一、項目背景

今年3月，李克強總理在《政府工作報告》中提出“兩年內基本取消全國高速公路省界收費站，實現不停車快捷收費，減少擁堵、便利群眾”。

2019年5月16日國務院辦公廳下發《深化收費公路制度改革取消高速公路省界收費站實施方案》(國辦發【2019】23號)，要求各省認真組織實施。

為貫徹落實國務院的決策部署，交通運輸部做出統一安排，成立專項工作組。按照工作安排，為指導推動取消高速公路省界收費站相關工作開展，交通運輸部公路局組織編寫了《取消高速公路省界收費站總體技術方案》（以下簡稱“總體方案”），根據總體方案，交通運輸部路網中心組織編寫了《取消高速公路省界收費站工程建設方案》。

至此，全國各省取消高速公路省界收費站改革進入實質性階段。

二、需求分析

三、解決方案

深信服嚴格按照《網絡安全等級保護基本要求》（GB/T22239-2019）和《聯網收費系統省域系統并網接入網絡安全基本技術要求》（交科技函〔2019〕338號）設計解決方案：省聯網中心系統按照等級保護三級建設及整改，ETC門架系統、收費站在通信網絡、區域邊界和計算環境方面按照三級要求建設。

根據等級保護2.0要求，對于省聯網中心所在網絡劃分不同的安全區域，如辦公區、生產區、運維管理區、分支接入區、互聯網區等。

   云端網絡安全方案設計：

   在互聯網區采用云抗DDoS服務，通過云端流量清洗能力，提升抗DDoS攻擊效果，防止大流量DDoS攻擊直接影響業務；通過接入深信服云鏡提供云端網站防護服務。

   對于云平臺，深信服提供云安全資源池解決方案，該資源池包括以下安全組件：防火墻、IPS、WAF、DAS（數據庫審計）、LAS（日志審計）、OSM（堡壘機）、BVT（漏洞掃描）、EDR（終端安全防護）、VPN、AD、AC，用戶可根據自身需求選擇相應的安全組件。

   網端網絡安全方案設計：

   在區域邊界用下一代防火墻及IPS設備加強邊界的保護，阻擋來自外部和內部的攻擊；在互聯網出口位置部署抗DDoS設備，用于清洗云抗D未攔截的攻擊流量；部署Web應用防火墻設備，防止Web攻擊。

   在收費專網出口部署至少2臺負載均衡設備，保障業務交付質量，防止跨運營商訪問，并自動選擇最優最快業務訪問路徑。另外，可以對省中心收費專網到互聯網區域，部署網閘設備，用于隔離互聯網及收費專網。

   對收費站、區域路段等連接到省中心的線路，除提供專線連接外，部署VPN設備，提供符合商密要求的備份線路連接。在收費站、區域路段、省中心等核心交換設備上部署流量感知探針，用于檢測威脅流量。在省中心、區域路段、收費站劃分運維管理區，在該區域部署態勢感知平臺、漏洞掃描、堡壘機、日志審計等，另外部署BBC集中管理平臺，實現VPN網絡自動組建，同時對下一代防火墻等多種安全設備進行集中管控。

   終端網絡安全方案設計：

   在省中心、區域路段、收費站等重要業務服務器上部署EDR，用于檢測服務器威脅，并有效阻斷東西向的攻擊威脅。

   部署行為管理、數據防泄密系統聯動實現數據防泄密建設；同時部署終端準入系統防止產生非法內聯和非法外聯問題。

   提供態勢感知平臺與防火墻、AC、EDR之間的聯動，構建“預測、防御、檢測、響應”的安全閉環。

四、方案優勢

深信服科技對用戶提供針對性、完整性、合規性、專業性的網絡安全解決方案，優勢如下：

安全設計基礎扎實

深入分析用戶網絡安全現狀，對用戶存在的問題和風險進行研判，提供有針對性的解決方案，對后續安全建設和運行提供有效幫助。

邊界防護設計到位

嚴格按照等保要求分區分域建設安全防護措施，收費專網和監控專網嚴格隔離，測試域和運行域物理隔離。保證收費專網的『專網』屬性。

數據保護措施完善

加強對重要數據和敏感信息的保護措施，對收費業務數據、個人信息等實行加密存儲和流轉，并結合相應的加密、脫敏等措施，防止數據泄密。

密碼應用方案強化

編制密碼應用保障方案，通過密碼實現統一身份鑒別、數據傳輸及存儲保護，并提出相關技術要求。

關鍵設備冗余部署

對收費站、ETC門架系統等的關鍵網絡設備，給予必要的冗余設計，防止通信鏈路、系統功能等產生單點故障。

備份恢復措施到位

按照并網接入要求落實數據備份恢復措施，有效保障收費業務主體功能、重要數據安全。

配套工作支撐充足

對公安、密碼等部門要求實施的等級保護測評、商用密碼評估工作，明確相關工作內容，并對取消省界站后實施并網接入技術檢測作出針對性安排。

引用全新標準

在整個安全設計中，引用等級保護2019年新版標準，保證安全方案分析、設計內容的統一。

整個安全設計方案以等級保護2.0新標準為基礎，以交通運輸部發“并網接入技術要求”為達標“最低線”要求進行安全規劃建設，保證聯網收費系統安全設計、建設和長期穩定運行。深信服深入排查用戶前期網絡安全設計存在的問題，嚴格按照法律、制度和標準規范要求，整改完善網絡安全設計方案，全力確保用戶實現安全建設合規達標和系統安全穩定運行。

五、方案價值

1、廣泛的用戶認可

方案中所使用的大部分安全產品都是在中國市場上銷售額前三的產品，獲得廣泛的用戶認可。

2、基于“持續保護，不止合規”框架，構建“預測、防御、檢測、響應”閉環。

3、出色的安全可視能力，簡化運維壓力

方案從可視的深度、廣度兩個層面，對全網資產、資產脆弱性、潛伏威脅等進行直觀的可視化展示，從業務的視角，實現安全風險的可視、可控、可管。在全網安全可視基礎上，用戶可以大幅降低運維的復雜度，提升安全治理水平。

4、完善的用戶服務支撐體系

深信服在深圳、長沙、吉隆坡設置了超過300坐席的CTI中心，在50余個城市設立備品備件中心并配備原廠工程師，另有6500余位專業的認證工程師提供技術支持。