上海市路政局信息安全保障体系的设计.pdf

一 Ⅲ 一 ◎ 上海市路政局信息安全保障体系的设计 黄慰里 ，陈 丛 (上海市路政局，上海 200063) 摘要 ： 对上海市路政局的信息化状况进行分析 ，将信息安全管理思想贯穿整个上海市路政局信息安全保障体系的建设过程 ，并强 调统一规划 、分步实施、技术管理并重、突出安全保障的原则，从而在整体上实现安全技术体系、安全管理体系、安全运行保障体系 的信息安全保障体系 。 关键词 ： 信息安全 ；管理体系；运行保障 0 引言 统都部署了防火墙、防病毒、终端安全管理等安全设 上海市路政局是负责组织实施城市道路和公路管 备 ，为信息系统 的安全防护起到 了积极的作用。但在 理 、路政执法和道路管线监察的单位 。上海市路政局 信息安全管理保障体系建设的整体规划和管理方面还 自身非常重视信息化建设 ，成立伊始逐年加大在信息 需要更加系统的、全面性展开。 安全建设方面 的投入 ，进行 了一系列 的安全组织 、制 度 、管理和技术方面的信息安全建设工作 ，为上海市路 2 建设原则 政局信息系统的安全防护起到了积极 的作用 。但伴随 信息安全保障体系的建设 ，涉及面广、工作量大， 着信息系统的快速发展，信息系统所面临的安全威胁 必须坚持 以下的原则 ，保证建设和运营的效果 。 日益复杂 ，用户对信息安全系统的需求与 日俱增。 2．1 统一规划 上海市路政局信息安全保障体系架构以国家等级 信息安全保障体系建设应同步于信息化建设进行 保护要求要求为准绳 ，以自身发展为需求 ，以切实提高 统一规划 ，制定信息安全体系框架，明确保障体系中所 上海路政局 自身信息安全管理水平和技术水平为 目 包含的内容 。同时，还要制定统一的信息安全建设标 标 ，以进一步提升 自身的安全防护能力为落脚点，最终 准和管理规范，使得信息安全体系建设能够遵循一致 形成综合性信息安全保障体系架构 ，以应用和指导上 的标准 ，管理能够遵循一致的规范。 海市路政局 目前及将来的信息化发展建设 。 根据当前信息安全体系建设的内、外部要求 ，需统 上海市路政局信息安全保障体系规划设计工作从 一 标准且遵循 GB／T22239—2008((信息安全技术 信息 2013年 5月开始，经过系统调研 、风险评估 、方案规 系统安全等级保护基本要求》为根本 ，以GB／T25070— 划、体系设计和文档编制等一系列工作 ，于 2014年 1 2010 《信息系统等级保护安全设计技术要求》为基本 月结束。本文主要阐述和针对上海市路政局涉及的信 方法 ，参考 GB／T22080—2O08((信息技术安全技术 信 息安全保障体系架构的规划设计过程 。 息安全管理体系要求》等，结合路政行业信息系统特点 及实际情况，形成安全 、合理、可实现的信息安全保障 1 当前现状分析 体系架构 。 当前 ，国家对交通信息化建设非常重视，但伴随着 2．2 分布有序实施 信息系统的快速发展，信息系统所面临的安全威胁 日 信息安全体系的建设 内容庞杂 ，必须坚持分步骤 益复杂，用户对信息安全系统的需求与 日俱增 。同样 ， 的有序实施原则 ，循序渐进地进行 。信息安全管理建 对于上海市路政局的信息化建设 ，各级领导对安全工 设是一项不断发展、不断进步的系统