等保2.0 要求下的城軌云內(nèi)部管理網(wǎng)信息系統(tǒng)安全管理工作的思考

◆張煒 宋海萍 袁博

（1.中電科鵬躍電子科技有限公司 山西 030000；2.太原市軌道交通發(fā)展有限公司 山西 030000）

1 引言

隨著國(guó)民經(jīng)濟(jì)的持續(xù)、快速、健康發(fā)展，新型城鎮(zhèn)化戰(zhàn)略正在積極、穩(wěn)妥、有序推進(jìn)，我國(guó)強(qiáng)力推進(jìn)“互聯(lián)網(wǎng)+城市軌道交通”戰(zhàn)略，城市軌道交通跨入蓬勃發(fā)展的黃金機(jī)遇期，信息化建設(shè)也已進(jìn)入到大規(guī)模開(kāi)發(fā)和應(yīng)用階段，云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)在城市軌道交通行業(yè)逐漸得到廣泛應(yīng)用。中國(guó)城市軌道交通協(xié)會(huì)發(fā)布的行業(yè)標(biāo)準(zhǔn)《城市軌道交通云平臺(tái)網(wǎng)絡(luò)架構(gòu)技術(shù)規(guī)范》T/CAMET 11004-2020 提出城市軌道交通云平臺(tái)網(wǎng)絡(luò)架構(gòu)應(yīng)符合城市軌道交通云平臺(tái)的統(tǒng)一規(guī)劃，滿足信息化平臺(tái)管理、業(yè)務(wù)承載及運(yùn)營(yíng)維護(hù)的需求。根據(jù)應(yīng)用、管理及安全防護(hù)等級(jí)的不同，信息系統(tǒng)網(wǎng)絡(luò)劃分為安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)。通過(guò)調(diào)研城市軌道交通行業(yè)內(nèi)既有應(yīng)用系統(tǒng)安全現(xiàn)狀及企業(yè)信息化發(fā)展面臨的網(wǎng)絡(luò)安全威脅，以城市軌道交通企業(yè)信息化項(xiàng)目的建設(shè)、部署、運(yùn)維、安全防護(hù)等工作為前提，圍繞網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 的要求，展開(kāi)信息系統(tǒng)安全管理相關(guān)工作的思考，為實(shí)際網(wǎng)絡(luò)安全管理工作的開(kāi)展提供思路和方法。

2 安全管理現(xiàn)狀

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄漏，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。城市軌道交通作為影響國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，是需要進(jìn)行重點(diǎn)保護(hù)的行業(yè)領(lǐng)域之一，其中的生產(chǎn)系統(tǒng)是軌道交通運(yùn)營(yíng)企業(yè)重點(diǎn)防護(hù)的普遍達(dá)到三級(jí)等保要求并獨(dú)立運(yùn)營(yíng)與防護(hù)的。對(duì)于支撐企業(yè)內(nèi)部業(yè)務(wù)流轉(zhuǎn)和數(shù)據(jù)交互的信息化系統(tǒng)的安全管理而言，存在以下幾方面的管理不足：

（1）新形勢(shì)下對(duì)信息系統(tǒng)安全定級(jí)重視程度不夠，一方面認(rèn)為內(nèi)部管理網(wǎng)與外網(wǎng)隔離，不會(huì)對(duì)有較大的信息安全隱患，另一方面因?yàn)樾畔踩燃?jí)保護(hù)測(cè)評(píng)要求的頻度和相應(yīng)成本支出原因?qū)е乱?guī)避業(yè)務(wù)系統(tǒng)定級(jí)或降級(jí)系統(tǒng)安全等級(jí)。

（2）城軌云內(nèi)部管理網(wǎng)的信息安全防護(hù)設(shè)備并非一次性配置到位，而是根據(jù)需要逐漸配置或擴(kuò)容，這就存在了部分設(shè)備配置跟不上信息化建設(shè)的速度，同時(shí)因內(nèi)部管理網(wǎng)與互聯(lián)網(wǎng)的隔離，防護(hù)軟件不能及時(shí)升級(jí)，導(dǎo)致存在安全隱患。

（3）雖然各單位都有自己的一套信息系統(tǒng)安全管理制度，但從專(zhuān)業(yè)化信息安全管理角度來(lái)看，制度是否真正發(fā)揮作用和具體操作執(zhí)行環(huán)節(jié)匹配程度都會(huì)導(dǎo)致管理措施不到位，考核與檢查無(wú)法真正落實(shí)，管理手段也同樣想多落后。

（4）最重要的一點(diǎn)就是信息安全意識(shí)不強(qiáng)，對(duì)于非計(jì)算機(jī)或信息安全專(zhuān)業(yè)人員在信息化系統(tǒng)使用過(guò)程中有信息安全概念，但信息安全重視程度遠(yuǎn)遠(yuǎn)不夠，流于表面形式，個(gè)人信息安全保護(hù)淡薄，密碼和信息載體保護(hù)使用不規(guī)范，配合組織的安全應(yīng)急演練做得不到位。

上述這些不足之處，是需要不斷通過(guò)信息系統(tǒng)安全管理工作逐步解決的。一方面通過(guò)管理來(lái)保障企業(yè)信息系統(tǒng)的安全防護(hù)需要，另一方面也不能制定過(guò)于細(xì)致的安全管理制度和過(guò)度的檢查導(dǎo)致企業(yè)工作效率的降低，這就需要展開(kāi)相應(yīng)工作的思考。

3 安全管理工作思路

隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0）正式發(fā)布，在法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實(shí)施環(huán)節(jié)等方面都發(fā)生了變化。等保2.0 要求更加注重主動(dòng)防御，從被動(dòng)防御到事前、事中、事后全流程的安全可信、動(dòng)態(tài)感知和全面審計(jì)；實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級(jí)保護(hù)對(duì)象的全覆蓋。因此，依托于云計(jì)算技術(shù)的城軌云信息系統(tǒng)總體安全防護(hù)思路應(yīng)遵循《城市軌道交通云平臺(tái)網(wǎng)絡(luò)安全技術(shù)規(guī)范》提出的“系統(tǒng)自保、平臺(tái)統(tǒng)保、邊界防護(hù)、等保達(dá)標(biāo)、安全確?！钡牟呗?，以網(wǎng)絡(luò)安全等級(jí)保護(hù)為基礎(chǔ)，分級(jí)分類(lèi)建立應(yīng)用系統(tǒng)的安全保護(hù)措施；以技術(shù)和管理兩個(gè)方面為抓手，確保內(nèi)部管理網(wǎng)部署的業(yè)務(wù)安全。構(gòu)建集中的安全管理中心，對(duì)平臺(tái)和應(yīng)用進(jìn)行持續(xù)監(jiān)控，掌控網(wǎng)內(nèi)、網(wǎng)間區(qū)域邊界和關(guān)鍵業(yè)務(wù)系統(tǒng)的安全態(tài)勢(shì)，實(shí)現(xiàn)對(duì)安全策略管理、安全監(jiān)測(cè)、安全審計(jì)的統(tǒng)一支撐，促進(jìn)各安全組件間的協(xié)同與聯(lián)動(dòng)。按國(guó)家等保要求，進(jìn)行全面安全風(fēng)險(xiǎn)評(píng)估，確保信息系統(tǒng)的安全風(fēng)險(xiǎn)處于可接受水平。同時(shí)，信息系統(tǒng)安全相關(guān)工作的開(kāi)展須嚴(yán)格遵循相關(guān)法律規(guī)范。在總體安全防護(hù)思路的框架下結(jié)合城軌云內(nèi)部管理網(wǎng)信息系統(tǒng)安全的實(shí)際工作提出下列工作思路：

3.1 在企業(yè)信息化總體規(guī)劃下統(tǒng)籌考慮系統(tǒng)建設(shè)和安全防護(hù)

新的信息化系統(tǒng)的建設(shè)一定是企業(yè)解決某一業(yè)務(wù)問(wèn)題而購(gòu)置成熟產(chǎn)品或定制化開(kāi)發(fā)。因此，信息化系統(tǒng)建設(shè)應(yīng)該在企業(yè)總體信息化規(guī)劃的框架下，根據(jù)業(yè)務(wù)的重要程度、數(shù)據(jù)重要性、數(shù)據(jù)交互程度、安全防護(hù)程度進(jìn)行分析和建設(shè)，只有這樣才能從根本上保障建設(shè)合規(guī)，安全統(tǒng)保。由于城市軌道交通是重點(diǎn)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)單位，其核心的基礎(chǔ)類(lèi)平臺(tái)、數(shù)據(jù)集成平臺(tái)、數(shù)據(jù)倉(cāng)庫(kù)、關(guān)鍵業(yè)務(wù)系統(tǒng)等應(yīng)就高定級(jí)，按三級(jí)等級(jí)保護(hù)要求開(kāi)展防護(hù)（如圖1 所示），配置安全審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、漏洞掃描和安全態(tài)勢(shì)感知等安全設(shè)備和軟件產(chǎn)品。非核心業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)，根據(jù)實(shí)際需求進(jìn)行統(tǒng)籌規(guī)劃和管理。同時(shí)在統(tǒng)一規(guī)劃下，根據(jù)業(yè)務(wù)需要逐步配置安全產(chǎn)品和防護(hù)，能夠有效提高資源的使用效率。

圖1 三級(jí)系統(tǒng)安全保護(hù)環(huán)境建設(shè)框架

3.2 責(zé)權(quán)明確實(shí)施三權(quán)分立管理和統(tǒng)一權(quán)限管理

隨著企業(yè)信息化建設(shè)規(guī)模逐漸增大，系統(tǒng)管理與系統(tǒng)運(yùn)維工作量增多，從系統(tǒng)管理員權(quán)限角度應(yīng)進(jìn)行管理員、安全員、審計(jì)員三權(quán)管理，來(lái)降低內(nèi)部管理風(fēng)險(xiǎn)。同時(shí)根據(jù)信息系統(tǒng)的應(yīng)用層面，根據(jù)崗位責(zé)任劃分在系統(tǒng)中定義不同用戶組的訪問(wèn)權(quán)限，并賦值最小滿足業(yè)務(wù)的權(quán)限，防止權(quán)限過(guò)大帶來(lái)風(fēng)險(xiǎn)；并且時(shí)時(shí)監(jiān)控權(quán)限用戶的訪問(wèn)活動(dòng)，達(dá)到可知可審計(jì)；進(jìn)而對(duì)潛在風(fēng)險(xiǎn)區(qū)域進(jìn)行風(fēng)險(xiǎn)監(jiān)控（必須知道），控制訪問(wèn)權(quán)限（最小授權(quán)），實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。對(duì)于采用企業(yè)信息一體化建設(shè)模式的單位，可考慮建設(shè)統(tǒng)一權(quán)限管理，來(lái)規(guī)范化授權(quán)和統(tǒng)一權(quán)限管理。采用三權(quán)管理和最小化授權(quán)，能夠有效杜絕泛濫授權(quán)、超過(guò)職能范圍授權(quán)、權(quán)限超時(shí)等情況的發(fā)生。

3.3 適應(yīng)未來(lái)構(gòu)建可視化智能化安全管理運(yùn)維一體化平臺(tái)

當(dāng)業(yè)務(wù)系統(tǒng)數(shù)量增長(zhǎng)到一定程度后，依靠有限的運(yùn)維工作人員進(jìn)行人工管理系統(tǒng)和監(jiān)控各安全信息顯然無(wú)法滿足管理需要，而且容易出現(xiàn)監(jiān)控盲點(diǎn)和漏項(xiàng)，這就需要以現(xiàn)代信息化、自動(dòng)化、智能化的發(fā)展思路開(kāi)展系統(tǒng)安全運(yùn)維工作。研究與探索智能化運(yùn)維一體化平臺(tái)來(lái)解決相關(guān)問(wèn)題，通過(guò)運(yùn)用智能運(yùn)維軟件，實(shí)施監(jiān)控安全預(yù)警信息，系統(tǒng)操作異常信息，非法接入信息和越權(quán)使用等，通過(guò)安全數(shù)據(jù)模型進(jìn)行分析，判定是否達(dá)到整體安全要求，解決多業(yè)務(wù)系統(tǒng)的信息安全隱患。

3.4 強(qiáng)化信息安全培訓(xùn)有效提升全員安全防護(hù)意識(shí)

在整個(gè)安全防護(hù)體系結(jié)構(gòu)中，人為因素是最容易發(fā)生安全事故的環(huán)節(jié)，有意識(shí)或無(wú)意識(shí)的系統(tǒng)違規(guī)操作、不規(guī)范的載體使用、個(gè)人關(guān)鍵安全信息的泄漏等等，總體成因還是個(gè)人信息安全防護(hù)意識(shí)的薄弱，這需要在管理過(guò)程中定期開(kāi)展信息系統(tǒng)安全培訓(xùn)和安全事件的分析，提升企業(yè)管理層和員工的安全防護(hù)意識(shí)，扭轉(zhuǎn)被動(dòng)接受和應(yīng)付安全檢查的局面，改為從我做起主動(dòng)開(kāi)展安全防御工作，確保把好個(gè)人安全防護(hù)關(guān)口。定期組織開(kāi)展信息安全應(yīng)急演練，完善應(yīng)急處置措施，優(yōu)化流程，提升整體的安全防護(hù)意識(shí)。

3.5 結(jié)合實(shí)際工作制定適用的安全管理制度保障安全管理工作順暢開(kāi)展

隨信息技術(shù)的不斷發(fā)展，信息系統(tǒng)給企業(yè)管理帶來(lái)了極大的便利的同時(shí)，信息系統(tǒng)面對(duì)的安全威脅也越來(lái)越多，國(guó)家逐步出臺(tái)了對(duì)于信息系統(tǒng)的等級(jí)保護(hù)定級(jí)、測(cè)評(píng)相關(guān)規(guī)定用以保護(hù)信息系統(tǒng)安全和降低其所面臨的風(fēng)險(xiǎn)。信息安全等級(jí)保護(hù)2.0 的發(fā)布，將基于云計(jì)算技術(shù)條件的信息系統(tǒng)安全納入了管理范疇，圍繞城軌云內(nèi)部管理網(wǎng)的建設(shè)和運(yùn)行，應(yīng)制定與新要求相適應(yīng)的信息安全管理制度，來(lái)提高系統(tǒng)運(yùn)行的可靠性和連續(xù)性。同時(shí)，根據(jù)單位組織管理的實(shí)際情況，將信息安全管理流程固化和不斷優(yōu)化，即保障信息安全又不增加制度運(yùn)行成本，是安全防護(hù)制度建設(shè)持續(xù)探索課題。

4 結(jié)語(yǔ)

城市軌道交通云平臺(tái)技術(shù)的建設(shè)與發(fā)展給軌道交通企業(yè)信息化帶來(lái)極大方便得同時(shí)，面對(duì)新技術(shù)的應(yīng)用，對(duì)企業(yè)信息化系統(tǒng)建設(shè)、網(wǎng)絡(luò)安全、運(yùn)維團(tuán)隊(duì)組建都提出了更高的要求。因此，在信息安全等級(jí)保護(hù)2.0 要求下，在企業(yè)信息化建設(shè)總體規(guī)劃的指導(dǎo)下，統(tǒng)籌考慮信息化項(xiàng)目立項(xiàng)與定級(jí)、網(wǎng)絡(luò)建設(shè)、設(shè)備資源配置、制度建設(shè)、組織管理、人員管理、運(yùn)維管理，探索和研究智能化的系統(tǒng)安全與運(yùn)維一體化平臺(tái)解決實(shí)際問(wèn)題，是新形式下城軌云平臺(tái)安全應(yīng)用與管理發(fā)展的方向。