高速公路网络信息安全体系建设方案

高速公路网络信息安全体系建设方案高速公路网络信息安全体系建设方案高速公路网络信息安全体系建设方案 本文简介：摘要：本文分析了信息系统等保三级的要求，介绍了信息安全管理体系建设方案，针对网络安全存在的问题，提出了网络信息安全解决方案：，通过加强对高速公路网络安全系统的建设，可为高速交通运输信息化的发展奠定良好的基础。关键词：高速公路；网络信息安全；安全管理体系随着各省高速公路信息系统的不断发展壮大，网络安全。高速公路网络信息安全体系建设方案 。摘要：本文分析了信息系统等保三级的要求，介绍了信息安全管理体系建设方案，针对网络安全存在的问题，提出了网络信息安全解决方案：，通过加强对高速公路网络安全系统的建设，可为高速交通运输信息化的发展奠定良好的基础。关键词：高速公路；网络信息安全；安全管理体系随着各省高速公路信息系统的不断发展壮大，网络安全问题曰趋突出，对信息化网络安全的要求也越来越高。高速公路运营管理存在技术和管理上的不足，会造成信息化网络系统合法用户被冒充、非授权访问、系统正常运行被干扰、完整数据被破坏、网络被恶意攻击、利用网络传播病毒等给网络带来危害的现象。为保证业务系统的持续性及数据的完整性，各省市高速公路应加强网络信息安全保障体系的建设。一、信息系统等保三级的要求信息系统应具备对网络和系统符合等保三级安全策略的保护。因此可以在技术和管理两方面使用安全措施或安全控制来实现等保三级的要求。技术要求主要从物理、网络、主机、应用、数据等方面来实现；管理要求主要从政策、制度、规范、流程以及记录等方面来实现。技术要求与管理要求是等保三级中不可分割的两个部分。等保三级的建设模型如图所示。二、信息安全管理体系建设方案（一）安全管理体系建设的必要性信息安全是国家安全的基础和关键。在信息安全保障中，人员、技术、管理是三要素，其中管理要素越来越受到重视。安全管理体系的建设是系统安全建设的基础和关键。缺少安全方面的管理，很难保证系统的安全性，无法从技术上实现完整的安全要求。（二安全管理体系建设内容安全管理体系的建设内容包括：组建管理机构，规划策略、设置管理人员，确定管理机制、明确管理原则和完善管理措施，制定严格的信息系统管理制度，协调技术、法律、管理等方面的因素，从而达到保障信息系统安全的目的。安全管理体系结构如图所示。、管理制度。进一步完善信息安全工作总体方针、安全策略，说明各信息安全组织机构的总体目标、范围、方针、原则、责任等；完善各种安全管理活动中的流程和管理制度；建立和完善曰常管理操作规程、手册等，以指导安全操作；定期对安全管理制度体系进行评审，以发现不适宜内容并加以修订。、评审和修订。定期对安全管理制度、恢复方案、运维手册进行评审和修订。、系统安全运维管理。应定期进行故障恢复实例、数据切换演练，把演练的过程详细地记录下来，以便发生突发事件时有参考依据。、安全管理中心。通过建立信息安全管理中心，实现设备设施的资产管理、安全事件业务监控管理、脆弱性管理、漏洞关联分析、安全策略管理、安全信息管理等。、人员管理。针对内部维护人员的问题，可以将其与安全管理中心相结合，做到访问需授权、操作有记录、事后有审核；维护和监管双身份的问题可以通过设置内部员工交叉管理的方式进行相互监督。（三）安全管理体系框架设计根据各省高速公路的管理模式和安全职责划分，安全策略分为两个层次，省中心和下属路段。省中心对整个省所辖路段范围进行管理、指导、规范和考核。下属路段的安全策略遵照省中心的安全策略，根据自身的实际情况进行细化。信息安全策略框架如图所示。三、网络信息安全解决方案（一）网络入侵检测防护解决方案在高速公路信息系统的核心交换机处设置入侵检测系统，通过实时监测，寻找违规模式和未授权的网络访问，以达到攻击检测力、响应方式、日志与报表、策略功能、管理功能等实施效果。在总中心内网核心处部署入侵检测措施，检测所有经过核心交换机的数据包，监测是否存在入侵行为，并进行记录报警；在数据共享域接入入侵防御系统检测措施，检测所有对业务域的入侵行为，并进行记录、报警，采取必要的安全措施。（二）网络边界访问控制（防火墙）解决方案在省中心核心交换机与路段管理中心连接处设置防火墙，省中心配置网络安全管理工作站对其进行管理，实现对防火墙自带软件的功能配置，达到对省中心网络进入的访问控制；另路段管理中心部署防火墙实现路段管理中心网络进入的访问控制。（三）网络防病毒解决方案在信息系统各级系统边界部署防病毒系统，对其进行集中防护，对存在于交换数据中的各类病毒进行过滤，可以对网络病毒、蠕虫、混合攻击等各种病毒进行拦截，阻止病毒通过网络进行扩散，有效防止从其他区域传播而来的病毒。在总中心与分中心边界处部署防病毒网关，过滤来自分中心的病毒，防范由于分中心所引起的病毒问题；在数据共享域部署防病毒网关，过滤来自外部连接网的病毒，防范由于外部连接网用户所引起的病毒问题。（四）漏洞管理解决方案目前，各省市高速公路中越来越严重的漏洞害主要是由于客观技术的发展局限和主观管理人员安全意识的匮乏，被攻击者恶意利用系统漏洞从而威胁网络安全。目前，解决安全漏洞主要从以下两个方面着手。（）设置网络安全的基本原则，主要包括：服务最小化、严格控制访问权限、及时安装补丁、针对网络安全进行应用开发。（）使用工具和技术：进行安全评估并设置扫描工具、进行补丁管理、实施代码审计。（五）网络安全审计的解决方案对系统进行安全审计是为了保障系统和信息数据不受来自用户的泄密、破坏、窃取，而运用安全设备实时监控网络行为、通信内容，以便进行收集、分析、报警、处理的一种技术手段：安全审计系统主要实现：细粒度的网络内容审计、全面的网络行为审计、综合流量分析。在总中心、分中心核心处、边界处建立网络审计措施；在总中心核心区域部署数据库操作行为的审计措施。（六）安全加固解决方案网络设备和安全设备自身防护不够，面临口令攻击、非法访问、窃取数据等安全威胁。恶意攻击者可以在极短的时间内通过字典攻击、暴力破解获取网络设备登录号。维护中存在明文传输数据，易遭窃听，可从任意地址进行非授权访问尝试攻击。由于大多数用户使用默认账号、弱密码。恶意攻击可在短时间内通过字典攻击、暴力破解获取账号，进行非法访问。大部分主机系统启用危险服务，开启危险端口，主机安全策略不足，如弱密码、自动播放未关闭等。主机安全防护能力严重不足，恶意攻击者可攻击面很广，很容易入侵到核心业务服务区对数据进行修改删除，造成不同程度的破坏。可通过软件方式实现对计算机系统服务器操作系统的内核安全加固，通过采用访问强制控制、强制身份认证和分权管理的安全策略，实现对务器的有效保护。（七）边界完整性检查解决方案采用由密码技术支持的可信网络连接机制，通过对接入到网络的设备或用户进行可信检验，确保接入网络的设备真实可信，防止设备的非法接入。在联网信息系统核心处建立基于网络层的接入认证控制措施，实现用户网络接入认证与控制，加强对网络资源的受控访问，终端用户利用数字证书的方式完成网络的接入访问控制。四、结束语通过加强对高速公路网络安全系