政务无线通信系统信息安全保护等级(二级等级保护要
求) 技术方案及说明
本技术方案对政务无线通信系统设备是否满足标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008的相关要求(二级等级保护要求)进行说明。
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭受到损害后,能够恢复部分功能。我方主要针对物理安全、网络安全、主机安全、应用安全、数据安全等几个方面进行系统安全保护。
1. 物理安全
北京地铁16号线政务无线通信系统主要设备安装在警用通信机房以及隧道内。警用通信机房内设备通过螺丝固定到19英寸设备机柜,大大增加了设备的稳定性,机房出入都有专人负责,控制、鉴别和记录进入的人员,不会轻易造成设备盗窃及破坏活动。隧道内设备采用机体背架安装在隧道壁上,采用多个螺丝固定,且设备采用明锁设计,大大增加了设备的稳定性。隧道出入都有专人负责,控制、鉴别和记录进入的人员,不会轻易造成设备盗窃及破坏活动。
警用机房内设备均做了接地保护处理,设备通过接地线连接到机房接地铜排;隧道内设备也做了接地保护处理,设备通过接地线连接到隧道接地铜排。接地保护保证设备金属外壳没有电流,具有良好的防静电措施。警用通信机房及隧道均采用专业的防雷措施,确保了设
备很难受到防雷击伤害。
警用通信机房设置专业的灭火设备与火灾自动报警系统,大大提升了设备的防火保护能力;同时安装空调,可将机房温度与湿度保持在对设备最有利的温湿度环境内。政务无线通信设备所需供电均由智能PDU系统提供,可以很好地控制设备电压波动,提高设备稳定性;设备的电源线与通信线缆隔离铺设,减弱相互之间的干扰。
2. 网络安全
本系统的内部数据处理和交换基于IP。系统中各个设备通过公安计算机网络提供的网络进行连接。其网络拓扑结构图如下:
POI监控近端机POI监控近端机POI监控近端机POI监控近端机10/100M交换机10/100M交换机10/100M10/100M10/100M交换机10/100M交换机10/100M计算机网络网管设备直放站网络拓扑图
通过该网络拓扑图可看出,在政务无线通信系统的网管室,通过网管终端就可以对全线设备进行监控与管理。
网管终端的操作系统采用微软最新的正版操作系统,确保整个系统网络结构中的信息安全。系统的访问控制设置了用户名和密码,能够决定允许或拒绝用户对受控系统进行资源访问。所有网管操作维护都具备日志信息,通过日志可以查看到所有的操作记录。同时通过网管终端可以对系统数据和用户数据进行备份。
3. 主机安全
政务无线通信系统所有主机都设置了开机用户名与密码,可以对登录操作系统和数据库系统的用户进行身份识别和鉴别。政务无线通信系统内的所有主机,均连接在封闭的公安计算机网络中,没有对外接口,并且可以设置高强度的用户访问密码,因此能将外部攻击杜绝在源头处。
主机可用的USB接口,在读取移动存储设备(U盘、移动硬盘等)之前,先进行病毒检查。
4. 应用安全
政务无线通信系统的应用软件主要由网管软件构成,该软件为自主研发的针对性应用软件,不存在恶意代码的情况。该软件设置了登录用户名与密码,能够鉴别登录人员,防止他人恶意登录篡改信息或恶意操作。网管终端采用用户名/密码访问机制提高安全等级,并可以对登录网管应用软件的账号权限进行单独设置,进一步提高了应用的安全性。
5. 数据安全
政务无线通信系统的网管终端设备安装了最新的数据库软件,可将数据信息长期存储在设备上,具有安全性、独立性等特点。