等保2.0 要求下的城軌云內部管理網信息系統安全管理工作的思考

◆張煒 宋海萍 袁博

（1.中電科鵬躍電子科技有限公司 山西 030000；2.太原市軌道交通發展有限公司 山西 030000）

1 引言

隨著國民經濟的持續、快速、健康發展，新型城鎮化戰略正在積極、穩妥、有序推進，我國強力推進“互聯網+城市軌道交通”戰略，城市軌道交通跨入蓬勃發展的黃金機遇期，信息化建設也已進入到大規模開發和應用階段，云計算、大數據等新一代信息技術在城市軌道交通行業逐漸得到廣泛應用。中國城市軌道交通協會發布的行業標準《城市軌道交通云平臺網絡架構技術規范》T/CAMET 11004-2020 提出城市軌道交通云平臺網絡架構應符合城市軌道交通云平臺的統一規劃，滿足信息化平臺管理、業務承載及運營維護的需求。根據應用、管理及安全防護等級的不同，信息系統網絡劃分為安全生產網、內部管理網、外部服務網。通過調研城市軌道交通行業內既有應用系統安全現狀及企業信息化發展面臨的網絡安全威脅，以城市軌道交通企業信息化項目的建設、部署、運維、安全防護等工作為前提，圍繞網絡安全等級保護制度2.0 的要求，展開信息系統安全管理相關工作的思考，為實際網絡安全管理工作的開展提供思路和方法。

2 安全管理現狀

國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄漏，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。城市軌道交通作為影響國計民生、公共利益的關鍵信息基礎設施，是需要進行重點保護的行業領域之一，其中的生產系統是軌道交通運營企業重點防護的普遍達到三級等保要求并獨立運營與防護的。對于支撐企業內部業務流轉和數據交互的信息化系統的安全管理而言，存在以下幾方面的管理不足：

（1）新形勢下對信息系統安全定級重視程度不夠，一方面認為內部管理網與外網隔離，不會對有較大的信息安全隱患，另一方面因為信息安全等級保護測評要求的頻度和相應成本支出原因導致規避業務系統定級或降級系統安全等級。

（2）城軌云內部管理網的信息安全防護設備并非一次性配置到位，而是根據需要逐漸配置或擴容，這就存在了部分設備配置跟不上信息化建設的速度，同時因內部管理網與互聯網的隔離，防護軟件不能及時升級，導致存在安全隱患。

（3）雖然各單位都有自己的一套信息系統安全管理制度，但從專業化信息安全管理角度來看，制度是否真正發揮作用和具體操作執行環節匹配程度都會導致管理措施不到位，考核與檢查無法真正落實，管理手段也同樣想多落后。

（4）最重要的一點就是信息安全意識不強，對于非計算機或信息安全專業人員在信息化系統使用過程中有信息安全概念，但信息安全重視程度遠遠不夠，流于表面形式，個人信息安全保護淡薄，密碼和信息載體保護使用不規范，配合組織的安全應急演練做得不到位。

上述這些不足之處，是需要不斷通過信息系統安全管理工作逐步解決的。一方面通過管理來保障企業信息系統的安全防護需要，另一方面也不能制定過于細致的安全管理制度和過度的檢查導致企業工作效率的降低，這就需要展開相應工作的思考。

3 安全管理工作思路

隨著《信息安全技術網絡安全等級保護基本要求》（等保2.0）正式發布，在法律法規、標準要求、安全體系、實施環節等方面都發生了變化。等保2.0 要求更加注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計；實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。因此，依托于云計算技術的城軌云信息系統總體安全防護思路應遵循《城市軌道交通云平臺網絡安全技術規范》提出的“系統自保、平臺統保、邊界防護、等保達標、安全確?！钡牟呗?，以網絡安全等級保護為基礎，分級分類建立應用系統的安全保護措施；以技術和管理兩個方面為抓手，確保內部管理網部署的業務安全。構建集中的安全管理中心，對平臺和應用進行持續監控，掌控網內、網間區域邊界和關鍵業務系統的安全態勢，實現對安全策略管理、安全監測、安全審計的統一支撐，促進各安全組件間的協同與聯動。按國家等保要求，進行全面安全風險評估，確保信息系統的安全風險處于可接受水平。同時，信息系統安全相關工作的開展須嚴格遵循相關法律規范。在總體安全防護思路的框架下結合城軌云內部管理網信息系統安全的實際工作提出下列工作思路：

3.1 在企業信息化總體規劃下統籌考慮系統建設和安全防護

新的信息化系統的建設一定是企業解決某一業務問題而購置成熟產品或定制化開發。因此，信息化系統建設應該在企業總體信息化規劃的框架下，根據業務的重要程度、數據重要性、數據交互程度、安全防護程度進行分析和建設，只有這樣才能從根本上保障建設合規，安全統保。由于城市軌道交通是重點關鍵基礎設施保護單位，其核心的基礎類平臺、數據集成平臺、數據倉庫、關鍵業務系統等應就高定級，按三級等級保護要求開展防護（如圖1 所示），配置安全審計、數據庫審計、漏洞掃描和安全態勢感知等安全設備和軟件產品。非核心業務系統等級保護，根據實際需求進行統籌規劃和管理。同時在統一規劃下，根據業務需要逐步配置安全產品和防護，能夠有效提高資源的使用效率。

圖1 三級系統安全保護環境建設框架

3.2 責權明確實施三權分立管理和統一權限管理

隨著企業信息化建設規模逐漸增大，系統管理與系統運維工作量增多，從系統管理員權限角度應進行管理員、安全員、審計員三權管理，來降低內部管理風險。同時根據信息系統的應用層面，根據崗位責任劃分在系統中定義不同用戶組的訪問權限，并賦值最小滿足業務的權限，防止權限過大帶來風險；并且時時監控權限用戶的訪問活動，達到可知可審計；進而對潛在風險區域進行風險監控（必須知道），控制訪問權限（最小授權），實現風險最小化。對于采用企業信息一體化建設模式的單位，可考慮建設統一權限管理，來規范化授權和統一權限管理。采用三權管理和最小化授權，能夠有效杜絕泛濫授權、超過職能范圍授權、權限超時等情況的發生。

3.3 適應未來構建可視化智能化安全管理運維一體化平臺

當業務系統數量增長到一定程度后，依靠有限的運維工作人員進行人工管理系統和監控各安全信息顯然無法滿足管理需要，而且容易出現監控盲點和漏項，這就需要以現代信息化、自動化、智能化的發展思路開展系統安全運維工作。研究與探索智能化運維一體化平臺來解決相關問題，通過運用智能運維軟件，實施監控安全預警信息，系統操作異常信息，非法接入信息和越權使用等，通過安全數據模型進行分析，判定是否達到整體安全要求，解決多業務系統的信息安全隱患。

3.4 強化信息安全培訓有效提升全員安全防護意識

在整個安全防護體系結構中，人為因素是最容易發生安全事故的環節，有意識或無意識的系統違規操作、不規范的載體使用、個人關鍵安全信息的泄漏等等，總體成因還是個人信息安全防護意識的薄弱，這需要在管理過程中定期開展信息系統安全培訓和安全事件的分析，提升企業管理層和員工的安全防護意識，扭轉被動接受和應付安全檢查的局面，改為從我做起主動開展安全防御工作，確保把好個人安全防護關口。定期組織開展信息安全應急演練，完善應急處置措施，優化流程，提升整體的安全防護意識。

3.5 結合實際工作制定適用的安全管理制度保障安全管理工作順暢開展

隨信息技術的不斷發展，信息系統給企業管理帶來了極大的便利的同時，信息系統面對的安全威脅也越來越多，國家逐步出臺了對于信息系統的等級保護定級、測評相關規定用以保護信息系統安全和降低其所面臨的風險。信息安全等級保護2.0 的發布，將基于云計算技術條件的信息系統安全納入了管理范疇，圍繞城軌云內部管理網的建設和運行，應制定與新要求相適應的信息安全管理制度，來提高系統運行的可靠性和連續性。同時，根據單位組織管理的實際情況，將信息安全管理流程固化和不斷優化，即保障信息安全又不增加制度運行成本，是安全防護制度建設持續探索課題。

4 結語

城市軌道交通云平臺技術的建設與發展給軌道交通企業信息化帶來極大方便得同時，面對新技術的應用，對企業信息化系統建設、網絡安全、運維團隊組建都提出了更高的要求。因此，在信息安全等級保護2.0 要求下，在企業信息化建設總體規劃的指導下，統籌考慮信息化項目立項與定級、網絡建設、設備資源配置、制度建設、組織管理、人員管理、運維管理，探索和研究智能化的系統安全與運維一體化平臺解決實際問題，是新形式下城軌云平臺安全應用與管理發展的方向。