廣東聯(lián)合電子收費結算系統(tǒng)等級保護測評報告

廣東聯(lián)合電子收費結算系統(tǒng)等級保護

廣東省高速公路聯(lián)網(wǎng)收費

（現(xiàn)金）結算系統(tǒng)等級保護

測評報告

項目名稱：廣東省商速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)

委托單位：廣東聯(lián)合電子收費股份有限公司

測評單位：藍盾信息安全技術股份有限公司

2010年8月25日

報告摘要

一、測評工作概述

廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)于2004年6月28日

由廣東省發(fā)改委立項，廣東聯(lián)合電子收費股份有限公司建設。目前該

系統(tǒng)由廣東聯(lián)合電子收費股份有限公司負責運行保護管理。廣東省交

通廳是該信息系統(tǒng)業(yè)務的主管部門，廣東聯(lián)合電子收費股份有限公司

為該信息系統(tǒng)定級的責任單位。此系統(tǒng)由聯(lián)網(wǎng)收費（現(xiàn)金）結算中心

與六個區(qū)域管理點構成。聯(lián)網(wǎng)收費（現(xiàn)金）結算中心設立在廣州，六

個區(qū)域管理點分別設在汕頭、開平、廣州、深圳、清遠與虎門。

藍盾信息安全技術股份有限公司受廣東聯(lián)合電子收費股份有限公

司委托，對廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)進行信息系統(tǒng)

安全等級保護測評，安排有四人現(xiàn)場測評項目組，分為技術核查小組

及管理核查小組；針對安全技術及安全管理兩大方向、十個層面進行

了測評與分析，測評對象包含：廣東聯(lián)合電子收費股份有限公司5樓

中心機房，14臺交換機、2臺中心防火墻、6臺服務器、22臺路由器

與其他應用服務系統(tǒng)，與有關安全管理制度，現(xiàn)場訪談對象4人。

二、等級測評結果

根據(jù)GB/T-22239《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)

安全等級保護測評準則》對廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系

統(tǒng)進行測評，整體測評結果為：符合項85.設、基本符合項1.9%、不

符合項10.1%,不適用項2.9%,從以上測評結果我們能夠看出廣東省

高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)整體信息安全措施比較完善，但

與GB/T-22239《信息系統(tǒng)安全等級保護基本要求》中的第二級基本要

求還有一定差距，因此我們判定廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結

算系統(tǒng)的測評結論為不達標。

三、系統(tǒng)存在的要緊問題

整個系統(tǒng)在技術安全層面的問題要緊集中在網(wǎng)絡安全、主機安全

與應用安全，存在的要緊問題：網(wǎng)絡設備策略配置存在個別不到位，

關于外部用戶接入到內部網(wǎng)絡的行為缺少監(jiān)控與管理措施；遠程操縱

缺乏一定的安全措施，審計日志的管理有待加強；應用系統(tǒng)對用戶并

發(fā)策略不夠完善，數(shù)據(jù)在傳輸過程中的完整性與安全性尚存缺陷，易

受到竊聽及篡改。

管理方面缺乏信息安全工作的總體方針與安全策略，與安全管理

相配套的安全管理制度存在缺失，此類不足將大大影響信息安全措施

的執(zhí)行的效率與成果。

四、系統(tǒng)安全建設、整改建議

建議在技術方面要緊調整并完善網(wǎng)絡、主機與應用的安全性；在

安全管理方面需要制定總體方針與安全策略，并建立有關必要的安全

管理制度。

報告基本信息

信息系統(tǒng)基本情況

系統(tǒng)名稱廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)安全保護等級二級

中心機房廣東聯(lián)合電子收費股份有限公司（廣州大道南368號大樓5樓中心機房）

機房位置災備中心東莞市虎門鎮(zhèn)

其他機房無

委托單位

單位名稱廣東聯(lián)合電子收費股份有限公司

單位地址廣州市廣州大道南368號

郵政編碼543002

姓名黎劍威職務/職稱技術經(jīng)理

聯(lián)系人所屬部門聯(lián)網(wǎng)收費清分中心辦公電/p>

移動電話電子郵件

測評單位

單位名稱藍盾信息安全技術股份有限公司

通信地址廣州市科韻路16號A座20-21樓

郵政編碼510665

姓名王虎職務/職稱項目經(jīng)理

聯(lián)系人所屬部門技術部辦公電/p>

移動電子郵件whh@chinab1uedon.cn

編制人黃偉泉日期2010/8/10

報告

審核人王虎日期20L0/8/15

審核批準

批準人日期

聲明

聲明是測評單位關于測評報告內容與用途等有關事項做出的約定

性陳述，包含但不限于下列內容：

本報告中給出的結論僅對目標系統(tǒng)的當時狀況有效，當測評工作

完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊［或者子系統(tǒng)）都應重新進

行測評，本報告不再適用。

本報告中給出的結論不能作為對系統(tǒng)內有關產(chǎn)品的測評結論C

本報告結論的有效性建立在用戶提供材料的真實性基礎上。

在任何情況下，若需引用本報告中的結果或者數(shù)據(jù)都應保持其本

來的意義，不得擅自進行增加、修改、偽造或者掩蓋事實。

測評單位機構名稱:

藍盾信息安全技術股份有限公司

2010年8月

報告目錄

1測評項目概述..............................................................10

1.1測評目的........................................................................................10

1.2測評根據(jù)........................................................................................10

1.3測評過程........................................................................................10

1.4報告分發(fā)范圍...................................................................................13

2被測系統(tǒng)情況..............................................................14

2.1基本信息........................................................................................14

2.2業(yè)務應用........................................................................................15

2.3網(wǎng)絡結構........................................................................................15

2.4系統(tǒng)構成........................................................................................15

2.4.1業(yè)務應用軟件...............................................................................16

2.4.2關鍵數(shù)據(jù)類別...............................................................................17

2.4.3主機/存儲設備.........................................................................17

2.4.4網(wǎng)絡互聯(lián)與安全設備....................................................................18

2.4.5安全有關人員...............................................................................20

2.4.6安全管理文檔...............................................................................20

2.5安全環(huán)境........................................................................................21

3等級測評范圍與方法.........................................................22

3.1測評指標........................................................................................22

3.1.1基本指標....................................................................................22

3.1.2附加指標....................................................................................26

3.2測評對象........................................................................................26

3.2.1測評對象選擇方法...........................................................................26

3.2.2測評對象選擇結果...........................................................................27

3.3測評方法........................................................................................28

3.3.1現(xiàn)場測評方法...............................................................................28

3.3.2風險分析方法...............................................................................29

4等級測評內容..............................................................29

4.1物理安全（三級）..............................................................................29

4.1.1結果記錄...................................................................................29

4.1.2問題分析...................................................................................33

4.1.3單元測評結果...............................................................................33

4.2網(wǎng)絡安全（三級）.................................................................................34

4.2.1結果記錄...................................................................................34

4.2.2問題分析...................................................................................38

4.2.3單元測評結果...............................................................................39

4.3主機安全.......................................................................................39

4.3.1數(shù)據(jù)庫服務器A.....................................................................................................................................................39

4.3.2通訊服務器A.........................................................................................................................................................42

4.3.3應用服務器A.........................................................................................................................................................46

4.4應用安全.......................................................................................49

4.4.1報表統(tǒng)計子系統(tǒng)............................................................................49

4.4.2管理點后臺通信子系統(tǒng)......................................................................52

4.4.3后臺三層應用服務子系統(tǒng)....................................................................55

4.4.4結算中心后臺通信子系統(tǒng)....................................................................57

4.4.5通信費拆分結算子系統(tǒng)......................................................................60

4.5數(shù)據(jù)安全及備份恢復.............................................................................63

4.5.1報表統(tǒng)計子系統(tǒng)............................................................................63

4.5.2管理點后臺通信子系統(tǒng)......................................................................64

4.5.3后臺三層應用服務子系統(tǒng)....................................................................65

4.5.4結算中心后臺通信子系統(tǒng)....................................................................66

4.5.5通信費拆分結算子系統(tǒng)......................................................................67

4.6安全管理制度...................................................................................68

4.6.1結果記錄...................................................................................68

4.6.2問題分析...................................................................................69

4.6.3單元測評結果...............................................................................69

4.7安全管理機構...................................................................................70

4.7.1結果記錄...................................................................................70

4.7.2問題分析...................................................................................71

4.7.3單元測評結果...............................................................................71

4.8人員安全管理...................................................................................71

4.8.1結果記錄...................................................................................71

4.8.2問題分析...................................................................................73

4.8.3單元測評結果...............................................................................73

4.9系統(tǒng)建設管理...........................................................................73

4.9.1結果記錄...........................................................................73

4.9.2問題分析...........................................................................76

4.9.3單元測評結果.......................................................................77

4.10系統(tǒng)運維管理...........................................................................77

4.10.1結果記錄..........................................................................77

4.10.2問題分析..........................................................................90

4.10.3單元測評結果......................................................................91

4.11工具測試.............................................................................91

4.11.1掃描工具簡介.......................................................................91

4.11.2結果記錄...................................................................93

5等級測評結果..............................................................104

5.1整體測評...............................................................................104

5.1.1安全操縱點間安全測評..............................................................104

5.1.2層面間安全測評.....................................................................106

5.1.3區(qū)域間安全測評....................................................................106

5.1.4系統(tǒng)結構間安全測評................................................................107

5.2測評結果...............................................................................107

5.3統(tǒng)計圖表...............................................................................110

6風險分析與評價............................................................110

6.1安全事故可能性分析....................................................................110

6.2安全事件后果分析.......................................................................112

6.3風險分析與評價.........................................................................113

7系統(tǒng)安全建設、整改建議....................................................114

7.1物理安全..............................................................................114

7.2網(wǎng)絡安全...............................................................................115

7.3主機安全...............................................................................115

7.4應用安全..............................................................................115

7.4.1報表統(tǒng)計子系統(tǒng)....................................................................115

7.4.2管理后臺通信子系統(tǒng)................................................................115

7.4.3后臺三層應用服務子系統(tǒng)............................................................116

7.4.4結算中心后臺通信子系統(tǒng)............................................................116

7.5數(shù)據(jù)安全及備份恢復.....................................................................116

7.6安全管理制度...........................................................................116

7.7安全管理機構...........................................................................116

7.8人員安全管理..........................................................................117

7.9系統(tǒng)建設管理...........................................................................117

7.10系統(tǒng)運維管理...........................................................................117

附：信息系統(tǒng)安全等級保護備案表...............................................117

1測評項目概述

1.1測評目的

描述信息系統(tǒng)的重要性：通過描述信息系統(tǒng)的基本情況，包含運營使用單位的性質，承

載的要緊業(yè)務與系統(tǒng)服務情況，進一步闡明其在國家安全、經(jīng)濟建設、社會生活中的:重要程

度，受到破壞后對國家安全、社會秩序、公共利益與公民、法人與其他組織的合法權益的危

害程度等。

描述等級測評工作的基本情況，包含委托單位、測評單位、測評范圍及預期（如，通過

等級測評找出與國家標準要求之間的差距）。

描述測評報告的用途（如，作為后續(xù)安全整改的根捱）。

1.2測評根據(jù)

開展測評活動所根據(jù)的合同、標準與文件：

1）《信息安全等級保護管理辦法》（公通字[2007]43號）

2）《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技

[2008J2071號）1

3）GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求

4）GB/T20984-2007信息安全技術信息安全風險評估規(guī)范

5）《信息安全技術信息系統(tǒng)安全等級保護測評要求》（國標報批稿）

6）被測信息系統(tǒng)安全等級保護定級報告

7）等級測評任務書/測評合同等

1.3測評過程

描述本次等級測評的工作流程（可參考《信息系統(tǒng)安全等級保護測評過程指南》），具體

內容包含但不限于：

（-）測評工作流程圖

1針對“國家電子政務工程建設項目',有效

箸級測評項口后動

測講對坡礴定消評指標確定

測評工具接入點確定

測評內容確定

洪評實放手冊開發(fā)

測過方案編斷

溝制評實施準的

現(xiàn)場

通

,測評

與>現(xiàn)場測評與結果記錄

治活動

談

結果確認與資料歸還

外頂結果判定

單項測評結果匯總分析

分

析

與

報系統(tǒng)整體測評分析

告

腕

制

活綜合測評結論形成

動

測評報白斛制

圖5等級測評基本工作流程

（二）各階段完成的關鍵任務

1、測評準備階段：

＞成立項目組

＞測評啟動會

＞項目計劃制定

＞人員/工具/表格準備

＞有關數(shù)據(jù)（資料?）收集與分析

＞測評方案制定

2、現(xiàn)場測評階段：

＞現(xiàn)場勘查

＞人員訪談

＞確定測評工具接入點

＞工具測試（掃描/滲透等）

＞測評過程結果整理

3、測評分析階段：

＞單項測評結果判定

＞單項測評結果匯總分析

＞系統(tǒng)整體測評分析

＞最終測評結果形成

＞等級測評報告編寫

＞等級測評整改方案編寫

＞內部方案評審

（三）工作的時間節(jié)點

序號階段任務時間（工作日）

1測評啟動會0.5

2項目計劃制定，雙方達成共識0.5

測評準備階段

3測評方案制定/雙方達成共識4

4人員/工具/表格準備1

5數(shù)據(jù)（資料）收集15

資料收集階段

6現(xiàn)場勘查8

7工具測試（掃描/滲透等）7

8測評過程結果整理7

9對數(shù)據(jù)進行分析5

分析階段

10參照對應的信息系統(tǒng)等級技術與管理要求進行測評12

11整理測評結果，形成報告12

12對報告進行評審2

測評報告階段

13

項目驗收1

總天數(shù)：75

1.4報告分發(fā)范圍

根據(jù)項目需求，本報告一式三份，一份提交廣東聯(lián)合電子收費股份有限公司、一份提交

受理備案的廣東省公安網(wǎng)警、一份由藍盾信息安全技術股份有限公司留存。

2被測系統(tǒng)情況

2.1基本信息

01系統(tǒng)名稱聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)02系統(tǒng)編號0001

系統(tǒng)□1生產(chǎn)作業(yè)口2指揮調度J3管理操縱口4內部辦公

03業(yè)務類型

承載□5公眾服務口9其他

業(yè)務

業(yè)務描述為廣東省聯(lián)網(wǎng)高速公路路段業(yè)主提供通行贄拆分結算服務

情況

口10全國口11跨?。▍^(qū)、市）跨個

系統(tǒng)全?。▍^(qū)、市）口跨地（市、區(qū)）跨個

04服務范圍J2021

服務□30地（市、區(qū)）內

□99其它

情況

服務對象□1單位內部人員口2社會公眾人員口3兩者均包含J9其他路段業(yè)主

05系統(tǒng)覆蓋范圍□1局域網(wǎng)口2城域網(wǎng)J3廣域網(wǎng)口9其他

網(wǎng)絡

網(wǎng)絡性質J1業(yè)務專網(wǎng)口2互聯(lián)網(wǎng)口9其它

平臺

V1與其他行業(yè)系統(tǒng)連接J2與本行業(yè)其他單位系統(tǒng)連接

06系統(tǒng)互聯(lián)情況

J3與本單位其他系統(tǒng)連接口9其它

07關鍵產(chǎn)品便用情況

序號產(chǎn)品類型數(shù)量

01

1安全專用產(chǎn)品2021安全專用產(chǎn)品

2網(wǎng)絡產(chǎn)品40032網(wǎng)絡產(chǎn)品

07關健產(chǎn)品使用情況

3操作系統(tǒng)2043操作系統(tǒng)

4數(shù)據(jù)庫1054數(shù)據(jù)庫

5服務器20065服務器

6其他0076其他

服務責任方類型

序號服務類型

本行業(yè)（單位）08

1等級測評口有J無091等級測評

2風險評估J有口無102風險評估

3災難恢復J有口無113災難恢復

08系統(tǒng)使用服務情況

4應急響應J有口無124應急響應

5系統(tǒng)集成J有口無135系統(tǒng)集成

6安全咨詢J有口無146安全咨詢

7安全培訓J有口無157安全培訓

8其它□168

0喏級測評單位名稱無

10何時投入運行使用2003年10月28日

11系統(tǒng)是否是分系統(tǒng)□是J否（如選擇是請?zhí)钕聝身棧?/p>

2.2業(yè)務應用

廣東省高速公路聯(lián)網(wǎng)收費（現(xiàn)金）結算系統(tǒng)的核心業(yè)務信息是廣東省聯(lián)網(wǎng)高速公路原始

通行記錄。各路段收費中心每H將原始通行記錄通過各區(qū)域管理點集中上傳到聯(lián)網(wǎng)收費（現(xiàn)

金）結算中心。聯(lián)網(wǎng)收費（現(xiàn)金）結算中心每日根據(jù)原始通行記錄對通行費進行拆分結算，

并向銀行發(fā)送劃帳指令。聯(lián)網(wǎng)收費（現(xiàn)金）結算中心同時將最新的運營管理數(shù)據(jù)通過區(qū)域管

理點下發(fā)到各路段收費中心，以保障結算系統(tǒng)的正常運營。

2.3網(wǎng)絡結構

給出被測信息系統(tǒng)的拓撲結構示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡結構基本

情況，包含但不限于：

（一）功能/安全區(qū)域劃分、隔離與防護情況

（二）關鍵網(wǎng)絡與主機設備的部署情況與功能簡介

（三）與其他信息系統(tǒng)的乜聯(lián)情況與邊界設備

（四）本地備份與災備中心的情況

業(yè)務勢痔

路由dA鬲由aB

2.4系統(tǒng)構成

以列表的形式分類描述信息系統(tǒng)的軟、硬件構成情況。

2.4.1業(yè)務應用軟件

以列表的形式給出被測信息系統(tǒng)中的業(yè)務應用軟件（包含含中間件等應用平臺軟件），

描述項目包含軟件名稱、要緊功能簡介與重要程度。

序號軟件名稱要緊功能重要程度

后臺操縱進程負賁啟動、關閉與定時調度后臺拆

分、結算與報表統(tǒng)計分析程序

通行裁拆分程序對上傳的流水進行實時通行組

拆分帳，并進行拆分結果的車流量與金額的初步

統(tǒng)計供報表統(tǒng)計分析程序使用

1.通信費拆分結算子系統(tǒng)重要

現(xiàn)金通行費結算程序對現(xiàn)金通行費進行結算工

作

后臺攏率計算程序根據(jù)系統(tǒng)中的區(qū)域，路段，收

費站，標識站，路由節(jié)點，路段費率與區(qū)域費率

類型的信息計算區(qū)域費率

對原始流水記錄、拆分后的流水記錄進行統(tǒng)計分

2.報表統(tǒng)計子系統(tǒng)析，得出前臺報表系統(tǒng)所需要的小匯總數(shù)據(jù)，加重要

快報表檢索速度

1、發(fā)送數(shù)據(jù)到省中心前置機

2、從省中心前置機接收文本文件，儲存到區(qū)域

中心系統(tǒng)

3、發(fā)送數(shù)據(jù)到銀行前置機

4、從銀行前置機接收文本文件，儲存到區(qū)域中

心系統(tǒng)

3.結算中心后臺通信子系統(tǒng)重要

5,下發(fā)參數(shù)到管理點

6、儲存流水數(shù)據(jù)到區(qū)域中心

7、儲存管理點上傳的參數(shù)到區(qū)域中心

8、前臺調用后臺程序

9、時鐘同步服務

10、日志服務

1、發(fā)送參數(shù)數(shù)據(jù)到區(qū)域結算中心

2、儲存參數(shù)數(shù)據(jù)到數(shù)據(jù)庫

3、上傳流水到區(qū)域結算中心

4、發(fā)送參數(shù)數(shù)據(jù)到路段

4.管理點后臺通信子系統(tǒng)5、儲存參數(shù)數(shù)據(jù)到數(shù)據(jù)庫重要

6、把數(shù)據(jù)從路段中介庫轉移到管理點生產(chǎn)庫

7、時鐘同步

8、入口流水注詢服務

9、圖像查詢服務

序號軟件名稱要緊功能重要程度

1、執(zhí)行前臺查詢

2、執(zhí)行前臺分頁查詢

3、調用拆分結算程序

5后臺三層應用服務子系統(tǒng)重要

4、執(zhí)行前臺數(shù)據(jù)庫指令

5,監(jiān)控客戶端連接

管理數(shù)據(jù)

6數(shù)據(jù)庫重耍

通信子系統(tǒng)部件

7中間件重要

2.4.2關鍵數(shù)據(jù)類別

序號數(shù)據(jù)類型所屬業(yè)務應用主機/存儲設備重要程度

1.通信流水現(xiàn)金收費全網(wǎng)的主機存儲重要

2.費率表現(xiàn)金收贄全網(wǎng)的主機存儲重要

2.4.3主機/存儲設備

以列表形式給出被測信息系統(tǒng)中的主機設備（包含操作系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)軟件），描

述項目包含設備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)與承載的業(yè)務應用軟件系統(tǒng)。

操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)

序號設備名稱業(yè)務應用軟件

AIXHACMPDB2

通信費拆分結算子系統(tǒng)/報

1.數(shù)據(jù)庫服務器A6100-035.58.2.3

表統(tǒng)計子系統(tǒng)

通信費拆分結算子系統(tǒng)/報

2.數(shù)據(jù)庫服務器B6100-035.58.2.3

表統(tǒng)計子系統(tǒng)

結算中心后臺通信子系統(tǒng)

3.通信服務器A5200-084.5

/TUXEDO8.1

結算中心后臺通信子系統(tǒng)

4.通信服務器B5200-084.5

/TUXEDO8.1

后臺三層應用服務子系統(tǒng)

5.應用服務器A5200-084.5

/TUXEDO8.1

后臺三層應用服務子系統(tǒng)

6.應用服務器B5200-084.5

/TUXEDO8.1

后臺三層應用服務子系統(tǒng)/

7.粵東管理點A6100-035.58.2.8管理點后臺通信子系統(tǒng)

/TUXEDO9.1

操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)

序號設備名稱業(yè)務應用軟件

AIX