物流行业涉及到大量用户信息,必须做等级保护。早在2012年,物流行业就已经发布了《关于进一步开展交通运输行业信息安全等级保护工作的通知》的政策法规。从今年1月1日起正式施行的《网络平台道路货物运输经营管理暂行办法》第二十一条也指出:网络货运经营者应当遵守《中华人民共和国网络安全法》等国家关于网络和信息安全有关规定。
 
同时,根据《网络平台道路货物运输经营管理实施细则(暂行)》第六条、第七条、第八条及第九条的规定,“取得三级及以上信息系统安全等级保护备案证明”,才能取得省运输事业发展中心的线上服务能力的认定,而只有取得线上服务能力的认定,才能申领《道路运输经营许可证》。因此,等级保护已然成为网络货运经营者的一个必要准入条件。
 
助力物流企业成功拿到网络货运经营许可,青莲网络三级等保合规方案值得拥有!本篇文章将以某公路运输服务平台系统三级等保为例,为大家展示青莲网络是如何帮助物流企业通过等级保护认证的。
 
一、公路运输服务平台系统介绍
 
某系统是一个公路运输服务平台,整合卡车司机和物流专线,提供整车、拼车和零担等运输服务。该系统于2014年建设完成并投入使用,主要功能包括司机与货主功能,货主功能。货主功能包括有:在线支付,订单管理,定位货运,定金保驾;司机功能包括有:在线接单,运单管理,线路订阅。
 
在系统安全方面,该系统部署在阿里云私有网络中,采用了阿里云高级版WAF以及高级版云安全中心,保证了系统网络的一定程度的安全性。
 
二、物流平台系统存在的安全问题及青莲的整改实施
 
虽然该系统部署在阿里云私有网络中,但仍然存在一些安全问题,如下是该系统存在的部分安全问题及整改建议:
 
安全通信网络:未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
整改建议:建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
安全区域边界:1)被测系统网络核心业务部署在阿里云上,采用了高级版的阿里云安全中心,未能实现对网络攻击特别是新型网络攻击行为的分析;2)未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
整改建议:1)建议采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;2)建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
安全管理中心:已通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记,对主体进行授权,但未能够配置可信验证策略。
整改建议:建议通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略。
 
安全管理机构:1)未定期进行包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等全面的安全检查;2)未定期开展全面的安全检查,故不存在相应的检查记录,通报记录等。
整改建议:1)应由网络安全领导层或管理层组织定期进行安全管理评审,检查内容包括检测所采取的安全技术措施是否有效、安全配置和安全策略是否一致、安全管理制度的执行情况等;2)根据相关的安全标准、企业信息安全战略目标制定详细的安全检查列表,详细记录检查情况,形成检查报告,通报结果,归档保存记录,并督促整改。
 
青莲网络整改实施
针对该公路运输平台系统存在的主要安全问题,青莲网络一站式安全专家全程参与,提供信息安全专业化技术支持和指导,配合客户进行高效整改并满足等保合规,顺利解决了测评实施过程暴露的问题。最终,该系统取得了91.2的测评高分,成功通过等保三级安全测评。
 
如下是青莲网络技术团队在给该系统进行整改实施过程中遇到的整改难点及我们提出的解决方案:
 
难点:该系统需要备份的服务器产生大量日志,需要进行统一的日志收集分析平台,但自建日志服务器投入成本大,运维难。
 
a:建议部署统一日志服务器对数据库日志进行统一存储管理,定期存档备份,并确保日志服务器中的日志不能被删除,只有审计员才有权限查看。;(高风险项)
b:对审计记录进行定期存档备份,且定期检查其备份策略有效性;(高风险项)
 
青莲网络解决方案:1)采用阿里云日志服务收服务器的各类日志,并复用RAM中的账号分权,修复a项高危;2)针对日志存放的bucket开启地域冗余,同步备份,修复b项高危。
 
青莲网络一站式等级保护解决方案服务
在详细整理国家相关等保规范的基础上,青莲网络整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,为客户提供专业、合规的三级等保代办服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助企业合规、高效通过等保测评。