市交通局计算机信息安全问题整改报告

20__年10月15日__市信息化办公室组织国家信息安全评测认证中心上海中心__办事处的专家对我局的信息化安全进行了比较系统的检测，并给出了概要评估报告和提出了安全措施建议。我局对此报告非常重视，召开了由相关人员参加的信息安全工作会议，会上对检测出的问题逐个地进行分析，制定出相应的解决方案，并按照解决方案迅速地予以实施。具体整改情况如下:

一、安全管理机构及管理制度的整改

由于给安全检测专家介绍情况的人员对交通局整个安全管理体制不十分了解，所以给评测专家留下了交通局没有专门的管理组织，管理制度制定落后于目前的网络安全工作的印象。实际情况是__市交通局于20__年3月重新调整了信息化领导小组的成员及工作职责，其中一项重要的工作就是信息化安全工作。同时也发布了一系列的信息化管理制度，如《__市交通局信息系统安全管理制度》、《__交通信息网网站管理制度》等。在新发布的《__市公路、水路交通信息化建设规划（20__-20__）》中对信息安全也作了全面的规划。目前只是由于对这些规划和制度组织学习不够，使得安全制度的落实不能完全到位。为保证信息系统的安全运行，我们将对所有的信息化管理制度进行一次全面的修订，并将一些制度进行细化，分别制定出《机房管理制度》、《设备维护制度》、《访问控制管理制度》、《设备操作管理制度》等一系列的管理制度，并将各项制度的执行落实到人，尽量减少因制度不落实、管理不到位而造成的损失。

二、对信息安全设备的软硬件配置的整改

1、系统灾备:我们针对不同系统采取了不同的措施。

针对办公自动化系统采用的是磁带备份，策略为每周一进行完全备份，每周三和周五进行增量备份，同时将整个系统应急恢复盘刻成光盘。当系统崩溃时通过应急盘和备份磁带迅速恢复系统。此次安全检测时，发现的磁带问题是由于一盘磁带出现故障，而使得整个系统的全备份没有完成，现在我们已更换了所有磁带，备份系统已恢复正常。针对内外网站，由于所有页面数据存储在数据库中，我们采取的是每日对数据库进行异地备份，涉及网站的程序也刻成光盘保存。由于每台计算机有相应的备份机器，所以一旦网站系统崩溃，可通过更改该备份计算机的ip地址，复制相关程序和恢复数据库的步骤迅速恢复网站。

2、病毒防护：由于历史原因，我们通过三种方式来更新交通局所有的计算机上的杀毒软件。

1）对所有安装win98的计算机通过一台nt4.0的服务器来安装更新杀毒软件，杀毒软件为kill 20__。

2）对所有安装win xp的计算机通过一台win 20__的服务器来安装更新杀毒软件。杀毒软件为kill 6.0安全胄甲。

3）只用于连接互联网的计算机（单机）安装朝华安博士单机版，外网服务器使用kill 6.0安全胄甲，通过英特网更新。根据此次评测报告的建议，我们将安装一台杀毒软件更新服务器，将所有内网的计算机安装统一的网络版杀毒软件，通过一台服务器来更新升级。

3、边界控制：

1）外网百兆防火墙。评估报告中指出的外网百兆防火墙带有入侵检测功能与单独的入侵检测系统非常相像，而我们认为单独的入侵检测系统功能强大，有丰富的监测图表，而防火墙内嵌的入侵检测功能非常简单，而且一旦防火墙入侵检测系统打开，对防火墙的性能有一定的影响，所以我们设立了单独的入侵检测系统。

2)关于防火墙与管理计算机之间通讯为加密的问题，我们也是经过选择的。联想防火墙提供两种管理模式，密匙管理方便但不加密和通讯加密管理但比较繁琐，为管理方便我们采用了密匙管理的方式，今后我们将尽量采用通讯加密的管理方式，以保证防火墙的自身安全。

3）外网入侵检测系统。根据评估报告的建议我们对该入侵检测系统进行了重新配置，重新制定了规则，避免了误报。此外，由于硬件条件的设置，我们暂时将入侵检测管理端口用工网地址，但对其访问我们做了严格的限制。并已着手准备硬件设备，尽快将管理端口设置成私有地址。需要说明的是外网防火墙和入侵检测联动功能一直是打开的。

4）内网千兆防火墙。按照评估报告的建议，我们已打开了防火墙的包过滤日志功能；由于防火墙的入侵检测功能会增加防火墙的`负担，影响防火墙的性能，所以没有打开防火墙的入侵检测功能；至于厂家定义的报警值是指日志文件大小超过该报警值防火墙将报警提示用户，根据监测此阀值偏小（根据厂家说明此标准值为百兆防火墙设置，对千兆防火墙偏小），我们已作相应的调整。考虑到资金以及内网相对于外网较为安全，按照轻重缓急的原则，我们为外网配置了防火墙和入侵检测系统，而内网目前只配备了防火墙，若明年资金允许，我们将在内网部署入侵检测系统。

4、漏洞检测与优化：

对windows操作系统现已能够做到及时更新。并在windows系统上已配置了最适合本单位实际情况的安全策略以及在防火墙上配置了最适合本单位实际情况的ip筛选机制。目前本局还没有liunx系统。

5、网页监控与恢复：

我局内外网站都部署有网页监控与恢复系统，对网页进行实时监控，一旦网页被非法修改，将自动进行恢复，并且除了iis日志，对网页的所有修改以及用户管理操作都有日志记录，以便追踪非法操作。

6、应急响应：

我局针对重要的应用系统（办公自动化、内外网站、网络系统等）制定了一些列的应急预案，目前根据网络和系统应用的变化，将进行优化，以保证应急相应的及时有效。此外，还对重要的系统或设备建立日志服务器，并派专人对日志进行整理、分析。进而快速地找到原因、采取应对措施。

对一些安全问题的探讨

防火墙系统自身的ftp、telnet等服务没有停止的问题：通过向联想咨询，以及根据我们测试的结果，目前防火墙系统本身没有打开telnet和ftp服务，所以无法用telnet、ftp登陆防火墙系统。不知评测报告中指的“防火墙系统自身的ftp、telnet等服务没有停止”指的是什么。

十分感谢市信息办和国家信息安全测评认证中心上海中心__办事处，为我局计算机信息系统作了免费的安全评估，并提出了许多宝贵的意见和建议，对我局计算机信息系统安全工作给予了极大的帮助。希望今后，市信息办和国家信息安全测评认证中心上海中心__办事处能继续对我局的计算机信息系统安全工作进行指导，帮助我局做好计算机信息系统的安全工作。

__市交通局