智能公路行业解决方案10101101110安恒信息大交通解决方案部2024版前言交通建设是国家的基础产业和经济发展的先行行业，是现代化的标志，是一个国家综合国力的体现。党的十九大做出了关于“网络强国、交通强国、数字中国、智慧社会”的战略部署，建设交通强国是立足国情、着眼全局、面向未来作出的重大战略决策，是建设现代化经济体系的先行领域，是全面建成社会主义现代化强国的重要支撑，是新时代做好交通工作的总抓手。交通行业作为加快数字转型升级的“先行官”，在新一代数字技术与综合交通体系的融合中起到了重要推动作用。在交通行业的多个垂直领域中，公路行业数字化进程如同一股激流，推动着整个行业的蓬勃发展。数字化技术为公路业务注入了新的活力，改变了传统公路建设、养护和管理的方式，显著提高了运营效率。目前，公路行业的数字化发展已经不再局限于新技术应用、IT基础设施升级等方面，而是进入到数字技术与应用场景深度融合，从而带来安全、效率、体验的全面提升。在公路行业数字化转型的浪潮中，安恒信息秉承着“构建安全可信的数字世界”的使命，专注于公路数字化建设的各项具体业务场景。安恒信息深入洞察数字技术与交通应用融合中的安全风险，为众多行业客户提供了高水平的安全解决方案，获得了行业用户的普遍认可；以深入业务场景的行业解决方案为抓手，为交通数字化转型构筑安全基石。本文的所有内容，其版权属于杭州安恒信息技术股份有限公司（以下简称“安恒信息”）所有，未经安恒信息的许可，任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担保、立场倾向或其他暗示。若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失，安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考，不构成任何要约或承诺，有关内容可能会随时更新，安恒信息恕不承担另行通知之义务。版权所有不得翻印©安恒信息目录1安恒信息观点3公路行业新场景网络安全解决方案智能公路建设是交通强国战略实现的重要领域02公路可变信息板综合防篡改方案32智能公路数字化的行业特性03公路集团企业网络安全运营托管服务解决方案35智能公路数字化的典型技术04车路协同试点网络安全保障方案38公路行业信息安全现状综述06公路集团企业网络安全运营托管服务解决方案40未来信息安全建设重点展望07智能公路数据要素安全共享方案432联网收费系统优化升级工程解决方案专题联网收费系统网络安全态势感知系统升级方案11联网收费系统全生命周期数据安全保障方案14联网收费系统供应链安全解决方案17联网收费系统国产密码技术应用方案20收费站安全能力提升方案23联网收费系统一体化网络安全运营解决方案27智能公路行业解决方案-蓝皮书-2023第一章安恒信息观点第一章智能公路建设是交通强国战略实现的重要领域安恒信息观点在未来公路行业的发展过程中，数字化将是行业高质量发展的重要特征，也是现代综合交通运输体系的关键要素。数字化，既包括对现有交通基础设施的数字化、智能化改造，也01包括具有数字化特征的交通基础设施建设。智能公路是数字化技术在交通领域的具体应用，实现了公路全流程的数字化转型，从而提高了公路的建设与运行管理服务水平。在智能公路中，数据被视为关键要素和核心驱动，通过采用AI智能技术、大数据、物联网、5G通信等多种先进技术手段，实现了对公路全生命周期全流程的数字化转型，促进了物理空间和虚拟空间的不断融合和交互作用，是我国交通强国战略的重要实践之一，未来现代化智能交通体系中不可或缺的关键一环。从2019年9月《交通强国建设纲要》正式印发，到2020年3月“新基建”的提出，再到同年8月《关于推动交通运输领域新型基础设施建设的指导意见》的发布，数字化、网络化、智能化已经成为推进交通运输提效能、扩功能、增动能的重要手段。我国首个针对综合立体交通网的中长期规划纲要——《国家综合立体交通网规划纲要》明确提出：我国将加快提升交通运输的科技创新能力，推进交通基础设施数字化、网联化。预计到2035年，交通基础设施数字化率将达到90%。此外，该规划纲要还强调，到本世纪中叶，我国将全面建成现代化、高质量的国家综合立体交通网，并拥有世界一流的交通基础设施体系。届时，交通运输供需将实现有效平衡，服务优质均等，安全得到有力保障。同时，新技术的广泛应用将推动行业实现数字化、网络化、智能化和绿色化。在出行方面，人们将享受到安全、便捷、舒适的环境；物流方面02智能公路行业解决方案-蓝皮书-2023第一章安恒信息观点则实现高效、经济、可靠的目标。最终，我国将全面建成交通强国，实现“人享其行、物行业应用特点：建、管、养、运优其流”。公路行业的数字化业务围绕着公路的建设、管理、养护和运营等核心业务构建。通过更2023年9月，交通运输部印发《关于加快推进公路数字化转型智慧公路建设的意见》，大的时空范围的综合交通体系。智慧交通可以提高交通系统的运行效率，减少交通事故、意见中明确指出，数字化转型是公路交通高质量发展的必由之路，是提升公路服务和管理降低环境污染，促进交通管理及出行服务系统的信息化、智能化、社会化、人性化水水平的重要手段。平提高。在上述政策的指引下，智能公路行业正在筑牢数字化底座，快速推进云计算、大数据、5G、AI等新技术与公路行业智慧建造、智慧养护、智慧出行、智慧治理等应用场景的深数据要素特点：三元互动度融合，全面提升公路基础设施运行效率、安全水平和服务质量，加速公路行业数字化转公路行业的数据包含了行程信息、高精度地图等为代表的高敏数据，具有多源复杂、数型工作落地。据量大、实时性高、数据价值高等基础特征，并具有时空移动性、多维结构、社会关联性等行业特征，是由信息世界、物理空间和人类社会三元互动产生的数据，人类行为在智能公路数字化的行业特性交通行业数据中占有的特殊地位，使交通行业数据具有极高的价值，既能显著改善交通行业自身的建设、运行、养护和管理水平，也对其他各行各业更好的理解人的行为、社作为交通强国与数字经济的重要组成领域，智能公路的数字化发展具有独特的行业特性。会实体的行为提供了重要的数据维度。这些特性主要体现在以下方面：智能公路数字化的典型技术基础设施特点：丰富泛在交通基础设施之于国家建设如同血管之于生命，不停服务于人民生活，激发着经济活力。物联网技术相对于其他行业，公路行业的数字化转型，是对实体空间感知需求最为迫切的，相应地，物联网技术是智能公路数字化的核心，可以实现公路全流程的数字化转型。通过物联网公路基础设施的种类也最为丰富庞杂：既需要应用运输路线沿线的海量实体感知设备，技术，可以采集各种数据，如车辆位置、速度、道路状况等，为后续的数据分析提供基也需要北斗卫星、高精度遥感等技术的支持与辅助。各种IoT感知终端、OT控制设备、础。相比于其他行业，基于物联网技术构建的公路感知网具有地理空间范围广、采集数IT基础设施及专有基站、雷达、微波、卫星等设施都被应用于公路全产业链条各阶段的据类型丰富、综合决策分析支撑作用强等特点，是智能公路的核心基础设施。数字化应用。大数据分析技术网络架构特点：专网为核心智能公路需要处理海量数据，必须借助大数据分析技术才能有效地挖掘出有用的信息。公路行业一直以来在信息化建设中对稳定和运行安全的要求极高，其核心通信网络普遍通过大数据分析技术，可以对采集到的各种数据进行处理、分析和挖掘，从而为交通管随着其实体运输路线的建成而建成，形成了公路通信系统为基础的联网收费专网、综合理提供科学决策依据。监控专网等专有网络。公路行业在数字化转型的过程中，既要维护关键业务的专网属性，也要探索如何在现状下如何有序、合理的开放数据、进一步利用数据。0403智能公路行业解决方案-蓝皮书-2023第一章安恒信息观点云计算技术公路行业信息安全现状综述云计算技术可以为智能公路提供强大的计算能力和存储空间，可以快速处理和分析大量数据。同时，云计算还可以实现数据共享和信息交互，提高数据利用效率。公路行业作为关键信息基础设施最为密集的细分行业之一，其网络安全保障的重要性不言而喻。从全局视角来看，交通行业的网络安全与技术支撑体系已经基本建立，网络安人工智能技术全政策体系也已基本完善，信息系统安全等级保护能力普遍提升，行业关键信息基础设人工智能技术是实现智能公路数字化的关键。通过人工智能技术，可以实现自动化决策、施清单和数据分级分类管理制度不断完善，行业密码和密钥管理体系不断健全，行业网智能化管理、智能化控制等，提高公路的运行效率和服务水平。络安全保障工作已经取得了显著的成果。然而，与交通运输部提出的“全链条、全要素、全周期，构建事前防范、监测预警、应急处置三位一体的网络安全防护体系”的目5G通信技术标相比，仍存在一定的差距：5G通信技术是智能公路数字化转型的重要支撑。5G通信技术具有高速度、低延迟、大容量等特点，可以满足大量数据的传输和处理需求，同时也可以实现车路协同通信，提一是基础不牢，等保覆盖落实仍有欠缺：公路行业客户安全保障从整体来看对专网的依高交通运行的安全性和效率。赖性仍然较高，且业务直接影响对实体交通运输的调度指挥和控制，在部分重要信息系统网络安全防护上，存在不想上、不敢上的情况，在行业标准及文件中有明确定级要求BIM技术的系统仍存在部分未依照等建设的情况。建筑信息模型（BuildingInformationModeling）是建筑学、工程学及土木工程的新工具，随着在民建领域的大放异彩，自2017年9月，交通运输部办公厅关于开展公路二是人力缺乏，安全运维工作开展难：作为行业主体的公路行业央国企体量巨大，业务BIM技术应用示范工程建设的通知发布，BIM技术开始在公路基建领域发挥价值，通过复杂，员工众多，但安全运维团队人数少，工作量大，与网络运维分工界面不清晰等问充分的数据化供给，BIM模型取代传统的看图说话的CAD设计，提供了设计可视化、工题较为普遍，在发生可能危害业务的严重网络安全事件时，凭借自身员工和驻场外包人程计算准确性提高、自动关联降低工作量、促进多领域协作等优点，改善工程建设全生员难以应对。命周期的质效。三是新技术引入的新风险：IoT、5G、大数据、云计算、中台、微服务、AI技术、北斗北斗技术等新技术呈喷涌之势在公路行业被快速地大规模应用。在行业攻防演练等活动中出现了北斗卫星导航系统是交通运输行业升级发展的重要基础，是助力实现交通运输信息化和利用物联感知设备漏洞、大数据环境漏洞、虚拟化平台漏洞、不安全API发起攻击并成现代化的重要手段。北斗作为先进的高精度导航系统，除了其在通行服务中提供的基础功突破的诸多案例，而公路行业用户在相应安全能力的建设中还没有跟上。能力外，还广泛应用于包括车路协同，无人化作业，高精度行业地图测绘等领域。四是数据要素敏感性高，数据安全保障不足：公路行业活动产生的数据反映了人、物的05时空轨迹，与人的个人生活、社会活动、生产经营息息相关，相对于其他行业数据具有更高的数据敏感性和数据价值。在数据安全保障方面，公路行业目前面临顶层设计不明确、行业标准规范不健全、行业相关成功实践少等一系列问题。导致交通行业用户一方面希望利用自身的高价值数据，深化利用；另一方面担心法律风险，不敢迈出第一步。06智能公路行业解决方案-蓝皮书-2023第一章安恒信息观点未来信息安全建设重点展望08联网收费系统是公路行业多级主体共同运营的关键信息基础设施，在公路行业，取消省界收费站工程开创了“一张网运行、一体化服务”的新局面，有力推动了交通运输的转型升级和提质增效。然而，随着工程建设的不断深入，我们也必须面对一些新的问题和挑战，其中最为突出的问题就是信息安全保护。在公路信息安全建设方面，我们首先需要基于交通运输部整体部署的联网收费系统优化升级工程中的网络安全和数据安全保障任务实现联网收费系统安全防护能力的专项提升，履行关键信息基础设施运营者的保护任务。部路网中心、省级联网收费中心和各路段业主应共同依据工程要求，在部省两级联网中心、区域/路段中心、收费站及门架等各个层级明确网络安全责任与分工界面，建立多级协同的安全运营体系，采用适当的技术措施落地，并依据并网接入技术要求切实落实网络安全技术要求。同时，我们还需要关注公路行业IoT设备部署和应用广泛而安全保护机制不足的现状。随着智慧公路新型基础设施的布设、新技术的不断应用和新业务场景的涌现，也引入了新的网络安全隐患。因此，我们需要有针对性的技术手段来保障网络安全底线，确保公路行业的稳定和可持续发展。作为关键基础设施行业，信息安全防护不仅需要关注设备的部署，更应注重持续的运营保障。我们需要将安全运营管理工作作为支撑信息化与数字化业务发展的一项业务来开展，通过加强安全运行管理的可见性、可度量性和可控性，实现人与人对抗的网络攻防中取得良好的结果。综上所述，未来公路行业的信息安全建设需要结合业务场景，采取综合性的技术措施和管理措施来保障网络安全。只有通过这样的方式，我们才能够有效应对日益复杂的网络攻击和威胁，确保公路行业的信息安全和稳定发展。07智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题第二章联网收费系统是公路行业重要的关键信息基础设施，根据交通运输部的整体规划，将在23年启动高速公路联网收费系统优化升级工程，根据前期高速公路联网收费业务发展过联网收费系统优化升级工程程中的成果和挑战，提出了“提升计费准确性、提升业务规范化程度、提升系统标准化程解决方案专题度、提升客户服务水平、提升ETC拓展交易在线化水平、提升网络和数据安全保障能力”六大升级工程任务。在取消省界收费站开展的安全建设成果基础之上，根据过往安全09运行过程中暴露的问题，新形势下的新合规政策要求，进一步提升安全技防能力，强化安全运行水平。联网收费系统的运营单位包括交通运输部路网监测与应急响应中心，各省承担升级联网收费清分结算业务的企事业单位、ETC发行机构和高速公路路段运营企业等多级运营主体；在业务系统层面上，则包括了ETC门架与收费车道系统、高速公路收费站系统、路段中心与区域中心系统、省联网中心系统和部路网中心系统等多层的受保护客体。为实现高速公路联网收费系统优化升级工程中提升网络和数据安全保障能力的任务目标，安恒建议开展从强基、明目、协同三项主要工作，建立部-省-路段的三级安全运营体系，理清权责，强化管理，提升交通关键信息基础设施联网收费系统的安全保障水平。强基：根据前期建设不足提升各级系统的网络安全、数据安全保障能力，根据密码应用安全性测评要求积极组织密码改造，为联网收费系统安全构筑监视的技防基础。明目：进一步完善部省态势感知体系的覆盖能力，改善目前部分省份流量采集不全，数据集成水平不高的现状，充分运用大数据技术，强化对网络安全风险的感知和分析能力。协同：进一步明确高速公路业主、省级联网收费系统运行单位、部路网中心三者的职责与分工界面，制定清晰的安全工作流程并实现标准化、线上化，让各级主体充分能够更好的协同应对网络安全风险，履行各自的安全保护义务。10智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题SA1.省联网中心部署一级态势感知平台，区域/路段中心及ETC发行机构部署二级态势感知AS平台。根据各省已建设备情况补充部署流量探针和日志采集与审计工具，以全域覆盖的流联网收费系统优化升级工程解决方案专题量感知数据结合日志数据进行汇聚分析，作为安全风险/事件感知、防护、检测及响应的基础。省联网中心、区域/路段中心、ETC发行机构分别部署的态势感知平台基于工单系联网收费系统网络安全态势统形成级联的协同体系，各运营单位根据资产范围、安全责任基于态势感知平台对网络安感知系统升级方案全威胁进行及时地识别、响应与处置。2.省联网中心平台负责本级的流量数据和二级态势感知系统上报的安全事件信息，汇聚省建设背景域设备及系统日志，融合大数据技术和人工智能算法实现对全省网络安全风险的识别、监测、响应处置。收费公路联网收费系统网络安全态势感知平台体系建设是取消高速公路省界收费站工程建3.区域/路段中心及ETC发行方建设与省中心态势感知系统级联的二级态势感知系统，负设的重要内容，也是部省协同网络安全综合防御体系的核心组成部分。目前，大部分省份责实现本路段范围内路段中心及各收费站（ETC发行单位及发行网点）的网络安全风险已完成省域网络安全态势平台的搭建并实现了与部级网络安全态势感知平台的对接。在实感知与处置。二级态势感知系统自身集成流量探针特性，具备强大的告警消噪能力，具体际运行过程中，各省平台通过数据汇聚、关联分析、可视化呈现、工单协同等功能模块，功能包括流量采集、威胁检测、威胁分析、威胁可视化、工单与通报管理、响应处置和安已在一定程度上实现了部省协同的安全运行维护工作。全报告。4.收费站探针是态势感知的感知末端，可以有专用流量探针或安恒高速公路网络安全一体然而，与此同时，各省态势感知平台在使用过程中也暴露出态势感知覆盖面不全、异构安机集成实现，负责实现收费站级的流量采集，将流量采集发送至区域/路段二级态势感知全数据来源不充分、安全告警误报较多、安全事件研判能力不强、安全可视化程度不高等系统，由二级态势感知系统对本区域/路段整体进行安全威胁检测与分析。问题，安全态势感知能力有待进一步提高。在本次优化升级工程中，明确提出了态势感知联网收费系统网络安全态势感知系统升级方案具备丰富的灵活性，可以通过平台替换、扩能力应覆盖至收费站的安全建设要求。这需要在收费站通过探针部署等形式实现态势感知容升级，二级平台补充建设，态势感知探针补充部署等方式与现有省域网络安全态势感知能力的覆盖，并考虑现有平台的性能瓶颈，对态势感知平台进行升级、扩容和迭代。系统进行平滑的补充与补强，利用安恒态势感知领先的大数据技术、AI分析与研判技术、基于联网收费系统实战积累的行业特色告警消躁技术、SOAR联动响应技术作为基础，可针对目前各省联网中心态势感知使用中存在的问题和本次优化升级工程提出的态势感知能以完全满足公路联网收费业务网络安全态势感知建设需求。力提升要求，安恒提出了省中心-区域/路段中心两级协同的省域态势感知协同体系。该体系在各省建设现状基础上，对态势感知平台进行升级优化，以满足未来长期省域网络安全12风险识别、防护、检测和处置等在内的整体网络安全感知需求。方案设计态势感知平台是是交通运输网络安全监测预警体系的重要组成部分，根据大部分省份下辖路段多，运营主体多的特点，为满足省中心高速公路管理单位与路段中心业主不同的安全管理诉求，网络安全态势感知平台采用多级部署，级联协同的方式进行设计，态势感知平台采用“省中心-区域/路段中心及ETC发行单位-收费站”的三级架构部署：11智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题图联网收费系统网络安全态势感知系统升级方案总体架构海量安全设备进行策略控制，自动检测风险和阻断威胁，让安全威胁的处置更及时有效。方案特色大模型技术赋能，AI驱动让安全更简单：安恒基于多年网络安全攻防实战，采用大模型技分工协同与业主责任边界相匹配，安全责任清晰：配合部中心平台建立部-省-分中心的术沉淀实战成果。提供的问答服务大模型可以在态势感知使用中，提供总结分析、内容生三级协同体系，由自动化响应技术和跨平台工单流转驱动跨组织的网络安全监管与协同，成、脚本和剧本编写及模型优化等高阶应用，让安全感知的学习和使用变成交互性问答，使省域联网收费业务的安全保障、工作协同更为清晰有序。即可达成安全管理提升的目标。跨厂商友好，支持多种改造方式实现态势感知升级目标：安恒信息具备丰富的多厂商多级简单经济：在提供更多功能的前提下，为了平衡建设成本与建设效果，安恒方案在路段/区平台态势感知建设经验，方案中提供的一级平台、二级平台和探针组件都具备开放的数据域中心和收费站都提供了探针与其他安全特性集成的建设方案，在降低项目总体投资的前协同和工单协同接口，能够适配各省具体的网络安全态势感知平台升级决策，提供差异化提下，实现两级平台、三级部署的多级协同效果。的适配和集成方案，满足态势感知平台升级建设要求。强大的技术基底帮助公路实现安全事件自动响应：安恒网络安全态势感知方案已在15年重SA大活动保障任务和近2000家行业大客户进行应用与验证，积累了丰富的安全检测经验、AS模型策略和领先的技术。在本方案中，安恒为两级平台都提供了SOAR技术引擎，可适配联网收费系统优化升级工程解决方案专题13联网收费系统全生命周期数据安全保障方案建设背景全国高速公路联网收费系统是管理高速公路通行费用及相关服务的关键信息基础设施。从省域角度看，该系统涵盖了从省联网中心到路段中心、收费站、门架等各个层面，承担了包括ETC/MTC车辆通行费清分结算、通行费率管理、稽核、出入口信息登记及扣费等全部业务。因此，一旦数据遭到篡改或窃取，将直接关系到高速公路的运行效率以及广大车主和运营方的利益。此外，随着科技的发展，人工智能、大数据等新技术在联网收费系统中的应用不断深化，为系统带来了便利，但同时也增加了数据安全的风险。因此，如何在利用新技术提升高速公路服务效率的同时确保数据安全，已成为一个日益重要的问题。然而，目前全国大部分省份的联网收费系统安全建设主要集中在2019年的省界工程。当时，《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等重要政策14智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题文件尚未发布，导致针对数据安全的相关工作尚未引起足够重视。如今，高速公路联网收图联网收费系统全生命周期数据安全保障方案总体架构费系统的数据安全保障工作已经成为联网收费系统网络和数据安全保障中的巨大洼地。因方案特色此，全面、系统化的全生命周期数据安全保障建设势在必行。服务先行：在数据安全工作中，为确保数据安全工作结果的成效，安恒将结合行业案例经验及现场调研并规划数据安全工作的蓝图，制定分类分级的框架和流程细则，数据安全防方案设计护在采集、传输、存储、使用、共享、销毁等环节的实施方案及流程细则，以确保后续工根据联网收费业务的数据流转特点、数据汇集方式，可以识别出联网收费系统，数据安全作的顺利进行。保护的核心目标对象是汇集和共享数据的省联网收费中心和ETC发行机构中的重要数据全程防御：为了更好地保障数据安全，安恒方案建立了覆盖数据全生命周期的防御机制和系统和共享服务。动态的访问控制手段。从数据的产生、存储、传输到使用、销毁等各个环节，我们都采取以省联网收费中心和ETC发行机构为数据安全保护目标，安恒提出了面向收费业务的全了相应的安全措施，确保数据的机密性、完整性和可用性。同时，我们根据数据的不同等生命周期数据安全保障方案，在总体上，采用技术工具与持续服务并重的方式，优先进行级和类型，实施不同的访问控制策略，严格控制数据的访问和使用权限。调研与访谈，以深入理解业务为前提设计数据安全实现路径，并通过关联协同的数据安全融云部署，弹性易管理：丰富的数据安全防护组件可作为云安全资源池组件交付，将网络防护工具体系实现保障目标，主要防护要点包括：安全与数据安全能力进行灵活的调度与扩展。首先，实施数据分类分级活动，根据数据外泄、篡改事件发生后产生的影响，对省域数据资产的敏感性进行标识。16其次基于数据分类分级成果，采用数据加密、访问控制、多层次的安全审计等多种手段，确保联网收费业务活动中的数据传输、存储、使用等各个环节的安全性。此外，审慎分析各相关单位的数据共享需求，对数据外发进行严格的限制，并对涉及敏感数据的共享提前进行脱敏，全面保护结构化数据和非结构化数据的全生命周期安全。最后，在数据技术措施全面、正确应用的基础上，构建集成数据稽核、实体行为分析、风险告警、集中策略管理、事件工单处置、安全态势感知等能力的数据安全管控平台，在数据活动的持续过程中同步识别潜在的数据安全威胁并及时进行处置反馈。15智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题持续监测：为了及时发现和应对数据安全威胁，方案建立了以平台为核心持续监测机制。（征求意见稿）》中，也对省域联网收费系统的供应链管理，提出了明确的要求。供应链充分利用数据安全技术措施的持续采集能力，从应用和数据活动视角出发，刻画并持续分安全建设对联网收费业务来说已经刻不容缓。析业务流，感知数据安全威胁。通过实时监测和分析数据活动，从而及时发现异常行为和潜在的安全威胁，并采取相应的措施加以应对，确保数据的安全性和可用性。方案设计针对联网收费系统所面临的严重供应链安全挑战，我们建议以省为单位建立供应链安全管SA理中心，对供应商提供的面向省联网中心、ETC发行单位、路段/区域中心、高速收费站AS管理及车道和ETC门架的软件进行统一的安全治理。具体建设思路如下：联网收费系统优化升级工程解决方案专题1.建立统一的供应商安全管理中心：由省中心牵头建设，通过平台与行业软件开发环境与测试环境的对接，形成与中心自研软件及驻场开发软件的在软件开发周期的深度融合。联网收费系统供应链安全在开发流水线执行的过程中，将安全检测任务与开发过程持续集成，实现安全左移，在软解决方案件交付前，最大程度的识别并消除安全隐患，避免后门植入。在此基础上，对所有软件供应商进行整体管理，建立供应商台账和软件资产台账，利用威胁情报与本次软件资产进行建设背景关联，通过情报信息识别本地业务中隐藏的安全隐患,对隐患消除过程进行管理，避免已公开漏洞对本省联网收费安全带来进一步危害。因联网收费系统涉及诸多管理单位、ETC发行服务单位和运营业主单位，且承载着众多2.建立一套供应链安全技术工具集：建设包括威胁建模工具、源代码扫描、开源软件成业务，包括但不限于省内拆分结算、跨省非现金结算、数据汇聚管理、密钥管理、跨省现分分析、灰盒测试工具、黑盒扫描工具和运行时自保SDK等安全开发工具集合,由供应链金拆分结算、费率计算特情业务、CPC卡综合管理、ETC门架等运行监测、发行认证和安全管理中西进行统一的集成联动管理,可以在开发、测试和上线运行过程中按需调用,通监管、省内费率管理、稽查和信用管理、综合业务管理、ETC发行、客户服务、风险控过安全开发辅助类工具(威胁建模、安全开发SDK等)提高代码质量,利用自动化的风险分制、质量控制、资产管理、联网收费大数据平台以及对外业务服务管理等，故其开发和运析工具(源代码扫描、软件成分分析、灰盒测试、黑盒扫描等)多维度分析,检视安全隐患,行支撑服务单位在各省都有大量存在。及时上报并处置。3.提供有效的安全开发支持服务：利用安恒多年的基于SDLC为基础工程化开发经验、然而，由于业务复杂且开发单位众多，加之收费软件行业属性较强，联网收费系统的供应开发安全服务经验、行业攻防演练实战经验和业务理解,为省域联网收费系统的供应商提链安全一直存在的管理缺乏抓手的挑战，能够对行业应用进行的安全监测手段也不多。一供统一安全开发支持服务,从整体的安全开发要求、供应商管理制度规划,到具体的安全开旦行业软件存在漏洞、后门或开源软件依赖安全风险等供应链安全隐患，管理单位、发实施流程设计,供应链管理实施工程中的持续评估支持和针对供应商提供的安全开发培ETC发行服务单位和运营业主单位往往缺乏识别和控制手段，而且此类问题一旦发生，训,帮助联网收费系统实现从有序、有效、持续提高的供应链安全管理。往往造成的攻击面极大，且处置复杂度较高，将对联网收费业务安全将造成较为严重的影响。18根据《关键信息基础设施保护条例》及《信息安全技术关键信息基础设施保护基本要求》等法规和标准提出的要求，联网收费系统作为关键信息基础设施，必须对联网收费系统的供应链安全进行有效的治理，避免威胁的蔓延。在《联网收费系统优化升级工程方案17智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题图联网收费系统供应链安全解决方案总体架构SA方案特色AS开发流水线集成，便于使用：支持与主流的代码仓库、IDE集成开发环境、缺陷管理工联网收费系统优化升级工程解决方案专题具、项目管理系统、看板工具集成，可以在单元测试、系统测试、回归测试、工件测试、软件验收等各个环节服务于研发人员自测、测试人员测试、运维人员测试和交付评审等各联网收费系统国产密码技术种场景，直观、快速地消除代码开发隐患。应用方案组件化方案，便于适应实际环境：安恒提供的供应链安全解决方案以供应链安全管理中心为核心，其他模块可以作为组件按需选用，已经部署的源代码审计系统、漏洞扫描系统提建设背景供的产品力，或源代码审计服务、渗透测试服务产生的服务结果都可以与平台进行方便的集成导入，无需重复投资，即可在实际环境中发挥全面的供应链安全管理价值。密码是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、知识库沉淀：供应链安全方案的持续使用中，将同步为联网收费系统沉淀安全开发知识最可靠、最经济的手段。《中华人民共和国密码法》的颁布实施以及《商用密码管理条库，知识库形式包括但不限于：安全培训课程、安全需求库、安全设计库、安全开发例》的修订发布，从法律层面为开展商用密码应用提供了根本遵循，联网收费系统作为公SDK、安全组件库、漏洞库、API管理等，做到知识库与联网收费实际业务紧密结合，为路行业重要的关键信息基础设施，承载了数百套等保定级为三级的重要业务系统，从实施长久安全运营以及团队的整体安全能力的提高打下基础。密码技术视角看，联网收费系统商用密码应用安全管理和技术保护能力不足，未全面落实国家商用密码应用安全管理要求，三级系统未全面开展商用密码应用安全评估、未全面采19用符合国家密码管理局认可的密码算法等问题较为普遍。未全面对数据传输、数据存储、身份鉴别、接入认证等方面采用密码技术进行保护。在《联网收费系统优化升级工程方案（征求意见稿）》中，明确要求各省完成等保三级系统的密评及整改工作，各省亟需根据相关法规及标准，正确的应用商用密码技术，建设符合《中华人民共和国密码法》以及GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的信息系统，实现对联网收费系统保护对象（重要业务数据、鉴别数据、重要日志数据等）的机密性、完整性、真实性和不可否认性保护。方案设计围绕着密码安全可视化为核心，在构建底层密码基础支撑设施和密码应用中间件基础上，运用密码服务虚拟化技术和API网关功能，形成统一的应用对接接口，满足联网收费业务多系统、多场景、大并发等不同密码应用技术、管理、密钥要求，通过统一部署的密码服务平台和分布式部署的密码基础设施，将密码产品和能力封装为各项密码服务向用户提供，为密评整改提供各个层面所需的密码技术支撑服务。20智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题在管理维度，平台通过流量监测、数据采集、数据上报、日志采集、第三方数据导入等方方案特色式，对网络空间中密码应用进行全面有效监测和管理，实现密码应用的“可管理、可感知、可预警、可处置”的一体化运营监管能力目标。密码服务平台组件包括：构建统一密码服务体系，自助式服务按需选择：引入平台级统一管理理念，在满足合规性密码服务平台：软件，本身执行密码管理工作不进行密码运算，可使用普通虚拟机或通用及各项安全性要求的前提下，通过统一的密码服务平台，屏蔽底层的密码设备，面向各类服务器部署；应用以服务目录的方式提供，服务按需订阅，灵活搭配，基于业务扩展灵活调整规格和性密码基础设施：各类密码产品，软硬一体形态，密码服务层能力底层依托于专用硬件提供能，服务化交付，提高应用系统的密码安全服务使用效率，通过搭建云密码计算资源池，服务，根据实际配置的服务能力按需配置底层硬件产品；实现密码技术、产品的多样化组合与服务调度，达到多类密码产品与服务的异构化管理与API网关：属于密码服务平台的中间件，为用户提供统一的API调用接口，对后端密码设备监控。起到负载均衡的功能。密码服务平台内置API网关，支持多API网关负载均衡。融云部署，弹性易管理：丰富的密码安全技术组件可作为云安全资源池组件交付，配合专用的商用密码硬件，可以将密码硬件资源分割供应给不同业务复用，将网络安全与密码安全能力进行灵活的调度与扩展。完善密码监管体系，实现安全可持续运营：通过建立密码服务平台，从密码设备运行监测、数据收集统计、教学培训、合规测评、执法监管等对范围内系统开展常态化、体系化、实战化安全运营管理，落实安全运营机制，打造“可管理、可感知、可预警、可处置”的一体化监管能力，对网络空间中密码应用进行全面有效监测和管理，提高密码管理工作的威信力和执行力。图联网收费系统国产密码技术应用方案总体架构2122智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题SA全功能进行编排调度，构建完全符合收费站站级安全要求的安全一体机的行业专用安全产AS品（高速公路网络安全一体机——优化升级工程专版，以下简称收费站一体机），为收费联网收费系统优化升级工程解决方案专题站安全保驾护航。收费站安全能力提升方案图联网收费系统收费站安全能力提升部署逻辑图收费站一体机具备以流量感知和IoT安全为基础的丰富功能特性，具体包括：建设背景资产发现：采用终端指纹技术，对收费站全部资产进行扫描识别，发现IP化资产并识别终端类型，通过设备指纹识别技术，结合应用流量特征分析技术，识别终端的类型。可识别在取省界工程实施后，绝大部分收费站及门架在取消高速公路省界收费站工程中部署了收视频终端、IoT设备、Windows、Linux、网络设备、苹果终端、安卓终端等终端，可收费站边界防火墙、网络入侵防护系统（串接部署或由防火墙集成）、网络防病毒（防火墙集提供设备类型、品牌型号、系统版本、固件版本、应用名称、品牌、版本、服务类型以集成），ETC门架安全网关、主机恶意代码防护、网络准入（收费站部署或路段中心统及端口等信息。一管理准入）等安全工具，在安全保障上取得了明显的建设成效。但由于各省中心、业主单位在工程执行中存在的方案差异和网络安全威胁的演进变化，导致在收费站及门架网络24中仍存在态势感知覆盖不全，无法识别一机双网，IoT安全防护措施不足，部分改扩建收费站安全功能配置不全等安全风险。在本次联网收费系统升级优化工程中，将网络安全强化作为六大工程任务之一，提出了进一步强化网络安全建设的相关要求，在《联网收费系统省域系统并网接入网络安全基本要求》基础上，对联网收费站和ETC门架提出了“实现站级态势感知覆盖、加强站级安全防护能力、提升站级系统安全运维管控能力、加强移动支付终端接入安全、提升ETC门架设施安全防护能力、加强门架无人值守设施设备安全防护、加强门架设施接入认证、加强门架通信传输安全”等一系列安全提升要求。方案设计本次升级工程针对收费站及ETC门架提出了多项安全特性要求，如果分别采用独立的安全设备实现，存在设备前期部署调试复杂工期长、收费站交换机接口紧张、机房机位不足、长期用电成本高昂等一系列不利因素。针对这一现状，我方采用集约化建设的思路，利用虚拟化技术，聚合收费站资产管理与边界防护所需的多种分散于不同安全产品的安全功能于一体，灵活利用基础计算资源，对安23智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题准入控制：以可信资产列表为基础，结合主被动探测与分析技术定位网络中存在的非授权敏捷部署：收费站、安全一体机完全采用旁路部署，旁路部署，免去传统单品堆设备复杂设备接入，包括非授权登记设备、移动设备等。的部署过程，不影响已有的网络架构，智能引流，部署更简单，使用更高效。违规外联监测：主动监测收费站专网内存在的违规和非授权网络边界，发现受控隐蔽的跨经济节能：收费站一体机全面满足本次站级、门架级安全提升的各个环节要求，且在长期边界数据传输和网络访问通道，以及监测外部设备非授权入网和内部用户违规外联外部网使用中具备初始成本低，长期成本低的显著优势，帮助业主用更少的经费实现合规诉求。络等高危风险行为。从而预防专网资源被不法人员利用，造成网内资源被破坏、数据被泄露以及非法入侵等安全事件。26流量感知探针：作为省级态势感知系统的站级流量探针发挥功能，探针使用深度威胁检测技术，对流量进行深度解析，完整还原流量并发现流量中的恶意攻击，并将采集结果汇总上报至上级态势感知平台。主机安全及终端管理（选配）：具备病毒查杀、访问控制、进程防护、单机扩展、隧道搭建、远控持久化、内网探测、痕迹清除等高级威胁检测，挖矿与勒索病毒防护，容器安全防护、异常进行成为监控、网络对外连接审计、暴力破解防护、文件完整性保护等主机安全防护和终端管理功能。边界安全防护功能（选配，需逻辑串接部署）：具备传统防火墙的访问控制功能，还具备应用层入侵防御功能和恶意代码防范（防病毒）功能，通过多路径并行处理的安全检测引擎和应用识别，实现对用户、应用和内容的深入分析，为收费站提供安全智能的一体化边界防护能力。方案特色全面有效：收费站一体机提供的功能集合完整涵盖终端安全、网络边界安全、资产管理、网络准入、防违规外联、流量感知，用一台设备充分满足本次优化升级工程建设的需要。软件定义、灵活扩展：收费站一体机采用虚拟化技术，用软件定义安全，将原有离散割裂的独立安全硬件设备，抽象为软件功能，收费站可根据自身安全现状灵活选用其所需的功能，并可根据网络安全演进的趋势和部中心相关要求的提升进行进一步功能扩容，满足收费站长期合规的需要。25智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题SA运营团队三大体系相互支撑的，与省域联网收费系统网络安全协同组织相适应的安全运营AS中心。提供统一的安全运营技术能力、统一的安全监管能力、统一的安全运营流程，打通联网收费系统优化升级工程解决方案专题各类事件处置流程、监测预警、应急响应等的运营流程，实现网络安全从被动向主动、从静态到动态、从单点到整体、从粗放到精准防御的转变，全方位全天候的保障网络信息系联网收费系统一体化网络安统安全可靠，全面监测和阻断已知网络攻击和未知入侵渗透风险，防范来自外部和内部多全运营解决方案类型攻击。建设背景安全运营管理中心是安全运营工作开展的核心安全业务集成平台，是未来联网收费业务安全技防措施与人防运维的协同界面，撑安全运营管理工作的业务态工作界面。通过安全运联网收费网络安全态势感知系统在当前的网络安全运营活动中扮演着重要的角色，它不仅营管理平台，实现安全运维工作相关最全面的安全台账汇聚、安全知识汇集、统计数据汇是发现和应对网络安全威胁的主要工具，同时也是促进部省协同的关键手段。然而，随着集，业务流程汇集，从而实现通过一个平台对常态化安全运维工作、应急响应工作、临战安全业务的复杂性不断提高，数据安全、密码安全、云安全、供应链安全、IoT安全等新安全指挥工作的统一管理。对安全管理者，通过对安全工作的指标化抽象、大屏可视化技安全技术保障措施的应用，多平台，多环节管理的趋势已经不可避免，现有态势感知系统术的结合，从而实现安全问题的聚焦、安全工作结果的度量和未来安全运维工作的循环改的运营支撑能力逐渐显得力不从心，导致平台功能与制度要求、组织协同需求和技术工具进。安全运营管理平台重点从态势感知获取各类汇集后的安全数据，实现上层的安全运维协同中出现偏差。应用，对下向各安全平台下发安全工作任务。安全管理的严密、安全技术的先进以及安全运营的完善是实现信息安全目标的基础保障，现有的网络安全态势感知系统作为未来网络安全工作的大数据中台和分析中心，是支撑安三者缺一不可。为了实现信息安全的目标，必须同时加强安全管理的严密性、提高流程标全运营管理工作的技术态关键支撑工具。利用网络安全态势感知系统数据归集与治理方面准化程度、加强与组织协同需求的适配度以及加强对技术工具的研发和更新。此外，建立具备的功能特性，网络安全态势感知系统实际负责收集省域联网收费系统现有各类安全防统一、有序的指挥调度协同机制也是将这些措施整合为协同整体的关键。对于全国高速公护软硬件设施的原始日志、网络安全态势感知系统自身建设的收费站探针与路段中心二级路联网收费系统的安全运营体系而言，基于网络安全态势感知系统的运营工作面临着严峻平台的上报的流量感知数据，汇集数据安全、密码安全、供应链安全等新建/已建但无法的挑战，如管理制度脱节、流程标准化程度偏低、与现场安全运营组织适配度较低等问题完全统管的安全平台产生的日志、告警，沉淀形成权威、统一的网络安全运营大数据中将进一步凸显。因此，必须采取相应的措施来应对这些挑战，才能确保信息安全目标的实心。在此基础上，网络安全态势感知系统利用大数据技术和AI算法等对网络安全风险隐患现。进行分析、感知、溯源取证，并将统计结果、告警等安全运营工作运转需要的关键数据上报至安全运营管理中心作为流程支撑、可视化支撑。安全运营管理中心启动的安全事件处方案设计置流程和安全隐患管理流程根据业务需要通过工单、通报或自动化处置任务的形式下发至网络安全态势感知系统，网络安全态势感知系统基于级联协同体系和设备联动技术实现。高速公路的网络和数据安全运营体系建设以省域联网收费系统省中心、区域/路段中心、收费站、门架的网络、重要服务器、核心业务系统、终端等IT、IoT资产为保护对象，依数据安全管控平台、供应链管理平台、国产密码服务平台、云安全中心、资产管理系统等据网络安全法、网络安全等级保护要求和相关标准规范，建设以网络态势感知系统为主要安全系统针对特定安全领域的、特定合规目标或管理目标的一系列技术手段和管理手段的技术平台与集成中台、安全运营管理中心为业务载体、以安全运营人员与组织保障为主体集合。为了便于未来统一安全运营工作的开展，将上述系统中的管理业务抽象为安全运营与关键、以安全运营机制流程为保障与核心的，具备安全运营平台、安全运营流程、安全2827智能公路行业解决方案-蓝皮书-2023第二章联网收费系统优化升级工程解决方案专题管理中心中的业务进行流转，各平台提供业务流转所需的数据，统一集成至网络安全态势的安全防护水平。方案同时支撑安全管理人员、一般运营岗位和基础安全运维岗位不同视感知系统再汇聚至安全运营管理中心。流程实际执行过程中，各平台提供管理接口，安全角的安全运营需求。真正成为动态安全运营的核心工具平台，将一项项制度中规定的纸面运营管理平台在对应工作场景下利用管理接口向对应平台下发相关任务，实现安全运营工动作转变为通过中心可落地计划、执行、检视和改进的运营功能APP，实现安全运营的作的集成和简化。业务化。图联网收费系统一体化网络安全运营解决方案总体架构方案特色全面协同技防工具：以构建联网收费业务可持续的安全运营体系为出发点，通过解耦技术与应用，利旧现有网络安全态势感知系统能力。方案全面实现安全数据协同、安全功能协同的基础上，通过平台能力服务于人、技术、流程三要素的在运行中的高质效协作，达到安全可视化程度的显著提高、威胁识别率的大幅提升、响应时效性的极大加强的建设成效，完全满足安全运营工作预期。安全运营业务化：平台是工具而非最终结果。因此本方案以安全运营中心技术平台作为工具，充分发挥安全人员、防护机制的作用，落地安全管理的各项制度手段，实现安全运营工作的“计划-执行-检查-改进”自循环，在成效上到达事件闭环、主动防御、动态防御2930智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案第三章SAAS公路行业新场景网络安全公路行业新场景网络安全解决方案解决方案公路可变信息板综合防篡改31方案建设背景公路可变信息板是交通状况及交通诱导信息发布的重要设备，在解决交通拥堵方面起着举足轻重的作用。可变信息板作为发布信息的主要工具，通过文本、图像、数字等合成信号提供公路气象信息、占路施工信息、公路阻断信息、公路重大交通事件、公路运行状态信息以及公路建议绕行方案信息，以利于驾驶员调整其驾驶行为，达到缓解交通堵塞，减少交通事故，提高道路路网通行能力的目的。然而在公路可变信息板的使用中，可变信息板显示的信息播放列表都是以明文方式传输至外场控制设备，加之公路可变信息板的建设地理位置偏远且分散，虽公路管理部门定期对可变信息板进行巡检，但仍存在不法分子获取屏体制造商通讯协议，通过与信息板直连或远程攻击的方式篡改控制卡中播放内容的风险。公路可变信息板大量使用专用的软硬件系统，设备升级维护困难，一旦遭受攻击，破坏后果严重，将对企业形象甚至社会公众利益造成严重的侵害。方案设计针对可变信息板存在的篡改安全隐患，安恒提出了由多种技术组合应用的防篡改完整解决方案，从以下几个层面提供安全保障：1.在外场设备边缘侧，部署轻量化的IoT专用安全防护设备，实现设备准入、访问控制、私接防护、国密VPN隧道建立等功能，防止不法分子利用直连攻击、近源攻击、现场篡改等方式对可变信息板造成危害。2.在分中心与集团中心，串接部署物联网准入控制系统，首先，利用其准入与控制能力，对全网可变信息板及其他IoT资产安全进行统管，及时识别公路综合监控专网中的私接、仿冒；其次，与边缘设备构建国密VPN传输信道，利用密码技术保障可变信息板内容32智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案发布的完整性；此外，利用安恒应用层安全技术的积累，识别情报板传输内容，对可变情方案特色报板内容发布进行识别与管理，通过内置黑名单词库和AI算法对非法内容发布尝试进行限外场微隔离：适应外场环境的宽温轻量级安全设备，为每台情报板提供近源守护，防止不制。法分子在公路沿线利用外场设备的开放性对信息板造成危害。3.在集团中心，建设安全感知中心与监测系统，整体管理综合监控专网的资产与脆弱性，IoT安全技术：基于IoT设备特点，应用无端违规外联监测、旁路准入、IoT指纹库等保证对内容发布进行审计、汇总留存，支持对敏感内容进行人工复核。情报板及综合监控网其他重要设备的安全。内容安全：利用DPI、DFI等技术手段，深入研究主流可变信息版通讯特征，支持《GB/T23823高速公路LED可变信息标志》规定的数据传输规范，利用AI算法对不当的内容发布进行及时的识别与阻断。图公路可变信息板综合防篡改方案3334智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案SA理和数字化转型安全带来了巨大的挑战，使得他们迫切需要找到一个合适的解决方案，以AS破解现有的信息安全困境，并实现整体上有序地组织网络安全活动。公路行业新场景网络安全解决方案方案设计建议公路投资集团在信息安全运维实务中引入安全托管服务MSS实现全生命周期的安全公路集团企业网络安全运营保障体系，以资产为核心、以安全事件管理为关键流程、采用安全域划分思想、建立一套托管服务解决方案实时资产风险模型，协助管理人员进行事件分析、风险分析、预警管理和应急响应处理。安全托管服务参照IPDRO安全服务模型开展（事前对信息资产暴露面风险识别（Identi-建设背景fy），事中不断验证和增强安全边界防御能力（Protect）和持续开展安全检测（De-tect&MDR），事后积极组织开展安全响应（Response）、日常有序开展安全运营管各省市级公路投资集团作为交通运输体系建设最重要的投融资主体和平台，不仅在公路建理（Operation&Management）），同时逐渐形成知识转移以提升用户整体网络安全设、管理、养护、运营等方面发挥着举足轻重的作用，还拥有海量的成员企业，业务领域工作能力，有效控制安全风险，减少人力投入成本，并显著获得高水平网络安全能力。广泛，并始终致力于提高自身的信息化水平。为应对数字化时代的到来，公路投资集团普安全托管服务团队由云地结合的服务专家组和服务支撑工具组成，借助专业技术工具以标遍设立了专门的科技子公司来推动数字化转型，但相对于公路投资集团在数字化领域取得准化管理流程集中研判、快速预警、统一指挥、紧急处置、追查反制等策略和措施，实现的显著进展，网络安全运维仍面临着一系列挑战，对进一步数字化转型造成了威胁。事前预警、事中监控、事后响应，快速规范化解决安全问题，力求安全问题闭环管理，持续迭代提升和输出整体安全能力，最大可能地保障业务安全运行。首先，公路投资集团的业务存在明显的分散现象，集团下属的各个成员单位在业务方面具有各自的特点，除了集团统建系统之外，还有许多应用系统是根据各自的业务需求自行搭图公路集团企业网络安全运营托管服务解决方案总体架构建的。因此，网络暴露面缺乏统一的管理标准，这使得安全维护工作存在较大的挑战。另外，各成员单位结合自身情况采购的安全设备数量也较多，且缺乏必要的管理，进一步增36加了安全维护的难度。其次，当前安全运维工作过于庞杂的现状，导致安全人员数量明显不足。这一问题不仅影响了安全业务的正常运行，也暴露了安全人员在技能方面的短板。由于安全业务的复杂性，需要专业的安全人员具备丰富的技能和知识来维护和管理。然而，安全人员的技能专长往往有局限，人力有限的条件下，公路投资集团自身的安全运维团队的攻防知识面覆盖不全，缺少高阶安全专家，导致网络无法得到充分的保障。此外，随着信息化业务在集团发展中的重要性逐渐增加，高速服务区、项目部、三、四级成员单位机构等对集团业务的访问和互联需求愈发明显，而包括这些小型分支的部分下属单位自身信息安全防护措施并不完善，也给集团整体的安全防护带来了新的薄弱环节。在安全运维工作中，上述问题最终表现为“风险隐患难以确定、检测分析难以精准、防护策略难以恰当、响应处置难以闭环”的四大难题。这些问题给公路投资集团的信息安全治35智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案方案特色SA更有效贴合的运营保障：在资产数量多、下属单位众多、员工众多的场景下，MSS以资AS产保护为核心的安全管理工作更加贴身。首先录入交投集团的单位人员信息，并进行资产公路行业新场景网络安全解决方案的发现工作，将这些资产与大数据局人员进行关联起来，然后持续进行资产进行漏洞管理和事件管理，将漏洞和事件对资产负责人进行通告协助整改跟踪问题的闭环。同时通过绩车路协同试点网络安全保障效考核促进网络安全管理工作。方案724动态清零：公路投资集团自身搭建724团队，需要大量的排班人员并付出巨大的运维成本，MSS为公路投资集团提供的是一个安全专家团队，夜间不仅有网络专家，还有建设背景安全分析专家和应急响应专家，在服务周期内，井井有条的根据优先级及时处置各类安全风险和攻击事件，实现风险动态清零。随着智能交通系统的快速发展，车路协同已成为智能交通领域的重要组成部分。车路协同技术通过实现车辆与道路基础设施之间的信息共享和协同操作，可以提高交通效率、减少37交通事故、降低交通拥堵，是未来智能交通系统的重要发展方向。然而，车路协同系统涉及到大量的数据传输和处理，面临着严重的网络安全威胁和攻击风险。根据现有的车路协同网络安全防护实践情况，我们发现平台侧的网络安全防护普遍受到重视，然而对路侧与智能网联汽车直接通信的RSU、感知公路通行状态的IoT基础设施及负责边缘计算的路侧边缘云服务节点等重要组件的防护措施明显不足。一旦路侧遭受攻击，可能会对实体交通通行造成直接危害，因此这些组件的信息安全防护应成为重中之重，亟待加强。方案设计针对车路协同目前网络安全防护实践暴露的问题，安恒建议为车路协同技术试点路段构建云边协同的网络安全保障体系，在对车路协同平台进行重点防御的同时，对路侧设施实施必要的保护，形成整网的网络安全韧性，并加强安全运营管理；在构建云边协同的网络安全保障体系方面，安恒建议采用分布式部署方式，将安全能力下沉至边缘节点，用可以与边缘计算节点融合的安全措施集合实现就近防护和快速响应，实现加密通信、访问控制、流量感知、威胁检测、网络审计、终端安全、设备准入等纵深防御措施。同时，通过云端安全平台集中管理，形成统一的安全策略和安全运营体系，实现整网的安全管理和协同防御。38智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案在形成车路协同云脑的安全防护中，安恒领先的云安全防护兼备网络安全、数据安全和密SA码安全能力集合，形成周密的安全防护。在此基础上，综合云端和边缘的安全能力，实施AS统一的安全运营管理，确实保障车路协同安全。公路行业新场景网络安全解决方案图车路协同试点网络安全保障方案总体架构智能公路网络安全攻防演练方案特色方案边缘一体化安全易交付：安恒针对高速公路网络安全需求专项开发的高速公路网络安全一体机，同时具备针对IT设备、IoT设备和虚拟化环境的保护能力，支持以软硬一体化交付建设背景和纯软件部署于边缘计算节点融云交付。安全能力支持按需配置、弹性扩展，支持统一一体化管理。在推进交通强国建设的战略大背景下，公路行业对于信息系统的依赖不断加深，因此建立云边协同，统一安全运营：云端安全能力和边缘侧安全能力不仅可以向安全管理中心提供一套持续、稳定、安全的网络系统，是保障公路行业各类业务尤其是智慧化发展的必要前数据，支撑统一安全分析，也支持策略由安全管理中心的统一管理，在数据能力和技术能提。行业上下都充分认识到信息安全的重要性，为了保护公路机电系统、车路协同应用的力全部打通的前提下，实现安全运营中心的整体采集、分析、处置，实现长期的网络安全安全，纷纷采取了防火墙、加密、身份认证、访问控制、备份等保护措施。然而，与日俱运营目标。增的网络安全风险如互联网病毒木马、黑客攻击、网络钓鱼、DDoS等安全威胁，使得网络安全防护的压力日益加大。39信息安全本质上是人与人之间的攻防对抗。在攻与防之间，网络安全人才的培养成为了关键。要培养出优秀的网络安全人才，攻防实战的锻炼是不可或缺的。在公路行业网络安全领域，由于从业者普遍缺乏攻防实战经验，因此实战化、体系化、常态化的攻防演练对于人才技能的提升至关重要。通过攻防演练，可以模拟真实的网络攻击场景，让从业者亲身体验并学习如何应对各种网络攻击，提高技能水平。攻防实战的锻炼不仅可以提升网络安全人才的技能水平，还可以增强他们的心理素质和应急处理能力。在攻防对抗中，从业者需要面对巨大的压力和挑战，这需要他们具备冷静、沉着的心理素质。同时，攻防演练还可以模拟出现实中可能出现的各种突发情况，让从业者学会如何应对和处理这些情况。此外，攻防实战的锻炼还可以促进团队协作和沟通能力的提升。在攻防对抗中，团队成员需要密切协作，共同应对攻击。这需要他们具备良好的沟通和协作能力，才能更好地发挥各自的优势，共同在实战中发挥作用。40智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案方案设计图智能公路网络安全攻防演练方案总体架构为确保智慧公路的网络安全攻防演练的有效实施，靶场的建立是不可或缺的。网络空间安方案特色全靶场系统以虚实结合的实网方针为基础，旨在构建一个符合网络安全实战要求的靶场环虚实结合，高度仿真：方案提供的虚拟化可结合车路协同边缘计算节点等实网设施，方便境。该系统提供高度定制化的专业技能岗位训练平台、分队专业训练及编组联合演练平的构建行业应用拟真度的实网攻防环境，设置靶标进行攻防对抗，让参演人员在业务环境台、网络安全训练评估分析平台，以满足不同层次、不同岗位、不同专业背景的网络安全下积累最有价值的实战经验。工作人员的培训需求。理论实战结合，让你快速成长：方案提供超过3000学时的一系列课程，这些课程涵盖了网络安全领域的各个方面，包括攻击和防御技术。课程不仅注重理论知识的传授，还强调网络空间安全靶场系统平台主要包括基础支撑平台、理论教学分系统、技能训练分系统、实践操作的重要性。结合攻防实战，受训者可以更好地理解和掌握所学知识，提高技能水红蓝对抗演练分系统、评估分析分系统和训练管理分系统六个部分组成：平。1.基础支撑平台提供基础支撑能力，包括基础资源库、仿真、数据采集、运维保障等。2.理论教学分系统为用户提供课程管理、理论学习、学习轨迹记录等功能，并满足必修课中KSA能力模型中的知识要求学习和选修理论知识学习。3.技能训练分系统包含了技能、能力、分队训练，提供相关训练内容、资源管理和训练过程记录和评价功能。4.红蓝对抗演练分系统满足不同岗位人员协同工作完成任务的能力训练需求。5.评估分析分系统，通过考核的方式对人员的整体训练成果进行评估分析，提供KSA能力模型评估考核和人员年终考评功能。6.训练管理分系统，提供训练体系、训练计划、训练人员管理，并对训练结果进行统计分析和展示。4142智能公路行业解决方案-蓝皮书-2023第三章公路行业新场景网络安全解决方案SA首先，建立基于国密的身份认证和数据安全通信和存储防护机制，确保数据共享相关参与AS方的身份可信、共享过程得到保护；建立以区块链技术为基础的全流程审计机制，实现数公路行业新场景网络安全解决方案据共享和交易智能合约全部可追溯且不可被篡改，确保共享服务的有效性。在此基础上，隐私计算服务中台在数据加密的前提下汇聚共享服务相关的数据集，根据需智能公路数据要素安全共享求场景，利用密文沙箱技术或多方安全计算技术，使得在数据受保护的情况下完成计算，方案将非敏感的结果集交付，赋能自动驾驶技术优化、行程规划、精准服务、交通公共安全应急等行业场景。建设背景此外，方案提供了横向联邦学习和纵向联邦学习的各种算子，可服务同行业上下游企业或同业态企业的机器学习模型开发和训练，降低机器学习建立成本，进一步激发数据价值。随着智能交通系统的不断进步，公路数据要素的共享变得日益重要。智能公路数据要素涉及车辆、道路、交通流量等多个方面，这些数据的共享对于提高交通管理效率、提升公路图智能公路数据要素安全共享方案总体架构精细化运营水平具有重要意义。通过共享车辆行驶轨迹、道路状况、交通流量等数据，可方案特色以更好地规划交通线路、提高道路使用效率等。同时，这些数据的共享对于发展自动驾驶多重保障的大数据安全执行环境：通过多种技术集合确保数据要素共享的全过程可靠，数、车路协同等新技术也具有重要意义。通过共享车辆位置、速度等信息，可以促进车路协据加密：基于国密算法的数据全生命周期加密。执行环境：调试沙箱/执行沙箱分离。流同技术的发展，实现车辆与道路基础设施的智能互联，提高道路安全性和通行效率。此外程审批：全流程审批和关键操作验签。行为追溯：区块链行为审计。数据遗忘：智能合约，这些数据的共享对于公共安全保护也具有重要意义。通过实时监测交通状况、预警交通保障数据遗忘。事故、及时处理紧急情况等措施，可以有效地保障公众的生命财产安全。因此，智能公路融合卓越的数据密态计算：集成多种密态计算，包括多方安全计算、秘密分享和隐私求交数据要素的共享是未来智能交通系统发展的关键所在。集，为个人隐私保驾护航。在行业数据共享的实践中，由于涉及的通行信息、交易流水、路测信息等数据具有较高的44敏感性，位置、速度、行驶路线路况、交通状况等多方面的重要数据如果被不正当使用，可能会对个人隐私、企业商业机密甚至国家安全造成威胁。因此，如何在保护数据权属的同时，实现数据的开放共享，是行业数据共享实践中必须面对的重要问题。方案设计针对公路行业数据共享实践中，包含敏感信息及隐私数据等难以对外披露、共享的数据，建议公路行业企业建立集成多种隐私计算技术的隐私计算服务中台，采用适当的技术集合，在保护数据本身不对外泄露的前提下实现数据分析计算。通过规定数据计算价值的用途和用量，明确针对数据分析结果及的特定使用权，进一步推动行业内用户和需要行业数据成果的相关单位进一步融合共享，在充分的技术保障下，实现数据的“可用不可见”。在有效规避数据被泄露、滥用风险的前提下，为行业发展持续赋能。43