1、 10101101110智能公路行業解決方案安恒信息大交通解決方案部2024版前言交通建設是國家的基礎產業和經濟發展的先行行業，是現代化的標志，是一個國家綜合國力的體現。黨的十九大做出了關于“網絡強國、交通強國、數字中國、智慧社會”的戰略部署，建設交通強國是立足國情、著眼全局、面向未來作出的重大戰略決策，是建設現代化經濟體系的先行領域，是全面建成社會主義現代化強國的重要支撐，是新時代做好交通工作的總抓手。交通行業作為加快數字轉型升級的“先行官”，在新一代數字技術與綜合交通體系的融合中起到了重要推動作用。在交通行業的多個垂直領域中，公路行業數字化進程如同一股激流，推動著整個行業的蓬勃發展。數字化

2、技術為公路業務注入了新的活力，改變了傳統公路建設、養護和管理的方式，顯著提高了運營效率。目前，公路行業的數字化發展已經不再局限于新技術應用、IT基礎設施升級等方面，而是進入到數字技術與應用場景深度融合，從而帶來安全、效率、體驗的全面提升。在公路行業數字化轉型的浪潮中，安恒信息秉承著“構建安全可信的數字世界”的使命，專注于公路數字化建設的各項具體業務場景。安恒信息深入洞察數字技術與交通應用融合中的安全風險，為眾多行業客戶提供了高水平的安全解決方案，獲得了行業用戶的普遍認可；以深入業務場景的行業解決方案為抓手，為交通數字化轉型構筑安全基石。3235380203公路可變信息板綜合防篡改方案智能公路建

3、設是交通強國戰略實現的重要領域公路集團企業網絡安全運營托管服務解決方案車路協同試點網絡安全保障方案4043公路集團企業網絡安全運營托管服務解決方案智能公路數據要素安全共享方案智能公路數字化的行業特性0406智能公路數字化的典型技術公路行業信息安全現狀綜述07未來信息安全建設重點展望123目錄聯網收費系統優化升級工程解決方案專題公路行業新場景網絡安全解決方案安恒信息觀點1114聯網收費系統網絡安全態勢感知系統升級方案 聯網收費系統全生命周期數據安全保障方案1720聯網收費系統供應鏈安全解決方案 聯網收費系統國產密碼技術應用方案2327收費站安全能力提升方案 聯網收費系統一體化網絡安全運營解決方案

4、智能公路建設是交通強國戰略實現的重要領域安恒信息觀點 第一章第一章安恒信息觀點0102在未來公路行業的發展過程中，數字化將是行業高質量發展的重要特征，也是現代綜合交通運輸體系的關鍵要素。數字化，既包括對現有交通基礎設施的數字化、智能化改造，也包括具有數字化特征的交通基礎設施建設。智能公路是數字化技術在交通領域的具體應用，實現了公路全流程的數字化轉型，從而提高了公路的建設與運行管理服務水平。在智能公路中，數據被視為關鍵要素和核心驅動，通過采用AI智能技術、大數據、物聯網、5G通信等多種先進技術手段，實現了對公路全生命周期全流程的數字化轉型，促進了物理空間和虛擬空間的不斷融合和交互作用，是我國交通

5、強國戰略的重要實踐之一，未來現代化智能交通體系中不可或缺的關鍵一環。從2019年9月交通強國建設綱要正式印發，到2020年3月“新基建”的提出，再到同年8月關于推動交通運輸領域新型基礎設施建設的指導意見的發布，數字化、網絡化、智能化已經成為推進交通運輸提效能、擴功能、增動能的重要手段。我國首個針對綜合立體交通網的中長期規劃綱要國家綜合立體交通網規劃綱要明確提出：我國將加快提升交通運輸的科技創新能力，推進交通基礎設施數字化、網聯化。預計到2035年，交通基礎設施數字化率將達到90%。此外，該規劃綱要還強調，到本世紀中葉，我國將全面建成現代化、高質量的國家綜合立體交通網，并擁有世界一流的交通基礎設

6、施體系。屆時，交通運輸供需將實現有效平衡，服務優質均等，安全得到有力保障。同時，新技術的廣泛應用將推動行業實現數字化、網絡化、智能化和綠色化。在出行方面，人們將享受到安全、便捷、舒適的環境；物流方面智能公路行業解決方案藍皮書2023-0304智能公路數字化的行業特性智能公路數字化的典型技術作為交通強國與數字經濟的重要組成領域，智能公路的數字化發展具有獨特的行業特性。這些特性主要體現在以下方面：則實現高效、經濟、可靠的目標。最終，我國將全面建成交通強國，實現“人享其行、物優其流”。2023年9月，交通運輸部印發關于加快推進公路數字化轉型智慧公路建設的意見，意見中明確指出，數字化轉型是公路交通高質

7、量發展的必由之路，是提升公路服務和管理水平的重要手段。在上述政策的指引下，智能公路行業正在筑牢數字化底座，快速推進云計算、大數據、5G、AI等新技術與公路行業智慧建造、智慧養護、智慧出行、智慧治理等應用場景的深度融合，全面提升公路基礎設施運行效率、安全水平和服務質量，加速公路行業數字化轉型工作落地。交通基礎設施之于國家建設如同血管之于生命，不停服務于人民生活，激發著經濟活力。相對于其他行業，公路行業的數字化轉型，是對實體空間感知需求最為迫切的，相應地，公路基礎設施的種類也最為豐富龐雜：既需要應用運輸路線沿線的海量實體感知設備，也需要北斗衛星、高精度遙感等技術的支持與輔助。各種 IoT 感知終端

8、、OT 控制設備、IT 基礎設施及專有基站、雷達、微波、衛星等設施都被應用于公路全產業鏈條各階段的數字化應用?；A設施特點：豐富泛在公路行業的數字化業務圍繞著公路的建設、管理、養護和運營等核心業務構建。通過更大的時空范圍的綜合交通體系。智慧交通可以提高交通系統的運行效率，減少交通事故、降低環境污染，促進交通管理及出行服務系統的信息化、智能化、社會化、人性化水平提高。行業應用特點：建、管、養、運公路行業的數據包含了行程信息、高精度地圖等為代表的高敏數據，具有多源復雜、數據量大、實時性高、數據價值高等基礎特征，并具有時空移動性、多維結構、社會關聯性等行業特征，是由信息世界、物理空間和人類社會三元互

9、動產生的數據，人類行為在交通行業數據中占有的特殊地位，使交通行業數據具有極高的價值，既能顯著改善交通行業自身的建設、運行、養護和管理水平，也對其他各行各業更好的理解人的行為、社會實體的行為提供了重要的數據維度。數據要素特點：三元互動物聯網技術是智能公路數字化的核心，可以實現公路全流程的數字化轉型。通過物聯網技術，可以采集各種數據，如車輛位置、速度、道路狀況等，為后續的數據分析提供基礎。相比于其他行業，基于物聯網技術構建的公路感知網具有地理空間范圍廣、采集數據類型豐富、綜合決策分析支撐作用強等特點，是智能公路的核心基礎設施。物聯網技術智能公路需要處理海量數據，必須借助大數據分析技術才能有效地挖掘

10、出有用的信息。通過大數據分析技術，可以對采集到的各種數據進行處理、分析和挖掘，從而為交通管理提供科學決策依據。大數據分析技術公路行業一直以來在信息化建設中對穩定和運行安全的要求極高，其核心通信網絡普遍隨著其實體運輸路線的建成而建成，形成了公路通信系統為基礎的聯網收費專網、綜合監控專網等專有網絡。公路行業在數字化轉型的過程中，既要維護關鍵業務的專網屬性，也要探索如何在現狀下如何有序、合理的開放數據、進一步利用數據。網絡架構特點：專網為核心第一章安恒信息觀點智能公路行業解決方案藍皮書2023-智能公路行業解決方案藍皮書2023-第一章安恒信息觀點0506公路行業信息安全現狀綜述云計算技術可以為智能

11、公路提供強大的計算能力和存儲空間，可以快速處理和分析大量數據。同時，云計算還可以實現數據共享和信息交互，提高數據利用效率。云計算技術人工智能技術是實現智能公路數字化的關鍵。通過人工智能技術，可以實現自動化決策、智能化管理、智能化控制等，提高公路的運行效率和服務水平。人工智能技術5G通信技術是智能公路數字化轉型的重要支撐。5G通信技術具有高速度、低延遲、大容量等特點，可以滿足大量數據的傳輸和處理需求，同時也可以實現車路協同通信，提高交通運行的安全性和效率。5G通信技術建筑信息模型（Building Information Modeling）是建筑學、工程學及土木工程的新工具，隨著在民建領域的大放

12、異彩，自2017年9月，交通運輸部辦公廳關于開展公路BIM技術應用示范工程建設的通知發布，BIM技術開始在公路基建領域發揮價值，通過充分的數據化供給，BIM模型取代傳統的看圖說話的CAD設計，提供了設計可視化、工程計算準確性提高、自動關聯降低工作量、促進多領域協作等優點，改善工程建設全生命周期的質效。BIM技術北斗衛星導航系統是交通運輸行業升級發展的重要基礎，是助力實現交通運輸信息化和現代化的重要手段。北斗作為先進的高精度導航系統，除了其在通行服務中提供的基礎能力外，還廣泛應用于包括車路協同，無人化作業，高精度行業地圖測繪等領域。北斗技術公路行業作為關鍵信息基礎設施最為密集的細分行業之一，其網

13、絡安全保障的重要性不言而喻。從全局視角來看，交通行業的網絡安全與技術支撐體系已經基本建立，網絡安全政策體系也已基本完善，信息系統安全等級保護能力普遍提升，行業關鍵信息基礎設施清單和數據分級分類管理制度不斷完善，行業密碼和密鑰管理體系不斷健全，行業網絡安全保障工作已經取得了顯著的成果。然而，與交通運輸部提出的“全鏈條、全要素、全周期，構建事前防范、監測預警、應急處置三位一體的網絡安全防護體系”的目標相比，仍存在一定的差距：一是基礎不牢，等保覆蓋落實仍有欠缺：公路行業客戶安全保障從整體來看對專網的依賴性仍然較高，且業務直接影響對實體交通運輸的調度指揮和控制，在部分重要信息系統網絡安全防護上，存在不

14、想上、不敢上的情況，在行業標準及文件中有明確定級要求的系統仍存在部分未依照等建設的情況。二是人力缺乏，安全運維工作開展難：作為行業主體的公路行業央國企體量巨大，業務復雜，員工眾多，但安全運維團隊人數少，工作量大，與網絡運維分工界面不清晰等問題較為普遍，在發生可能危害業務的嚴重網絡安全事件時，憑借自身員工和駐場外包人員難以應對。三是新技術引入的新風險：IoT、5G、大數據、云計算、中臺、微服務、AI技術、北斗等新技術呈噴涌之勢在公路行業被快速地大規模應用。在行業攻防演練等活動中出現了利用物聯感知設備漏洞、大數據環境漏洞、虛擬化平臺漏洞、不安全API發起攻擊并成功突破的諸多案例，而公路行業用戶在相

15、應安全能力的建設中還沒有跟上。四是數據要素敏感性高，數據安全保障不足：公路行業活動產生的數據反映了人、物的時空軌跡，與人的個人生活、社會活動、生產經營息息相關，相對于其他行業數據具有更高的數據敏感性和數據價值。在數據安全保障方面，公路行業目前面臨頂層設計不明確、行業標準規范不健全、行業相關成功實踐少等一系列問題。導致交通行業用戶一方面希望利用自身的高價值數據，深化利用；另一方面擔心法律風險，不敢邁出第一步。未來信息安全建設重點展望聯網收費系統是公路行業多級主體共同運營的關鍵信息基礎設施，在公路行業，取消省界收費站工程開創了“一張網運行、一體化服務”的新局面，有力推動了交通運輸的轉型升級和提質增

16、效。然而，隨著工程建設的不斷深入，我們也必須面對一些新的問題和挑戰，其中最為突出的問題就是信息安全保護。在公路信息安全建設方面，我們首先需要基于交通運輸部整體部署的聯網收費系統優化升級工程中的網絡安全和數據安全保障任務實現聯網收費系統安全防護能力的專項提升，履行關鍵信息基礎設施運營者的保護任務。部路網中心、省級聯網收費中心和各路段業主應共同依據工程要求，在部省兩級聯網中心、區域/路段中心、收費站及門架等各個層級明確網絡安全責任與分工界面，建立多級協同的安全運營體系，采用適當的技術措施落地，并依據并網接入技術要求切實落實網絡安全技術要求。同時，我們還需要關注公路行業IoT設備部署和應用廣泛而安全

17、保護機制不足的現狀。隨著智慧公路新型基礎設施的布設、新技術的不斷應用和新業務場景的涌現，也引入了新的網絡安全隱患。因此，我們需要有針對性的技術手段來保障網絡安全底線，確保公路行業的穩定和可持續發展。作為關鍵基礎設施行業，信息安全防護不僅需要關注設備的部署，更應注重持續的運營保障。我們需要將安全運營管理工作作為支撐信息化與數字化業務發展的一項業務來開展，通過加強安全運行管理的可見性、可度量性和可控性，實現人與人對抗的網絡攻防中取得良好的結果。綜上所述，未來公路行業的信息安全建設需要結合業務場景，采取綜合性的技術措施和管理措施來保障網絡安全。只有通過這樣的方式，我們才能夠有效應對日益復雜的網絡攻擊

18、和威脅，確保公路行業的信息安全和穩定發展。第一章安恒信息觀點0708智能公路行業解決方案藍皮書2023-聯網收費系統優化升級工程解決方案專題 第二章第二章聯網收費系統優化升級工程解決方案專題0910聯網收費系統是公路行業重要的關鍵信息基礎設施，根據交通運輸部的整體規劃，將在23年啟動高速公路聯網收費系統優化升級工程，根據前期高速公路聯網收費業務發展過程中的成果和挑戰，提出了“提升計費準確性、提升業務規范化程度、提升系統標準化程度、提升客戶服務水平、提升ETC拓展交易在線化水平、提升網絡和數據安全保障能力”六大升級工程任務。在取消省界收費站開展的安全建設成果基礎之上，根據過往安全運行過程中暴露的

19、問題，新形勢下的新合規政策要求，進一步提升安全技防能力，強化安全運行水平。聯網收費系統的運營單位包括交通運輸部路網監測與應急響應中心，各省承擔升級聯網收費清分結算業務的企事業單位、ETC發行機構和高速公路路段運營企業等多級運營主體；在業務系統層面上，則包括了ETC門架與收費車道系統、高速公路收費站系統、路段中心與區域中心系統、省聯網中心系統和部路網中心系統等多層的受保護客體。為實現高速公路聯網收費系統優化升級工程中提升網絡和數據安全保障能力的任務目標，安恒建議開展從強基、明目、協同三項主要工作，建立部-省-路段的三級安全運營體系，理清權責，強化管理，提升交通關鍵信息基礎設施聯網收費系統的安全保

20、障水平。強基：根據前期建設不足提升各級系統的網絡安全、數據安全保障能力，根據密碼應用安全性測評要求積極組織密碼改造，為聯網收費系統安全構筑監視的技防基礎。明目：進一步完善部省態勢感知體系的覆蓋能力，改善目前部分省份流量采集不全，數據集成水平不高的現狀，充分運用大數據技術，強化對網絡安全風險的感知和分析能力。協同：進一步明確高速公路業主、省級聯網收費系統運行單位、部路網中心三者的職責與分工界面，制定清晰的安全工作流程并實現標準化、線上化，讓各級主體充分能夠更好的協同應對網絡安全風險，履行各自的安全保護義務。智能公路行業解決方案藍皮書2023-1112SAAS聯網收費系統優化升級工程解決方案專題聯

21、網收費系統網絡安全態勢感知系統升級方案 建設背景收費公路聯網收費系統網絡安全態勢感知平臺體系建設是取消高速公路省界收費站工程建設的重要內容，也是部省協同網絡安全綜合防御體系的核心組成部分。目前，大部分省份已完成省域網絡安全態勢平臺的搭建并實現了與部級網絡安全態勢感知平臺的對接。在實際運行過程中，各省平臺通過數據匯聚、關聯分析、可視化呈現、工單協同等功能模塊，已在一定程度上實現了部省協同的安全運行維護工作。然而，與此同時，各省態勢感知平臺在使用過程中也暴露出態勢感知覆蓋面不全、異構安全數據來源不充分、安全告警誤報較多、安全事件研判能力不強、安全可視化程度不高等問題，安全態勢感知能力有待進一步提高

22、。在本次優化升級工程中，明確提出了態勢感知能力應覆蓋至收費站的安全建設要求。這需要在收費站通過探針部署等形式實現態勢感知能力的覆蓋，并考慮現有平臺的性能瓶頸，對態勢感知平臺進行升級、擴容和迭代。針對目前各省聯網中心態勢感知使用中存在的問題和本次優化升級工程提出的態勢感知能力提升要求，安恒提出了省中心-區域/路段中心兩級協同的省域態勢感知協同體系。該體系在各省建設現狀基礎上，對態勢感知平臺進行升級優化，以滿足未來長期省域網絡安全風險識別、防護、檢測和處置等在內的整體網絡安全感知需求。1.省聯網中心部署一級態勢感知平臺，區域/路段中心及ETC發行機構部署二級態勢感知平臺。根據各省已建設備情況補充部

23、署流量探針和日志采集與審計工具，以全域覆蓋的流量感知數據結合日志數據進行匯聚分析，作為安全風險/事件感知、防護、檢測及響應的基礎。省聯網中心、區域/路段中心、ETC發行機構分別部署的態勢感知平臺基于工單系統形成級聯的協同體系，各運營單位根據資產范圍、安全責任基于態勢感知平臺對網絡安全威脅進行及時地識別、響應與處置。2.省聯網中心平臺負責本級的流量數據和二級態勢感知系統上報的安全事件信息，匯聚省域設備及系統日志，融合大數據技術和人工智能算法實現對全省網絡安全風險的識別、監測、響應處置。3.區域/路段中心及ETC發行方建設與省中心態勢感知系統級聯的二級態勢感知系統，負責實現本路段范圍內路段中心及各

24、收費站（ETC發行單位及發行網點）的網絡安全風險感知與處置。二級態勢感知系統自身集成流量探針特性，具備強大的告警消噪能力，具體功能包括流量采集、威脅檢測、威脅分析、威脅可視化、工單與通報管理、響應處置和安全報告。4.收費站探針是態勢感知的感知末端，可以有專用流量探針或安恒高速公路網絡安全一體機集成實現，負責實現收費站級的流量采集，將流量采集發送至區域/路段二級態勢感知系統，由二級態勢感知系統對本區域/路段整體進行安全威脅檢測與分析。聯網收費系統網絡安全態勢感知系統升級方案具備豐富的靈活性，可以通過平臺替換、擴容升級，二級平臺補充建設，態勢感知探針補充部署等方式與現有省域網絡安全態勢感知系統進行

25、平滑的補充與補強，利用安恒態勢感知領先的大數據技術、AI分析與研判技術、基于聯網收費系統實戰積累的行業特色告警消躁技術、SOAR聯動響應技術作為基礎，可以完全滿足公路聯網收費業務網絡安全態勢感知建設需求。方案設計態勢感知平臺是是交通運輸網絡安全監測預警體系的重要組成部分，根據大部分省份下轄路段多，運營主體多的特點，為滿足省中心高速公路管理單位與路段中心業主不同的安全管理訴求，網絡安全態勢感知平臺采用多級部署，級聯協同的方式進行設計，態勢感知平臺采用“省中心-區域/路段中心及ETC發行單位-收費站”的三級架構部署：第二章聯網收費系統優化升級工程解決方案專題智能公路行業解決方案藍皮書2023-第二

26、章聯網收費系統優化升級工程解決方案專題1314圖 聯網收費系統網絡安全態勢感知系統升級方案總體架構方案特色分工協同與業主責任邊界相匹配，安全責任清晰：配合部中心平臺建立部-省-分中心的三級協同體系，由自動化響應技術和跨平臺工單流轉驅動跨組織的網絡安全監管與協同，使省域聯網收費業務的安全保障、工作協同更為清晰有序?？鐝S商友好，支持多種改造方式實現態勢感知升級目標：安恒信息具備豐富的多廠商多級平臺態勢感知建設經驗，方案中提供的一級平臺、二級平臺和探針組件都具備開放的數據協同和工單協同接口，能夠適配各省具體的網絡安全態勢感知平臺升級決策，提供差異化的適配和集成方案，滿足態勢感知平臺升級建設要求。強大

27、的技術基底幫助公路實現安全事件自動響應：安恒網絡安全態勢感知方案已在15年重大活動保障任務和近2000家行業大客戶進行應用與驗證，積累了豐富的安全檢測經驗、模型策略和領先的技術。在本方案中，安恒為兩級平臺都提供了SOAR技術引擎，可適配SAAS聯網收費系統優化升級工程解決方案專題聯網收費系統全生命周期數據安全保障方案 建設背景全國高速公路聯網收費系統是管理高速公路通行費用及相關服務的關鍵信息基礎設施。從省域角度看，該系統涵蓋了從省聯網中心到路段中心、收費站、門架等各個層面，承擔了包括ETC/MTC車輛通行費清分結算、通行費率管理、稽核、出入口信息登記及扣費等全部業務。因此，一旦數據遭到篡改或竊

28、取，將直接關系到高速公路的運行效率以及廣大車主和運營方的利益。此外，隨著科技的發展，人工智能、大數據等新技術在聯網收費系統中的應用不斷深化，為系統帶來了便利，但同時也增加了數據安全的風險。因此，如何在利用新技術提升高速公路服務效率的同時確保數據安全，已成為一個日益重要的問題。然而，目前全國大部分省份的聯網收費系統安全建設主要集中在2019年的省界工程。當時，數據安全法、個人信息保護法、關鍵信息基礎設施保護條例等重要政策海量安全設備進行策略控制，自動檢測風險和阻斷威脅，讓安全威脅的處置更及時有效。大模型技術賦能，AI驅動讓安全更簡單：安恒基于多年網絡安全攻防實戰，采用大模型技術沉淀實戰成果。提供

29、的問答服務大模型可以在態勢感知使用中，提供總結分析、內容生成、腳本和劇本編寫及模型優化等高階應用，讓安全感知的學習和使用變成交互性問答，即可達成安全管理提升的目標。簡單經濟：在提供更多功能的前提下，為了平衡建設成本與建設效果，安恒方案在路段/區域中心和收費站都提供了探針與其他安全特性集成的建設方案，在降低項目總體投資的前提下，實現兩級平臺、三級部署的多級協同效果。智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題1516文件尚未發布，導致針對數據安全的相關工作尚未引起足夠重視。如今，高速公路聯網收費系統的數據安全保障工作已經成為聯網收費系統網絡和數據安全保障中的巨大

30、洼地。因此，全面、系統化的全生命周期數據安全保障建設勢在必行。圖 聯網收費系統全生命周期數據安全保障方案總體架構方案特色服務先行：在數據安全工作中，為確保數據安全工作結果的成效，安恒將結合行業案例經驗及現場調研并規劃數據安全工作的藍圖，制定分類分級的框架和流程細則，數據安全防護在采集、傳輸、存儲、使用、共享、銷毀等環節的實施方案及流程細則，以確保后續工作的順利進行。全程防御：為了更好地保障數據安全，安恒方案建立了覆蓋數據全生命周期的防御機制和動態的訪問控制手段。從數據的產生、存儲、傳輸到使用、銷毀等各個環節，我們都采取了相應的安全措施，確保數據的機密性、完整性和可用性。同時，我們根據數據的不同

31、等級和類型，實施不同的訪問控制策略，嚴格控制數據的訪問和使用權限。融云部署，彈性易管理：豐富的數據安全防護組件可作為云安全資源池組件交付，將網絡安全與數據安全能力進行靈活的調度與擴展。方案設計根據聯網收費業務的數據流轉特點、數據匯集方式，可以識別出聯網收費系統，數據安全保護的核心目標對象是匯集和共享數據的省聯網收費中心和ETC發行機構中的重要數據系統和共享服務。以省聯網收費中心和ETC發行機構為數據安全保護目標，安恒提出了面向收費業務的全生命周期數據安全保障方案，在總體上，采用技術工具與持續服務并重的方式，優先進行調研與訪談，以深入理解業務為前提設計數據安全實現路徑，并通過關聯協同的數據安全防

32、護工具體系實現保障目標，主要防護要點包括：首先，實施數據分類分級活動，根據數據外泄、篡改事件發生后產生的影響，對省域數據資產的敏感性進行標識。其次基于數據分類分級成果，采用數據加密、訪問控制、多層次的安全審計等多種手段，確保聯網收費業務活動中的數據傳輸、存儲、使用等各個環節的安全性。此外，審慎分析各相關單位的數據共享需求，對數據外發進行嚴格的限制，并對涉及敏感數據的共享提前進行脫敏，全面保護結構化數據和非結構化數據的全生命周期安全。最后，在數據技術措施全面、正確應用的基礎上，構建集成數據稽核、實體行為分析、風險告警、集中策略管理、事件工單處置、安全態勢感知等能力的數據安全管控平臺，在數據活動的

33、持續過程中同步識別潛在的數據安全威脅并及時進行處置反饋。智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題1718方案設計針對聯網收費系統所面臨的嚴重供應鏈安全挑戰，我們建議以省為單位建立供應鏈安全管理中心，對供應商提供的面向省聯網中心、ETC發行單位、路段/區域中心、高速收費站管理及車道和ETC門架的軟件進行統一的安全治理。具體建設思路如下：1.建立統一的供應商安全管理中心：由省中心牽頭建設，通過平臺與行業軟件開發環境與測試環境的對接，形成與中心自研軟件及駐場開發軟件的在軟件開發周期的深度融合。在開發流水線執行的過程中，將安全檢測任務與開發過程持續集成，實現安全左

34、移，在軟件交付前，最大程度的識別并消除安全隱患，避免后門植入。在此基礎上，對所有軟件供應商進行整體管理，建立供應商臺賬和軟件資產臺賬，利用威脅情報與本次軟件資產進行關聯，通過情報信息識別本地業務中隱藏的安全隱患,對隱患消除過程進行管理，避免已公開漏洞對本省聯網收費安全帶來進一步危害。2.建立一套供應鏈安全技術工具集：建設包括威脅建模工具、源代碼掃描、開源軟件成分分析、灰盒測試工具、黑盒掃描工具和運行時自保SDK等安全開發工具集合,由供應鏈安全管理中西進行統一的集成聯動管理,可以在開發、測試和上線運行過程中按需調用,通過安全開發輔助類工具(威脅建模、安全開發SDK等)提高代碼質量,利用自動化的風

35、險分析工具(源代碼掃描、軟件成分分析、灰盒測試、黑盒掃描等)多維度分析,檢視安全隱患,及時上報并處置。3.提供有效的安全開發支持服務：利用安恒多年的基于SDLC為基礎工程化開發經驗、開發安全服務經驗、行業攻防演練實戰經驗和業務理解,為省域聯網收費系統的供應商提供統一安全開發支持服務,從整體的安全開發要求、供應商管理制度規劃,到具體的安全開發實施流程設計,供應鏈管理實施工程中的持續評估支持和針對供應商提供的安全開發培訓,幫助聯網收費系統實現從有序、有效、持續提高的供應鏈安全管理。持續監測：為了及時發現和應對數據安全威脅，方案建立了以平臺為核心持續監測機制。充分利用數據安全技術措施的持續采集能力，

36、從應用和數據活動視角出發，刻畫并持續分析業務流，感知數據安全威脅。通過實時監測和分析數據活動，從而及時發現異常行為和潛在的安全威脅，并采取相應的措施加以應對，確保數據的安全性和可用性。SAAS聯網收費系統優化升級工程解決方案專題聯網收費系統供應鏈安全解決方案 建設背景因聯網收費系統涉及諸多管理單位、ETC發行服務單位和運營業主單位，且承載著眾多業務，包括但不限于省內拆分結算、跨省非現金結算、數據匯聚管理、密鑰管理、跨省現金拆分結算、費率計算特情業務、CPC卡綜合管理、ETC門架等運行監測、發行認證和監管、省內費率管理、稽查和信用管理、綜合業務管理、ETC發行、客戶服務、風險控制、質量控制、資產

37、管理、聯網收費大數據平臺以及對外業務服務管理等，故其開發和運行支撐服務單位在各省都有大量存在。然而，由于業務復雜且開發單位眾多，加之收費軟件行業屬性較強，聯網收費系統的供應鏈安全一直存在的管理缺乏抓手的挑戰，能夠對行業應用進行的安全監測手段也不多。一旦行業軟件存在漏洞、后門或開源軟件依賴安全風險等供應鏈安全隱患，管理單位、ETC發行服務單位和運營業主單位往往缺乏識別和控制手段，而且此類問題一旦發生，往往造成的攻擊面極大，且處置復雜度較高，將對聯網收費業務安全將造成較為嚴重的影響。根據關鍵信息基礎設施保護條例及信息安全技術 關鍵信息基礎設施保護基本要求等法規和標準提出的要求，聯網收費系統作為關鍵

38、信息基礎設施，必須對聯網收費系統的供應鏈安全進行有效的治理，避免威脅的蔓延。在聯網收費系統優化升級工程方案（征求意見稿）中，也對省域聯網收費系統的供應鏈管理，提出了明確的要求。供應鏈安全建設對聯網收費業務來說已經刻不容緩。智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題1920圖 聯網收費系統供應鏈安全解決方案總體架構方案特色開發流水線集成，便于使用：支持與主流的代碼倉庫、IDE集成開發環境、缺陷管理工具、項目管理系統、看板工具集成，可以在單元測試、系統測試、回歸測試、工件測試、軟件驗收等各個環節服務于研發人員自測、測試人員測試、運維人員測試和交付評審等各種場景，

39、直觀、快速地消除代碼開發隱患。組件化方案，便于適應實際環境：安恒提供的供應鏈安全解決方案以供應鏈安全管理中心為核心，其他模塊可以作為組件按需選用，已經部署的源代碼審計系統、漏洞掃描系統提供的產品力，或源代碼審計服務、滲透測試服務產生的服務結果都可以與平臺進行方便的集成導入，無需重復投資，即可在實際環境中發揮全面的供應鏈安全管理價值。知識庫沉淀：供應鏈安全方案的持續使用中，將同步為聯網收費系統沉淀安全開發知識庫，知識庫形式包括但不限于：安全培訓課程、安全需求庫、安全設計庫、安全開發SDK、安全組件庫、漏洞庫、API管理等，做到知識庫與聯網收費實際業務緊密結合，為長久安全運營以及團隊的整體安全能力

40、的提高打下基礎。SAAS聯網收費系統優化升級工程解決方案專題聯網收費系統國產密碼技術應用方案 建設背景密碼是保障網絡與信息安全的核心技術和基礎支撐，是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。中華人民共和國密碼法的頒布實施以及商用密碼管理條例的修訂發布，從法律層面為開展商用密碼應用提供了根本遵循，聯網收費系統作為公路行業重要的關鍵信息基礎設施，承載了數百套等保定級為三級的重要業務系統，從實施密碼技術視角看，聯網收費系統商用密碼應用安全管理和技術保護能力不足，未全面落實國家商用密碼應用安全管理要求，三級系統未全面開展商用密碼應用安全評估、未全面采用符合國家密碼管理局認可的密碼算法等問題

41、較為普遍。未全面對數據傳輸、數據存儲、身份鑒別、接入認證等方面采用密碼技術進行保護。在聯網收費系統優化升級工程方案（征求意見稿）中，明確要求各省完成等保三級系統的密評及整改工作，各省亟需根據相關法規及標準，正確的應用商用密碼技術，建設符合中華人民共和國密碼法以及GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求的信息系統，實現對聯網收費系統保護對象（重要業務數據、鑒別數據、重要日志數據等）的機密性、完整性、真實性和不可否認性保護。方案設計圍繞著密碼安全可視化為核心，在構建底層密碼基礎支撐設施和密碼應用中間件基礎上，運用密碼服務虛擬化技術和API網關功能，形成統一的應用對接接口

42、，滿足聯網收費業務多系統、多場景、大并發等不同密碼應用技術、管理、密鑰要求，通過統一部署的密碼服務平臺和分布式部署的密碼基礎設施，將密碼產品和能力封裝為各項密碼服務向用戶提供，為密評整改提供各個層面所需的密碼技術支撐服務。智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題2122在管理維度，平臺通過流量監測、數據采集、數據上報、日志采集、第三方數據導入等方式，對網絡空間中密碼應用進行全面有效監測和管理，實現密碼應用的“可管理、可感知、可預警、可處置”的一體化運營監管能力目標。密碼服務平臺組件包括：密碼服務平臺：軟件，本身執行密碼管理工作不進行密碼運算，可使用普通虛擬

43、機或通用服務器部署；密碼基礎設施：各類密碼產品，軟硬一體形態，密碼服務層能力底層依托于專用硬件提供服務，根據實際配置的服務能力按需配置底層硬件產品；API網關：屬于密碼服務平臺的中間件，為用戶提供統一的API調用接口，對后端密碼設備起到負載均衡的功能。密碼服務平臺內置API網關，支持多API網關負載均衡。方案特色構建統一密碼服務體系，自助式服務按需選擇：引入平臺級統一管理理念，在滿足合規性及各項安全性要求的前提下，通過統一的密碼服務平臺，屏蔽底層的密碼設備，面向各類應用以服務目錄的方式提供，服務按需訂閱，靈活搭配，基于業務擴展靈活調整規格和性能，服務化交付，提高應用系統的密碼安全服務使用效率，

44、通過搭建云密碼計算資源池，實現密碼技術、產品的多樣化組合與服務調度，達到多類密碼產品與服務的異構化管理與監控。融云部署，彈性易管理：豐富的密碼安全技術組件可作為云安全資源池組件交付，配合專用的商用密碼硬件，可以將密碼硬件資源分割供應給不同業務復用，將網絡安全與密碼安全能力進行靈活的調度與擴展。完善密碼監管體系，實現安全可持續運營：通過建立密碼服務平臺，從密碼設備運行監測、數據收集統計、教學培訓、合規測評、執法監管等對范圍內系統開展常態化、體系化、實戰化安全運營管理，落實安全運營機制，打造“可管理、可感知、可預警、可處置”的一體化監管能力，對網絡空間中密碼應用進行全面有效監測和管理，提高密碼管理

45、工作的威信力和執行力。智能公路行業解決方案藍皮書2023-圖 聯網收費系統國產密碼技術應用方案總體架構第二章聯網收費系統優化升級工程解決方案專題2324SAAS聯網收費系統優化升級工程解決方案專題收費站安全能力提升方案 建設背景在取省界工程實施后，絕大部分收費站及門架在取消高速公路省界收費站工程中部署了收費站邊界防火墻、網絡入侵防護系統（串接部署或由防火墻集成）、網絡防病毒（防火墻集成），ETC門架安全網關、主機惡意代碼防護、網絡準入（收費站部署或路段中心統一管理準入）等安全工具，在安全保障上取得了明顯的建設成效。但由于各省中心、業主單位在工程執行中存在的方案差異和網絡安全威脅的演進變化，導致

46、在收費站及門架網絡中仍存在態勢感知覆蓋不全，無法識別一機雙網，IoT安全防護措施不足，部分改擴建收費站安全功能配置不全等安全風險。在本次聯網收費系統升級優化工程中，將網絡安全強化作為六大工程任務之一，提出了進一步強化網絡安全建設的相關要求，在聯網收費系統省域系統并網接入網絡安全基本要求基礎上，對聯網收費站和ETC門架提出了“實現站級態勢感知覆蓋、加強站級安全防護能力、提升站級系統安全運維管控能力、加強移動支付終端接入安全、提升 ETC 門架設施安全防護能力、加強門架無人值守設施設備安全防護、加強門架設施接入認證、加強門架通信傳輸安全”等一系列安全提升要求。全功能進行編排調度，構建完全符合收費站

47、站級安全要求的安全一體機的行業專用安全產品（高速公路網絡安全一體機優化升級工程專版，以下簡稱收費站一體機），為收費站安全保駕護航。收費站一體機具備以流量感知和IoT安全為基礎的豐富功能特性，具體包括：資產發現：采用終端指紋技術，對收費站全部資產進行掃描識別，發現IP化資產并識別終端類型，通過設備指紋識別技術，結合應用流量特征分析技術，識別終端的類型?？勺R別視頻終端、IoT設備、Windows、Linux、網絡設備、蘋果終端、安卓終端等終端，可收集提供設備類型、品牌型號、系統版本、固件版本、應用名稱、品牌、版本、服務類型以及端口等信息。方案設計本次升級工程針對收費站及ETC門架提出了多項安全特性

48、要求，如果分別采用獨立的安全設備實現，存在設備前期部署調試復雜工期長、收費站交換機接口緊張、機房機位不足、長期用電成本高昂等一系列不利因素。針對這一現狀，我方采用集約化建設的思路，利用虛擬化技術，聚合收費站資產管理與邊界防護所需的多種分散于不同安全產品的安全功能于一體，靈活利用基礎計算資源，對安圖 聯網收費系統收費站安全能力提升部署邏輯圖智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題2526準入控制：以可信資產列表為基礎，結合主被動探測與分析技術定位網絡中存在的非授權設備接入，包括非授權登記設備、移動設備等。違規外聯監測：主動監測收費站專網內存在的違規和非授權網

49、絡邊界，發現受控隱蔽的跨邊界數據傳輸和網絡訪問通道，以及監測外部設備非授權入網和內部用戶違規外聯外部網絡等高危風險行為。從而預防專網資源被不法人員利用，造成網內資源被破壞、數據被泄露以及非法入侵等安全事件。流量感知探針：作為省級態勢感知系統的站級流量探針發揮功能，探針使用深度威脅檢測技術，對流量進行深度解析，完整還原流量并發現流量中的惡意攻擊，并將采集結果匯總上報至上級態勢感知平臺。主機安全及終端管理（選配）：具備病毒查殺、訪問控制、進程防護、單機擴展、隧道搭建、遠控持久化、內網探測、痕跡清除等高級威脅檢測，挖礦與勒索病毒防護，容器安全防護、異常進行成為監控、網絡對外連接審計、暴力破解防護、文

50、件完整性保護等主機安全防護和終端管理功能。邊界安全防護功能（選配，需邏輯串接部署）：具備傳統防火墻的訪問控制功能，還具備應用層入侵防御功能和惡意代碼防范（防病毒）功能，通過多路徑并行處理的安全檢測引擎和應用識別，實現對用戶、應用和內容的深入分析，為收費站提供安全智能的一體化邊界防護能力。敏捷部署：收費站、安全一體機完全采用旁路部署，旁路部署，免去傳統單品堆設備復雜的部署過程，不影響已有的網絡架構，智能引流，部署更簡單，使用更高效。經濟節能：收費站一體機全面滿足本次站級、門架級安全提升的各個環節要求，且在長期使用中具備初始成本低，長期成本低的顯著優勢，幫助業主用更少的經費實現合規訴求。方案特色全

51、面有效：收費站一體機提供的功能集合完整涵蓋終端安全、網絡邊界安全、資產管理、網絡準入、防違規外聯、流量感知，用一臺設備充分滿足本次優化升級工程建設的需要。軟件定義、靈活擴展：收費站一體機采用虛擬化技術，用軟件定義安全，將原有離散割裂的獨立安全硬件設備，抽象為軟件功能，收費站可根據自身安全現狀靈活選用其所需的功能，并可根據網絡安全演進的趨勢和部中心相關要求的提升進行進一步功能擴容，滿足收費站長期合規的需要。智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題2728SAAS聯網收費系統優化升級工程解決方案專題聯網收費系統一體化網絡安全運營解決方案 建設背景聯網收費網絡安

52、全態勢感知系統在當前的網絡安全運營活動中扮演著重要的角色，它不僅是發現和應對網絡安全威脅的主要工具，同時也是促進部省協同的關鍵手段。然而，隨著安全業務的復雜性不斷提高，數據安全、密碼安全、云安全、供應鏈安全、IoT安全等新安全技術保障措施的應用，多平臺，多環節管理的趨勢已經不可避免，現有態勢感知系統的運營支撐能力逐漸顯得力不從心，導致平臺功能與制度要求、組織協同需求和技術工具協同中出現偏差。安全管理的嚴密、安全技術的先進以及安全運營的完善是實現信息安全目標的基礎保障，三者缺一不可。為了實現信息安全的目標，必須同時加強安全管理的嚴密性、提高流程標準化程度、加強與組織協同需求的適配度以及加強對技術

53、工具的研發和更新。此外，建立統一、有序的指揮調度協同機制也是將這些措施整合為協同整體的關鍵。對于全國高速公路聯網收費系統的安全運營體系而言，基于網絡安全態勢感知系統的運營工作面臨著嚴峻的挑戰，如管理制度脫節、流程標準化程度偏低、與現場安全運營組織適配度較低等問題將進一步凸顯。因此，必須采取相應的措施來應對這些挑戰，才能確保信息安全目標的實現。運營團隊三大體系相互支撐的，與省域聯網收費系統網絡安全協同組織相適應的安全運營中心。提供統一的安全運營技術能力、統一的安全監管能力、統一的安全運營流程，打通各類事件處置流程、監測預警、應急響應等的運營流程，實現網絡安全從被動向主動、從靜態到動態、從單點到整

54、體、從粗放到精準防御的轉變，全方位全天候的保障網絡信息系統安全可靠，全面監測和阻斷已知網絡攻擊和未知入侵滲透風險，防范來自外部和內部多類型攻擊。安全運營管理中心是安全運營工作開展的核心安全業務集成平臺，是未來聯網收費業務安全技防措施與人防運維的協同界面，撐安全運營管理工作的業務態工作界面。通過安全運營管理平臺，實現安全運維工作相關最全面的安全臺賬匯聚、安全知識匯集、統計數據匯集，業務流程匯集，從而實現通過一個平臺對常態化安全運維工作、應急響應工作、臨戰安全指揮工作的統一管理。對安全管理者，通過對安全工作的指標化抽象、大屏可視化技術的結合，從而實現安全問題的聚焦、安全工作結果的度量和未來安全運維

55、工作的循環改進。安全運營管理平臺重點從態勢感知獲取各類匯集后的安全數據，實現上層的安全運維應用，對下向各安全平臺下發安全工作任務?，F有的網絡安全態勢感知系統作為未來網絡安全工作的大數據中臺和分析中心，是支撐安全運營管理工作的技術態關鍵支撐工具。利用網絡安全態勢感知系統數據歸集與治理方面具備的功能特性，網絡安全態勢感知系統實際負責收集省域聯網收費系統現有各類安全防護軟硬件設施的原始日志、網絡安全態勢感知系統自身建設的收費站探針與路段中心二級平臺的上報的流量感知數據，匯集數據安全、密碼安全、供應鏈安全等新建/已建但無法完全統管的安全平臺產生的日志、告警，沉淀形成權威、統一的網絡安全運營大數據中心。

56、在此基礎上，網絡安全態勢感知系統利用大數據技術和AI算法等對網絡安全風險隱患進行分析、感知、溯源取證，并將統計結果、告警等安全運營工作運轉需要的關鍵數據上報至安全運營管理中心作為流程支撐、可視化支撐。安全運營管理中心啟動的安全事件處置流程和安全隱患管理流程根據業務需要通過工單、通報或自動化處置任務的形式下發至網絡安全態勢感知系統，網絡安全態勢感知系統基于級聯協同體系和設備聯動技術實現。數據安全管控平臺、供應鏈管理平臺、國產密碼服務平臺、云安全中心、資產管理系統等安全系統針對特定安全領域的、特定合規目標或管理目標的一系列技術手段和管理手段的集合。為了便于未來統一安全運營工作的開展，將上述系統中的

57、管理業務抽象為安全運營方案設計高速公路的網絡和數據安全運營體系建設以省域聯網收費系統省中心、區域/路段中心、收費站、門架的網絡、重要服務器、核心業務系統、終端等IT、IoT資產為保護對象，依據網絡安全法、網絡安全等級保護要求和相關標準規范，建設以網絡態勢感知系統為主要技術平臺與集成中臺、安全運營管理中心為業務載體、以安全運營人員與組織保障為主體與關鍵、以安全運營機制流程為保障與核心的，具備安全運營平臺、安全運營流程、安全智能公路行業解決方案藍皮書2023-第二章聯網收費系統優化升級工程解決方案專題2930管理中心中的業務進行流轉，各平臺提供業務流轉所需的數據，統一集成至網絡安全態勢感知系統再匯

58、聚至安全運營管理中心。流程實際執行過程中，各平臺提供管理接口，安全運營管理平臺在對應工作場景下利用管理接口向對應平臺下發相關任務，實現安全運營工作的集成和簡化。的安全防護水平。方案同時支撐安全管理人員、一般運營崗位和基礎安全運維崗位不同視角的安全運營需求。真正成為動態安全運營的核心工具平臺，將一項項制度中規定的紙面動作轉變為通過中心可落地計劃、執行、檢視和改進的運營功能APP，實現安全運營的業務化。圖 聯網收費系統一體化網絡安全運營解決方案總體架構方案特色全面協同技防工具：以構建聯網收費業務可持續的安全運營體系為出發點，通過解耦技術與應用，利舊現有網絡安全態勢感知系統能力。方案全面實現安全數據

59、協同、安全功能協同的基礎上，通過平臺能力服務于人、技術、流程三要素的在運行中的高質效協作，達到安全可視化程度的顯著提高、威脅識別率的大幅提升、響應時效性的極大加強的建設成效，完全滿足安全運營工作預期。安全運營業務化：平臺是工具而非最終結果。因此本方案以安全運營中心技術平臺作為工具，充分發揮安全人員、防護機制的作用，落地安全管理的各項制度手段，實現安全運營工作的“計劃-執行-檢查-改進”自循環，在成效上到達事件閉環、主動防御、動態防御智能公路行業解決方案藍皮書2023-公路行業新場景網絡安全解決方案 第三章第三章公路行業新場景網絡安全解決方案3132SAAS公路行業新場景網絡安全解決方案公路可變

60、信息板綜合防篡改方案 建設背景公路可變信息板是交通狀況及交通誘導信息發布的重要設備，在解決交通擁堵方面起著舉足輕重的作用?？勺冃畔遄鳛榘l布信息的主要工具，通過文本、圖像、數字等合成信號提供公路氣象信息、占路施工信息、公路阻斷信息、公路重大交通事件、公路運行狀態信息以及公路建議繞行方案信息，以利于駕駛員調整其駕駛行為，達到緩解交通堵塞，減少交通事故，提高道路路網通行能力的目的。然而在公路可變信息板的使用中，可變信息板顯示的信息播放列表都是以明文方式傳輸至外場控制設備，加之公路可變信息板的建設地理位置偏遠且分散，雖公路管理部門定期對可變信息板進行巡檢，但仍存在不法分子獲取屏體制造商通訊協議，通過

61、與信息板直連或遠程攻擊的方式篡改控制卡中播放內容的風險。公路可變信息板大量使用專用的軟硬件系統，設備升級維護困難，一旦遭受攻擊，破壞后果嚴重，將對企業形象甚至社會公眾利益造成嚴重的侵害。方案設計針對可變信息板存在的篡改安全隱患，安恒提出了由多種技術組合應用的防篡改完整解決方案，從以下幾個層面提供安全保障：1.在外場設備邊緣側，部署輕量化的IoT專用安全防護設備，實現設備準入、訪問控制、私接防護、國密VPN隧道建立等功能，防止不法分子利用直連攻擊、近源攻擊、現場篡改等方式對可變信息板造成危害。2.在分中心與集團中心，串接部署物聯網準入控制系統，首先，利用其準入與控制能力，對全網可變信息板及其他I

62、oT資產安全進行統管，及時識別公路綜合監控專網中的私接、仿冒；其次，與邊緣設備構建國密VPN傳輸信道，利用密碼技術保障可變信息板內容智能公路行業解決方案藍皮書2023-第三章公路行業新場景網絡安全解決方案3334發布的完整性；此外，利用安恒應用層安全技術的積累，識別情報板傳輸內容，對可變情報板內容發布進行識別與管理，通過內置黑名單詞庫和AI算法對非法內容發布嘗試進行限制。3.在集團中心，建設安全感知中心與監測系統，整體管理綜合監控專網的資產與脆弱性，對內容發布進行審計、匯總留存，支持對敏感內容進行人工復核。圖 公路可變信息板綜合防篡改方案方案特色外場微隔離：適應外場環境的寬溫輕量級安全設備，為

63、每臺情報板提供近源守護，防止不法分子在公路沿線利用外場設備的開放性對信息板造成危害。IoT安全技術：基于IoT設備特點，應用無端違規外聯監測、旁路準入、IoT指紋庫等保證情報板及綜合監控網其他重要設備的安全。內容安全：利用DPI、DFI等技術手段，深入研究主流可變信息版通訊特征，支持GB/T 23823 高速公路LED可變信息標志規定的數據傳輸規范，利用AI算法對不當的內容發布進行及時的識別與阻斷。智能公路行業解決方案藍皮書2023-第三章公路行業新場景網絡安全解決方案3536SAAS公路行業新場景網絡安全解決方案公路集團企業網絡安全運營托管服務解決方案 建設背景各省市級公路投資集團作為交通運

64、輸體系建設最重要的投融資主體和平臺，不僅在公路建設、管理、養護、運營等方面發揮著舉足輕重的作用，還擁有海量的成員企業，業務領域廣泛，并始終致力于提高自身的信息化水平。為應對數字化時代的到來，公路投資集團普遍設立了專門的科技子公司來推動數字化轉型，但相對于公路投資集團在數字化領域取得的顯著進展，網絡安全運維仍面臨著一系列挑戰，對進一步數字化轉型造成了威脅。首先，公路投資集團的業務存在明顯的分散現象，集團下屬的各個成員單位在業務方面具有各自的特點，除了集團統建系統之外，還有許多應用系統是根據各自的業務需求自行搭建的。因此，網絡暴露面缺乏統一的管理標準，這使得安全維護工作存在較大的挑戰。另外，各成員

65、單位結合自身情況采購的安全設備數量也較多，且缺乏必要的管理，進一步增加了安全維護的難度。其次，當前安全運維工作過于龐雜的現狀，導致安全人員數量明顯不足。這一問題不僅影響了安全業務的正常運行，也暴露了安全人員在技能方面的短板。由于安全業務的復雜性，需要專業的安全人員具備豐富的技能和知識來維護和管理。然而，安全人員的技能專長往往有局限，人力有限的條件下，公路投資集團自身的安全運維團隊的攻防知識面覆蓋不全，缺少高階安全專家，導致網絡無法得到充分的保障。此外，隨著信息化業務在集團發展中的重要性逐漸增加，高速服務區、項目部、三、四級成員單位機構等對集團業務的訪問和互聯需求愈發明顯，而包括這些小型分支的部

66、分下屬單位自身信息安全防護措施并不完善，也給集團整體的安全防護帶來了新的薄弱環節。在安全運維工作中，上述問題最終表現為“風險隱患難以確定、檢測分析難以精準、防護策略難以恰當、響應處置難以閉環”的四大難題。這些問題給公路投資集團的信息安全治理和數字化轉型安全帶來了巨大的挑戰，使得他們迫切需要找到一個合適的解決方案，以破解現有的信息安全困境，并實現整體上有序地組織網絡安全活動。方案設計建議公路投資集團在信息安全運維實務中引入安全托管服務MSS實現全生命周期的安全保障體系，以資產為核心、以安全事件管理為關鍵流程、采用安全域劃分思想、建立一套實時資產風險模型，協助管理人員進行事件分析、風險分析、預警管

67、理和應急響應處理。安全托管服務參照IPDRO安全服務模型開展（事前對信息資產暴露面風險識別（Identi-fy），事中不斷驗證和增強安全邊界防御能力（Protect）和持續開展安全檢測（De-tect&MDR），事后積極組織開展安全響應（Response）、日常有序開展安全運營管理（Operation&Management），同時逐漸形成知識轉移以提升用戶整體網絡安全工作能力，有效控制安全風險，減少人力投入成本，并顯著獲得高水平網絡安全能力。安全托管服務團隊由云地結合的服務專家組和服務支撐工具組成，借助專業技術工具以標準化管理流程集中研判、快速預警、統一指揮、緊急處置、追查反制等策略和措施，實

68、現事前預警、事中監控、事后響應，快速規范化解決安全問題，力求安全問題閉環管理，持續迭代提升和輸出整體安全能力，最大可能地保障業務安全運行。智能公路行業解決方案藍皮書2023-圖 公路集團企業網絡安全運營托管服務解決方案總體架構SAAS公路行業新場景網絡安全解決方案車路協同試點網絡安全保障方案 建設背景隨著智能交通系統的快速發展，車路協同已成為智能交通領域的重要組成部分。車路協同技術通過實現車輛與道路基礎設施之間的信息共享和協同操作，可以提高交通效率、減少交通事故、降低交通擁堵，是未來智能交通系統的重要發展方向。然而，車路協同系統涉及到大量的數據傳輸和處理，面臨著嚴重的網絡安全威脅和攻擊風險。根

69、據現有的車路協同網絡安全防護實踐情況，我們發現平臺側的網絡安全防護普遍受到重視，然而對路側與智能網聯汽車直接通信的RSU、感知公路通行狀態的IoT基礎設施及負責邊緣計算的路側邊緣云服務節點等重要組件的防護措施明顯不足。一旦路側遭受攻擊，可能會對實體交通通行造成直接危害，因此這些組件的信息安全防護應成為重中之重，亟待加強。方案設計針對車路協同目前網絡安全防護實踐暴露的問題，安恒建議為車路協同技術試點路段構建云邊協同的網絡安全保障體系，在對車路協同平臺進行重點防御的同時，對路側設施實施必要的保護，形成整網的網絡安全韌性，并加強安全運營管理；在構建云邊協同的網絡安全保障體系方面，安恒建議采用分布式部

70、署方式，將安全能力下沉至邊緣節點，用可以與邊緣計算節點融合的安全措施集合實現就近防護和快速響應，實現加密通信、訪問控制、流量感知、威脅檢測、網絡審計、終端安全、設備準入等縱深防御措施。同時，通過云端安全平臺集中管理，形成統一的安全策略和安全運營體系，實現整網的安全管理和協同防御。第三章公路行業新場景網絡安全解決方案3738方案特色更有效貼合的運營保障：在資產數量多、下屬單位眾多、員工眾多的場景下，MSS以資產保護為核心的安全管理工作更加貼身。首先錄入交投集團的單位人員信息，并進行資產的發現工作，將這些資產與大數據局人員進行關聯起來，然后持續進行資產進行漏洞管理和事件管理，將漏洞和事件對資產負責

71、人進行通告協助整改跟蹤問題的閉環。同時通過績效考核促進網絡安全管理工作。7*24動態清零：公路投資集團自身搭建7*24團隊，需要大量的排班人員并付出巨大的運維成本，MSS為公路投資集團提供的是一個安全專家團隊，夜間不僅有網絡專家，還有安全分析專家和應急響應專家，在服務周期內，井井有條的根據優先級及時處置各類安全風險和攻擊事件，實現風險動態清零。智能公路行業解決方案藍皮書2023-SAAS公路行業新場景網絡安全解決方案智能公路網絡安全攻防演練方案 建設背景在推進交通強國建設的戰略大背景下，公路行業對于信息系統的依賴不斷加深，因此建立一套持續、穩定、安全的網絡系統，是保障公路行業各類業務尤其是智慧

72、化發展的必要前提。行業上下都充分認識到信息安全的重要性，為了保護公路機電系統、車路協同應用的安全，紛紛采取了防火墻、加密、身份認證、訪問控制、備份等保護措施。然而，與日俱增的網絡安全風險如互聯網病毒木馬、黑客攻擊、網絡釣魚、DDoS等安全威脅，使得網絡安全防護的壓力日益加大。信息安全本質上是人與人之間的攻防對抗。在攻與防之間，網絡安全人才的培養成為了關鍵。要培養出優秀的網絡安全人才，攻防實戰的鍛煉是不可或缺的。在公路行業網絡安全領域，由于從業者普遍缺乏攻防實戰經驗，因此實戰化、體系化、常態化的攻防演練對于人才技能的提升至關重要。通過攻防演練，可以模擬真實的網絡攻擊場景，讓從業者親身體驗并學習如

73、何應對各種網絡攻擊，提高技能水平。攻防實戰的鍛煉不僅可以提升網絡安全人才的技能水平，還可以增強他們的心理素質和應急處理能力。在攻防對抗中，從業者需要面對巨大的壓力和挑戰，這需要他們具備冷靜、沉著的心理素質。同時，攻防演練還可以模擬出現實中可能出現的各種突發情況，讓從業者學會如何應對和處理這些情況。此外，攻防實戰的鍛煉還可以促進團隊協作和溝通能力的提升。在攻防對抗中，團隊成員需要密切協作，共同應對攻擊。這需要他們具備良好的溝通和協作能力，才能更好地發揮各自的優勢，共同在實戰中發揮作用。第三章公路行業新場景網絡安全解決方案3940在形成車路協同云腦的安全防護中，安恒領先的云安全防護兼備網絡安全、數

74、據安全和密碼安全能力集合，形成周密的安全防護。在此基礎上，綜合云端和邊緣的安全能力，實施統一的安全運營管理，確實保障車路協同安全。圖 車路協同試點網絡安全保障方案總體架構方案特色邊緣一體化安全易交付：安恒針對高速公路網絡安全需求專項開發的高速公路網絡安全一體機，同時具備針對IT設備、IoT設備和虛擬化環境的保護能力，支持以軟硬一體化交付和純軟件部署于邊緣計算節點融云交付。安全能力支持按需配置、彈性擴展，支持統一一體化管理。云邊協同，統一安全運營：云端安全能力和邊緣側安全能力不僅可以向安全管理中心提供數據，支撐統一安全分析，也支持策略由安全管理中心的統一管理，在數據能力和技術能力全部打通的前提下

75、，實現安全運營中心的整體采集、分析、處置，實現長期的網絡安全運營目標。智能公路行業解決方案藍皮書2023-圖 智能公路網絡安全攻防演練方案總體架構方案特色虛實結合，高度仿真：方案提供的虛擬化可結合車路協同邊緣計算節點等實網設施，方便的構建行業應用擬真度的實網攻防環境，設置靶標進行攻防對抗，讓參演人員在業務環境下積累最有價值的實戰經驗。理論實戰結合，讓你快速成長：方案提供超過3000學時的一系列課程，這些課程涵蓋了網絡安全領域的各個方面，包括攻擊和防御技術。課程不僅注重理論知識的傳授，還強調實踐操作的重要性。結合攻防實戰，受訓者可以更好地理解和掌握所學知識，提高技能水平。第三章公路行業新場景網絡

76、安全解決方案4142方案設計為確保智慧公路的網絡安全攻防演練的有效實施，靶場的建立是不可或缺的。網絡空間安全靶場系統以虛實結合的實網方針為基礎，旨在構建一個符合網絡安全實戰要求的靶場環境。該系統提供高度定制化的專業技能崗位訓練平臺、分隊專業訓練及編組聯合演練平臺、網絡安全訓練評估分析平臺，以滿足不同層次、不同崗位、不同專業背景的網絡安全工作人員的培訓需求。網絡空間安全靶場系統平臺主要包括基礎支撐平臺、理論教學分系統、技能訓練分系統、紅藍對抗演練分系統、評估分析分系統和訓練管理分系統六個部分組成：1.基礎支撐平臺提供基礎支撐能力，包括基礎資源庫、仿真、數據采集、運維保障等。2.理論教學分系統為用

77、戶提供課程管理、理論學習、學習軌跡記錄等功能，并滿足必修課中KSA能力模型中的知識要求學習和選修理論知識學習。3.技能訓練分系統包含了技能、能力、分隊訓練，提供相關訓練內容、資源管理和訓練過程記錄和評價功能。4.紅藍對抗演練分系統滿足不同崗位人員協同工作完成任務的能力訓練需求。5.評估分析分系統，通過考核的方式對人員的整體訓練成果進行評估分析，提供KSA能力模型評估考核和人員年終考評功能。6.訓練管理分系統，提供訓練體系、訓練計劃、訓練人員管理，并對訓練結果進行統計分析和展示。智能公路行業解決方案藍皮書2023-第三章公路行業新場景網絡安全解決方案4344SAAS公路行業新場景網絡安全解決方案

78、智能公路數據要素安全共享方案 建設背景隨著智能交通系統的不斷進步，公路數據要素的共享變得日益重要。智能公路數據要素涉及車輛、道路、交通流量等多個方面，這些數據的共享對于提高交通管理效率、提升公路精細化運營水平具有重要意義。通過共享車輛行駛軌跡、道路狀況、交通流量等數據，可以更好地規劃交通線路、提高道路使用效率等。同時，這些數據的共享對于發展自動駕駛、車路協同等新技術也具有重要意義。通過共享車輛位置、速度等信息，可以促進車路協同技術的發展，實現車輛與道路基礎設施的智能互聯，提高道路安全性和通行效率。此外，這些數據的共享對于公共安全保護也具有重要意義。通過實時監測交通狀況、預警交通事故、及時處理緊

79、急情況等措施，可以有效地保障公眾的生命財產安全。因此，智能公路數據要素的共享是未來智能交通系統發展的關鍵所在。在行業數據共享的實踐中，由于涉及的通行信息、交易流水、路測信息等數據具有較高的敏感性，位置、速度、行駛路線路況、交通狀況等多方面的重要數據如果被不正當使用，可能會對個人隱私、企業商業機密甚至國家安全造成威脅。因此，如何在保護數據權屬的同時，實現數據的開放共享，是行業數據共享實踐中必須面對的重要問題。首先，建立基于國密的身份認證和數據安全通信和存儲防護機制，確保數據共享相關參與方的身份可信、共享過程得到保護；建立以區塊鏈技術為基礎的全流程審計機制，實現數據共享和交易智能合約全部可追溯且不

80、可被篡改，確保共享服務的有效性。在此基礎上，隱私計算服務中臺在數據加密的前提下匯聚共享服務相關的數據集，根據需求場景，利用密文沙箱技術或多方安全計算技術，使得在數據受保護的情況下完成計算，將非敏感的結果集交付，賦能自動駕駛技術優化、行程規劃、精準服務、交通公共安全應急等行業場景。此外，方案提供了橫向聯邦學習和縱向聯邦學習的各種算子，可服務同行業上下游企業或同業態企業的機器學習模型開發和訓練，降低機器學習建立成本，進一步激發數據價值。方案設計針對公路行業數據共享實踐中，包含敏感信息及隱私數據等難以對外披露、共享的數據，建議公路行業企業建立集成多種隱私計算技術的隱私計算服務中臺，采用適當的技術集合

81、，在保護數據本身不對外泄露的前提下實現數據分析計算。通過規定數據計算價值的用途和用量，明確針對數據分析結果及的特定使用權，進一步推動行業內用戶和需要行業數據成果的相關單位進一步融合共享，在充分的技術保障下，實現數據的“可用不可見”。在有效規避數據被泄露、濫用風險的前提下，為行業發展持續賦能。圖 智能公路數據要素安全共享方案總體架構方案特色多重保障的大數據安全執行環境：通過多種技術集合確保數據要素共享的全過程可靠，數據加密：基于國密算法的數據全生命周期加密。執行環境：調試沙箱/執行沙箱分離。流程審批：全流程審批和關鍵操作驗簽。行為追溯：區塊鏈行為審計。數據遺忘：智能合約保障數據遺忘。融合卓越的數據密態計算：集成多種密態計算，包括多方安全計算、秘密分享和隱私求交集，為個人隱私保駕護航。智能公路行業解決方案藍皮書2023-