2019年交通行業信息安全等保.pdf

1、基于交通行業網絡安全等級化保護建設新技術領域下的交通領域信息安全問題從封閉到開放的網絡環境國家攻擊造成的安全影響工業控制領域的不可控性觸發的安全問題“智慧”交通和安全的“智慧”大數據環境下的隱私保護問題電子支付帶來的新挑戰國際分級保護體系的發展與建設TCSEC開始的分級機制ITSEC帶來的信息安全三元組從CC角度看IATFSP 800下的美國分級化體系俄羅斯關鍵信息基礎設施等級劃分第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改第三十一條 國家對公共通信和信息

2、服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。網絡安全等級保護與國家關鍵信息基礎設施保護基于等級化建設交通行業網絡系統安全基于業務的網絡系統的梳理從系統等級化到業務等級化國家網絡系統安全等級化與業務安全等級化的細分結合ISMS的網絡安全等級保護建設新技術領域下的交通領域信息安全設計1.梳理業務2.創建業務清單3.定義業務級別4.梳理業務邊界5.識別業務流6.識別系統平臺7.定義系統等級8.枚舉業務子系統9.定義子系統業務優先級

3、10.定義系統/子系統邊界11.識別風險12.規劃設計業務系統調研表編號系統名稱子系統名稱應用描述所屬部門管理員是否定級系統架構操作系統類型開發商/廠家服務商備注1生產管理信息系統EAM資產設備管理線網管控中心未B/SLINUXXX公司XX公司2生產管理信息系統軌行區作業管理 軌道行車作業管理 線網管控中心未B/SLINUXXX公司XX公司3生產管理信息系統合同管理4生產管理信息系統績效考核管理5生產管理信息系統標準文本管理6生產管理信息系統運營前安全確認7生產管理信息系統運營安全管理8生產管理信息系統工資查詢9生產管理信息系統HR人事管理10生產管理信息系統注：1、本表按每業務系統為一張表，

4、需列出所在子系統名稱,盡量具體2、是否定級：若是否進行過等保定級，若定過級，就確定為是，不確認，就不謄3、系統架構：若系統使用B/S、C/S,若系統同時使用這2種架構，選擇B/C/S序號系統名稱應用管理員操作系統服務器1服務器2負載均衡1InforEAM 11.2正式系統Linux2InforEAM 11.2移動端Linux3InforEAM 11.2二次開發Linux4施工作業管理系統Linux5電子工作票系統Linux6物資條形碼系統Linux7運營總部網站虛擬機Linux8運營總部網站外部頁面Linux同步服務器Windows9運營前安全確認系統Linux10合同管理系統Windows1

5、1運營總部APP外部接入點Linux12運營總部APP節點1Linux13運營總部APP節點2Linux14運營總部APP節點3Linux15運營總部APP節點4Linux16 運營總部微信對外訂閱號Linux17 運營總部微信對內服務號Linux18 運營總部微信對外服務號Linux19運營總部微信管理平臺Linux20運營統計分析系統Linux21員工績效考核系統Linux22人力資源管理系統Windows23義工管理系統Windows24運營總部郵箱系統Linux_系統平臺調研登記表平臺簡介開發商開發時間開發語言業務環境 互聯網 ICS網 VPN網 專線 其他_業務主管部門子系統登記分項

6、表（若無子系統直接填報系統平臺）序號系統名稱系統信息系統描述應用管理員系統賦值等級化定義說明RTORPO操作系統數據庫系統平臺架構保密性完整性可用性資產值系統重要程度破壞后的影響程度等級物理平臺 云平臺C/S B/S C/B/S3454222可接入終端登記表終端類型接入方式認證模式用戶角色使用物理環境子系統名稱臺式機筆記本平板智能手機其他傳統HTTPVPN專線無認證口令認證口令+驗證碼口令+Key員工行政業務服務商信息人員其他生產公共區域行政辦公室其他一級二級三級網絡流控制單元業務流控制單元數據流控制單元Web層數據層Web層數據層1112222223331重要性矩陣數據審計數據審計網絡審計網

7、絡審計網絡審計網絡審計網絡審計網絡審計網絡審計單向傳輸雙向向傳輸北南西東核心基于等級化建設交通行業網絡系統安全-技術控制物理環境安全控制網絡基礎設施區域邊界計算環境支撐性基礎設施安全管理平臺建設大數據威脅分析平臺可信認證體系平臺日志管理系統云安全管理平臺主機加固APT檢測終端防病毒移動終端管理控制終端管理虛擬主機管理傳感器管理數據保護網絡安全域網絡基礎架構安全虛擬網絡架構安全工業控制網基礎設施網絡審計邊界保護云接入業務平臺安全控制工業控制系統業務信息管理平臺支付平臺業務OA業務數據業務物理機房管理資產管理平臺業務平臺安全控制應用安全防護Web監控軟件安全開發控制Web源代碼審計數據架構安全移動介質管理數據備份與恢復可信控制感 謝 聆 聽