货运服务平台系统存在的主要安全问题及整改建议
1、安全通信网络
问题：未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
整改建议：建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
2、安全区域边界
问题：①被测系统网络核心业务部署在阿里云上，采用了高级版的阿里云安全中心，未能实现对网络攻击特别是新型网络攻击行为的分析；
②未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
整改建议：①建议采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；
②建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
3、安全计算环境（网络）
问题：①阿里云控制台：未对重要主体和客体设置安全标记，未控制主体对有安全标记信息资源的访问；
②阿里云控制台：未限定网络地址范围对通过网络进行管理的管理终端进行限制；
③阿里云控制台：未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证。
整改建议：①阿里云控制台：建议对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问；
②阿里云控制台：建议设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
③阿里云控制台：建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
4、安全管理中心
问题：已通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记，对主体进行授权，但未能够配置可信验证策略。
整改建议：建议通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略。
5、安全管理制度
问题：未定期对安全管理制度的合理性和适用性进行论证和审定。
整改建议：组织管理层、决策者和制度修订负责人对安全管理制度定期（例行检查，如每年一次）或不定期（当发生重大变更或紧急事故时进行）进行检查和审定，对发现有误、过时、失效等不符合情况进行修订并重新发布新版本。所制定的安全管理制度应该符合相关法律法规或者行业标准的要求、符合公司网络安全发展战略目标要求、符合公司成本效益要求、符合当前技术发展形势要求。
6、安全管理机构
问题：①未定期进行包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等全面的安全检查；
②未定期开展全面的安全检查，故不存在相应的检查记录，通报记录等。
整改建议：①应由网络安全领导层或管理层组织定期进行安全管理评审，检查内容包括检测所采取的安全技术措施是否有效、安全配置和安全策略是否一致、安全管理制度的执行情况等；
②根据相关的安全标准、企业信息安全战略目标制定详细的安全检查列表，详细记录检查情况，形成检查报告，通报结果，归档保存记录，并督促整改。
7、安全管理人员
问题：①被测单位与录用人员签署了《保密及竞业禁止协议》，但是未与关键岗位人员签署岗位责任协议；
②未制定不同岗位的不同的培训计划。
整改建议：①与关键岗位的人员单独签署关键岗位责任协议；
②根据每年年初的培训需求调查表，制定年度培训计划，培训内容覆盖网络安全基础知识、岗位安全技能、岗位操作规程等，并按照计划执行，保存培训记录。
8、安全建设管理
问题：①由网络与信息安全工作领导小组办公室负责保护对象的安全整体规划和安全方案设计，存在《省省回头车系统安全保护设施设计实施方案》，但设计内容未包含含密码技术相关内容；
②未进行上线前的安全性测试；
③未定期监督、评审和审核服务供应商提供的服务。
整改建议：①应根据等级保护对象的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，设计内容应包含密码技术相关内容，并形成配套文件；
②对系统进行独立的安全性测试，并出具相应测试报告；
③应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。

开展网络安全等级保护工作的流程
根据《信息安全等级保护管理办法》规定，等级保护工作主要分为五个环节，也就是我们通常我们所说的五个基本规定动作，分别为定级、备案、安全建设整改、等级测评、监督检查。
1、定级：网络运营者根据《网络安全等级保护定级指南》（GA/T1389）拟定网络的安全等级，组织召开专家评审会，对初步定级结果的合理性进行审批，出具专家评审意见，将初步定级结果上报行业主管部门进行审核。
2、备案：网络运营者根据网监要求将网络定级材料向公安机关备案，公安机关对定级准确，符合要求的网络发放备案证明。
3、安全建设整改：信息系统安全保护等级确定后，网络运营者根据网络安全保护等级，按照国家标准开展安全建设整改。
4、等级测评：信息系统建设完成后，网络运营者选择符合规定条件的测评机构，对三级以上网络（含国家关键信息基础设施）每年开展等级测评，查找发现问题隐患，提出整改意见。
5、监督检查：公安机关每年对网络运营者开展网络安全等级保护工作情况和网络的安全状况实施执法检查。
原文链接：http://www.yidengbao.cn/1460.html