高速公路信息网络的安全保护和安全管理管理资料

高速公路信息网络的安全保护和安全管理 -管理资料

网络安全保护

高速公路信息网应构建成一个安全系统，防止病毒、内部人员、外部人员的恶意攻击和入侵，保证联网收费、监控、通信数据的完整性，

高速公路信息网络的安全保护和安全管理

。

高速公路信息网络的安全性取决于出色的系统集成、网管技术、强大的安全服务力量和卓有成效的安全管理制度，并且安全管理是最关键的。

建议从以下方面保证网络系统安全：

病毒防护 切实做好计算机病毒防治工作。

采用防火墙阻止外部攻击 在各级收费、监控、通信网络与外部网络通信时应设置防火墙进行物理隔离，有效防止 入侵。

建全漏洞扫描机制，探查网络薄弱环节 在通信专网与连接时，需配置网络安全扫描工具，检查可能存在的安全漏洞，扫描目标服务器、交换机和数据库，为系统管理者提供周密可靠的安全性分析报告，提高网络安全的整体水平。

信息网络系统的安全性取决于网络系统中最薄弱的环节。有时，安全策略或访问规则的制定与实际相差甚远，系统和网络安全扫描系统可以帮助用户正确配置自己的网络系统，尤其是检查一些安全设备的配置是否合理.检测各种操作系统是否存在已知漏洞，以及检测应用软件和开放服务中的安全隐患等。系统和网络安全扫描系统会针对检测出的问题提出配置和修补建议，在安全概念中任何系统的缺省设置都是一个巨大的不安全因素。而手工查找漏洞和配置方法的工作量是非常惊人的，网络安全扫描系统可以很好地为用户减轻这一负担。

入侵检测 在各级收费、监控、通信网络建成时安装入侵检测系统用于检测、报告和终止整个网络中未经授权的活动，禁止非法访问者进入高速公路信息内部网络。

安全防御系统构成了安全系统的主要防线。但是，上述防线都是被动防御，其基本思路都是设定规则，并将不符合规则的活动拒之门外。上诉所有的资源访问取决于访问规则的设定，如果规则出错或漏设，上述防线形同虚设。基于网络的入侵检测系统是对上述系统的补充，它监测网络上所有的数据包，其目的就是扑捉危险或有恶意的动作。

基于网络的入侵检测系统是被动防御防线后一道重要的防线，属于主动防御。它按用户指定的方式运行，识别大量的攻击模式、并根据用户策略做出响应。通过基于网络的入侵检测系统的使用，我们还可以知道前面防线规则的修改方式，更加完善我们的防御系统。

采用访问控制和身份认证 访问控制：各级收费、监控、通信系统对不同的使用和管理人员以及不同的应用软件，按使用的需要制定不同的访问权限，限定对资源的使用。系

统还应规定文件读写权限，禁止访问未经授权的文件。身份认证：当用户要和各级收费，监控、通信网络系统连接时必须要对用户的身份进行合法性认证，以防止非法用户的连接或欺骗。可以采用设置动态口令和提供注册ID。

选择安全的操作系统 在各级收费、监控、通信系统中，保证系统安全的重要手段是选择安全的操作系统，该操作系统不应低于C2级。

确保数据传输的安全性 确保收费、监控、通信数据的机密性、完整性和不可否认性是保证网络安全的一个重要方面，主要是采取加密与认证措施。对高速公路公司、银行等传输来的重要信息应采取数据的加密与认证。

确保数据存储的安全 选用安全性高的数据库管理系统，加强专用数据的保护，包括进行访问控制和身份认证。进行重要数据的自动冗余备份，必须规定必要的恢复措施，能够尽快地恢复正常运转，对重要数据例如操作系统、数据库系统、收费原始数据、拆账数据等进行自动周期性备份，选择优秀的备份管理软件，

管理资料

《高速公路信息网络的安全保护和安全管理》。

网络安全产品的选型原则 在进行网络安全产品选型时必须满足国家管理部门的要求：

安全产品必须具备相应的许可证，比如密码产品，必须满足国家密码管理委员会的要

求;安全产品必须获得国家颁发的销售许可证;安全产品必须获得中国信息安全产品测评认证中心的测评认证：安全产品必须遵循总参谋部颁发的国防通信网设备器材进网许可证：安全产品必须符合国家保密局有关Internet管理规定和涉密网审批管理规定。

审计系统 在高速公路信息网络中，处理和传输的大量数据都牵涉到收费金额，必须对网络中的操作行为进行审计。因此，需要在每个安全域内进行配置，确保每个安全域内操作都受到有效的监管。

审计的内容有登录人员、登录的计算机、时间、地址、执行的操作、退出的时间等，通过审计系统内报警功能将审计事件与规定的规则进行比较，在发现有违规行为时，及时报警和记录.提醒网管人员采取必要的措施。审计系统可以使系统时刻处于有效的监管状态下，由于审计系统，不依赖于收费软件，所以其记录是可靠的第三方记录，能为网络事件提供查询和分析，并能提供事件发生的证据。

网络安全管理

在对网络及数据等进行安全保护的同时，还必须加强对使用者、管理者的安全管理，各级收费，监控、通信和网络使用管理机构都应制定必要的规章制度，并严格贯彻执行，正是所谓的“三分技术、七分管理”。

安全管理是安全系统的基础。为了保证高速公路信息网络的安全，必须采取技术性和非技术性两种安全措施。所谓技术性措施是上面所述的利用硬件与软件手段来保证系统安全的措施，如通过硬件防火墙系统的防护等：非技术性措施主要是管理的、法律的手段，

而管理方面的安全手段往往是保证系统安全运行的行之有效的措施。而且大量事实也表明，在系统具备较好技术性安全措施的前提下，如果没有安全管理作为保障，系统同样不安全，没有安全管理制度，众多的技术性安全措施形同虚设。因此，建立安全管理系统也是非常关键的。

网络安全管理系统的建设

安全管理系统的建设包括两方面的工作：集中安全管理系统的建立和安全管理文档体系的建立。集中安全管理系统是一个技术性的系统，其目标是将安全体系的各组成部分，即各系统的有关安全方面的数据，包括配置数据、审计数据等集中管理，控制、监督和审查系统中各子系统的运行情况。安全管理文档体系由各类安全方面的制度文档组成。

安全管理系统的建立包括安全风险分析和评估、安全管理制度文档体系的编写工作，对各类人员进行安全培训。以上工作不涉及直接的软硬件设备投资，但需要进行大量的数据分析和文档起草。

安全管理系统主要包括：明确安全组织机构和人员职责，制定相应文件。全省高速公路信息网络(省中心)设置负责信息安全的专门机构，下属各个区域中心或路段分中心指定专人负责信息安全工作，明确信息安全机构的人员分工和职责，并建立安全机构人员管理、考核和监督制度。保证收费、监控的信息技术人员符合编制要求，满足信息系统管理和运行的需要。对从事收费、监控工作的操作人员和技术人员明确相应的岗位分工和职责，并建立相应岗位的管理、考核和监督制度。

网络安全管理制度与措施

安全制度与措施至少包括以下内容：

①需要制定全面有效的管理制度，由相应的管理者或内部机构集中管理。

②规定数据库的管理和使用制度及方式，加强使用及管理人员的安全防范意识。

③实施单一的登记机制。系统安全管理应实现“一人一个账号一个口令” 登录管理，可通过用户名与口令、智能卡等多种方式获得安全管理服务器的认证。可以采用口令PIN密钥管理、数据加密、数字签名等安全机制，最大限度地保证用户和口令等的信息安全。

④统一用户和目录管理机制

系统安全管理应允许用户在单一的界面中管理不同系统的用户和目录结构，可在不同的操作系统平台上创建、修改和删除用户，提供跨平台用户策略的一致性管理。

⑤利用系统的日志功能做好访问信息的记录，为事后审查提供依据。