摘要：取消高速公路省界收费站的工作推进，主要依托电子不停车快捷收费（ETC）技术，建立ETC门架系统，实现ETC车辆分段收费，MTC车辆分段计费，出口统一收费。ETC是典型的物联网的场景，同时作为未来智慧高速的核心场景，物联网安全尤为重要。本文按照《联网收费系统省域系统并网接入网络安全基本技术要求》的相关要求落实等级保护三级要求，并符合物联网安全扩展要求。

关键词：交通；ETC；等级保护；网络安全

Abstract: To cancel the work of provincial toll stations on expressways, we mainly rely on electronic toll collection (ETC) technology to establish ETC portal system, realize ETC vehicle subsection charging, MTC vehicle subsection charging and export unified charging.ETC is a typical scenario of the Internet of Things. As the core scenario of future intelligent high-speed, the security of the Internet of Things is particularly important. In accordance with the relevant requirements of "Basic Technical Requirements for the Security of Provincial and Regional Networked Charging System Connected to the Network", this paper implements three-level protection requirements, and meets the requirements of Internet of Things security expansion.

Key words: Traffic; ETC; Level protection; Network security

1　引言

按照第十三届全国人民代表大会第二次会议上《政府工作报告》中提出的“两年内基本取消全国高速公路省界收费站，实现不停车快捷收费，减少拥堵、便利群众”工作要求，交通运输部开展相关工作部署，指导并制定了《取消高速公路省界收费站总体技术方案》等一系列技术和实施方案，加快推进取消省界收费站，提高高速公路通行效率、降低物流成本、便利群众出行、减轻群众负担和推动高速公路高质量发展。

2　现状

联网收费系统总体架构由全国收费公路联网结算管理中心（以下简称“全国中心”）、省（区、市）联网结算管理中心（以下简称“省联网中心”，含具有清分结算功能的区域及路段中心）、省内区域/路段中心、ETC门架、收费站、收费车道（MTC车道、ETC车道）等组成。

2.1　系统通信网络架构

为保证数据实时传输，ETC门架和收费站到省联网中心、全国中心采用主备双链路，主用链路采用省内现有收费通信网络，备份通信链路可采用电信运营商专线网络（或现有全国高速公路信息通信干线传输系统网络）。省联网中心到全国中心复用已有跨省清分结算通信链路。为加强联网收费系统运行监测，建立联合稽查和信用管理体系，建立全国中心与收费站、ETC门架的直连链路。通信网络构成如图1所示。

图1 联网收费通信网络构成示意图

2.2　系统总体架构

全国高速公路联网收费系统总体架构如图2所示。

图2 全国高速公路联网收费系统总体架构示意图

联网收费系统由全国中心系统、省联网中心系统、ETC门架系统、收费站（ETC车道系统、ETC/MTC混合车道系统）、结算系统、ETC发行系统、客服系统、稽查与信用管理系统、在线密钥管理系统组成。

联网收费系统根据功能和数据特点，重要数据可以分为鉴别数据、关键业务数据（交易和清分数据、拆分数据等）、服务支持数据（基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等）和公民个人信息。

根据各业务模块功能特点，可将联网收费系统分为三大类：

业务数据处理类，对收费数据进行计算和存储的相关系统，主要包括：结算系统、在线密钥管理与服务系统等，该类系统对数据完整性、保密性和可用性具有较高的要求。

业务生产控制类，对车辆的通行进行管理控制的相关系统，主要包括：ETC门架系统、收费车道系统等，该类系统对控制类数据的完整性和业务连续性方面具有较高的要求。

业务辅助类，辅助支撑业务数据处理和业务生产控制的信息系统，主要包括：ETC发行系统、CPC卡发行与管理系统、客服系统、稽查与信用管理系统等，一般不对收费系统核心业务运行产生影响，但根据其系统特性，对数据完整性、保密性或业务连续性存在响应要求。

2.3　ETC门架系统

根据《取消高速公路省界收费站总体技术方案》的规定，原则上，在高速公路每个互通立交、入/出口之间均设立ETC门架系统，实现ETC车辆和MTC车辆分段计费，对于ETC车辆生成交易流水（或通行凭证）、ETC通行记录和抓拍图像信息（包括车牌号码、车牌颜色等），并及时上传至省联网中心和部联网中心；对于MTC车辆，通过读取CPC卡内车辆信息，计算费额并写入CPC卡内，形成CPC卡通行记录，并同抓拍图像信息及时上传至省联网中心和部联网中心。

ETC门架系统由上、下行双方向部分组成。在省界和非省界路段设置ETC门架系统，上、下行方向各设置一个门架。每个门架应具备关键设备（RSU、车牌图像识别设备等）冗余设置，当主设备发生故障时，备用设备可立即启用工作。ETC门架系统布局示意图如图3、图4所示。

图3  ETC门架系统布局示意图（侧视）

图4  ETC门架系统布局示意图（俯视）

ETC门架系统主要由以下设备和设施组成：车道控制器、RSU、车牌图像识别设备、高清摄像机、站级服务器、防雷接地设施、补光灯、通信设备、供电设备、车辆检测器（可选）、交换机、网络安全设备等。

3　风险分析

ETC门架系统主要包含ETC门架收费软件，车道控制器、RSU、车牌图像识别等设施设备及有关网络基础运行环境。ETC门架系统业务数据通过收费站与省联网中心和全国中心建立连接，收费站内为门架系统服务的设备。

ETC门架系统和收费站存在大量设备，如路侧单元（RSU，Road Side Unit）等布设的物联网设备、车牌图像识别设备、以及传统的服务器和计算机终端等。其中RSU又称电子标签读写器、路侧读写天线、ETC天线、路侧设备，安装在收费车道门架上或收费岛立柱上的用于同过往车辆上的车载设备进行通信的天线及相应的控制设备。其中门架也存在大量的终端设备，是网络中处于网络最外围的设备，主要用于用户信息的输入以及处理结果的输出等，在联网收费系统中主要包括两类：

一是收费业务相关工作人员使用的设备，包括收费业务计算机终端、收费业务手持终端等；

二是ETC门架系统部署的前端设备，包括智能摄像头、RSU、控制终端等。

大量的终端设备、服务器、物联网设备接入到收费专网中，安全风险存在并不局限于：

（1）物联网终端众多，资产情况难以掌握，存在违规接入的风险，同时缺失运维手段、事件监测通报以及应急处理机制；

（2）大量门架系统包括收费站部署在户外、分散安装、易被接触到而又没有纳入管理，导致物理攻击、篡改和仿冒；

（3）终端普遍存在漏洞和大量开放端口等安全风险，容易被恶意代码感染形成僵尸主机，进而构成僵尸网络；

（4）数据都是明文传输，容易被篡改和窃听，对收费专网造成很大的泄密和攻击隐患。

基于以上安全威胁，黑客入侵物联网的设备后可以进行大规模的破坏，进而威胁到收费专网的核心资产和业务。

·分布式拒绝服务（DDoS, DistributedDenial ofService）攻击进行业务破坏或勒索

由于门架终端数量庞大，且由于其能持续向云端发送数据，目前已经成为攻击者组建“僵尸网络”的主要来源，并正在成为DDoS发起的主要阵地。如Mirai通过对摄像头入侵，向DNS运营商DYN发起了大规模的DDoS攻击，致使整个美国网络访问大规模中断；2017年2月被发现的Linux.ProxyM物联僵尸网络，仅用4个月就控制了超过万台物联网终端。

·仿冒攻击

由于门架终端难以物理管控，因此通过对物联网终端的冒用替换，以此为跳板可以直接威胁到收费专网的核心业务系统。如在某行业红蓝对抗中，黑客通过ETC系统的冒用进入入侵攻破了该行业的核心业务服务器。

·国家关键基础设施遭破坏

门架、收费站、路段中心系统属于国家关键基础设施。由于终端设备大都采用相同或者相似的软硬件方案，意味着一台被攻破，就可以使所有的终端全军覆没。这些事关国计民生的基础设施一旦遭遇风险，势必引发重大后果，可能会造成无法估量的经济损失，甚至会引起社会恐慌。

4　网络安全防护建议

4.1　防护原则

（1）分区分域防护原则

任何安全措施都不是绝对安全可靠的，为保障攻破一层或一类保护的攻击行为不会破坏整个信息系统，以达到纵深防御的安全目标，需要合理划分安全域，综合采用多种有效安全保护措施，实施多层、多重保护。

（2）均衡性保护原则

对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理安全需求、安全风险与安全保护代价的关系。因此，结合适度防护实现分等级安全保护，做到安全性与可用性平衡，达到技术上可实现、经济上可执行。

（3）技术与管理相结合

信息安全涉及人、技术、操作等方面要素，单靠技术或单靠管理都不可能实现。因此在考虑信息安全时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

（4）动态调整与可扩展

由于网络安全需求会不断变化，以及环境、条件、时间的限制，因此安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全保护，后续再根据应用和网络安全技术的发展，不断调整安全策略，加强安全防护力度，以适应新的网络安全环境，满足新的信息安全需求。

（5）网络安全三同步原则

信息系统在新建、改建、扩建时应当同步建设信息安全设施，确保其具有支持业务稳定、持续运行性能的同时，保证安全技术措施同步规划、同步建设、同步使用，以保障信息安全与信息化建设相适应。

4.2　网络安全防护思路

参考等级保护安全设计要求，建议设计思路如下：

（1）根据信息系统的安全定级结果，明确该等级对应的总体防护描述；

（2）根据系统和子系统划分结果、安全定级结果将保护对象归类，并组成保护对象框架；

（3）根据方案的设计目标来建立整体保障框架，来指导整个等级保护方案的设计，明确关键的安全要素、流程及相互关系；在安全措施框架细化后将补充到整体保障框架中；

（4）根据此等级受到的威胁对应出该等级的保护要求（即需求分析），并分布到物理和环境、网络和通信、设备与计算、应用和数据等层面上；

（5）根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略（即总体安全目标），再根据等级保护的要求将总体安全策略细分为不同的具体策略（即具体安全目标），包括安全域内部、安全域边界和安全域互联策略；

（6）根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施；根据安全技术体系和安全管理体系的划分，各安全措施共同组成了安全措施框架；

（7）各保护对象根据系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分；各安全区域将保护对象框架划分成不同部分，即各安全措施发生作用的保护对象集合；

（8）根据选择好的各保护对象安全措施、安全措施框架、实际的具体需求来设计安全解决方案。

4.3　网络安全技术架构

《联网收费系统省域系统并网接入网络安全基本技术要求》中要求按照国家网络安全政策法规和技术标准体系的有关要求，落实网络安全等级保护制度，围绕联网收费三类系统的安全保护需求，针对联网收费系统重要数据和业务系统进行分级分类管理，从安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心等五个方面提出通用安全要求以及云计算、大数据及物联网三个方面提出扩展安全要求，以建立联网收费系统网络安全技术防护体系，构建综合防御能力，总体安全框架体系如图5所示。

图5  联网收费系统网络安全技术框架

4.4　ETC门架系统网络安全防护建议

综上，门架系统网络安全防护所采用的产品可以确保并网接入自由流虚拟站、区域中心/路段中心、收费站通过有效安全认证和访问控制，保证收费专网安全接入和隔离属性，实现安全可靠通信传输和数据交换共享，及时监测预警网内网外攻击行为，具备数据级备份恢复能力。能满足ETC门架、收费站等系统的通信传输、边界防护、访问控制、入侵防范、安全审计以及物联网扩展安全要求如设备认证、身份鉴别等一体化安全防护需求。

（1）数据安全方面，采用基于国密的数据加密，对关键的计费等数据实现通信加密。产品严格的密钥管理办法，采用纯硬件算法，严格符合国家商用密码技术规范。密钥使用真随机数发生器产生，并加密存储在加密机安全芯片内部，确保信息安全可靠。

（2）区域边界安全防护方面，产品支持防火墙，具备入侵检测、监测预警等功能，来实现边界防护、访问控制、入侵防范等区域边界安全要求。

（3）物联网安全扩展要求方面，RSU、高清车牌视频识别等设备应通过部署接入防护设备，实现设备IP/MAC地址等属性信息注册管理，设备通信地址管控，设备访问权限控制和设备远程安全管理等物联网扩展安全要求。网络安全防护产品实现了一种无代理的安全防护方法，也就是说无须改造门架和收费站系统中的物联网设备，即可有效地帮助解决大型、动态和多样性等复杂收费网络环境下的物联网终端可见性和安全控制的挑战。如在自由流虚拟站安全方面，RSU、高清车牌视频识别等前端设备容易丢失、损坏和仿冒，产品可以准确实时的识别设备的在/离线状态、是否被仿冒等功能，可以有效地弥补产品在户外部署所带来的物理环境安全问题。

（4）系统适应性方面，产品支持双机热备和Bypass等功能，可有效地保证收费网络的业务连续性。

5　结论

门架系统网络安全建设建议基于分布式安全防护的理念，实现了从门架、收费站、路段中心到省部级立体化的综合安全防护方案，要覆盖了《等保2.0》三级的安全建设要求，同时门架系统建议实现物联网安全防护能力，能够覆盖未来智慧高速的安全需求。

通过在每个门架部署安全防护设备，实现了对门架上车道摄像头、ETC天线、曝光灯、RSU、气象、交调等设备的资产管控、仿冒检测、访问控制、业务安全等防护功能，覆盖了门架和收费站安全域防护需求；同时在路段和省部署安全防护设备，与门架防护系统建立基于国密的数据链路安全加密机制，保护收费等关键数据的安全传输；在省/部级部署安全管理平台实现统一的设备管理和全局安全决策。

作者简介

刘健帅（1984-），男，河北人，高级工程师，硕士，现就职于启明星辰信息技术集团股份有限公司，任高级咨询顾问，研究方向为工业互联网安全。

张　帅（1984-），男，河北人，高级工程师，硕士，现就职于启明星辰信息技术集团股份有限公司，任研发总监，研究方向为物联网安全、工控安全及云安全。

孙志华（1981-），男，河北人，本科，现就职于启明星辰信息技术集团股份有限公司，任产品经理，研究方向为工业安全、物联网安全、车联网安全。

参考文献：

[1] GB/T 22239-2019, 信息安全技术 网络安全等级保护基本要求[S] .

[2] 全国人民代表大会常务委员会. 中华人民共和国网络安全法[Z]. 2016.

[3] 联网收费系统省域系统并网接入网络安全基本技术要求[Z].

[4] 国务院办公厅. 深化收费公路制度改革取消高速公路省界收费站实施方案[Z]. 2019.

摘自《工业控制系统信息安全专刊（第六辑）》