南京地鐵集團(tuán)網(wǎng)絡(luò)安全管理體系設(shè)計(jì)項(xiàng)目

文/于百勇、楊旭、唐德浩、姚啟航、倪晟峰，南京地鐵集團(tuán)有限公司、江蘇金盾檢測(cè)技術(shù)股份有限公司

一、案例總體情況

本案例是南京地鐵集團(tuán)第一份網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)化體系，采用頂層設(shè)計(jì)的方式，從管理層面自上而下地對(duì)集團(tuán)網(wǎng)絡(luò)安全進(jìn)行了全面的設(shè)計(jì)，以優(yōu)先保障行車安全為根本，兼顧國(guó)家現(xiàn)有的網(wǎng)絡(luò)安全方針和政策，統(tǒng)籌設(shè)計(jì)了南京地鐵組織責(zé)任體系，并依據(jù)網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的原則，通過(guò)編制《信息系統(tǒng)分類定級(jí)標(biāo)準(zhǔn)》、《等級(jí)保護(hù)工作指南》、《新線建設(shè)網(wǎng)絡(luò)安全實(shí)施規(guī)范》等文本，因地制宜地將集團(tuán)網(wǎng)絡(luò)安全工作落到實(shí)處。

二、案例背景情況

為貫徹黨中央、國(guó)務(wù)院以及上級(jí)黨委、政府有關(guān)網(wǎng)絡(luò)安全工作部署，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、“等保2.0”等網(wǎng)絡(luò)安全相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)和規(guī)范，落實(shí)南京地鐵集團(tuán)信息化建設(shè)規(guī)劃，2018年，南京地鐵制定了《南京地鐵集團(tuán)信息安全管理辦法》。該辦法作為南京地鐵網(wǎng)絡(luò)安全總體方針策略，成為集團(tuán)網(wǎng)絡(luò)安全體系建設(shè)的綱領(lǐng)性文件。2019年～2020年，南京地鐵將網(wǎng)絡(luò)安全管理體系建設(shè)作為業(yè)務(wù)工作重點(diǎn)，以“統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)”為原則，啟動(dòng)并完成了網(wǎng)絡(luò)安全管理體系設(shè)計(jì)咨詢項(xiàng)目，通過(guò)試運(yùn)行和不斷優(yōu)化本項(xiàng)目管理體系，形成了集團(tuán)全面的網(wǎng)絡(luò)安全保障機(jī)制。

三、案例主要內(nèi)容及關(guān)鍵技術(shù)

（一）完成了《南京地鐵集團(tuán)有限公司網(wǎng)絡(luò)安全管理體系設(shè)計(jì)報(bào)告》

1.根據(jù)南京地鐵企業(yè)管理的特點(diǎn)，建立了企業(yè)網(wǎng)絡(luò)安全管理組織框架，明確了全集團(tuán)網(wǎng)絡(luò)安全管理職責(zé)，形成組織管理層和責(zé)任主體層兩級(jí)網(wǎng)絡(luò)安全組織責(zé)任體系，從而加強(qiáng)了南京地鐵的網(wǎng)絡(luò)安全管理。

2.制定了網(wǎng)絡(luò)安全計(jì)劃管理規(guī)范與流程，明確了網(wǎng)絡(luò)安全目標(biāo)，規(guī)定了網(wǎng)絡(luò)安全工作計(jì)劃的制定、審批與實(shí)施的具體流程。為有序的開(kāi)展網(wǎng)絡(luò)安全管理工作提供基本的制度保障。

3.制定了網(wǎng)絡(luò)安全檢查規(guī)范與流程，制定檢查科目池及檢查規(guī)則，通過(guò)定期實(shí)施網(wǎng)絡(luò)安全檢查全面了解集團(tuán)各子單位信息系統(tǒng)的網(wǎng)絡(luò)安全狀況、網(wǎng)絡(luò)安全管理制度、技術(shù)保護(hù)措施的落實(shí)及網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展情況等，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和存在的突出問(wèn)題并加以改進(jìn)。

（二）完成了《南京地鐵集團(tuán)有限公司信息系統(tǒng)安全等級(jí)保護(hù)分類定級(jí)標(biāo)準(zhǔn)》

1.根據(jù)《網(wǎng)絡(luò)安全法》、“等保2.0”等法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求，在集團(tuán)內(nèi)部通過(guò)該標(biāo)準(zhǔn)將等級(jí)保護(hù)工作科學(xué)化、制度化。

2.結(jié)合國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，對(duì)集團(tuán)重要信息系統(tǒng)（包括工控系統(tǒng)、云計(jì)算平臺(tái)）的定級(jí)提出了標(biāo)準(zhǔn)，以規(guī)范集團(tuán)各子單位未來(lái)的信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作。

（三）完成了《南京地鐵集團(tuán)有限公司新線建設(shè)網(wǎng)絡(luò)安全實(shí)施規(guī)范》

1.將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作落實(shí)到南京地鐵新線建設(shè)的設(shè)計(jì)階段，并對(duì)相關(guān)工控系統(tǒng)的信息安全等級(jí)保護(hù)工作在設(shè)計(jì)上進(jìn)行了明確。通過(guò)對(duì)線路工程實(shí)施階段、初步設(shè)計(jì)階段具體工作流程、內(nèi)容的規(guī)定，從制度上保障了重要信息系統(tǒng)的安全系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、審核同步進(jìn)行。

2.提出了安全系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)與要求，制度上保障了安全系統(tǒng)建設(shè)的完整性、科學(xué)性、合規(guī)性。

（四）完成了《南京地鐵集團(tuán)有限公司網(wǎng)絡(luò)安全等級(jí)保護(hù)工作指南》

1.有效地指導(dǎo)南京地鐵網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，形成一套可落地實(shí)施的集團(tuán)信息系統(tǒng)定級(jí)、備案、測(cè)評(píng)、后期檢查等工作流程，為集團(tuán)的等級(jí)保護(hù)工作提供了制度保障。

2.為重要信息系統(tǒng)定級(jí)、建設(shè)與整改、監(jiān)督與檢查、測(cè)試與評(píng)估、系統(tǒng)運(yùn)維、系統(tǒng)終止方面等工作提供了標(biāo)準(zhǔn)化工作流程，為信息系統(tǒng)的全生命周期的安全提供了保障。

（五）完成了《南京地鐵集團(tuán)有限公司數(shù)據(jù)中心安全規(guī)劃報(bào)告》

1.完成了集團(tuán)數(shù)據(jù)中心的技術(shù)防護(hù)體系規(guī)劃設(shè)計(jì)。

2.有效分析了安全防護(hù)需求，以技術(shù)、管理、服務(wù)三者的結(jié)合，為數(shù)據(jù)中心未來(lái)的安全系統(tǒng)建設(shè)完成了架構(gòu)設(shè)計(jì)。從安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、系統(tǒng)恢復(fù)能力方面規(guī)劃了技術(shù)路線、防護(hù)手段與基本安全策略。從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心幾個(gè)層面提出了安全防護(hù)功能要求。

（六）完成了《南京地鐵集團(tuán)有限公司靈山數(shù)據(jù)中心設(shè)計(jì)方案》

對(duì)南京地鐵集團(tuán)數(shù)據(jù)中心雙活容災(zāi)及IT軟硬件的建設(shè)進(jìn)行了需求分析與設(shè)計(jì)，達(dá)到了保證數(shù)據(jù)中心建設(shè)能夠滿足未來(lái)5到10年不斷發(fā)展的業(yè)務(wù)需求，為集團(tuán)各業(yè)務(wù)系統(tǒng)提供不間斷、安全可靠的IT軟硬件服務(wù)能力，為應(yīng)用系統(tǒng)建設(shè)提供底層環(huán)境保障。

四、案例應(yīng)用場(chǎng)景

通過(guò)本項(xiàng)目的研究和規(guī)劃形成了南京地鐵網(wǎng)絡(luò)安全管理的規(guī)范和可行流程，明確了集團(tuán)網(wǎng)絡(luò)安全組織架構(gòu)和職能，實(shí)現(xiàn)了集團(tuán)包括各子單位的檢查與管理規(guī)范，為集團(tuán)整體網(wǎng)絡(luò)安全提供了制度保障和持續(xù)改進(jìn)的依據(jù)和管理辦法。

在充分考慮軌道交通行業(yè)特點(diǎn)的基礎(chǔ)上建立集團(tuán)網(wǎng)絡(luò)安全管理體系，由集團(tuán)統(tǒng)籌組織和管理，各業(yè)務(wù)單位為責(zé)任主體負(fù)責(zé)落實(shí)，逐級(jí)明確網(wǎng)絡(luò)安全責(zé)任，開(kāi)展企業(yè)和軌道交通生產(chǎn)網(wǎng)絡(luò)安全工作。

建立并完善網(wǎng)絡(luò)安全事件信息通報(bào)及應(yīng)急響應(yīng)機(jī)制。制定相關(guān)文件明確網(wǎng)絡(luò)安全事件分類分級(jí)定義及信息通報(bào)聯(lián)絡(luò)對(duì)象，依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)及網(wǎng)絡(luò)安全事件專項(xiàng)應(yīng)急預(yù)案，對(duì)集團(tuán)網(wǎng)絡(luò)安全總體預(yù)案和各重要信息系統(tǒng)子預(yù)案進(jìn)行梳理，并據(jù)此開(kāi)展預(yù)案演練、培訓(xùn)等應(yīng)急保障工作。

建立并實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控業(yè)務(wù)機(jī)制，由集團(tuán)各子單位根據(jù)轄內(nèi)信息系統(tǒng)運(yùn)行狀況、安全檢查或風(fēng)險(xiǎn)排查結(jié)果建立網(wǎng)絡(luò)安全問(wèn)題臺(tái)帳、事件臺(tái)帳及風(fēng)險(xiǎn)臺(tái)帳，并定期報(bào)送集團(tuán)網(wǎng)信辦備案，集團(tuán)網(wǎng)信辦定期更新并持續(xù)跟蹤，形成閉環(huán)管理流程。

加強(qiáng)了網(wǎng)絡(luò)安全等級(jí)保護(hù)管理工作。依據(jù)南京地鐵信息系統(tǒng)分類定級(jí)標(biāo)準(zhǔn)對(duì)轄內(nèi)信息系統(tǒng)實(shí)施等級(jí)保護(hù)定級(jí)備案工作，集團(tuán)各子單位將信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案、安全改造、等級(jí)測(cè)評(píng)等工作納入年度網(wǎng)絡(luò)安全計(jì)劃任務(wù)，并嚴(yán)格遵循“信息系統(tǒng)分類定級(jí)保準(zhǔn)”、“等級(jí)保護(hù)工作指南”及“新線建設(shè)信息系統(tǒng)等級(jí)保護(hù)實(shí)施規(guī)范”等項(xiàng)目輸出標(biāo)準(zhǔn)和規(guī)范，開(kāi)展信息系統(tǒng)建設(shè)和運(yùn)維工作，確保信息化和網(wǎng)絡(luò)安全工作的有效融合。

初步建立了集團(tuán)網(wǎng)絡(luò)安全技術(shù)架構(gòu)體系。依托本項(xiàng)目“數(shù)據(jù)中心安全規(guī)劃”等安全規(guī)劃報(bào)告，以“全面防護(hù)、分級(jí)分域、強(qiáng)化邊界”為總體目標(biāo)，初步確立合理有效的網(wǎng)絡(luò)安全技術(shù)架構(gòu)體系，針對(duì)業(yè)務(wù)系統(tǒng)等保定級(jí)情況、網(wǎng)絡(luò)安全域規(guī)劃與網(wǎng)絡(luò)隔離、信息系統(tǒng)部署及業(yè)務(wù)交互、安全邊界隔離等方面進(jìn)行了全局的規(guī)劃，為南京地鐵集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)和信息系統(tǒng)規(guī)劃和建設(shè)工作提供了基礎(chǔ)性支撐，并據(jù)此開(kāi)展了后續(xù)集團(tuán)數(shù)據(jù)中心的建設(shè)工作，逐步提升網(wǎng)絡(luò)安全技術(shù)保障能級(jí)。

五、案例經(jīng)驗(yàn)總結(jié)

2020年，本項(xiàng)目成功驗(yàn)收后經(jīng)江蘇省綜合交通運(yùn)輸學(xué)會(huì)信息化工作委員會(huì)審核通過(guò)，取得項(xiàng)目成果鑒定報(bào)告，鑒定認(rèn)為本項(xiàng)目成果結(jié)合了南京地鐵實(shí)際情況，構(gòu)建了較為完善的網(wǎng)絡(luò)安全管理體系框架，對(duì)落實(shí)南京地鐵網(wǎng)絡(luò)安全責(zé)任制、提升網(wǎng)絡(luò)安全保障能力具有重要的現(xiàn)實(shí)意義。

企業(yè)的網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)決定了一個(gè)企業(yè)網(wǎng)絡(luò)安全管理的水平，同時(shí)也是一個(gè)企業(yè)信息安全管理制度有效推動(dòng)和執(zhí)行的關(guān)鍵因素之一。本項(xiàng)目所形成的研究成果可以應(yīng)用的本領(lǐng)域的其他單位作為參考建議，其既突出了軌道交通行業(yè)信息化管理特點(diǎn)，也涵蓋了管理信息系統(tǒng)、工業(yè)控制信息系統(tǒng)等方面的技術(shù)和管理方面的考量，具有一定的推廣價(jià)值和參考意義。

通過(guò)建立體系化的網(wǎng)絡(luò)安全管理模式促進(jìn)軌道交通業(yè)務(wù)運(yùn)營(yíng)高效，并提供基礎(chǔ)性安全保障，為國(guó)內(nèi)軌道交通信息化業(yè)務(wù)的快速發(fā)展提供輔助支撐。為軌道交通行業(yè)網(wǎng)絡(luò)安全工作提供清晰的思路，從而為軌道交通網(wǎng)絡(luò)安全工作走向有序、可持續(xù)發(fā)展打下基礎(chǔ)。為軌道交通行業(yè)網(wǎng)絡(luò)安全管理體系設(shè)計(jì)及管理信息化安全技術(shù)體系建設(shè)提供思路和方法，避免重復(fù)建設(shè)和投入，減少資源浪費(fèi)。