找回密码
 注册
搜索
日志综合审计数据库安全审计运维堡垒机域名&虚拟主机游侠安全网
查看: 4474|回复: 0

天融信助高速公路管理局构建信息安全保障体系

[复制链接]
发表于 2012-9-27 17:17:46 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
为了实现高速公路信息系统的等级保护和高速公路信息系统的安全保护要求,在发展中求安全,以安全保发展,北京天融信公司为高速公路信息安全工作提供了一个既满足国家信息安全要求,又能支撑交通运输业务运行的安全网络信息平台,为建成和谐高效、信息共享、数据安全、监控严密、运行稳定的高速公路信息安全保障体系的最终目标奠定坚实的基础。

高速公路管理局信息系统安全需求分析
项目前期,广西壮族自治区信息安全测评中心依据GB/T 22081-2008《信息技术安全技术信息安全管理使用规则》、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》等标准以及委托方的相关要求,对高速公路整网各路段中心、分中心的信息系统进行了安全测评。且从物理安全、网络安全、主机系统安全和管理安全等方面对高速公路的收费系统的现状进行了深入分析:

(1)物理安全风险分析
多数路段中心机房没有安排专人值守,控制,鉴别和记录。无关人员或非授权人员可能会利用上述物理访问控制的弱点,进入机房并造成恶意或无意的系统破坏、数据泄露或丢失等安全事件,发生此类事故后也无法依据出入记录等进行审计,对系统的安全产生较大的风险。机房内没有介质管理制度文档、介质清单和使用记录;路段中心机房没有部署报警系统。上述脆弱性的存在可能导致系统中的设备丢失或破坏,造成服务中断、数据丢失等风险。

(2)网络安全风险分析
对于非授权接入内部网络的行为无有效的检查和监控措施,网络边界处无防护设备和措施,对收费网络内的病毒、木马、非法访问等可控制性相对较低;

对于系统的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为无有效的防护和监管。对系统中的服务器等设备没有定期更新的策略或措施。对于网络设备的远程登录地址没有进行有效的控制,可以从内部网络上任何地址尝试对网络设备进行远程登录,则攻击者一旦通过网络嗅探或社会工程学掌握了登录口令,均可以在任何接入点对网络设备实施控制。

(3)主机系统风险分析
部分收费服务器的操作系统密码策略、账户锁定策略和审核策略均采用系统默认策略,不利于操作系统管理员对操作系统日志的审计工作,同时不易察觉恶意入侵者对系统的入侵行为。服务器安装了许多多余软件。且部分服务器安装了杀毒软件,但没有及时升级病毒库,导致病毒库过期。

(4)安全管理风险分析
没有制定信息安全工作的总体方针和安全策略,信息安全工作的开展不够重视。没有指定信息安全管理工作的职能部门,对信息安全工作的开展不够力度。

相应的存储介质和设备的使用过程、送出维修以及销毁等没有进行严格的管理,也没有归类和使用记录,网络变更等重要事件却没有相应的计划方案、结果记录;在日常维护中没有对设备的维护做详细记录操作日志,也没有定期对运行日志和审计记录数据进行分析。在恶意代码防范管理方面没有专人对网络和主机进行恶意代码检测,也没有相关制度文件对防恶意代码软件的授权使用、恶意代码库升级等工作。

构建高速公路管理局信息系统安全保障体系
根据以上分析,北京天融信平台技术团队与高速公路管理局的技术专家们进行多次技术交流、测试,最终以绝对的技术优势征服了用户,从众多的安全厂家中脱颖而出,为高速公路管理局构建信息安全保障体系。
高速公路管理局安全保障体系分为以下三个模块:

(1)以天融信安全服务为前提,构建高速管理局纵深安全防御平台;
由北京天融信平台技术团队对高速公路管理局信息系统进行定期的、全面的安全风险评估,根据评估结果完成了整个局信息系统的分区划域、安全隔离,且每个区域边界进行了等级化的安全防护设计,如:主链路采用防火墙+入侵防御+防病毒网关实现从2-7层的双交叉冗余防护,且每个区域边界采用防火墙进行访问控制,针对重要的信息资产、服务器、应用系统进行了日志审计和数据库审计,对于提供对外服务的Web服务器部署了网站防篡改系统、OA系统建立了SSL VPN安全传输隧道;同时在内外服务器数据交互中采用了网闸进行安全隔离。这样,从网络结构、应用层次建了高速管理局信息系统纵深安全防御平台。

(2)以天融信安全管理平台和终端管理平台为核心,打造高速公路的三级网络安全运营中心;
以高速公路管理局中心建设的集中安全管理平台和终端安全管理平台为中心,采用分布式建设的核心思想,对局中心、各运营公司、车道的重要资产、服务器和应用系统进行集中安全管理,同时针对局中心、各运营公司、车道的终端设备进行安全监管,并逐级上报局中心。
主要实现了对高速公路信息系统,特别是联网收费系统中的重要资产的全面审计、信息安全弱点和安全风险的集中监控,实现对联网收费系统网络中的安全事件的集中收集、分析、存储、查询和流程化的处理,打造了高速公路的三级网络安全运营中心。

(3)以天融信高度的社会责任感,协助高速公路管理局信息中心建立信息安全管理制度,实现智能化的安全管理;
北京天融信平台技术团队凭借多年的技术沉淀和信息系统安全管理经验,协助高速公路管理局建立了各项信息安全管理制度,如:网络设备安全管理制度、终端计算机安全管理制度、信息技术管理人员安全管理制度、机房安全管理制度以及信息操作安全管理制度。另外还帮忙高速管理局完善已经制定的各种管理制度,落实到相应的安全组织部门监督执行、使其自上而下的各级单位进行约束。同时将这个信息安全保障体系中的天融信安全产品和制度有效的结合在一起,使其实现智能化的安全管理。

通过上述信息安全保障体系的建设,高速公路管理局完全实现了多层次的安全防护:
网络层:整合防火墙、安全隔离网闸、VPN,确保非信任区域数据传播的机密性,并针对内网攻击进行检测;
应用层:整合入侵防御、防病毒网关、网站防护系统对来自于互联网的病毒、木马、黑客入侵、网页篡改、注入等行为进行全面的抵御和消除;
管理层:整合日志审计、数据库审计、安全管理系统、终端管理系统,同时结合信息安全管理制度于一体的安全解决方案,对网络的访问行为、全网的终端管理、资产管理、故障处理流程管理、安全事件管理等方面进行综合的操作和运营。

结束语
当然,建立与高速公路管理局信息化发展相适应的信息安全保障体系,绝不一是一个“节点工程”,而是一个长期艰巨的反复加固过程,毕竟信息安全是相对而言的,需要在符合国家信息安全政策与法规的前提下,有重点、有步骤地不断建设和完善,必须以适度安全和分级保护作为核心工作原则,定期的积极开展风险评估等基础性工作,全面的落实信息安全责任制,完善信息安全基础防御设施和安全管理体系,才能真正实现高速公路管理局信息系统的“绝对”安全。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|首席信息安全官 ( 陕ICP备11003551号-4 )

GMT+8, 2024-3-28 18:32 , Processed in 0.017496 second(s), 4 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表