邮政速递信息系统安全思考.docxVIP

邮政速递信息系统安全思考 林宝菁 上海邮政速递物流分公司 摘要： 邮政速递作为邮政主渠道的国有企业，随着社会民营速递业的迅猛发展，正面 临越来越大的市场竞争压力。为使邮政速递传统业务稳定运行和确保新业务更高 效地发展，邮政速递信息系统的安全正口益凸显其保障的重要性。文章是笔者对 上海邮政速递信息系统做了较为详细的调研并收集了大量的一手资料后，将邮 政速递信息系统的现状和存在的不安全问题进行整理分析并提出了基础性的应 对措施，以作为改进邮政速递信息系统的安全参考。 关键词： 内网;外网;安全;信息系统; 作者简介：林宝菁，出生年月：1959年4月学历:大专职称:工程师工作单位:中 国邮政速递物流股份有限公司上海市分公司联系地址:上海市武定路458号2201 室邮编:200041固定电话动电 话mail: HYPERLINK mailto:173460204@ 173460204@ Thoughts on the security of courier management system Lin Baojing Shanghai Postai Express Logistics Co. Ltd; 目前现状 （一）在线上运行的邮政信息系统有邮政集团公司、各邮政专业公司联合计算机 软件公司开发的（统版系统）、各省市邮政速递分公司自主开发的（自有系 统）。与上海邮政速递业务相关的统版系统有九个，分别是综合信息处理平台 （85系统）、量收系统、营收子系统（速递二期）新流程、时限监控系统及子模 块数据采集平台、详情单扫描操作系统、投递名址信息维护系统、邮运二子系统、 速递作业子系统（速递一期）、11183揽投平台系统；自有系统有二十一个：国际 货运代理信息平台、国际出口邮件预处理系统、申报邮件库房管理系统、海关个 人物品风险管控系统、进出口商业快件入网进境系统、欠费管理系统、经营损益 核算系统、运费管理系统、客户管理项目、道段绩效激励系统项目、上海同城系 统、同城代收货款系统（汇付天下）、落地配处理系统一期项目、电子地图、详 情单打印和FTP服务接口子系、118系统前置封发、运行质量监控、物流运输信 息管理平台合同、国际邮运制单系统、无线数据采集设备应用管理系统、运控部 交流论坛。 （-）截止2016年底在上海邮政速递物流系统内能够运行的计算机2011台，其 中用于内部生产1377台，用于综合管理634台（不包括终端机、笔记本和服务 器）。基木上都是使用Wi n d o w s系列操作系统（Windows XP、Windows7）。 按照有关的网络安全制度规定:用于内部生产的计算机只能进入统版系统和自有 系统网络的专用信息网（俗称内网），而不能连接Internet互联网（俗称为外 网）；用于综合管理的计算机，能上外网的就不能上内网，能进入内网的就不能 进入外网，称之为“物理隔离”。所以目前管理部门儿乎是人均两台计算机，分 别用于登陆不同的网络。对于需要登入内网的计算机都统一安装了 “趋势科技” 防毒墙网络版的软件。 （三） 在机房的服务器都能提供在线式UPS电源保护（Uninterruptible Power System不间断电源）。各大生产部门和管理部门使用的均为台式计算机，但在 运行时都是直接接入市电插座，没有使用UPS间断电源保护措施。 （四） 半数以上计算机都不设置开机密码（BIOS密码）、Windows系统密码和用 户密码，即使已设置密码的也只是简单的、有规律的和重复率较高的常见字符组 合，较复杂的字符组合或带有个性化的密码不多，在暂时离开席位也少有运行 屏幕保护和启用恢复密码的。对于进入内网的各信息系统（统版系统和自有系统） 的用户名和用户密码，可以说是公开的秘密或者说是儿个人合用一个用户名及 密码。 （五） 将任意一台能够上外网的且没有运行“趋势科技”防病毒软件的台式计算 机，将该机的IP修改成能上内网的计算机IP地址后，照样能够地进入内网并顺 利地登陆各统版和自有的信息系统。 二、存在问题 （-）统版系统的各应用信息系统日常维护通常由邮政集团公司或邮政速递总部 的IT部门或相关的软件公司负责，而对于有着二十一个自有信息系统维护则是 由上海邮政速递公司的网运部门所属的只有五个专业技术人员的信息屮心负责, 显然是力量薄弱的。 （二） 对于内网和外网不能使用同一台计算机以达到物理隔离的硬性规定，应该 属于浪费资源的不恰当措施，技术上完全可以做到用同一台计算机分别上内网 和外网并且也能达到物理隔离的效果。 （三） 不使用UPS电源保护，容易在市电故障并突然断电时对计算机冲击，特别 容易对硕盘形成物理性损伤，造成数据或文件的丢失并。 （四） 计算机不设置开机密码和系统密码，容易触发重