第二部分第七章

系統(tǒng)安全技術(shù)與檢測要求目錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺(tái)及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求總體要求（1）公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的安全性設(shè)計(jì)與建設(shè)應(yīng)保證系統(tǒng)結(jié)構(gòu)完整，安全要素全面覆蓋；部級路網(wǎng)平臺(tái)及其支撐系統(tǒng)建設(shè)應(yīng)符合《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）中二級安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范要求；省級路網(wǎng)平臺(tái)及其支撐系統(tǒng)建設(shè)應(yīng)參照《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008）安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范，以及部級路網(wǎng)平臺(tái)及其支撐系統(tǒng)的安全要求執(zhí)行；總體要求（2）部、省兩級路網(wǎng)平臺(tái)以及國家級重要監(jiān)測點(diǎn)之間信息交互應(yīng)采用行業(yè)統(tǒng)一的密鑰安全認(rèn)證服務(wù)體系進(jìn)行保護(hù)，確保交互數(shù)據(jù)的真實(shí)性和抗抵賴性，其他級別路網(wǎng)平臺(tái)及監(jiān)測點(diǎn)之間信息交互可參照本技術(shù)要求；在保證關(guān)鍵技術(shù)實(shí)現(xiàn)的前提下，盡可能采用成熟產(chǎn)品，保證系統(tǒng)的可用性、工程實(shí)施的便捷性；在建設(shè)各級路網(wǎng)平臺(tái)、支撐系統(tǒng)及監(jiān)測點(diǎn)安全體系時(shí)，可根據(jù)信息系統(tǒng)的具體特點(diǎn)，適當(dāng)調(diào)整部分安全要素要求。

依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》及公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)系統(tǒng)的實(shí)際需求，將本系統(tǒng)的安全體系劃分為：部、省級路網(wǎng)平臺(tái)及其支撐系統(tǒng)的信息系統(tǒng)安全路網(wǎng)監(jiān)測點(diǎn)設(shè)施信息系統(tǒng)安全。安全需求（1）部、省兩級路網(wǎng)平臺(tái)及其支撐系統(tǒng)應(yīng)在統(tǒng)一安全策略下建立防護(hù)系統(tǒng)，以免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能；公路網(wǎng)運(yùn)行信息的交互安全性應(yīng)采用證書認(rèn)證技術(shù)加以保障。安全需求（2）國家級路網(wǎng)監(jiān)測點(diǎn)應(yīng)能夠防護(hù)一般的自然災(zāi)難，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能；公路網(wǎng)運(yùn)行信息的傳輸安全性應(yīng)采用證書認(rèn)證技術(shù)加以保障。基本框架（3）目錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺(tái)及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求信息系統(tǒng)安全體系結(jié)構(gòu)技術(shù)要求求物理安全全：物理位置置選擇、、物理訪訪問控制制、防盜盜和防破破壞、防防雷擊、、防火、、防水防防潮、防防靜電、、電力保保障、電電磁防護(hù)護(hù)網(wǎng)絡(luò)安安全：：結(jié)構(gòu)安安全和和網(wǎng)段段劃分分、網(wǎng)網(wǎng)絡(luò)訪訪問控控制、、網(wǎng)絡(luò)絡(luò)安全全審計(jì)計(jì)、邊邊界完完整性性防護(hù)護(hù)、網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備防防護(hù)主機(jī)安全：：身份鑒別、、訪問控制制、安全審審計(jì)、入侵侵防范、惡惡意代碼防防范、資源源控制應(yīng)用安全：：身份鑒別、、訪問控制制、安全審審計(jì)、通信信完整性、、通信保密密性、抗抵抵賴、軟件件容錯(cuò)、資資源控制數(shù)據(jù)安全：：數(shù)據(jù)完整性性、數(shù)據(jù)保保密性、數(shù)數(shù)據(jù)備份與與恢復(fù)物理安全-物理位置選選擇基本要求：：機(jī)房和辦辦公場地應(yīng)應(yīng)選擇在具具有防震、、防風(fēng)和防防雨等能力力的建筑內(nèi)內(nèi)，機(jī)房場場地應(yīng)避免免設(shè)在用水水設(shè)備的下下層或隔壁壁。機(jī)房外墻壁壁應(yīng)沒有對對外的窗戶戶。否則，，應(yīng)采用雙雙層固定窗窗，并作密密封、防水水處理。物理安全-物理訪問控控制機(jī)房出入口口應(yīng)安排專專人值守，，控制、鑒鑒別和記錄錄進(jìn)入的人人員；進(jìn)入機(jī)房房的來訪訪人員應(yīng)應(yīng)經(jīng)過申申請和審審批流程程，并限限制和監(jiān)監(jiān)控其活活動(dòng)范圍圍；沒有管理理人員的的明確準(zhǔn)準(zhǔn)許，任任何記錄錄介質(zhì)、、文件材材料及各各種被保保護(hù)品均均不準(zhǔn)帶帶出機(jī)房房，磁鐵鐵、私人人電子計(jì)計(jì)算機(jī)或或電設(shè)備備、食品品及飲料料、香煙煙、吸煙煙用具等等均不準(zhǔn)準(zhǔn)帶入機(jī)機(jī)房。機(jī)房出入入應(yīng)當(dāng)安安排專人人負(fù)責(zé)管管理，人人員進(jìn)出出記錄應(yīng)應(yīng)至少保保存3個(gè)月。物理安全全-防盜和防防破壞將主要設(shè)設(shè)備放置置在機(jī)房房內(nèi)；將設(shè)備或或主要部部件進(jìn)行行固定，，并設(shè)置置明顯的的不易除除去的標(biāo)標(biāo)記；將通信線線纜鋪設(shè)設(shè)在隱蔽蔽處，可可鋪設(shè)在在地下或或管道中中；對介質(zhì)分分類標(biāo)識(shí)識(shí)，存儲(chǔ)儲(chǔ)在介質(zhì)質(zhì)庫或檔檔案室中中；主機(jī)房應(yīng)安裝裝必要的防盜盜報(bào)警設(shè)施。。物理安全-防雷擊應(yīng)設(shè)置避雷裝裝置等有效防防雷措施；應(yīng)設(shè)置接地裝裝置等有效接接地措施。防雷措施應(yīng)至至少包括避雷雷針或避雷器器等物理安全-防火應(yīng)機(jī)房應(yīng)設(shè)置置滅火設(shè)備和和火災(zāi)自動(dòng)報(bào)報(bào)警系統(tǒng)。機(jī)房的火災(zāi)自自動(dòng)報(bào)警系統(tǒng)統(tǒng)應(yīng)向當(dāng)?shù)毓蚕啦块T門備案物理安全-防水和防潮水管安裝，不不得穿過機(jī)房房屋頂和活動(dòng)動(dòng)地板下；采取措施防止止雨水通過機(jī)機(jī)房窗戶、屋屋頂和墻壁滲滲透；采取措施防止止機(jī)房內(nèi)水蒸蒸氣結(jié)露和地地下積水的轉(zhuǎn)轉(zhuǎn)移與滲透。。物理安全-防靜電機(jī)房關(guān)鍵設(shè)備備應(yīng)采用必要要的接地防靜靜電措施。物理安全-溫濕度控制機(jī)房應(yīng)設(shè)置溫溫、濕度自動(dòng)動(dòng)調(diào)節(jié)設(shè)施，，使機(jī)房溫、、濕度的變化化在設(shè)備運(yùn)行行所允許的范范圍之內(nèi)。物理安全-電力供應(yīng)在機(jī)房供電線線路上配置穩(wěn)穩(wěn)壓器和過電電壓防護(hù)設(shè)備備；提供短期的備備用電力供應(yīng)應(yīng)，預(yù)留柴油油發(fā)電機(jī)接口口，滿足關(guān)鍵鍵設(shè)備在斷電電情況下的正正常運(yùn)行要求求。機(jī)房應(yīng)配備UPS柴油發(fā)電機(jī)應(yīng)應(yīng)為必選項(xiàng)物理安全-電磁防護(hù)機(jī)房電源線和和通信線纜應(yīng)應(yīng)隔離鋪設(shè)，，避免互相干干擾。網(wǎng)絡(luò)安全-結(jié)構(gòu)安全保證關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的業(yè)務(wù)務(wù)處理能力具具備冗余空間間，滿足業(yè)務(wù)務(wù)高峰期需要要；保證接入網(wǎng)絡(luò)絡(luò)和核心網(wǎng)絡(luò)絡(luò)的帶寬滿足足業(yè)務(wù)高峰期期需要；繪制與當(dāng)前運(yùn)運(yùn)行情況相符符的網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)圖；根據(jù)各部門的的工作職能、、重要性和所所涉及信息重重要程度，劃劃分不同的子子網(wǎng)或網(wǎng)段，，并按照方便便管理和控制制的原則為各各子網(wǎng)、網(wǎng)段段分配地址段段。關(guān)鍵網(wǎng)絡(luò)設(shè)備備的業(yè)務(wù)處理理能力至少為為歷史峰值的的3倍網(wǎng)絡(luò)安全-訪問控制能根據(jù)會(huì)話狀狀態(tài)信息為數(shù)數(shù)據(jù)流提供明明確的允許/拒絕訪問的能能力，控制粒粒度為網(wǎng)段級級；按用戶和系統(tǒng)統(tǒng)之間的允許許訪問規(guī)則，，決定允許或或拒絕用戶對對受控系統(tǒng)進(jìn)進(jìn)行資源訪問問，控制粒度度為單個(gè)用戶戶。網(wǎng)絡(luò)邊界訪問問控制設(shè)備應(yīng)應(yīng)設(shè)定過濾規(guī)規(guī)則集。規(guī)則則集應(yīng)涵蓋對對所有出入邊邊界的數(shù)據(jù)包包的處理方式式，對于沒有有明確定義的的數(shù)據(jù)包，應(yīng)應(yīng)缺省拒絕。。網(wǎng)絡(luò)安全-安全審計(jì)對網(wǎng)絡(luò)系統(tǒng)的的網(wǎng)絡(luò)設(shè)備運(yùn)運(yùn)行狀況、網(wǎng)網(wǎng)絡(luò)流量、用用戶行為等進(jìn)進(jìn)行日志記錄錄；審計(jì)記錄應(yīng)包包括事件的日日期和時(shí)間、、用戶、事件件類型、事件件是否成功及及其他與審計(jì)計(jì)相關(guān)的信息息。網(wǎng)絡(luò)安安全審審計(jì)管管理通通過對對網(wǎng)絡(luò)絡(luò)中流流動(dòng)的的數(shù)據(jù)據(jù)進(jìn)行行審計(jì)計(jì)分析析，能能夠監(jiān)監(jiān)控到到內(nèi)部部網(wǎng)絡(luò)絡(luò)中的的外網(wǎng)網(wǎng)訪問問行為為，如如：郵郵件、、聊天天、WEB訪問、、網(wǎng)絡(luò)絡(luò)游戲戲、文文件傳傳輸?shù)鹊?。能能夠?qū)崒?shí)現(xiàn)對對所監(jiān)監(jiān)控網(wǎng)網(wǎng)絡(luò)進(jìn)進(jìn)行基基于業(yè)業(yè)務(wù)的的寬帶帶分配配、流流量限限制，，控制制飛業(yè)業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)行行為所所占用用的寬寬帶資資源，，從而而保證證正常常業(yè)務(wù)務(wù)員順順暢進(jìn)進(jìn)行。。網(wǎng)絡(luò)安安全-入侵檢檢測&邊界完完整性性能通過過監(jiān)視視端口口掃描描、強(qiáng)強(qiáng)力攻攻擊、、木馬馬后門門攻擊擊、拒拒絕服服務(wù)攻攻擊、、緩沖沖區(qū)溢溢出攻攻擊、、IP碎片攻攻擊和和網(wǎng)絡(luò)絡(luò)蠕蟲蟲攻擊擊等攻攻擊行行為；；能檢測內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)中用戶戶私自聯(lián)聯(lián)到外部部網(wǎng)絡(luò)的的行為。。網(wǎng)絡(luò)入侵侵防范工工作原理理：通過過抓取數(shù)數(shù)據(jù)報(bào)文文對其分分析，并并與攻擊擊規(guī)則樣樣本進(jìn)行行比較發(fā)發(fā)現(xiàn)攻擊擊行為網(wǎng)絡(luò)安全全-網(wǎng)絡(luò)設(shè)備備防護(hù)對登錄網(wǎng)網(wǎng)絡(luò)設(shè)備備的用戶戶進(jìn)行身身份鑒別別；對網(wǎng)絡(luò)設(shè)設(shè)備的管管理員登登錄地址址進(jìn)行限限制；網(wǎng)絡(luò)設(shè)備備用戶的的標(biāo)識(shí)應(yīng)應(yīng)唯一；；身份鑒別別信息應(yīng)應(yīng)具有不不易被冒冒用特點(diǎn)點(diǎn)，口令令應(yīng)有復(fù)復(fù)雜度要要求并定定期更換換；具有登錄錄失敗處處理功能能，可采采取結(jié)束束會(huì)話、、限制非非法登錄錄次數(shù)和和當(dāng)網(wǎng)絡(luò)絡(luò)登錄連連接超時(shí)時(shí)自動(dòng)退退出等措措施；當(dāng)對網(wǎng)絡(luò)設(shè)備備進(jìn)行遠(yuǎn)程管管理時(shí)，應(yīng)采采取必要措施施防止鑒別信信息在網(wǎng)絡(luò)傳傳輸過程中被被竊聽。主機(jī)安全-身份鑒別對登錄操作系系統(tǒng)和數(shù)據(jù)庫庫系統(tǒng)的用戶戶進(jìn)行身份標(biāo)標(biāo)識(shí)和鑒別，，宜支持?jǐn)?shù)字字證書進(jìn)行身身份認(rèn)證；操作系統(tǒng)和數(shù)數(shù)據(jù)庫系統(tǒng)管管理用戶身份份標(biāo)識(shí)應(yīng)具有有不易被冒用用的特點(diǎn)，口口令應(yīng)有復(fù)雜雜度要求并定定期更換；啟用登錄失敗敗處理功能，，可采取結(jié)束束會(huì)話、限制制非法登錄次次數(shù)和自動(dòng)退退出等措施；；對服務(wù)器進(jìn)行行遠(yuǎn)程管理時(shí)時(shí)，應(yīng)采取必必要措施，防防止鑒別信息息在網(wǎng)絡(luò)傳輸輸過程中被竊竊聽；為操作系統(tǒng)和和數(shù)據(jù)庫系統(tǒng)統(tǒng)的不同用戶戶分配不同的的用戶名，確確保用戶名具具有唯一性。。主機(jī)安全-訪問控制依據(jù)安全策略略控制用戶對對資源的訪問問；實(shí)現(xiàn)操作系統(tǒng)統(tǒng)和數(shù)據(jù)庫系系統(tǒng)特權(quán)用戶戶的權(quán)限分離離；限制默認(rèn)帳戶戶的訪問權(quán)限限，重命名系系統(tǒng)默認(rèn)帳戶戶，修改這些些帳戶的默認(rèn)認(rèn)口令；及時(shí)刪除多余余的、過期的的帳戶，避免免共享帳戶的的存在。主機(jī)安全-安全審計(jì)審計(jì)范圍覆蓋蓋到服務(wù)器上上的每個(gè)操作作系統(tǒng)用戶和和數(shù)據(jù)庫用戶戶；審計(jì)內(nèi)容包括括重要用戶行行為、系統(tǒng)資資源的異常使使用和重要系系統(tǒng)命令的使使用等系統(tǒng)內(nèi)內(nèi)重要的安全全相關(guān)事件；；審計(jì)記錄包括括事件的日期期、時(shí)間、類類型、主體標(biāo)標(biāo)識(shí)、客體標(biāo)標(biāo)識(shí)和結(jié)果等等；保護(hù)審計(jì)記錄錄，避免受到到未預(yù)期的刪刪除、修改或或覆蓋等。主機(jī)安全-入侵防范業(yè)務(wù)主機(jī)的操操作系統(tǒng)應(yīng)遵遵循最小安裝裝的原則，僅僅安裝需要的的組件和應(yīng)用用程序，并通通過設(shè)置升級級服務(wù)器等方方式保持系統(tǒng)統(tǒng)補(bǔ)丁及時(shí)得得到更新。主機(jī)安全-惡意代碼防范范通過部署防病病毒系統(tǒng)或配配置具有相應(yīng)應(yīng)功能的安全全操作系統(tǒng)，，實(shí)現(xiàn)業(yè)務(wù)主主機(jī)的病毒防防護(hù)以及惡意意代碼防范。。主機(jī)安全-資源控制通過設(shè)定終端端接入方式、、網(wǎng)絡(luò)地址范范圍等條件限限制終端登錄錄；限制單個(gè)用戶戶對系統(tǒng)資源源的最大或最最小使用限度度。應(yīng)用安全-身份鑒別提供專用的登登錄控制模塊塊對登錄用戶戶進(jìn)行身份標(biāo)標(biāo)識(shí)和鑒別；；提供用戶身份份標(biāo)識(shí)唯一和和鑒別信息復(fù)復(fù)雜度檢查功功能，保證應(yīng)應(yīng)用系統(tǒng)中不不存在重復(fù)用用戶身份標(biāo)識(shí)識(shí)，身份鑒別別信息不易被被冒用；提供登錄失敗敗處理功能，，可采取結(jié)束束會(huì)話、限制制非法登錄次次數(shù)和自動(dòng)退退出等措施；；啟用身份鑒別別、用戶身份份標(biāo)識(shí)唯一性性檢查、用戶戶身份鑒別信信息復(fù)雜度檢檢查以及登錄錄失敗處理功功能，并根據(jù)據(jù)安全策略配配置相關(guān)參數(shù)數(shù)。應(yīng)用安全-訪問控制提供訪問控制制功能，依據(jù)據(jù)安全策略控控制用戶對文文件、數(shù)據(jù)庫庫表等客體的的訪問；訪問控制的覆覆蓋范圍應(yīng)包包括與資源訪訪問相關(guān)的主主體、客體及及它們之間的的操作；由授權(quán)主體，，即專職管理理員配置訪問問控制策略，，并嚴(yán)格限制制默認(rèn)帳戶的的訪問權(quán)限；；授予不同帳戶戶為完成各自自承擔(dān)任務(wù)所所需的最小權(quán)權(quán)限，并在它它們之間形成成相互制約的的關(guān)系。應(yīng)用安全-安全審計(jì)提供覆蓋每個(gè)個(gè)用戶的安全全審計(jì)功能，，對應(yīng)用系統(tǒng)統(tǒng)重要安全事事件進(jìn)行審計(jì)計(jì)；保證無法單獨(dú)獨(dú)中斷審計(jì)進(jìn)進(jìn)程，無法刪刪除、修改或或覆蓋審計(jì)記記錄；審計(jì)記錄的內(nèi)內(nèi)容至少應(yīng)包包括事件的日日期、時(shí)間、、發(fā)起者信息息、類型、描描述和結(jié)果等等；應(yīng)用安全-通信完整性/保密性/抗抵賴通過部署在省省、部級路網(wǎng)網(wǎng)平臺(tái)的密碼碼設(shè)備，依托托行業(yè)統(tǒng)一的的證書認(rèn)證體體系，實(shí)現(xiàn)對對交互數(shù)據(jù)的的數(shù)字簽名，，確保交互數(shù)數(shù)據(jù)的真實(shí)性性和抗抵賴性性。采用校驗(yàn)碼技技術(shù)保證通信信過程中數(shù)據(jù)據(jù)的完整性。。利用密碼設(shè)備備對通信過程程中的敏感信信息字段進(jìn)行行加密。應(yīng)用安全-軟件容錯(cuò)提供數(shù)據(jù)有效效性檢驗(yàn)功能能，保證通過過人機(jī)接口輸輸入或通過通通信接口輸入入的數(shù)據(jù)格式式或長度符合合系統(tǒng)設(shè)定要要求；在故障發(fā)生時(shí)時(shí)，應(yīng)用系統(tǒng)統(tǒng)應(yīng)能夠繼續(xù)續(xù)提供一部分分功能，確保保能夠?qū)嵤┍乇匾拇胧?。?yīng)用安全-資源控制當(dāng)應(yīng)用系統(tǒng)的的通信雙方中中的一方在一一段時(shí)間內(nèi)未未作任何響應(yīng)應(yīng)，另一方應(yīng)應(yīng)能夠自動(dòng)結(jié)結(jié)束會(huì)話；能夠?qū)ο到y(tǒng)的的最大并發(fā)會(huì)會(huì)話連接數(shù)進(jìn)進(jìn)行限制；能夠?qū)蝹€(gè)帳帳戶的多重并并發(fā)會(huì)話進(jìn)行行限制。數(shù)據(jù)安全-數(shù)據(jù)完整性/保密性通過密碼技術(shù)術(shù)支持的完整整性保護(hù)機(jī)制制和數(shù)據(jù)備份份系統(tǒng)，共同同實(shí)現(xiàn)用戶數(shù)數(shù)據(jù)完整性保保護(hù)。密碼技技術(shù)支持的完完整性保護(hù)機(jī)機(jī)制需具備能能夠檢測到系系統(tǒng)管理數(shù)據(jù)據(jù)、鑒別信息息和涉密業(yè)務(wù)務(wù)數(shù)據(jù)在傳輸輸、存儲(chǔ)過程程中完整性受受到破壞，并并在檢測到完完整性錯(cuò)誤時(shí)時(shí)采取必要的的恢復(fù)措施。。采用加密或其其他有效措施施實(shí)現(xiàn)系統(tǒng)管管理數(shù)據(jù)、鑒鑒別信息和涉涉密業(yè)務(wù)數(shù)據(jù)據(jù)傳輸、存儲(chǔ)儲(chǔ)的保密性。。數(shù)據(jù)安全-備份和恢復(fù)提供本地?cái)?shù)據(jù)據(jù)備份與恢復(fù)復(fù)功能，完全全數(shù)據(jù)備份至至少每天一次次，備份介質(zhì)質(zhì)場外存放；；提供異地?cái)?shù)據(jù)據(jù)備份功能，，利用通信網(wǎng)網(wǎng)絡(luò)將關(guān)鍵數(shù)數(shù)據(jù)定時(shí)批量量傳送至備用用場地；采用冗余技術(shù)術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)，避避免關(guān)鍵節(jié)點(diǎn)點(diǎn)存在單點(diǎn)故故障；提供主要網(wǎng)絡(luò)絡(luò)設(shè)備、通信信線路和數(shù)據(jù)據(jù)處理系統(tǒng)的的硬件冗余，，保證系統(tǒng)的的高可用性。。管理要求安全管理制度度：管理制度、制制定與發(fā)布、、評審與修訂訂安全管理機(jī)構(gòu)構(gòu)：崗位設(shè)置、人人員配置、授授權(quán)與審批、、審核和檢查查人員安全管理理：人員錄用、人人員離崗、人人員考核、安安全意識(shí)教育育和培訓(xùn)、外外部人員訪問問管理系統(tǒng)運(yùn)維管理理：環(huán)境管理、介介質(zhì)管理、設(shè)設(shè)備管理、網(wǎng)網(wǎng)絡(luò)安全管理理、系統(tǒng)安全全管理、惡意意代碼防范管管理、密碼管管理、變更管管理、備份和和恢復(fù)管理、、安全事件處處理、安全管理制度度-管理制度制定信息安全全工作的總體體方針和安全全策略，說明明機(jī)構(gòu)安全工工作的總體目目標(biāo)、范圍、、原則和安全全框架等；對安全管理活活動(dòng)中重要的的管理內(nèi)容建建立安全管理理制度；對安全管理人人員或操作人人員執(zhí)行的重重要管理操作作建立操作規(guī)規(guī)程。安全管理制度度-制定和發(fā)布指定或授權(quán)專專門的部門或或人員負(fù)責(zé)安安全管理制度度的制定；組織相關(guān)人員員對制定的安安全管理制度度進(jìn)行論證和和審定；將安全管理制制度按照特定定的程序發(fā)布布到相關(guān)人員員手中。安全管理制度度-評審和修訂定期對安全管管理制度進(jìn)行行評審，對存存在不足或需需要改進(jìn)的安安全管理制度度進(jìn)行修訂。。安全管理機(jī)構(gòu)構(gòu)-崗位設(shè)置設(shè)立安全主管管、安全管理理等方面的負(fù)負(fù)責(zé)人崗位，，并確定各負(fù)負(fù)責(zé)人的職責(zé)責(zé)；設(shè)立系統(tǒng)管理理員、網(wǎng)絡(luò)管管理員、安全全管理員等崗崗位，并確定定各工作崗位位的職責(zé)。安全管理機(jī)構(gòu)構(gòu)-人員配備配備一定數(shù)量量的系統(tǒng)管理理員、網(wǎng)絡(luò)管管理員、安全全管理員等；；安全管理員不不能兼任網(wǎng)絡(luò)絡(luò)管理員、系系統(tǒng)管理員、、數(shù)據(jù)庫管理理員等。安全管理機(jī)機(jī)構(gòu)-授權(quán)和審批批根據(jù)各個(gè)部部門和崗位位的職責(zé)明明確授權(quán)審審批部門及及批準(zhǔn)人，，對系統(tǒng)投投入運(yùn)行、、網(wǎng)絡(luò)系統(tǒng)統(tǒng)接入和重重要資源的的訪問等關(guān)關(guān)鍵活動(dòng)進(jìn)進(jìn)行審批；；針對關(guān)鍵活活動(dòng)建立審審批流程，，并由批準(zhǔn)準(zhǔn)人簽字確確認(rèn)。安全管理機(jī)機(jī)構(gòu)-審核和檢查查安全管理員員應(yīng)負(fù)責(zé)定定期進(jìn)行安安全檢查，，檢查內(nèi)容容包括系統(tǒng)統(tǒng)日常運(yùn)行行、系統(tǒng)漏漏洞和數(shù)據(jù)據(jù)備份等情情況。人員安全管管理-人員錄用指定或授權(quán)權(quán)專門的部部門或人員員負(fù)責(zé)人員員錄用；規(guī)范人員錄錄用過程，，對被錄用用人員的身身份、背景景和專業(yè)資資格等進(jìn)行行審查，對對其所具有有的技術(shù)技技能進(jìn)行考考核；與從事關(guān)鍵鍵崗位的人人員簽署保保密協(xié)議。。人員安全管管理-人員離崗規(guī)范人員離離崗過程，，及時(shí)終止止離崗員工工的所有訪訪問權(quán)限；；取回各種身身份證件、、鑰匙、徽徽章等以及及機(jī)構(gòu)提供供的軟硬件件設(shè)備；辦理嚴(yán)格的的調(diào)離手續(xù)續(xù)。人員安全管管理-人員考核定期對各個(gè)個(gè)崗位的人人員進(jìn)行安安全技能及及安全認(rèn)知知的考核。。人員安全管管理-安全意識(shí)教教育培訓(xùn)對各類人員員進(jìn)行安全全意識(shí)教育育、崗位技技能培訓(xùn)和和相關(guān)安全全技術(shù)培訓(xùn)訓(xùn)；告知人員相相關(guān)的安全全責(zé)任和懲懲戒措施，，并對違反反違背安全全策略和規(guī)規(guī)定的人員員進(jìn)行懲戒戒；制定安全教教育和培訓(xùn)訓(xùn)計(jì)劃，對對信息安全全知識(shí)、崗崗位操作規(guī)規(guī)程等進(jìn)行行培訓(xùn)。人員安全管管理-外部人員訪訪問管理確保在外部部人員訪問問受控區(qū)域域前得到授授權(quán)或?qū)徟鷾?zhǔn)后后由專人全全程陪同或或監(jiān)督，并并登記備案案。系統(tǒng)運(yùn)維管管理-環(huán)境管理指定專門的的部門或人人員定期對對機(jī)房供配配電、空調(diào)調(diào)、溫濕度度控制等設(shè)設(shè)施進(jìn)行維維護(hù)管理；；配備機(jī)房安安全管理人人員，對機(jī)機(jī)房的出入入、服務(wù)器器的開機(jī)或或關(guān)機(jī)等工工作進(jìn)行管管理；建立機(jī)房安安全管理制制度，對有有關(guān)機(jī)房物物理訪問，，物品帶進(jìn)進(jìn)、帶出機(jī)機(jī)房和機(jī)房房環(huán)境安全全等方面的的管理作出出規(guī)定。系統(tǒng)運(yùn)維管管理-介質(zhì)管理確保介質(zhì)存存放在安全全的環(huán)境中中，對各類類介質(zhì)進(jìn)行行控制和保保護(hù)，并實(shí)實(shí)行存儲(chǔ)環(huán)環(huán)境專人管管理；對介質(zhì)歸檔檔和查詢等等過程進(jìn)行行記錄，根根據(jù)存檔介介質(zhì)的目錄錄清單定期期盤點(diǎn)；對需要送出出維修或銷銷毀的介質(zhì)質(zhì)，首先清清除其中的的敏感數(shù)據(jù)據(jù)，防止信信息的非法法泄漏；根據(jù)所承載載數(shù)據(jù)和軟軟件的重要要程度對介介質(zhì)進(jìn)行分分類和標(biāo)識(shí)識(shí)管理。系統(tǒng)運(yùn)維管管理-設(shè)備管理對公路網(wǎng)運(yùn)運(yùn)行監(jiān)測與與服務(wù)系統(tǒng)統(tǒng)相關(guān)的各各種設(shè)備（（包括備份份和冗余設(shè)設(shè)備）、線線路等指定定專人定期期進(jìn)行維護(hù)護(hù)管理；對終端計(jì)算算機(jī)、工作作站、便攜攜機(jī)、系統(tǒng)統(tǒng)和網(wǎng)絡(luò)等等設(shè)備的操操作和使用用進(jìn)行規(guī)范范化管理，，按操作規(guī)規(guī)程實(shí)現(xiàn)關(guān)關(guān)鍵設(shè)備（（包括備份份和冗余設(shè)設(shè)備）的啟啟動(dòng)/停止止、、加加電電/斷電電等等操操作作。。系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理-網(wǎng)絡(luò)絡(luò)安安全全管管理理指定定人人員員對對網(wǎng)網(wǎng)絡(luò)絡(luò)進(jìn)進(jìn)行行管管理理，，負(fù)負(fù)責(zé)責(zé)運(yùn)運(yùn)行行日日志志、、網(wǎng)網(wǎng)絡(luò)絡(luò)監(jiān)監(jiān)控控記記錄錄的的日日常常維維護(hù)護(hù)和和報(bào)報(bào)警警信信息息分分析析和和處處理理工工作作；；建立立網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全管管理理制制度度，，對對網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全配配置置、、日日志志保保存存時(shí)時(shí)間間、、安安全全策策略略、、升級與打補(bǔ)丁丁、口令更新新周期等方面面作出規(guī)定；；根據(jù)廠家提供供的軟件升級級版本對網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)行更更新，并在更更新前對現(xiàn)有有的重要文件件進(jìn)行備份；；定期對網(wǎng)絡(luò)系系統(tǒng)進(jìn)行漏洞洞掃描，對發(fā)發(fā)現(xiàn)的網(wǎng)絡(luò)系系統(tǒng)安全漏洞洞進(jìn)行及時(shí)的的修補(bǔ)；對網(wǎng)絡(luò)設(shè)備的的配置文件進(jìn)進(jìn)行定期備份份；保證所有與外外部系統(tǒng)的連連接均得到授授權(quán)和批準(zhǔn)。。系統(tǒng)運(yùn)維管理理-系統(tǒng)安全管理理根據(jù)業(yè)務(wù)需求求和系統(tǒng)安全全分析確定系系統(tǒng)的訪問控控制策略；定期進(jìn)行漏洞洞掃描，對發(fā)發(fā)現(xiàn)的系統(tǒng)安安全漏洞及時(shí)時(shí)進(jìn)行修補(bǔ)；；安裝系統(tǒng)的最最新補(bǔ)丁程序序，在安裝系系統(tǒng)補(bǔ)丁前，，應(yīng)首先在測測試環(huán)境中測測試通過，并并對重要文件件進(jìn)行備份后后，方可實(shí)施施系統(tǒng)補(bǔ)丁程程序的安裝；；建立系統(tǒng)安全全管理制度，，對系統(tǒng)安全全策略、安全全配置、日志志管理和日常常操作流程等等方面作出規(guī)規(guī)定；依據(jù)操作手冊冊對系統(tǒng)進(jìn)行行維護(hù)，詳細(xì)細(xì)記錄操作日日志，包括重重要的日常操操作、運(yùn)行維維護(hù)記錄、參參數(shù)的設(shè)置和和修改等，嚴(yán)嚴(yán)禁進(jìn)行未經(jīng)經(jīng)授權(quán)的操作作；定期對運(yùn)行日日志和審計(jì)數(shù)數(shù)據(jù)進(jìn)行分析析，以便及時(shí)時(shí)發(fā)現(xiàn)異常。。系統(tǒng)運(yùn)維管理理-惡意代碼防范范管理提高所有用戶戶的防病毒意意識(shí)，告知及及時(shí)升級防病病毒軟件，在在讀取移動(dòng)存存儲(chǔ)設(shè)備上的的數(shù)據(jù)以及網(wǎng)網(wǎng)絡(luò)上接收文文件或郵件之之前，先進(jìn)行行病毒檢查，，對外來計(jì)算算機(jī)或存儲(chǔ)設(shè)設(shè)備接入網(wǎng)絡(luò)絡(luò)系統(tǒng)之前也也應(yīng)進(jìn)行病毒毒檢查；指定專人對網(wǎng)網(wǎng)絡(luò)和主機(jī)進(jìn)進(jìn)行惡意代碼碼檢測并保存存檢測記錄；；對防惡意代碼碼軟件的授權(quán)權(quán)使用、惡意意代碼庫升級級、定期匯報(bào)報(bào)等作出規(guī)定定。系統(tǒng)運(yùn)維管理理-密碼管理使用符合國家家密碼管理規(guī)規(guī)定的密碼技技術(shù)和產(chǎn)品。。系統(tǒng)運(yùn)維管理理-變更管理確認(rèn)系統(tǒng)中要要發(fā)生的重要要變更，并制制定相應(yīng)的變變更方案；系統(tǒng)發(fā)生重要要變更前，應(yīng)應(yīng)向主管領(lǐng)導(dǎo)導(dǎo)申請，審批批后方可實(shí)施施變更，并在在實(shí)施后向相相關(guān)人員通告告。系統(tǒng)運(yùn)維管理理-備份恢復(fù)管理理識(shí)別需要定期期備份的重要要業(yè)務(wù)信息、、系統(tǒng)數(shù)據(jù)及及軟件系統(tǒng)等等；規(guī)定備份信息息的備份方式式、備份頻度度、存儲(chǔ)介質(zhì)質(zhì)、保存期等等；根據(jù)數(shù)據(jù)的重重要性及其對對系統(tǒng)運(yùn)行的的影響，制定定數(shù)據(jù)的備份份策略和恢復(fù)復(fù)策略，備份份策略指明備備份數(shù)據(jù)的放放置場所、文文件命名規(guī)則則、介質(zhì)替換換頻率和數(shù)據(jù)據(jù)離站運(yùn)輸方方法。系統(tǒng)運(yùn)維管理理-安全事件處理理報(bào)告所發(fā)現(xiàn)的的安全弱點(diǎn)和和可疑事件，，但任何情況況下用戶均不不應(yīng)嘗試驗(yàn)證證弱點(diǎn)；制定安全事件件報(bào)告和處置置管理制度，，明確安全事事件類型，規(guī)規(guī)定安全事件件的現(xiàn)場處理理、事件報(bào)告告和后期恢復(fù)復(fù)的管理職責(zé)責(zé)；根據(jù)國家相關(guān)關(guān)管理部門對對計(jì)算機(jī)安全全事件等級劃劃分方法和安安全事件對本本系統(tǒng)產(chǎn)生的的影響，對本本系統(tǒng)計(jì)算機(jī)機(jī)安全事件進(jìn)進(jìn)行等級劃分分；記錄并保存所所有報(bào)告的安安全弱點(diǎn)和可可疑事件，分分析事件原因因，監(jiān)督事態(tài)態(tài)發(fā)展，采取取措施避免安安全事件發(fā)生生。目錄錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺(tái)及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求技術(shù)要求應(yīng)用安全：抗抵賴數(shù)據(jù)安全：數(shù)據(jù)完整性、、數(shù)據(jù)保密性性抗抵賴/數(shù)據(jù)完整性/保密性通過部署國家家級監(jiān)測點(diǎn)的的密碼設(shè)備或或加密軟件，，依托行業(yè)統(tǒng)統(tǒng)一的證書認(rèn)認(rèn)證體系，實(shí)實(shí)現(xiàn)對交互數(shù)數(shù)據(jù)的數(shù)字簽簽名，確保交交互數(shù)據(jù)的真真實(shí)性和抗抵抵賴性。采用校校驗(yàn)碼碼技術(shù)術(shù)保證證通信信過程程中數(shù)數(shù)據(jù)的的完整整性。。利用密密碼設(shè)設(shè)備對對通信信過程程中的的敏感感信息息字段段進(jìn)行行加密密。目錄錄三、國家級路網(wǎng)監(jiān)測點(diǎn)信息安全要求一、系統(tǒng)安全建設(shè)總體要求二、路網(wǎng)平臺(tái)及其支撐系統(tǒng)安全要求四、系統(tǒng)檢測要求一般規(guī)規(guī)定由獲得得相關(guān)關(guān)檢測測資質(zhì)質(zhì)的檢檢測部部門負(fù)負(fù)責(zé)對對公路路網(wǎng)運(yùn)運(yùn)行監(jiān)監(jiān)測與與服務(wù)務(wù)系統(tǒng)統(tǒng)的系系統(tǒng)功功能、、設(shè)施施指標(biāo)標(biāo)及安安全性性能進(jìn)進(jìn)行檢檢測，，對包包括部部、省省兩級級路網(wǎng)網(wǎng)平臺(tái)臺(tái)的系系統(tǒng)功功能，，國家家級路路網(wǎng)監(jiān)監(jiān)測點(diǎn)點(diǎn)的采采集設(shè)設(shè)施以以及部部、省省兩級級路網(wǎng)網(wǎng)平臺(tái)臺(tái)與監(jiān)監(jiān)測點(diǎn)點(diǎn)之間間的數(shù)數(shù)據(jù)傳傳輸加加密設(shè)設(shè)施進(jìn)進(jìn)行檢檢測，，保障障公路路網(wǎng)運(yùn)運(yùn)行監(jiān)監(jiān)測與與服務(wù)務(wù)系統(tǒng)統(tǒng)的安安全、、穩(wěn)定定運(yùn)行行。檢測合格，，符合入網(wǎng)網(wǎng)并網(wǎng)條件件的方可投投入運(yùn)行。?；疽笙到y(tǒng)所涉及及關(guān)鍵設(shè)備備及軟件流流程應(yīng)嚴(yán)格格按照國家家、交通運(yùn)運(yùn)輸行業(yè)相相關(guān)標(biāo)準(zhǔn)及及技術(shù)規(guī)范范執(zhí)行，并并滿足本技技術(shù)要求規(guī)規(guī)定的各項(xiàng)項(xiàng)功能指標(biāo)標(biāo)；設(shè)備安裝到到位并已連連通，處于于正常工作作狀態(tài)；系統(tǒng)具備完完整的設(shè)計(jì)計(jì)、施工、、驗(yàn)收等材材料，以及及分項(xiàng)工程程自檢和設(shè)設(shè)備調(diào)試記記錄、設(shè)備備及附（備備）件清單單、有效設(shè)設(shè)備檢驗(yàn)合合格報(bào)告或或證書等資資料；數(shù)據(jù)交換格格式符合附附錄E“數(shù)據(jù)交換換技術(shù)要求求”；平臺(tái)軟件界界面友好、、操作簡單單；密碼設(shè)備應(yīng)應(yīng)采用經(jīng)國國家密碼局局審批的商商用密碼設(shè)設(shè)備。實(shí)測要求（（1）功能類型項(xiàng)次檢查項(xiàng)目檢測依據(jù)檢測方法部、省級路網(wǎng)平臺(tái)1△狀態(tài)監(jiān)測與服務(wù)指標(biāo)第二部分“3公路網(wǎng)運(yùn)行狀態(tài)監(jiān)測與服務(wù)指標(biāo)”實(shí)際操作2△數(shù)據(jù)處理第二部分“4.1軟件總體要求”第三部分技術(shù)附件F“部、省級公路網(wǎng)運(yùn)行監(jiān)測與服務(wù)平臺(tái)數(shù)據(jù)字典”實(shí)際操作2.1數(shù)據(jù)存儲(chǔ)格式2.2視頻數(shù)據(jù)存儲(chǔ)格式2.3數(shù)據(jù)質(zhì)量2.4數(shù)據(jù)更新與維護(hù)2.5數(shù)據(jù)存儲(chǔ)時(shí)間3軟件功能第二部分“4.2軟件核心功能要求”第二部分“第六章公路出行信息發(fā)布技術(shù)要求”實(shí)際操作3.1△公路網(wǎng)監(jiān)測與分析3.2△應(yīng)急會(huì)商與處置3.3△信息展示3.4△信息發(fā)布3.