市交通局計算機資訊保安問題整改報告

20__年10月15日__市資訊化辦公室組織國家資訊保安評測認證中心上海中心__辦事處的專家對我局的資訊化安全進行了比較系統的檢測，並給出了概要評估報告和提出了安全措施建議。我局對此報告非常重視，召開了由相關人員參加的資訊保安工作會議，會上對檢測出的問題逐個地進行分析，制定出相應的解決方案，並按照解決方案迅速地予以實施。具體整改情況如下:

一、安全管理機構及管理制度的整改

由於給安全檢測專家介紹情況的人員對交通局整個安全管理體制不十分了解，所以給評測專家留下了交通局沒有專門的管理組織，管理制度制定落後於目前的網路安全工作的印象。實際情況是__市交通局於20__年3月重新調整了資訊化領導小組的成員及工作職責，其中一項重要的工作就是資訊化安全工作。同時也釋出了一系列的資訊化管理制度，如《__市交通局資訊系統安全管理制度》、《__交通訊息網網站管理制度》等。在新發布的《__市公路、水路交通訊息化建設規劃（20__-20__）》中對資訊保安也作了全面的規劃。目前只是由於對這些規劃和制度組織學習不夠，使得安全制度的落實不能完全到位。為保證資訊系統的安全執行，我們將對所有的資訊化管理制度進行一次全面的修訂，並將一些制度進行細化，分別制定出《機房管理制度》、《裝置維護制度》、《訪問控制管理制度》、《裝置操作管理制度》等一系列的管理制度，並將各項制度的執行落實到人，儘量減少因制度不落實、管理不到位而造成的損失。

二、對資訊保安裝置的軟硬體配置的整改

1、系統災備:我們針對不同系統採取了不同的措施。

針對辦公自動化系統採用的是磁帶備份，策略為每週一進行完全備份，每週三和週五進行增量備份，同時將整個系統應急恢復盤刻成光碟。當系統崩潰時通過應急盤和備份磁帶迅速恢復系統。此次安全檢測時，發現的磁帶問題是由於一盤磁帶出現故障，而使得整個系統的全備份沒有完成，現在我們已更換了所有磁帶，備份系統已恢復正常。針對內外網站，由於所有頁面資料儲存在資料庫中，我們採取的是每日對資料庫進行異地備份，涉及網站的程式也刻成光碟儲存。由於每臺計算機有相應的備份機器，所以一旦網站系統崩潰，可通過更改該備份計算機的ip地址，複製相關程式和恢復資料庫的步驟迅速恢復網站。

2、病毒防護：由於歷史原因，我們通過三種方式來更新交通局所有的計算機上的防毒軟體。

1）對所有安裝win98的計算機通過一臺nt4.0的伺服器來安裝更新防毒軟體，防毒軟體為kill 20__。

2）對所有安裝win xp的計算機通過一臺win 20__的伺服器來安裝更新防毒軟體。防毒軟體為kill 6.0安全冑甲。

3）只用於連線網際網路的計算機（單機）安裝朝華安博士單機版，外網伺服器使用kill 6.0安全冑甲，通過英特網更新。根據此次評測報告的建議，我們將安裝一臺防毒軟體更新伺服器，將所有內網的計算機安裝統一的網路版防毒軟體，通過一臺伺服器來更新升級。

3、邊界控制：

1）外網百兆防火牆。評估報告中指出的外網百兆防火牆帶有入侵檢測功能與單獨的入侵檢測系統非常相像，而我們認為單獨的入侵檢測系統功能強大，有豐富的監測圖表，而防火牆內嵌的入侵檢測功能非常簡單，而且一旦防火牆入侵檢測系統開啟，對防火牆的效能有一定的影響，所以我們設立了單獨的入侵檢測系統。

2)關於防火牆與管理計算機之間通訊為加密的問題，我們也是經過選擇的。聯想防火牆提供兩種管理模式，密匙管理方便但不加密和通訊加密管理但比較繁瑣，為管理方便我們採用了密匙管理的方式，今後我們將盡量採用通訊加密的管理方式，以保證防火牆的自身安全。

3）外網入侵檢測系統。根據評估報告的建議我們對該入侵檢測系統進行了重新配置，重新制定了規則，避免了誤報。此外，由於硬體條件的設定，我們暫時將入侵檢測管理埠用工網地址，但對其訪問我們做了嚴格的限制。並已著手準備硬體裝置，儘快將管理埠設定成私有地址。需要說明的是外網防火牆和入侵檢測聯動功能一直是開啟的。

4）內網千兆防火牆。按照評估報告的建議，我們已打開了防火牆的包過濾日誌功能；由於防火牆的入侵檢測功能會增加防火牆的`負擔，影響防火牆的效能，所以沒有開啟防火牆的入侵檢測功能；至於廠家定義的報警值是指日誌檔案大小超過該報警值防火牆將報警提示使用者，根據監測此閥值偏小（根據廠家說明此標準值為百兆防火牆設定，對千兆防火牆偏小），我們已作相應的調整。考慮到資金以及內網相對於外網較為安全，按照輕重緩急的原則，我們為外網配置了防火牆和入侵檢測系統，而內網目前只配備了防火牆，若明年資金允許，我們將在內網部署入侵檢測系統。

4、漏洞檢測與優化：

對windows作業系統現已能夠做到及時更新。並在windows系統上已配置了最適合本單位實際情況的安全策略以及在防火牆上配置了最適合本單位實際情況的ip篩選機制。目前本局還沒有liunx系統。

5、網頁監控與恢復：

我局內外網站都部署有網頁監控與恢復系統，對網頁進行實時監控，一旦網頁被非法修改，將自動進行恢復，並且除了iis日誌，對網頁的所有修改以及使用者管理操作都有日誌記錄，以便追蹤非法操作。

6、應急響應：

我局針對重要的應用系統（辦公自動化、內外網站、網路系統等）制定了一些列的應急預案，目前根據網路和系統應用的變化，將進行優化，以保證應急相應的及時有效。此外，還對重要的系統或裝置建立日誌伺服器，並派專人對日誌進行整理、分析。進而快速地找到原因、採取應對措施。

對一些安全問題的探討

防火牆系統自身的ftp、telnet等服務沒有停止的問題：通過向聯想諮詢，以及根據我們測試的結果，目前防火牆系統本身沒有開啟telnet和ftp服務，所以無法用telnet、ftp登陸防火牆系統。不知評測報告中指的“防火牆系統自身的ftp、telnet等服務沒有停止”指的是什麼。

十分感謝市資訊辦和國家資訊保安測評認證中心上海中心__辦事處，為我局計算機資訊系統作了免費的安全評估，並提出了許多寶貴的意見和建議，對我局計算機資訊系統安全工作給予了極大的幫助。希望今後，市資訊辦和國家資訊保安測評認證中心上海中心__辦事處能繼續對我局的計算機資訊系統安全工作進行指導，幫助我局做好計算機資訊系統的安全工作。

__市交通局