欢迎访问等保测评网!

等保服务热线:18664786404

当前位置:主页 > 行业实践 > 物流 >

物流公司等保绝佳实践:高分通过等级测评

2020-09-02 16:03
 
物流行业的等级保护工作是必须的。早在2012年,物流行业《关于进一步开展交通运输行业信息安全等级保护工作的通知》 的物流政策法规就已经发布。
 
再到2019年,交通厅运输部发布了《网络平台道路货运经营服务指南》,其明确指出,网络货运运营者应当接入升级货运信息监测系统。此外,对于想要做网络平台道路货物运输经营服务的平台,交通部还给出了相关的指南,其中强调:货运平台系统安全建议起码满足网络安全等级保护三级要求
 
图片1
 
那么,物流公司的等级保护工作怎么做呢?青莲助力物流公司落实等级保护工作、高分通过等级测评,成功拿证!
 
一、青莲为物流、快递行业各公司提供等保定级、备案服务
 
某物流平台基于先进的定位调试算法,是全国性公路物流调度云平台,为全国货车司机和货主提供手机APP、PC网站快速找车配货服务。
 
针对该物流平台系统等级保护三级要求,以及该平台系统注册地的相关定级备案要求,青莲帮助整理了详细完整的等保定级备案资料(含基本资料和补充资料),同时全程提供了咨询服务和技术支持。最终,该系统成功定级备案。
 
①定级备案流程如下所示:

 
②该系统定级备案需填写和准备的资料如下所示:
 
基本资料
(此为定级为二级、三级、四级系统都需要填写的基础资料)
材料一 信息系统安全等级保护备案表(表一( / )备案单位表)
材料二 表二( / )信息系统情况、表三( / )信息系统定级情况、表四( / )第三级以上信息系统提交材料情况
材料三 系统安全等级保护定级报告 
材料四 网络安全等级保护工作小组名单(Excel)
 
补充材料
(此为定级为三级、四级系统需要补充填写的材料)
材料五 表四( / )第三级以上信息系统提交材料情况
材料六-附件 系统拓扑结构及说明(必须)
材料七-附件 系统安全组织机构及管理制度(必须)
材料八-附件 系统安全保护设施设计实施方案或改建实施方案(必须)
材料九-附件 系统使用的安全产品清单及认证、销售许可证明(必须)
材料十-附件 专家评审情况(可选)
材料十一-附件 上级主管部门审批意见(可选)
 
二、青莲协助物流、快递行业各公司开展等级测评,并提供专业整改服务
 
某货运服务平台是一个公路运输服务平台,整合卡车、司机和物流专线,其提供整车、 拼车和零担等运输服务。该平台于2014年建设完成并投入使用,为用户提供交易安全保障、提货送货、长途零担物流、信用管理、物流路由规划等服务,主要功能包括司机功能与货主功能:司机功能包括在线接单、运单管理、线路订阅;货主功能包括在线支付、订单管理、定金保驾、定位货运。
 
但经过青莲技术人员的差距检测,我们发现,该物流公司的平台系统存在很多安全问题,无法满足等级保护要求。针对该货运服务平台系统的主要安全问题,青莲网络一站式安全专家全程参与,提供了信息安全专业化技术支持和指导,配合客户进行了高效整改工作。最终,该货运服务平台系统以91.2的高分通过三级等保测评,测评结论为:良
 
以下是该物流平台系统存在的部分安全问题和青莲提供的整改建议:
1、安全通信网络
问题:未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
 
整改建议:建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
2、安全区域边界
问题:①被测系统网络核心业务部署在阿里云上,采用了高级版的阿里云安全中心,未能实现对网络攻击特别是新型网络攻击行为的分析;
②未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
 
整改建议:①建议采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;
②建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
 
3、安全计算环境(网络)
问题:①阿里云控制台:未对重要主体和客体设置安全标记,未控制主体对有安全标记信息资源的访问;
②阿里云控制台:未限定网络地址范围对通过网络进行管理的管理终端进行限制;
③阿里云控制台:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
 
整改建议:①阿里云控制台:建议对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问;
②阿里云控制台:建议设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
③阿里云控制台:建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。