高速公路收费网络安全管理办法..docx
《高速公路收费网络安全管理办法..docx》由会员分享,可在线阅读,更多相关《高速公路收费网络安全管理办法..docx(9页珍藏版)》请在冰点文库上搜索。
河南高速公路发展有限责任公司
高速公路收费网络安全管理办法
(试行)
河南高速公路发展有限责任公司二〇〇五年十二月
第一章总则
第一条 为加强我公司高速公路网计算机信息安全管理,根据
《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合我公司收费网络系统实际,制定本办法。
第二条 河南高速公路发展有限责任公司运营管理区域内(收费监控中心、各管理公司收费监控分中心、收费站、收费车道)计算机信息系统的安全管理适用本办法。
第三条 任何单位和个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害高速公路网计算机信息系统的安全。
第二章 各级安全职责
第四条 收费监控中心、收费及监控分中心和收费站的安全职责。
(一)数据存储安全:
系统中存储的信息不能因自然灾害、人为原因和设备损坏而被破坏,通过技术手段保证数据存储的安全。
(二)操作系统安全:
为操作系统打上补丁、关闭不必须的协议,尽可能剔除一切可能存在的安全隐患。
中心除了服务器外,还存在大量的客户机,通过管理手段和技术措施保证操作系统安全。
(三)保证系统自身的物理安全防范,采用已有的如双电源双风扇、磁盘镜像、服务器主备结构等设备于外,还要采用必要的防雷、防
静电、防电磁干扰以及磁盘消磁等安全防护手段。
(四)保存网络设备、主机设备、操作系统、数据库软件、应用软
8
件和系统软件的文档资料,进行备案。
文档可以以各种形式保存,但是必须划分不同的等级或类型,便于今后的信息安全认证工作的顺利进行。
结合路网业务和规模的变化,对文档进行有规律、周期行的回顾和修正。
(五)行为管理:
对网络行为、各种操作进行实时的监控;对各种行为进行分类管理,规定行为的范围和期限。
(六)信息管理:
根据实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,禁止信息的非法传播。
(七)安全边界:
信息系统与外部环境的连接处是防御外来攻击的关口,根据路网具体的业务范围,必须规定系统边界上的连接情况,防止非法用户的入侵以及系统敏感信息的外泄,如可以利用防火墙对进出的连接情况进行过滤和控制。
(八)身份认证和授权:
规定现实身份认证与权限检查的方式、方法以及对这些用户的管理要求。
(九)应用安全:
根据安全需求规定所使用的应用的种类和范围,以及每一种应用的使用管理制度。
(十)桌面系统安全:
对路网各个层面,各个用户提出使用桌面系统的安全要求,进行必要的安全防护。
(十一)病毒防治:
制定严格的病毒防护制度,减少、关闭病毒的来源,周期性对系统中的程序进行检查,利用病毒防火墙对系统中的进程进行实时监控。
(十二)灾难恢复与备份:
规定必要的灾难恢复措施,能够使系统
尽快地恢复好正常的运转,并对重要地信息进行周期性备份。
(十三)定义信息安全政策:
对所有相关员工进行信息安全政策的培训,对信息安全富有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(十四)设立安全管理机构:
负责信息安全风险评估与管理,并确定管制目标和选择管制措施。
(十五)设立岗位责任制与人员安全管理方法:
明确每个岗位和每个工作人员的安全管理职责;与相关人员签署保密协议,并定期组织安全知识、安全责任、事故和故障处理培训。
(十六)监督执行机房使用管理方法:
保证机房的物理安全。
(十七)开发和维护管理办法:
严格控制变更执行,审查和测试应用系统;根据应用喜用的活动日志,实现对应用系统的控制和审计跟踪。
(十八)安全时间纪录与回馈:
必须对在实施安全管理体系过程中发生的各种信息安全有关的时间进行全面的纪录。
第三章 高速公路网安全体系
第五条 收费监控中心、收费监控分中心和收费站是实现在河南高速公路发展有限责任公司所辖高速公路路网范围内统一运行、统一管理、统一组织收费和管理交通目的的核心,其安全性对河南省整个高速公路网的正常运营至关重要。
(一)内部网络系统安全措施:
1)病毒保护:
有针对性地选择性能优秀的专业网络防病毒软件,是网络系统免遭病毒侵扰地重要保证。
2)信道传输安全:
收费系统采用对应用程序加密实现数据安全传输,完善网络安全防范体系。
3)内部网络安全审计:
网络安全审计能够帮助对网络进行动态实时监控,可通过寻找入侵和违规行为,纪录网络上发生的一切,为用户提供取证手段。
网络安全审计不但能够监视和控制来自外部地入侵,还能够监视来自内部的人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度。
4)内网IP地址于MAC地址绑定:
为了从物理上保证网络的安全性,特别是防止外部恶意攻击、破坏、盗取、更改路网系统的重要数据与资料,完全可以将中心内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦知内部信息节点使具有物理上的唯一性。
5)主机安全:
数据库服务器、收费应用服务器均采用小型机,通过集群软件实现系统高可用性的同时,通过授权实现互相访问:
另外,UNLX操作系统使主机感染病毒的概率大大减少。
6)数据存储安全:
是指系统中存储的信息不能因自然灾害、人为原因和设备损坏而被破坏,路网系统通过以下手段保证数据存储的安全。
7)操作系统安全:
除了操作系统内置的安全性外。
在安装操作系
统后,需要打的补丁一定要打,就是系统运行了一段时间后,厂家再次推出的补丁也最好补上;而该关闭的协议一定要关闭,尽可能删除一切可能存在的安全隐患。
中心除了服务器外,还存在大量的客户机,安全控制保密能力较弱,可以采用管理手段和技术措施解决操作系统安全问题。
8)数据库安全:
数据库系统安全依赖于两个层次:
一层使数据库管理系统本身提供的用户名/口令字识别、视图、使用权控制、审计、数据加密(对数据加密、对纪录认证)等管理措施;另一层就是靠
应用程序设置的控制管理。
9)其他网络防护手段:
除了上述安全防范措施外,中心还应该包括系统自身的物理安全防范,除了采用应有的如双电源双风扇、磁盘镜像、服务器主备结构等设备余外,还要采用必要的防雷、防静电、防电磁干扰以及磁盘消磁等安全防护手段。
(二)外联网系统安全措施
1)装防火墙:
在中心网络与各路网之间安装防火墙进行隔离,并将防火墙设置为使所有进出中心网络的信息全部经由防火墙,而路网用户通过网络防火墙时,只能访问事先设置的由中心网应用系统所指定的端口,其他权利一概禁止。
2)访问Internet的安全措施:
除了以上安全防范措施之外,还需要考虑对相关用户个人访问互联网的安全设防问题,
第六条 各管理公司收费监控分中心安全技术措施需要根据自身
实际情况做适当调整,但以下几个方面必须循环:
1)IP地址规划必须严格遵从河南省交通厅联网办的规定,不得擅自更改参与路网建设的计算机的IP地址
2)做好局部计算机网络防范病毒工作
3)尽可能实现与收费站传输信息(至少是关键数据)的加密。
4)未经批准,严格与其他外网互联,特别是严禁未经授权的台式计算机与笔记本电脑以拨号方式连接Internet
5)未经批准,严禁提供拨号接入服务;对于必须提供上述服务的,则要求对有权进行远程拨接服务员的人员进行备案。
6)未经批准,严禁未经授权的任何计算机接入河南高速公路联网收费网络系统。
7)未经批准,严禁擅自在机电系统供电专网内接入或安装设备。
8)提供网络设备、主机设备、操作系统版本、数据库软件版本、系统软件版本的详细清单,进行备案。
第七条安全管理原则与制度
(一)安全管理原则
1)多人负责原则:
每项与安全有关的活动都必须有两人或多人在场。
这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
2)任期有限原则:
一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久的。
3)职责分离原则:
除非系统主管领导批准,在信息处理系统工作
的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
(二)安全管理制度
1)路网计算机信息系统使用单位的法定代表人或负责人全面负责本单位计算机信息系统的安全管理工作,保卫组织或专(兼)职保卫人员具体组织实施。
2)安全管理责任制度,明确每个岗位和每个工作人员的安全管理职责,对每个岗位和对应的工作人员进行备案;与每个工作人员签订保密协议:
对每个岗位失职作出明确的处理规定,情节严重的,应追究领导及当事人的法律责任。
3)安全保护制度,保障信息安全,保障计算机信息系统设备、设施和运行环境安全,保障计算机功能正常发挥;如制订机房安全保卫制度等。
4)安全操作制度,规定计算机信息系统的操作权限的安全操作规程;针对目前计算机信息系统中使用最为频繁的口令策略加以说明。
5)安全检查制度,经常检查计算机系统安全状况,发现问题及时处理。
6)对于计算机信息系统中存储的关键数据(如收费数据、监控数据等),必须采取相应保密措施。
7)对于整个路网计算机信息系统,必须建设应急处理办法,一旦出现系统严重故障,保证路网业务继续实施,该应急处理办法应经过实战演练。
8)对路网计算机信息系统中发生的案件,有关使用单位应道在
24小时内向河南省交通厅联网办报告。
第八条各单位安全管理机构对路网计算机信息系统安全管理工作履行下列职责:
1)组织进行安全检查,督促整改安全隐患。
2)审定安全保护等级,确定要害计算机信息系统。
3)负责路网计算机信息系统的安全监督。
4)查处危害路网计算机信息系统安全的时间。
升级会员 