[PPT]公路網(wǎng)系統(tǒng)安全技術(shù)與檢測要求（2012年）_ppt

1、第二部分第七章系統(tǒng)安全技術(shù)與檢測要求目 錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求 總體要求（1）公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的安全性設(shè)計(jì)與建設(shè)應(yīng)保證系統(tǒng)結(jié)構(gòu)完整，安全要素全面覆蓋；部級路網(wǎng)平臺及其支撐系統(tǒng)建設(shè)應(yīng)符合信息系統(tǒng)安全等級保護(hù)基本要求（GB/T 22239-2008）中二級安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范要求；省級路網(wǎng)平臺及其支撐系統(tǒng)建設(shè)應(yīng)參照信息系統(tǒng)安全等級保護(hù)基本要求（GB/T 22239-2008）安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范，以及部級路網(wǎng)平臺及其支撐系統(tǒng)的安全要求執(zhí)行； 總體要求（2）部、省兩級路網(wǎng)平臺以及國家級重要監(jiān)測點(diǎn)之

2、間信息交互應(yīng)采用行業(yè)統(tǒng)一的密鑰安全認(rèn)證服務(wù)體系進(jìn)行保護(hù)，確保交互數(shù)據(jù)的真實(shí)性和抗抵賴性，其他級別路網(wǎng)平臺及監(jiān)測點(diǎn)之間信息交互可參照本技術(shù)要求；在保證關(guān)鍵技術(shù)實(shí)現(xiàn)的前提下，盡可能采用成熟產(chǎn)品，保證系統(tǒng)的可用性、工程實(shí)施的便捷性；在建設(shè)各級路網(wǎng)平臺、支撐系統(tǒng)及監(jiān)測點(diǎn)安全體系時(shí)，可根據(jù)信息系統(tǒng)的具體特點(diǎn)，適當(dāng)調(diào)整部分安全要素要求。 依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求及公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的實(shí)際需求，將本系統(tǒng)的安全體系劃分為：部、省級路網(wǎng)平臺及其支撐系統(tǒng)的信息系統(tǒng)安全路網(wǎng)監(jiān)測點(diǎn)設(shè)施信息系統(tǒng)安全。 安全需求（1）部、省兩級路網(wǎng)平臺及其支撐系統(tǒng)應(yīng)在統(tǒng)一安全策略下建立防護(hù)系統(tǒng)，以免受來自外部有組織的團(tuán)體、

3、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能；公路網(wǎng)運(yùn)行信息的交互安全性應(yīng)采用證書認(rèn)證技術(shù)加以保障。 安全需求（2）國家級路網(wǎng)監(jiān)測點(diǎn)應(yīng)能夠防護(hù)一般的自然災(zāi)難，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能；公路網(wǎng)運(yùn)行信息的傳輸安全性應(yīng)采用證書認(rèn)證技術(shù)加以保障。 基本框架（3）目 錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求信息系統(tǒng)安全體系結(jié)構(gòu)技術(shù)要求物理安全：物理位置選擇、物理訪問控制、防盜和防破壞、

4、防雷擊、防火、防水防潮、防靜電、電力保障、電磁防護(hù)網(wǎng)絡(luò)安全：結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性防護(hù)、網(wǎng)絡(luò)設(shè)備防護(hù)主機(jī)安全：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制應(yīng)用安全：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制數(shù)據(jù)安全：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)物理安全-物理位置選擇基本要求：機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，機(jī)房場地應(yīng)避免設(shè)在用水設(shè)備的下層或隔壁。機(jī)房外墻壁應(yīng)沒有對外的窗戶。否則，應(yīng)采用雙層固定窗，并作密封、防水處理。物理安全-物理訪問控制機(jī)房出入口應(yīng)安排專人值守，控制

5、、鑒別和記錄進(jìn)入的人員；進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；沒有管理人員的明確準(zhǔn)許，任何記錄介質(zhì)、文件材料及各種被保護(hù)品均不準(zhǔn)帶出機(jī)房，磁鐵、私人電子計(jì)算機(jī)或電設(shè)備、食品及飲料、香煙、吸煙用具等均不準(zhǔn)帶入機(jī)房。機(jī)房出入應(yīng)當(dāng)安排專人負(fù)責(zé)管理，人員進(jìn)出記錄應(yīng)至少保存3個(gè)月。物理安全-防盜和防破壞將主要設(shè)備放置在機(jī)房內(nèi)；將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施。物理安全-防雷擊應(yīng)設(shè)置避雷裝置等有效防雷措施；應(yīng)設(shè)置接地裝置等有效接地措施。防雷措施

6、應(yīng)至少包括避雷針或避雷器等物理安全-防火應(yīng)機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報(bào)警系統(tǒng)。機(jī)房的火災(zāi)自動報(bào)警系統(tǒng)應(yīng)向當(dāng)?shù)毓蚕啦块T備案物理安全-防水和防潮水管安裝，不得穿過機(jī)房屋頂和活動地板下；采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。物理安全-防靜電機(jī)房關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。物理安全-溫濕度控制機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。物理安全-電力供應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，預(yù)留柴油發(fā)電機(jī)接口，滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。機(jī)房應(yīng)配備UP

7、S柴油發(fā)電機(jī)應(yīng)為必選項(xiàng)物理安全-電磁防護(hù)機(jī)房電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。網(wǎng)絡(luò)安全-結(jié)構(gòu)安全保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；根據(jù)各部門的工作職能、重要性和所涉及信息重要程度，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力至少為歷史峰值的3 倍網(wǎng)絡(luò)安全-訪問控制能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制

8、粒度為單個(gè)用戶。網(wǎng)絡(luò)邊界訪問控制設(shè)備應(yīng)設(shè)定過濾規(guī)則集。規(guī)則集應(yīng)涵蓋對所有出入邊界的數(shù)據(jù)包的處理方式，對于沒有明確定義的數(shù)據(jù)包，應(yīng)缺省拒絕。網(wǎng)絡(luò)安全-安全審計(jì)對網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。網(wǎng)絡(luò)安全審計(jì)管理通過對網(wǎng)絡(luò)中流動的數(shù)據(jù)進(jìn)行審計(jì)分析，能夠監(jiān)控到內(nèi)部網(wǎng)絡(luò)中的外網(wǎng)訪問行為，如：郵件、聊天、WEB訪問、網(wǎng)絡(luò)游戲、文件傳輸?shù)?。能夠?qū)崿F(xiàn)對所監(jiān)控網(wǎng)絡(luò)進(jìn)行基于業(yè)務(wù)的寬帶分配、流量限制，控制飛業(yè)務(wù)網(wǎng)絡(luò)行為所占用的寬帶資源，從而保證正常業(yè)務(wù)員順暢進(jìn)行。網(wǎng)絡(luò)安全-入侵檢測&邊界完整性能通過監(jiān)視

9、端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為；能檢測內(nèi)部網(wǎng)絡(luò)中用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為。網(wǎng)絡(luò)入侵防范工作原理：通過抓取數(shù)據(jù)報(bào)文對其分析，并與攻擊規(guī)則樣本進(jìn)行比較發(fā)現(xiàn)攻擊行為網(wǎng)絡(luò)安全-網(wǎng)絡(luò)設(shè)備防護(hù)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；身份鑒別信息應(yīng)具有不易被冒用特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。主機(jī)安全-身份鑒別

10、對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，宜支持?jǐn)?shù)字證書進(jìn)行身份認(rèn)證；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。主機(jī)安全-訪問控制依據(jù)安全策略控制用戶對資源的訪問；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在

11、。主機(jī)安全-安全審計(jì)審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。主機(jī)安全-入侵防范業(yè)務(wù)主機(jī)的操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)安全-惡意代碼防范通過部署防病毒系統(tǒng)或配置具有相應(yīng)功能的安全操作系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)主機(jī)的病毒防護(hù)以及惡意代碼防范。主機(jī)安全-資源控制通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登

12、錄；限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度。應(yīng)用安全-身份鑒別提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。應(yīng)用安全-訪問控制提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；由授權(quán)主體，即專職管理員配置訪問控

13、制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。應(yīng)用安全-安全審計(jì)提供覆蓋每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)用安全-通信完整性/保密性/抗抵賴通過部署在省、部級路網(wǎng)平臺的密碼設(shè)備，依托行業(yè)統(tǒng)一的證書認(rèn)證體系，實(shí)現(xiàn)對交互數(shù)據(jù)的數(shù)字簽名，確保交互數(shù)據(jù)的真實(shí)性和抗抵賴性。采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。利用密碼設(shè)備對通信過程中的敏感信息字段進(jìn)行加密。應(yīng)用安全-軟件容錯(cuò)提供

14、數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?yīng)用安全-資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；能夠?qū)蝹€(gè)帳戶的多重并發(fā)會話進(jìn)行限制。數(shù)據(jù)安全-數(shù)據(jù)完整性/保密性通過密碼技術(shù)支持的完整性保護(hù)機(jī)制和數(shù)據(jù)備份系統(tǒng)，共同實(shí)現(xiàn)用戶數(shù)據(jù)完整性保護(hù)。密碼技術(shù)支持的完整性保護(hù)機(jī)制需具備能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和涉密業(yè)務(wù)數(shù)據(jù)在傳輸、存儲過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

15、采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和涉密業(yè)務(wù)數(shù)據(jù)傳輸、存儲的保密性。數(shù)據(jù)安全-備份和恢復(fù)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地；采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。管理要求安全管理制度：管理制度、制定與發(fā)布、評審與修訂安全管理機(jī)構(gòu)：崗位設(shè)置、人員配置、授權(quán)與審批、審核和檢查人員安全管理：人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理系統(tǒng)運(yùn)維管理：環(huán)境管理、介質(zhì)管理、設(shè)備管

16、理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處理、安全管理制度-管理制度制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；對安全管理活動中重要的管理內(nèi)容建立安全管理制度；對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。安全管理制度-制定和發(fā)布指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；將安全管理制度按照特定的程序發(fā)布到相關(guān)人員手中。安全管理制度-評審和修訂定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。安全管理機(jī)構(gòu)-崗位

17、設(shè)置設(shè)立安全主管、安全管理等方面的負(fù)責(zé)人崗位，并確定各負(fù)責(zé)人的職責(zé)；設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并確定各工作崗位的職責(zé)。安全管理機(jī)構(gòu)-人員配備配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。安全管理機(jī)構(gòu)-授權(quán)和審批根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批；針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。安全管理機(jī)構(gòu)-審核和檢查安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。人員安全管理-人員錄用指定或授權(quán)專門

18、的部門或人員負(fù)責(zé)人員錄用；規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；與從事關(guān)鍵崗位的人員簽署保密協(xié)議。人員安全管理-人員離崗規(guī)范人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限；取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；辦理嚴(yán)格的調(diào)離手續(xù)。人員安全管理-人員考核定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。人員安全管理-安全意識教育培訓(xùn)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；制定安全教育和培訓(xùn)計(jì)劃，對信息安全知識、崗位操作規(guī)程等進(jìn)行培

19、訓(xùn)。人員安全管理-外部人員訪問管理確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。系統(tǒng)運(yùn)維管理-環(huán)境管理指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。系統(tǒng)運(yùn)維管理-介質(zhì)管理確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲環(huán)境專人管理；對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止

20、信息的非法泄漏；根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。系統(tǒng)運(yùn)維管理-設(shè)備管理對公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專人定期進(jìn)行維護(hù)管理；對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作。系統(tǒng)運(yùn)維管理-網(wǎng)絡(luò)安全管理指定人員對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新

21、，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。系統(tǒng)運(yùn)維管理-系統(tǒng)安全管理根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參

22、數(shù)的設(shè)置和修改等，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；定期對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常。系統(tǒng)運(yùn)維管理-惡意代碼防范管理提高所有用戶的防病毒意識，告知及時(shí)升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出規(guī)定。系統(tǒng)運(yùn)維管理-密碼管理使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。系統(tǒng)運(yùn)維管理-變更管理確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案；系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方

23、可實(shí)施變更，并在實(shí)施后向相關(guān)人員通告。系統(tǒng)運(yùn)維管理-備份恢復(fù)管理識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。系統(tǒng)運(yùn)維管理-安全事件處理報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；制定安全事件報(bào)告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系

24、統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分；記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。目 錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求技術(shù)要求應(yīng)用安全：抗抵賴數(shù)據(jù)安全：數(shù)據(jù)完整性、數(shù)據(jù)保密性抗抵賴/數(shù)據(jù)完整性/保密性通過部署國家級監(jiān)測點(diǎn)的密碼設(shè)備或加密軟件，依托行業(yè)統(tǒng)一的證書認(rèn)證體系，實(shí)現(xiàn)對交互數(shù)據(jù)的數(shù)字簽名，確保交互數(shù)據(jù)的真實(shí)性和抗抵賴性。采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。利用密碼設(shè)備對通信過程中的敏感信息字段進(jìn)行加密。目 錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、

25、路網(wǎng)平臺及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求一般規(guī)定由獲得相關(guān)檢測資質(zhì)的檢測部門負(fù)責(zé)對公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的系統(tǒng)功能、設(shè)施指標(biāo)及安全性能進(jìn)行檢測，對包括部、省兩級路網(wǎng)平臺的系統(tǒng)功能，國家級路網(wǎng)監(jiān)測點(diǎn)的采集設(shè)施以及部、省兩級路網(wǎng)平臺與監(jiān)測點(diǎn)之間的數(shù)據(jù)傳輸加密設(shè)施進(jìn)行檢測，保障公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行。檢測合格，符合入網(wǎng)并網(wǎng)條件的方可投入運(yùn)行?；疽笙到y(tǒng)所涉及關(guān)鍵設(shè)備及軟件流程應(yīng)嚴(yán)格按照國家、交通運(yùn)輸行業(yè)相關(guān)標(biāo)準(zhǔn)及技術(shù)規(guī)范執(zhí)行，并滿足本技術(shù)要求規(guī)定的各項(xiàng)功能指標(biāo)；設(shè)備安裝到位并已連通，處于正常工作狀態(tài)；系統(tǒng)具備完整的設(shè)計(jì)、施工、驗(yàn)收等材料，以及分項(xiàng)工程自檢和設(shè)備調(diào)試記錄、設(shè)備

26、及附（備）件清單、有效設(shè)備檢驗(yàn)合格報(bào)告或證書等資料；數(shù)據(jù)交換格式符合附錄E “數(shù)據(jù)交換技術(shù)要求”；平臺軟件界面友好、操作簡單；密碼設(shè)備應(yīng)采用經(jīng)國家密碼局審批的商用密碼設(shè)備。實(shí)測要求（1）功能類型項(xiàng)次檢查項(xiàng)目檢測依據(jù)檢測方法部、省級路網(wǎng)平臺1狀態(tài)監(jiān)測與服務(wù)指標(biāo)第二部分“3公路網(wǎng)運(yùn)行狀態(tài)監(jiān)測與服務(wù)指標(biāo)”實(shí)際操作2數(shù)據(jù)處理第二部分“4.1軟件總體要求”第三部分 技術(shù)附件 F“部、省級公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)平臺數(shù)據(jù)字典”實(shí)際操作2.1數(shù)據(jù)存儲格式2.2視頻數(shù)據(jù)存儲格式2.3數(shù)據(jù)質(zhì)量2.4數(shù)據(jù)更新與維護(hù)2.5數(shù)據(jù)存儲時(shí)間3軟件功能第二部分“4.2軟件核心功能要求”第二部分“第六章 公路出行信息發(fā)布技術(shù)要求

27、”實(shí)際操作3.1公路網(wǎng)監(jiān)測與分析3.2應(yīng)急會商與處置3.3信息展示3.4信息發(fā)布3.5網(wǎng)絡(luò)管理實(shí)測要求（2）功能類型項(xiàng)次檢查項(xiàng)目檢測方法檢測依據(jù)數(shù)據(jù)傳輸要求1交通運(yùn)行參數(shù)第二部分“2.2公路網(wǎng)運(yùn)行信息參數(shù)要求”第二部分“5.2傳輸內(nèi)容”、“5.3數(shù)據(jù)傳輸要求”第三部分 技術(shù)附件F“部、省級公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)數(shù)據(jù)字典”第三部分 技術(shù)附件E “數(shù)據(jù)交換技術(shù)要求”實(shí)際操作1.1傳輸周期1.2傳輸格式2路網(wǎng)環(huán)境參數(shù)2.1傳輸周期2.2傳輸格式3公路交通突發(fā)（阻斷）事件信息4基礎(chǔ)設(shè)施運(yùn)行狀態(tài)參數(shù)5省級公路網(wǎng)運(yùn)行狀態(tài)監(jiān)測與服務(wù)指標(biāo)數(shù)據(jù)6部級路網(wǎng)平臺所需的其他信息7對省(自治區(qū)、直轄市)公路網(wǎng)的協(xié)調(diào)指令和信息8各省(自治區(qū)、直轄市)公路網(wǎng)必要的公路網(wǎng)運(yùn)行信息9部級公路網(wǎng)運(yùn)行狀態(tài)監(jiān)測