn)行遠(yuǎn)程登錄的，可判定為部分符合。3.如通過其他技術(shù)管控手段（如準(zhǔn)入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，，可判定為部分符合。4.在有管控措施的情況下，如果默認(rèn)采用加密進(jìn)行管理，但同時(shí)也開啟非加密管理方式，可根據(jù)實(shí)際管理情況，可判定為部分符合。f）設(shè)備應(yīng)支持遠(yuǎn)程集中管控。滿足條件：不支持遠(yuǎn)程集中管控。無。

3.ETC門架3.1通用要求（4項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施安全物理環(huán)境物理位置選擇a)ETC門架系統(tǒng)應(yīng)將計(jì)算設(shè)備和通信設(shè)備布設(shè)在具有溫濕度控制、防盜防破壞的環(huán)境。滿足條件（同時(shí)）：1.計(jì)算設(shè)備和通信設(shè)備布設(shè)環(huán)境不具備溫濕度控制。2.計(jì)算設(shè)備和通信設(shè)備布設(shè)環(huán)境不具備防盜防破壞能力。無。b）ETC門架系統(tǒng)的計(jì)算設(shè)備和通信設(shè)備通過有線通信網(wǎng)絡(luò)與門架設(shè)備連接。滿足條件：未通過有線通信網(wǎng)絡(luò)與門架設(shè)備連接。無。防盜和防破壞a)應(yīng)將ETC門架系統(tǒng)的車道控制器、通信設(shè)備、供電設(shè)備等放置在機(jī)柜內(nèi)，設(shè)備及主要部件須進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。滿足條件（同時(shí)）：1.車道控制器、通信設(shè)備、供電設(shè)備未放置在機(jī)柜內(nèi)。2.設(shè)備及主要部件未進(jìn)行固定。3.未設(shè)置明顯的不易除去的標(biāo)記。有專人巡邏，或部署有專人值守的視頻監(jiān)控設(shè)施進(jìn)行監(jiān)控，可判定為部分符合。b)室外機(jī)柜應(yīng)具備硬件防盜設(shè)計(jì)，柜體無裸露可拆卸部件，保障柜體難以從外部撬開。滿足條件（任意條件）：1.室外機(jī)柜無鎖具等防盜設(shè)施。2.柜體存在裸露可拆卸部件。無。c)應(yīng)通過電子門鎖、視頻監(jiān)控、設(shè)備狀態(tài)監(jiān)測等手段對箱體開啟情況進(jìn)行監(jiān)控記錄，及時(shí)發(fā)現(xiàn)設(shè)備的丟失、損壞等異常狀態(tài)。滿足條件：無任何措施對箱體開啟進(jìn)行監(jiān)測、防護(hù)。有嚴(yán)密巡邏巡檢制度，可判定為部分符合。防雷擊a)室外機(jī)柜內(nèi)部應(yīng)集成防雷和接地保護(hù)裝置，具備防雷擊和防浪涌沖擊的能力。滿足條件：無任何防雷保護(hù)措施。無。防火a)室外機(jī)柜應(yīng)布設(shè)剩余電流式電氣火災(zāi)監(jiān)控探測器、測溫式電氣火災(zāi)監(jiān)控探測器等監(jiān)測設(shè)備。滿足條件：無任何防火保護(hù)措施。無。b)室外機(jī)柜柜體應(yīng)采用防火材料。滿足條件：室外機(jī)柜柜體未采用防火材料。無。防塵和防水（防潮）a)室外機(jī)柜應(yīng)具備防塵、防水（防潮）設(shè)計(jì)，防護(hù)等級應(yīng)不低于IP55，部分地區(qū)可根據(jù)氣候地理?xiàng)l件，采用更高的防護(hù)標(biāo)準(zhǔn)。滿足條件：機(jī)柜防護(hù)級別未達(dá)到IP55。未提供相關(guān)證明材料。無。溫濕度控制a)室外機(jī)柜應(yīng)集成空調(diào)，支持柜內(nèi)溫度自動(dòng)調(diào)節(jié)，保障柜內(nèi)設(shè)備運(yùn)行在所允許的范圍內(nèi)。室外機(jī)柜無任何溫度控制措施。無。b)室外機(jī)柜應(yīng)具備溫濕度傳感器，ETC門架系統(tǒng)室外設(shè)備工作溫度范圍應(yīng)至少應(yīng)滿足-20℃~+55℃（寒區(qū)-35℃～+40℃），濕度范圍應(yīng)滿足5%~95%（無凝露），各地區(qū)可根據(jù)氣候地理?xiàng)l件，進(jìn)行溫濕度適應(yīng)范圍調(diào)整。滿足條件：ETC門架系統(tǒng)室外設(shè)備的工作環(huán)境不滿足設(shè)備正常運(yùn)行。無。電力供應(yīng)a）應(yīng)配備備用電力供應(yīng)，保證ETC門架系統(tǒng)的持續(xù)電力供應(yīng)，確保ETC門架系統(tǒng)24小時(shí)不間斷工作。滿足條件：無法提供短期備用電力供應(yīng)或備用電力供應(yīng)無法滿足系統(tǒng)短期正常運(yùn)行。無。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)構(gòu)架a)ETC門架系統(tǒng)和省中心、部中心的通信傳輸應(yīng)提供鏈路冗余，主干鏈路的通信和安全防護(hù)等關(guān)鍵設(shè)備應(yīng)采用雙機(jī)備份。滿足條件：與收費(fèi)站連接的交換機(jī)、防火墻等未提供雙機(jī)備份。若有通信線路冗余，則判定為視同符合。b)可根據(jù)需要?jiǎng)澐滞ㄐ旁O(shè)備、計(jì)算設(shè)備等不同的網(wǎng)絡(luò)區(qū)域，并按照便捷管理和集約管控的原則為各網(wǎng)絡(luò)區(qū)域分配地址，應(yīng)通過有效措施對各網(wǎng)絡(luò)區(qū)域進(jìn)行技術(shù)隔離。滿足條件（任意條件）：1.未劃分網(wǎng)絡(luò)區(qū)域。2．對網(wǎng)絡(luò)區(qū)域邊界隔離設(shè)備本單位無管理權(quán)限。3.網(wǎng)絡(luò)區(qū)域邊界隔離設(shè)備訪問控制措施配置不當(dāng)，存在較大安全隱患。無。通信傳輸應(yīng)至少采用校驗(yàn)技術(shù)保證與全國中心、省聯(lián)網(wǎng)中心通信過程中數(shù)據(jù)的完整性。滿足條件：在與全國中心、省聯(lián)網(wǎng)中心通信過程中無數(shù)據(jù)完整性保護(hù)措施。應(yīng)用層采用完整性校驗(yàn)措施，可視同符合。b)應(yīng)采用密碼技術(shù)保證與全國中心、省聯(lián)網(wǎng)中心通信過程中的保密性，密碼算法應(yīng)符合國家密碼管理局相關(guān)規(guī)范要求。滿足條件（任意）：1.在與全國中心、省聯(lián)網(wǎng)中心通信過程中未配備SSL網(wǎng)關(guān)、IPSecVPN、SSLVPN或其他具有相同功能的設(shè)備。2.使用AES、RSA、3DES等非國密算法進(jìn)行通信加密。采用應(yīng)用層加密保護(hù)措施，密碼技術(shù)滿足國家密碼管理局要求，可視同符合。安全區(qū)域邊界邊界保護(hù)a)通過邊界防護(hù)設(shè)備，保證跨越網(wǎng)絡(luò)區(qū)域邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。滿足條件（任意）：1.網(wǎng)絡(luò)邊界無任何訪問控制措施。2.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。3.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能。邊界訪問控制設(shè)備不一定要是防火墻，只要是能實(shí)現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報(bào)告，可視同符合。如通過路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè)備性能壓力等因素，可判定為部分符合。b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到收費(fèi)專網(wǎng)的行為進(jìn)行檢查或限制，阻止非授權(quán)訪問。滿足條件（任意條件）：1.物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)接入可能。2.可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。如接入的區(qū)域有嚴(yán)格的物理訪問控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可判定為部分符合。c)能夠?qū)K端或用戶非授權(quán)連接到收費(fèi)網(wǎng)外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，阻止非授權(quán)訪問。滿足條件未配備終端管控系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)導(dǎo)致如下情況（任意條件）：1.物理、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)外聯(lián)可能。2.重要核心管理終端、重要業(yè)務(wù)終端等關(guān)鍵設(shè)備存在私自外聯(lián)互聯(lián)網(wǎng)可能。3.無任何控制措施，控制措施包括限制、檢查、阻斷等。4.內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)。如物理、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上的USB接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查，可判定為部分符合。訪問控制a）應(yīng)優(yōu)化安全設(shè)備的訪問控制列表，刪除多余或無效的訪問控制規(guī)則，使訪問控制規(guī)則數(shù)量最小化。滿足條件（任意條件）：1.網(wǎng)絡(luò)邊界訪問控制措施配置不當(dāng)，存在較大安全隱患。2.網(wǎng)絡(luò)邊界控制措施失效，無法起到訪問控制功能。無。b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為傳輸層端口級，對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，確定是否允許數(shù)據(jù)包進(jìn)出該區(qū)域邊界。訪問控制列表未達(dá)到傳輸層端口級訪問控制。無。入侵防范a)應(yīng)在核心交換機(jī)等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測網(wǎng)絡(luò)攻擊行為。滿足條件：關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)未配備網(wǎng)絡(luò)攻擊檢測設(shè)備。配備防火墻，可判定為部分符合。安全計(jì)算環(huán)境身份鑒別a)ETC門架系統(tǒng)布設(shè)的RSU、車牌圖像識別設(shè)備、服務(wù)器和計(jì)算機(jī)終端等設(shè)施的管理員應(yīng)進(jìn)行身份標(biāo)識和鑒別，且保證在系統(tǒng)整個(gè)生存周期用戶名具有唯一性。滿足條件：登錄RSU、車牌圖像識別設(shè)備、服務(wù)器和計(jì)算機(jī)終端等管理員用戶存在空口令賬戶，并可以登錄。如采用雙因素認(rèn)證等鑒別手段，惡意用戶使用空口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。b)身份鑒別可采用密碼技術(shù)實(shí)現(xiàn)，若只采用“用戶名+口令”鑒別方式，用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位，每90天更換。滿足條件（同時(shí)）：一、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用系統(tǒng)。1.未采用密碼技術(shù)。2.存在空口令或弱口令帳戶。二、應(yīng)用系統(tǒng)：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶。如采用雙因素認(rèn)證等鑒別手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。c)*應(yīng)啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施，連續(xù)5次登錄失敗至少鎖定10分鐘。滿足條件（同時(shí)）：1.可通過遠(yuǎn)程登錄。2.對連續(xù)登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進(jìn)行口令猜測。無。d)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取SSH、HTTPS等方式防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。滿足條件（同時(shí)）：1.通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠(yuǎn)程登錄。1.如整個(gè)遠(yuǎn)程管理過程中，只能使用加密傳輸通道進(jìn)行鑒別信息傳輸?shù)?，可視同符合?.如采用多因素身份認(rèn)證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡(luò)進(jìn)行訪問的措施時(shí)，竊聽到口令而無法直接進(jìn)行遠(yuǎn)程登錄的，可判定為部分符合。3.如通過其他技術(shù)管控手段（如準(zhǔn)入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認(rèn)采用加密進(jìn)行管理，但同時(shí)也開啟非加密管理方式，可根據(jù)實(shí)際管理情況，可判定為部分符合。訪問控制a)*設(shè)定特定終端或網(wǎng)絡(luò)地址范圍，對通過網(wǎng)絡(luò)進(jìn)行管理的終端進(jìn)行限制。滿足條件：網(wǎng)絡(luò)內(nèi)非授權(quán)終端可對門架系統(tǒng)設(shè)備進(jìn)行管理或操作。無。安全審計(jì)a)*應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)遠(yuǎn)程連接管理的用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。滿足條件（同時(shí)）：1.無任何日志審計(jì)功能，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計(jì)功能，無法對用戶的重要行為進(jìn)行審計(jì)。2.無其他技術(shù)手段對重要的用戶行為和重要安全事件進(jìn)行溯源。1.如使用堡壘機(jī)或其他第三方審計(jì)工具進(jìn)行日志審計(jì)，能有效記錄用戶行為和重要安全事件，可視同符合。2.如通過其他技術(shù)或管理手段能對事件進(jìn)行溯源的，可判定為部分符合。b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。滿足條件：審計(jì)記錄不完整。其他具有安全審計(jì)功能的設(shè)備具有審計(jì)記錄，可視同符合。c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。滿足條件：審計(jì)記錄未定期備份。如日志上傳到收費(fèi)站、路段中心或省中心集中備份，可視同符合。入侵防范a)遵循最小安裝原則，所有設(shè)備僅安裝需要的組件和應(yīng)用程序。滿足條件：存在不必要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。刪除或卸載相應(yīng)程序或組件及端口，可判定為部分符合。b）*關(guān)閉不必要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口滿足條件：操作系統(tǒng)上的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在可被利用的高風(fēng)險(xiǎn)漏洞或重大安全隱患。通過安全網(wǎng)關(guān)等防護(hù)設(shè)備關(guān)閉、阻斷對默認(rèn)共享和高危端口，可視同符合。c)通過入侵檢測、監(jiān)測預(yù)警等監(jiān)測手段，發(fā)現(xiàn)對ETC門架系統(tǒng)的入侵行為，發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。滿足條件（同時(shí)）：1.未在收費(fèi)站門架接入?yún)^(qū)網(wǎng)絡(luò)邊界部署防火墻。2.ETC門架系統(tǒng)計(jì)算設(shè)備操作系統(tǒng)未開啟防火墻功能。網(wǎng)絡(luò)設(shè)備具有一定的監(jiān)測預(yù)警和安全分析功能，可判定為部分符合。d)應(yīng)嚴(yán)格對U盤、移動(dòng)光驅(qū)等外來存儲(chǔ)設(shè)備的管控，并對各類硬件設(shè)備的外接存儲(chǔ)接口進(jìn)行移除或限制。滿足條件：無對U盤、移動(dòng)光驅(qū)等外來介質(zhì)設(shè)備的管控措施。各類硬件設(shè)備的外接接口進(jìn)行限制或移除，可判定為部分符合。惡意代碼防范a)通過安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫，實(shí)現(xiàn)對惡意代碼的有效防范。滿足條件（任意條件）：1.Windows操作系統(tǒng)未安裝殺毒軟件。2.Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一個(gè)月以上未更新至最新病毒庫版本。1.如有完備的補(bǔ)丁更新/測試計(jì)劃，且有歷史計(jì)劃執(zhí)行記錄的，可判定為部分符合。2.可與網(wǎng)絡(luò)層的入侵防范和訪問控制措施相結(jié)合來綜合評定風(fēng)險(xiǎn)，如網(wǎng)絡(luò)層部署了惡意代碼防范設(shè)備，可判定為部分符合。3.如具備管控十分嚴(yán)格的網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可判定為部分符合。b)對ETC門架系統(tǒng)服務(wù)器、終端設(shè)備進(jìn)行統(tǒng)一惡意代碼防范，支持防惡意代碼的統(tǒng)一升級和管理。未配備設(shè)備對服務(wù)器、終端設(shè)備進(jìn)行惡意代碼防范，或設(shè)備不支持統(tǒng)一管理及升級。無。數(shù)據(jù)可用性a)提供重要數(shù)據(jù)（指令數(shù)據(jù)、交易數(shù)據(jù)、費(fèi)率數(shù)據(jù)、車輛圖像數(shù)據(jù)等）的本地?cái)?shù)據(jù)存儲(chǔ)。未對重要數(shù)據(jù)進(jìn)行本地存儲(chǔ)。在路段分中心或收費(fèi)站對重要數(shù)據(jù)進(jìn)行多重備份存儲(chǔ)，并可及時(shí)調(diào)取數(shù)據(jù)，可判定為部分符合。3.2物聯(lián)網(wǎng)擴(kuò)展要求（3項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施安全物理環(huán)境應(yīng)具備防水、防潮、防塵設(shè)計(jì)，防護(hù)等級應(yīng)不低于IP55。滿足條件：無法提供證明材料。無。安全區(qū)域邊界接入控制應(yīng)提供設(shè)備認(rèn)證能力，保證只有授權(quán)的設(shè)備可以接入。滿足條件：未通過部署接入防護(hù)設(shè)備實(shí)現(xiàn)對RSU、車牌圖像識別等設(shè)備的IP/MAC地址等屬性信息的注冊管理，以及與部、省聯(lián)網(wǎng)中心之間基于國產(chǎn)密碼算法數(shù)字證書的可信身份認(rèn)證。制定嚴(yán)格的設(shè)備管理接入制度，可判定為部分符合。入侵防范應(yīng)能夠限制與設(shè)備通信的目標(biāo)地址，以避免對陌生地址的攻擊行為。滿足條件：設(shè)備可以與目標(biāo)地址以外的地址進(jìn)行通信。無。安全計(jì)算環(huán)境設(shè)備安全a)應(yīng)保證只有授權(quán)的用戶可以對設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更。滿足條件：登錄網(wǎng)絡(luò)、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用等計(jì)算環(huán)境的用戶存在空口令或弱口令賬戶，并可以登錄。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。b)設(shè)備的合法用戶應(yīng)具有統(tǒng)一的用戶標(biāo)識、不得使用默認(rèn)口令。滿足條件（同時(shí)）：1.未修改默認(rèn)帳戶的默認(rèn)口令。2.可使用該默認(rèn)口令賬號登錄。無。c)*若只用“用戶名+口令”的鑒別方式進(jìn)行身份鑒別，則應(yīng)使用具有一定復(fù)雜度的用戶口令（用戶口令須由大小寫英文字母、數(shù)字、特殊字符3種以上組成、長度不少于8位），90天進(jìn)行更新。滿足條件（同時(shí)）：一、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、終端及應(yīng)用系統(tǒng)。1.未采用密碼技術(shù)。2.存在空口令或弱口令帳戶。二、應(yīng)用系統(tǒng)：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶。如采用雙因素認(rèn)證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè)備，可判定為部分符合。d）*具有登錄失敗和登錄超時(shí)處理功能，連續(xù)5次登錄失敗至少鎖定10分鐘。滿足條件（同時(shí)）：1.可通過遠(yuǎn)程登錄。2.對連續(xù)登錄失敗無任何處理措施。3.攻擊者可利用登錄界面進(jìn)行口令猜測。無。e）*當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)應(yīng)啟用SSH、HTTPS等管理方式，加密管理數(shù)據(jù)、鑒別信息，防止被網(wǎng)絡(luò)竊聽。滿足條件（同時(shí)）：1.通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理。2.管理帳戶口令以明文方式傳輸。3.使用截獲的帳號可遠(yuǎn)程登錄。1.如整個(gè)遠(yuǎn)程管理過程中，只能使用加密傳輸通道進(jìn)行鑒別信息傳輸?shù)?，可視為等效措施，判符合?.如采用多因素身份認(rèn)證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡(luò)進(jìn)行訪問的措施時(shí)，竊聽到口令而無法直接進(jìn)行遠(yuǎn)程登錄的，可判定為部分符合。3.如通過其他技術(shù)管控手段（如準(zhǔn)入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，可判定為部分符合。4.在有管控措施的情況下，如果默認(rèn)采用加密進(jìn)行管理，但同時(shí)也開啟非加密管理方式，可根據(jù)實(shí)際管理情況，可判定為部分符合。f)設(shè)備應(yīng)支持遠(yuǎn)程集中管控。滿足條件：不支持遠(yuǎn)程集中管控。無。4.區(qū)域/路段中心4.1通用要求（12項(xiàng)）序號要求項(xiàng)目要求子項(xiàng)要求小項(xiàng)不符合判例補(bǔ)償措施安全物理環(huán)境機(jī)房物理訪問控制a)*機(jī)房出入應(yīng)對外來人員進(jìn)行身份核實(shí)，并記錄下外來人員身份信息、聯(lián)系