范双成 - 交通运输学院
Download
Report
Transcript 范双成 - 交通运输学院
交通运输信息安全及其保障
四川省交通运输厅信息中心
二〇一二年三月
范双成
目录
一、交通运输信息化发展概述
二、交通运输信息安全面临的形势
三、交通运输信息安全体系建设的思考
四、强化交通运输信息安全建设的建议
(一)交通运输信息化发展现状
以“整合、应用、服务、效益”的理念为引领,交通
运输信息化在提高公众信息服务水平,增强安全监管
和应急处置能力,提高基础设施和运载装备的运行效
率,规范市场运行秩序,提升政府决策管理效能等方
面发挥了重要作用。
网络技术、数据库技术、GIS技术、视频技术、计算机通信、传感技术
……
(一)交通运输信息化发展现状
路网运行管理方面
重点加强了高速公路、普通国省干线公路重要路段、大型桥梁、长
大隧道、高风险水域、重要航段和公路客货运输枢纽、港口等基础
设施运行监测与监控系统的建设,深化了路网、航道运行和养护管
理的信息化应用,有效保障了交通基础设施的通行能力,提高了服
务水平
联网监控
联网收费
交通量观测站
数字航道
(一)交通运输信息化发展现状
交通运输管理方面
重点加强了公路水路运输经营业户、从业人员、营运车辆、船舶等
重要基础数据库的建设,并在公路水路建设和运输市场监管信息化
应用方面取得了重要进展,市场秩序得到进一步规范
道路运政
管理系统
“一卡通”
工 程
货代
超限运输
审批系统
执法业务
管理软件
堆场
交换中心
车队
(一)交通运输信息化发展现状
交通安全监管及应急系统建设方面
运用船舶自动识别、船舶交通管理、全球卫星定位、低极轨道搜救
卫星、高频、甚高频、卫星通信、视频监控等多种技术,加强了对
公路水路基础设施和运输装备的监测监控,交通运输安全监管与应
急反应能力显著增强
公路网管理与
应急处置中心
卫星通信
视频监控
AIS系统
(一)交通运输信息化发展现状
服务社会经济方面
公路水路交通公共信息服务水平稳步提高,内容逐步丰富,手段
更加多样,服务覆盖范围愈加广泛
交通政务
门户网站
交通出行
信息服务
客运联网
售票系统
交通科技
信息服务
(二)交通运输信息化面临的机遇与挑战
(一)保障交通运输系统的畅通、高效,要求加强对
交通基础设施和运输装备的运行监测,提高其
运营管理水平和运行效率。
(二)满足人民群众安全便捷出行,要求为公众提供
优质的出行信息服务。
(二)交通运输信息化面临的机遇与挑战
(三)保障交通运输安全发展,要求提升交通运输安
全监管和应急处置的监测预警、通信保障和决
策支持水平。
(四)推进综合运输体系建设和发展现代物流,要求
促进多种运输方式的信息共享和业务协同。
(二)交通运输信息化面临的机遇与挑战
(五)提高决策的前瞻性和科学性,要求准确把握交
通运输经济运行状况,深化行业综合运行分析。
(六)构建绿色交通,要求利用信息技术优化运行组
织模式和流程,节约能源,减少排放。
(三)交通运输信息化“十二五”发展目标
总体目标:建立更加全面、高效的交通运输运行监测网络,
进一步提升交通运输信息资源的深度开发与综合利用水平,
交通运输系统全网联动、协同应用程度进一步提高,在保障
畅通运行方面取得显著实效,在提升运行效率、服务公众出
行方面取得明显突破,在规范市场秩序、强化安全应急、服
务决策支持方面全面提升,在推进综合运输体系建设、发展
现代物流、实现低碳绿色交通方面取得重大进展,为现代交
通运输业发展提供坚强支撑与保障
(三)交通运输信息化“十二五”发展目标
具体目标:
1. 推进交通基础设施的数字化和智能化,交通基础
设施和运输装备运行监测网络基本建成,干线公路
网重要路段和内河干线航道重要航段监测覆盖率达
到70%以上,重点营业性运输装备监测覆盖率达到
100%;
2. 提高信息资源开发利用水平,部省两级公路、航
道、港口、营运车辆、船舶、经营业户、从业人员
等行业核心的基础性、战略性数据库100%建成;
(三)交通运输信息化“十二五”发展目标
具体目标:
3. 推进行业重大应用工程建设,全面提升行业业务协
同、科学决策和信息服务能力,对促进服务型政府建
设的作用更加显著;
4. 创新信息化管理机制,交通运输信息化发展保障环
境基本适应信息化发展的要求。
二、信息安全面临的形势和威胁
随着信息网络技术的飞速发展,网络应用在政府机关日
常办公中越来越普及,也发挥着越来越重要的作用,实
现机关办公的网络化、自动化以及信息资源共享化,是
时代发展的趋势。政府机关在享受着网络信息技术带来
的方便、快捷、高效等好处时,也面临着越来越严重的
网络安全问题。
二、信息安全面临的形势和威胁
(一)信息安全形势依然严峻
2011年恶意代码统计
二、交通运输信息安全面临的形势
(一)信息安全形势依然严峻
2011年恶意代码统计
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
1.数据泄露导致的安全威胁
数据泄露是指单位或部门内的重要数据或信息资产以违反安全策
略规定的形式流到外界。
数据外泄的根源在于:
1)使用泄漏
2)存储泄漏
3)传输泄漏
案例分析:2011年12月,国内多家大型网站发生的数据泄漏事件
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
2.钓鱼网站威胁
钓鱼网站是指不法分子仿冒正常网站域名以及内容,让网民信以
为真,进而窃取网民的个人财产和个人账号等相关信息。
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
2.钓鱼网站威胁
案例1:仿冒QQ网站及客户端
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
2.钓鱼网站威胁
案例2:仿冒银行网站
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
2.钓鱼网站威胁
案例3:仿冒购物网站
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
3.非法外联威胁
“非法外联”使原本封闭系统环境与外部网络出现隐蔽通道,内部网
络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全
威胁,导致网络结构、服务器部署、安全防护措施等信息被泄露,甚
至进行跨安全域、跨网络破坏。
案例分析:某政府单位内一工作人员内外网络混用
二、信息安全面临的形势和威胁
(二)信息安全威胁分类及案例
4.移动存储介质威胁
移动存储介质在使用过程中产生的安全隐患:
1、由于使用人员安全意识不高,致使带有单位机密文件的移动存储
介质丢失;
2、移动存储介质在内外网之间直接交互使用,使“黑客”有了可乘
之机;
3、由于不规范使用,使存储介质成为了病毒从外网进入内网的桥梁。
案例分析:英国税务局“光盘”门事件
三、交通运输信息安全体系建设的思考
(一)信息安全体系建设总体框架
交通运输信息安全体系的建设,将充分按照国内外信息安全标准规范,
国家等保分保政策要求以及交通运输行业的信息化实际需求,对整个信
息安全保障体系进行统一规划、设计、建设和运维。
三、交通运输信息安全体系建设思考
(二)信息安全管理体系建设
1、安全管理制度
安全管理制度
管
理
制
度
制
定
和
发
布
评
审
和
修
订
三、交通运输信息安全体系建设思考
(二)信息安全管理体系建设
2.安全管理机构
安全管理机构
岗
位
设
置
人
员
配
备
授
权
和
审
批
沟
通
和
合
作
审
核
和
检
查
三、交通运输信息安全体系建设思考
(二)信息安全管理体系建设
3. 人员安全管理
人员安全管理
人
员
录
用
人
员
离
岗
人
员
考
核
安
全
意
识
教
育
和
培
训
外
部
人
员
访
问
管
理
三、交通运输信息安全体系建设思考
(二)信息安全管理体系建设
4. 系统建设管理
系统建设管理
安
全
保
护
定
级
安
全
方
案
设
计
安
全
产
品
采
购
软
件
开
发
管
理
三、交通运输信息安全体系建设思考
(二)信息安全管理体系建设
5.系统运维管理
系统运维管理
环
境
管
理
资
产
管
理
介
质
管
理
设
备
管
理
监
控
管
理
和
安
全
管
理
中
心
网
络
安
全
管
理
系
统
安
全
管
理
恶
意
代
码
防
范
管
理
密
码
管
理
变
更
管
理
备
份
与
恢
复
管
理
安
全
事
件
处
置
应
急
预
案
管
理
三、交通运输信息安全体系建设思考
(三)信息安全技术体系建设
1. 物理安全
物理安全
物
理
位
置
的
选
择
物
理
访
问
控
制
防
盗
窃
和
防
破
坏
防
雷
击
防
火
防
水
和
防
潮
温
湿
度
控
制
电
力
供
应
电
磁
防
护
三、交通运输信息安全体系建设思考
(三)信息安全技术体系建设
2. 网络安全
网络安全
结
构
安
全
访
问
控
制
边
界
完
整
性
检
测
入
侵
防
范
网
络
设
备
防
护
三、交通运输信息安全体系建设思考
(三)信息安全技术体系建设
3.主机安全
主机安全
身
份
鉴
别
访
问
控
制
安
全
审
计
剩
余
信
息
防
护
入
侵
防
范
恶
意
代
码
防
范
资
源
控
制
三、交通运输信息安全体系建设思考
(三)信息安全技术体系建设
4.应用安全
应用安全
身
份
鉴
别
访
问
控
制
安
全
审
计
通
信
完
整
性
通
信
保
密
性
抗
抵
赖
软
件
容
错
资
源
控
制
三、交通运输信息安全体系建设思考
(三)信息安全技术体系建设
5.数据安全
数据安全
数
据
完
整
性
数
据
保
密
性
备
份
与
恢
复
三、交通运输信息安全体系建设思考
(四)信息安全运维体系建设
信息安全运维体系是指对运维对象(IT基础资产、IT应用系统、IT用户
等)通过运维支撑工具和相适应的运维管理模式(自主、外包、混合),
基于流程化的管理方法,最终实现业务系统安全运行管理服务(计划、执
行、评审、改进)。信息安全运维体系的建设绝不只是信息安全部门的责
任,而是和整个组织每一个分支,每一个部门及每一名员工都息息相关。
通过有效的合理调整,从而达到运维可以被管理、审计、考核的高度。
三、交通运输信息安全体系建设思考
(四)信息安全运维体系建设
当前存在的问题
1、出现故障时无法迅速定位安全事件起因;
2、时时处于被动服务之中,无法提供量化的服务质量标准;
3、缺少相应的流程和知识积累,对安全事件缺少关联性分析和评估分析;
4、没有对安全事件定义明确的处理流程,更多的是靠人的经验和责任心;
5、缺少必要的审核和综合性工具的支撑。
三、交通运输信息安全体系建设思考
(四)信息安全运维体系建设
运维服务的发展趋势
四、加强信息安全建设的建议
(一)强化安全保密意识,高度重视信息安全
强化安全保密意识,高度重视信息安全,是确保信息系统安全
运行的前提条件
四、加强信息安全建设的建议
(二)加强安全制度建设,建立完善的工作规范
加强安全制度建设,建立完善的工作规范,是做好信息安全
保障工作的重要基础
四、加强信息安全建设的建议
(三)建立信息安全组织体系,落实安全管理责任制
建立信息安全组织体系,落实安全管理责任制,是做好信息安
全保障工作的关键
四、加强信息安全建设的建议
(四)结合实际注重实效,正确处理信息安全“五大关系”
1.处理好发展与安全的关系
2.处理好安全成本与效益的关系
3.处理好信息安全与共享(信息公开和保密)的关系
4、处理好安全管理与技术的关系
5、处理好应急与长效的关系
谢
谢