網路安全支撐服務工作組織架構

A. 網路安全管理措施

【熱心相助】

您好！網路安全管理措施需要綜合防範，主要體現在網路安全保障體系和總體框架中。

面對各種網路安全的威脅，以往針對單方面具體的安全隱患，提出具體解決方案的應對措施難免顧此失彼，越來越暴露出其局限性。面對新的網路環境和威脅，需要建立一個以深度防禦為特點的信息安全保障體系。

【案例】我國某金融機構的網路信息安全保障體系總體框架如圖1所示。網路信息安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。

圖1 網路信息安全保障體系框架

風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別風險、衡量風險、積極應對風險、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失，促進企業長期穩定發展。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中後者包括信息安全風險。實際上，在信息安全保障體系框架中充分體現了風險管理的理念。網路信息安全保障體系架構包括五個部分：

1) 網路安全戰略。以風險管理為核心理念，從長遠戰略角度通盤考慮網路建設安全。它處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

2) 信息安全政策和標准。以風險管理理念逐層細化和落實，是對網路安全戰略的逐層細化和落實，跨越管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准通過調整相互適應。安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。是基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。既是網路安全保障體系的核心，貫穿網路安全始終；又是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。涉及企業管理體系范疇，是網路安全體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證網路安全運作，網路安全技術體系是從技術角度保證網路安全運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目的，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

（拓展參考本人資料：清華大學出版社，賈鐵軍教授主編，網路安全實用技術）

B. 如何構建網路安全戰略體系

網路安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬碟故障或斷電，以及來自競爭對手的網路攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅（APT）的犯罪團伙，以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網路安全（例如應用安全和狹義的網路安全）至關重要。

安全應該成為整個企業的首要考慮因素，且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網路安全控制戰略。管理人員應該明白，所有的系統都是按照一定的安全標准建立起來的，且員工都需要經過適當的培訓。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關鍵的安全缺陷。畢竟，開發者也只是普通人而已難免出錯。

安全培訓

人往往是網路安全規劃中最薄弱的環節。培訓開發人員進行安全編碼，培訓操作人員優先考慮強大的安全狀況，培訓最終用戶識別網路釣魚郵件和社會工程攻擊——總而言之，網路安全始於意識。

然而，即便是有強大的網路安全控制措施，所有企業還是難逃遭遇某種網路攻擊的威脅。攻擊者總是利用最薄弱的環節，但是其實只要通過執行一些基本的安全任務——有時被稱為「網路衛生」，很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地，企業也有責任執行維護網路安全的基本要求，例如保持強大的身份驗證實踐，以及不將敏感數據存儲在可以公開訪問的地方。

然而，一個好的網路安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言，攻擊者入侵系統的方式或「向量」數正在不斷擴張。例如，隨著信息和現實世界的日益融合，犯罪分子和國家間諜組織正在威脅物理網路系統的ICA，如汽車、發電廠、醫療設備，甚至你的物聯網冰箱。同樣地，雲計算的普及應用趨勢，自帶設備辦公（BYOD）以及物聯網（IoT）的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。

網路安全進一步復雜化的另一個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》（GDPR）這樣嚴格的監管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。

如此一來，對於網路安全專業人才的需求開始進一步增長，招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是，對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。

網路安全類型

網路安全的范圍非常廣，但其核心領域主要如下所述，對於這些核心領域任何企業都需要予以高度的重視，將其考慮到自身的網路安全戰略之中：

1.關鍵基礎設施

關鍵基礎設施包括社會所依賴的物理網路系統，包括電網、凈水系統、交通信號燈以及醫院系統等。例如，發電廠聯網後就會很容易遭受網路攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查，以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施，在遭遇網路攻擊後會對他們自身造成的影響進行評估，然後制定應急計劃。

2.網路安全（狹義）

網路安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網路安全通常需要權衡利弊。例如，訪問控制（如額外登錄）對於安全而言可能是必要的，但它同時也會降低生產力。

用於監控網路安全的工具會生成大量的數據，但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網路安全監控，安全團隊越來越多地使用機器學習來標記異常流量，並實時生成威脅警告。

3.雲安全

越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如，2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具，以幫助企業用戶能夠更好地保護他們的數據，但是需要提醒大家的是：對於網路安全而言，遷移到雲端並不是執行盡職調查的靈丹妙葯。

4.應用安全

應用程序安全（AppSec），尤其是Web應用程序安全已經成為最薄弱的攻擊技術點，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始，並通過模糊和滲透測試來增強。

應用程序的快速開發和部署到雲端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上，考慮到威脅的擴散，這個關注點可能會發生變化。

5.物聯網（IoT）安全

物聯網指的是各種關鍵和非關鍵的物理網路系統，例如家用電器、感測器、列印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態，且幾乎不提供安全補丁，這樣一來不僅會威脅到用戶，還會威脅到互聯網上的其他人，因為這些設備經常會被惡意行為者用來構建僵屍網路。這為家庭用戶和社會帶來了獨特的安全挑戰。

網路威脅類型

常見的網路威脅主要包括以下三類：

保密性攻擊

很多網路攻擊都是從竊取或復制目標的個人信息開始的，包括各種各樣的犯罪攻擊活動，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經濟利益方面的機密信息。

完整性攻擊

一般來說，完整性攻擊是為了破壞、損壞、摧毀信息或系統，以及依賴這些信息或系統的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞，也可以是災難性的——大規模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。

可用性攻擊

阻止目標訪問數據是如今勒索軟體和拒絕服務（DoS）攻擊最常見的形式。勒索軟體一般會加密目標設備的數據，並索要贖金進行解密。拒絕服務（DoS）攻擊（通常以分布式拒絕服務攻擊的形式）向目標發送大量的請求佔用網路資源，使網路資源不可用。

這些攻擊的實現方式：

1.社會工程學

如果攻擊者能夠直接從人類身上找到入口，就不能大費周章地入侵計算機設備了。社會工程惡意軟體通常用於傳播勒索軟體，是排名第一的攻擊手段（而不是緩沖區溢出、配置錯誤或高級漏洞利用）。通過社會工程手段能夠誘騙最終用戶運行木馬程序，這些程序通常來自他們信任的和經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。

2.網路釣魚攻擊

有時候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決於網路釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網路釣魚攻擊。這就是雙因素身份認證（2FA）成為最佳防護措施的原因——如果沒有第二個因素（如硬體安全令牌或用戶手機上的軟體令牌認證程序），那麼盜取到的密碼對攻擊者而言將毫無意義。

3.未修復的軟體

如果攻擊者對你發起零日漏洞攻擊，你可能很難去責怪企業，但是，如果企業沒有安裝補丁就好比其沒有執行盡職調查。如果漏洞已經披露了幾個月甚至幾年的時間，而企業仍舊沒有安裝安全補丁程序，那麼就難免會被指控疏忽。所以，記得補丁、補丁、補丁，重要的事說三遍！

4.社交媒體威脅

「Catfishing」一詞一般指在網路環境中對自己的情況有所隱瞞，通過精心編造一個優質的網路身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發展戀愛關系。不過，Catfishing可不只適用於約會場景。可信的「馬甲」賬戶能夠通過你的LinkedIn網路傳播蠕蟲。如果有人非常了解你的職業聯系方式，並發起與你工作有關的談話，您會覺得奇怪嗎?正所謂「口風不嚴戰艦沉」，希望無論是企業還是國家都應該加強重視社會媒體間諜活動。

5.高級持續性威脅（APT）

其實國家間諜可不只存在於國家以及政府組織之間，企業中也存在此類攻擊者。所以，如果有多個APT攻擊在你的公司網路上玩起「捉迷藏」的游戲，請不要感到驚訝。如果貴公司從事的是對任何人或任何地區具有持久利益的業務，那麼您就需要考慮自己公司的安全狀況，以及如何應對復雜的APT攻擊了。在科技領域，這種情況尤為顯著，這個充斥著各種寶貴知識產權的行業一直令很多犯罪分子和國家間諜垂涎欲滴。

網路安全職業

執行強大的網路安全戰略還需要有合適的人選。對於專業網路安全人員的需求從未像現在這樣高過，包括C級管理人員和一線安全工程師。雖然公司對於數據保護意識的提升，安全部門領導人已經開始躋身C級管理層和董事會。現在，首席安全官（CSO）或首席信息安全官（CISO）已經成為任何正規組織都必須具備的核心管理職位。

此外，角色也變得更加專業化。通用安全分析師的時代正在走向衰落。如今，滲透測試人員可能會將重點放在應用程序安全、網路安全或是強化網路釣魚用戶的安全防範意識等方面。事件響應也開始普及全天制（724小時）。以下是安全團隊中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C級管理人員，負責監督一個組織的IT安全部門和其他相關人員的操作行為。此外，首席信息安全官還負責指導和管理戰略、運營以及預算，以確保組織的信息資產安全。

2.安全分析師

安全分析師也被稱為網路安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。這一角色通常具有以下職責:

計劃、實施和升級安全措施和控制措施；

保護數字文件和信息系統免受未經授權的訪問、修改或破壞；

維護數據和監控安全訪問；

執行內／外部安全審計；

管理網路、入侵檢測和防護系統；分析安全違規行為以確定其實現原理及根本原因；

定義、實施和維護企業安全策略；

與外部廠商協調安全計劃；

3.安全架構師

一個好的信息安全架構師需要能夠跨越業務和技術領域。雖然該角色在行業細節上會有所不同，但它也是一位高級職位，主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網路安全基礎設施。這就需要安全架構師能夠全面了解企業的業務，及其技術和信息需求。

4.安全工程師

安全工程師的工作是保護公司資產免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位，其重點在於IT基礎設施中的質量控制。這包括設計、構建和防護可擴展的、安全和強大的系統；運營數據中心系統和網路；幫助組織了解先進的網路威脅；並幫助企業制定網路安全戰略來保護這些網路。

C. 如何建立以防火牆為核心的五位一體網路安全體系

全流程實施網路安全響應。建立健全網路安全事件應急響應機制，優化完善網路安全事件應急預案，規范應急響應處置流程，常態化開展應急演練。

確保重要信息系統的實體安全、運行安全和數據安全。遴選網路安全應急支撐機構，組織支撐機構參與網路安全事件處置和重要敏感時點網路安全保障，妥善處置各類網路安全事件100餘起，全部及時督促涉事單位整改到位。

計算機網路運行過程中，伺服器作為核心，應作為防護重點，圍繞計算機伺服器構建安全防護體系。但隨著計算機技術的發展，網路黑客及入侵技術在形式上也不斷演變，從而使計算機網路安全威脅不斷升級。為使計算機伺服器安全防護體系盡量保持高效，應做好以下幾點：

第一，計算機網路安全防護體系應將伺服器及附屬設備加以結合並做好統籌規劃，同步做好計算機應用技術安全體系搭建及管理制度上的支撐。在計算機應用安全管理制度上，應針對計算機系統操作人員、管理人員及維修人員明確安全防護的基本要求，如操作口令不能泄露、計算機賬戶系統不能隨意訪問、系統管理許可權要縮緊、計算機維修要做好登記等。

第二，梳理常見的計算機伺服器遭入侵的途徑及方式，出台相應的規章制度，對危險系數較高的網路行為加以約束。

第三，計算機伺服器安全防護中的安全技術，主要通過計算機殺毒軟硬體來實施相應的網路安全管理。

第四，對計算機系統本身所隱藏的安全漏洞進行識別及修補，為計算機安全防護打好基礎。第五，定期做好計算機關鍵信息及重要數據的備份，設置計算機訪問許可權及操作密碼，避免數據被竊取及被損害。最後，約束計算機遠程訪問行為，封堵電腦黑客及入侵者通過電話號碼入侵計算機系統的遠程路徑。

D. 電子政務系統的網路架構

電子政務網路系統可規劃為一個四層的安全控制域，網路安全設計以各域的工作特點為依據進行設計。
核心層(核心數據存儲與處理)：是政府信息的集中存儲與處理的域，該域必須具有極其嚴格的安全控制策略，信息必數首須通過中間處理層才能獲得。
辦公業務層(日常辦公與事務處理)：是政府內部的電子辦公環境，該區域內的信息只能在內部流動。
信息交換層(友鄰、上下級部門間)：一部分需要各部門交換的信息可以通過專網域進行交換。該區域負責將信息從一個內網傳送到另一個內網區域，它不與外網域有任何信息交換。
公眾服務層(電子窗口與信息服務)：政冊蠢府部門公共信息的發布場所，實現政府與公眾的互操作。該域與內網和專網物理隔離。
典型的電子政務網路架構由內網、外網和專網這三部分組成。
整個電子政務安全環境包括以下部分：基礎安全服務設施、網路信任域基礎設施、網路安全支撐平台產品和容災備份系統四薯姿數部分組成。

E. 什麼是網路安全架構

網路架構（Network Architecture）是為設計、構建和管理一個通信網路提供一個構架和技術基礎的藍圖。網路構架定義了數據網路通信系統的每個方面，包括但不限於用戶使用的介面類型、使用的網路協議和可能使用的網路布線的類型。網路架構典型地有一個分層結構。分層是一種現代的網路設計原理，它將通信任務劃分成很多更小的部分，每個部分完成一個特定的子任務和用小數量良好定義的方式與其它部分相結合。

F. 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

G. 如何構建安全的網路架構的方案

「人在江湖漂，哪能不挨刀」--這應該算得上是引用率非常高的一句經典俏皮話。如今，企業在網路中如何避免這句讖語落到自家頭上也成了企業互相慰問或捫心自問時常常想起的一件事。而在構建安全的企業網路這樣一個並不簡單的問題上，看看別人的應用實踐和組網思路，應該可以讓企業盡早懂得如何利用自己的長處來保護自己。 網路江湖防身術 - 實踐中，網路平台從總體上可以分為用戶接入區和應用服務區。應用服務區從結構上又可以分成三部分:發布區即外部區域，面向公眾供直接訪問的開放網路;數據區，通過防火牆隔離的、相對安全和封閉的數據資源區，把大量重要的信息資源伺服器放置在該區域內，在較嚴密的安全策略控制下，不直接和外網訪問用戶發生連接;內部工作區主要連接內網伺服器和工作站，完成網站管理、信息採集編輯等方面的工作。 布陣 採用兩台防火牆將整個網路的接入區和應用服務區徹底分開。接入區通過接入交換機，利用光纖、微波、電話線等通信介質，實現各部門、地市的網路接入。出於性能和安全上的考慮，數據區放在第二道防火牆之後。對於Web伺服器的服務請求，由Web伺服器提交應用伺服器、資料庫伺服器後，進行相關操作。 為避免網站內容遭到入侵後被篡改，在數據區還設置一個Web頁面恢復系統，通過內部通訊機制，Web恢復系統會實時檢測WWW伺服器的頁面內容，如果發現未授權的更改，恢復系統會自動將一份拷貝發送到Web伺服器上，實現Web頁面的自動恢復。發布區域的主機充分暴露，有WWW、FTP、DNS、E-mail。在與二個防火牆的兩個介面上使用入侵檢測系統實時檢測網路的使用情況，防止對系統的濫用和入侵行為。 中心交換機可選用高性能路由交換器，例如Catalyst 6000，它具有提供虛網劃分及內部路由連接功能，避免了網路廣播風暴，減輕了網路負荷，同時也提供了一定的安全性。冗餘電源及冗餘連接為網路正常運行打下了較好的基礎，把第二層交換機的轉發性能和路由器的可伸縮性及控制能力融於一身。第二級交換機可選用類似Catalyst 3500級別的設備，它支持VLAN功能，交換能力強大，提供高密度埠集成，配置光纖模塊，提供與Catalyst 6000的高帶寬上行連接，保證了部門接入網路、工作站的高帶寬應用。 網路平台總體結構圖 招數 首先，把第一台防火牆設置在路由器與核心交換機之間，實現較粗的訪問控制，以降低安全風險。設置第二台防火牆則主要為了保護數據區內的伺服器，合理地配置安全策略，使伺服器的安全風險降到最低。只開放伺服器必要的服務埠，對於不必要的服務埠一律禁止。 其次，IP地址分配。所有部門的接入網路都在防火牆之後，一律使用內部保留IP地址。每個部門各分配一個完整的C類地址。 再次，中心交換機VLAN配置。具體劃分採用基於埠的虛擬LAN方式，將每一個部門作為一個 VLAN， VLAN間的路由協議採用 RIP。 此外，通用信息服務設計。外網的建設，突出了統一規劃、資源共享的原則。除了在安全問題上由網路平台統一考慮外，對於各部門需要通用的信息服務系統如域名系統、郵件系統、代理系統等，也統一設計、統一實施。 最後，郵件伺服器統一規劃，採用集中的郵件服務，給用戶提供了完整的TCP/IP支持下的郵件系統。 秘笈 網站建設主要體現以下技術特點: 其一，網站應用系統從傳統的兩層客戶機/伺服器結構，轉向BWAD(瀏覽器+Web 應用伺服器+資料庫)的三層體系架構。這種跨平台、多技術融合的三層結構的技術方案，保證網站應用系統的先進性和可擴展性。 其二，採用非結構化和結構化資料庫技術，靈活支持、方便擴展寬頻應用和多媒體應用，使用戶界面不只是文字和圖片，而是以文字、聲音、圖像、視頻等發布的全媒體界面,提高用戶的關注率、提升服務水平。 其三，採用自主開發的網站動態管理平台技術，可以任意組合和改變網頁界面風格，定義不同模板，將網站管理的人力成本降低，並降低由於網站管理復雜而產生的技術風險和人員更迭風險。降低和減少了頁面開發的工作量，使大量的人力可以投入到具體的政務應用系統中去。 其四，網站管理系統為網站的建設、管理、維護、統計分析提供了一個統一的環境。提供各類業務系統上網發布介面，以及信息發布模板和工具，使普通用戶不需要編程就可建立信息發布欄目，並可自行對欄目信息進行編輯與維護。網站管理系統具有靈活的功能，方便的內容創作環境，靈活的發布方式，強大的信息查詢能力，能進行實用而有效的模板設計、支持豐富的內容類型，按照欄目結構進行信息組織。它採用了ASP、JSP和資料庫的技術，基於B/S結構，還可以對用戶的IP地址進行限定信息檢索功能。 戰績 從運行的效果上看，所設定的方案合理、可靠，有效地保護了內部網路，因為所有的訪問都是一個間接過程，直接攻擊比較困難。代理技術的使用，隨著內部網路規模的擴大，重復訪問的可能性就越大，使傳輸效果的改善也就越明顯，同時也提高了信道的利用率，降低了網路使用成本。