序号

采购项目名称

采购需求概况

预算金额

（万元）

预计采购时间

（填写到月）

备注

1

高速公路收费系统安全漏洞补丁升级

高速公路收费系统按等保三级相关要求处于内网环境运行，系统内部服务器组件、应用软件版本众多，无法通过互联网自动升级至最新版本。根据网络安全相关部门的评估报告显示，系统中部分模块版本已暴露安全风险漏洞，急需更新补丁修复。对于未暴露风险问题的服务器、应用软件及数据库需要整体排查，部分无法远程处理的服务器，需到达现场逐一检查修复，以保证收费系统整体满足等保三级要求。 主要内容： 1、中间件风险漏洞 主要包括Apache Tomcat和IBM WebSphere Application Server中间件。风险漏洞涉及中间件服务87个，需针对每类问题升级中间件至不同版本修复漏洞。同时排查收费系统其他45个应用服务是否存在同类风险。 2、负载均衡器相关风险 主要包括Nginx应用，风险漏洞涉及服务器5台。需升级Nginx补丁修复漏洞，同时排查省中心114台服务器是否应用Nginx且存在同类漏洞。 3、FTP相关风险 主要包括OpenSSH 、Serv-U等FTP应用。收费系统共有FTP服务器8台，风险漏洞涉及服务器2台。需升级OpenSSH、Serv-U Server补丁修复漏洞，并排查其他服务器是否存在同类漏洞。 4、服务器相关风险 我省在用收费站主备服务器1068台，省中心收费系统相关服务器220台。其中有329台服务器存在操作系统弱口令风险，需修改为满足等保三级要求的访问密码。同时开发定时脚本命令或应用程序，定期维护全省收费系统服务器访问密码，以确保全部满足等保三级要求。 5、应用软件相关风险 （1）Web系统用户账户弱口令 用户账户弱口令涉及应用服务5个，服务器5台。需调整应用程序，提升密码设置复杂度以满足等保三级要求。 （2）应用系统查询接口未限制特殊字符 涉及应用服务2个，服务器2台。需统一排查系统的所有查询功能，确认未对特殊字符进行限制的查询功能项，对查询条件的输入内容进行校验，增加对特殊字符的限制及过滤。 （3）可通过篡改前端代码，绕过系统限制逻辑 涉及应用服务1个，服务器3台。需调整前台逻辑，避免因篡改JS代码导致的超出设计预期的程序逻辑。 6、数据库相关风险 主要包括Oracle、DB2数据库中配置密码错误次数锁定、密码过期策略、开启审计日志功能的风险。需牵头排查省中心Oracle数据库3台、收费站数据库1068台是否存在上述风险漏洞。

169

2022年09月

2

厅结算中心杀毒软件授权点位扩容及安全设备特征库升级

2019年结算中心对整个高速公路收费清分结算系统进行了升级改造，将杀毒软件的进行了扩容，新采购山石网科防火墙2台，深信服防火墙2台，2台网御星云Web应用安全防御设备。目前杀毒软件点数已经快要达到使用上限且病毒库将于2022年7月底到期，安全设备的设备特征库升级即将到期或已经超期。为保证设备正常使用，因此特对杀毒软件进行再次升级扩容，对防火墙特征库也延续升级服务。升级原有出口防火墙，包括平台软件、APP应用特征库升级、IPS特征库、AV特征库，升级年限为12个月。

63

2022年09月