久久精品国产免费-久久精品国产免费高清-久久精品国产免费观看99-久久精品国产免费中文-久久精品国产欧美

企業動態
行業資訊

軌道交通信息安全體系建設心得


本篇并不是討論如何編制管理制度,如何運用管理技術,而是站在更高的層面上來討論如何針對企業自身特點建立、完善信息化安全體系,有了個科學化的體系建設,信息化安全主管部門才會更有信心地應對各式各樣的安全威脅。

在工業信息化被日趨重視的今天,信息化的安全也被國家領導人提到了國家戰略的高度,從政府部門、企事業單位,國家層面的信息化安全管理要求也越發的嚴謹和完善。作為軌道行業的運營企業,也是信息化安全建設浪潮的重點單位,最近國資委也要求加緊對本企業的信息化安全進行建設。信息化的安全管理也不僅僅是下發幾個安全文件草草了事,也不是頭疼醫頭,腳痛醫腳。當前的信息化安全,更要求務實的從企業生產出發,多層次,多角度深入企業信息化建設中,從信息系統安全過渡到信息安全保障,將技術與管理相結合。關于技術和管理方面的信息化安全建設,我寫過的《工業控制系統信息安全技術在XX地鐵的創新應用》和《構建工控安全平臺 支撐安全運營管理》,后期我會放到公眾號里。

現階段信息安全部門推崇的基于時間的動態安全體系分為:策略、防護、檢測和響應(P2DR模型),具體的內容大家可以自行搜搜這方面內容。這四部份內容都離不開以人為本的核心,所以我們經常在很多書中看到,以人為中心,通過策略和技術來支持資產的防護、檢測與響應的信息安全機制。所以,我認為在信息化安全體系建設上應該圍繞人、策略(管理)、技術三要素構建,信息安全體系總體架構包括:信息安全管理、信息安全控制、信息安全技術。

那么,針對軌道交通行業,上述三個體系架構內容實際是什么意思呢?

我們首先大概了解下信息安全管理,它包括了信息安全組織、信息安全流程和信息安全制度。安全組織是對人的管理、職責的劃分,信息安全流程是指安全意識的提升、信息安全風險的管理(風險預警、風險應急)、安全監督等,安全制度是指相關的管理和技術規范的層次結構。

其次是信息安全控制,它包括了信息安全等級劃分、信息安全運作控制和信息安全技術控制。主要是對信息安全等級劃分的框架和安全等級的定義,并根據等級實施控制、系統建設與維護安全控制、第三方控制等,信息安全技術控制是為實現安全運作控制所需的技術服務。

再就是信息安全技術,它包括了應用安全、信息安全服務和信息技術基礎設施三方面。可以簡單理解一個安全的信息交互通過基礎設施,經過安全訪問的策略(權限),對應用進行使用。

信息安全理論內容深入且關系復雜,不同行業有不同的體系建設,下面我根據軌道交通企業特點,介紹如何建設上述信息安全管理、信息安全控制、信息安全技術。另外,由于軌道交通設備資產眾多,在建設前期,各系統必須要建立《信息資產登記表》,這是信息安全建設的一個必要元素。

0x1信息安全管理體系

0x1.1組織機構

借鑒軌道交通組織架構的特點和運營情況,將信息化安全機構按如下層級劃分,決策層:信息化領導小組/網安領導小組;管理層:信息管理部(信息安全處);執行層:數據安全運維中心、下屬成員企業信息中心、成員企業二級單位(生產專業、職能部門)信息中心。

0x1.2信息安全制度體系

目的在于更好的提高組織協調性和管理的有效性,所以需要一個制度體系進行規范和實施,我們經常寫的一些:信息安全管理規定、信息安全管理制度、信息安全管理辦法和一些執行細則都屬于這個制度體系。

0x1.3信息安全運行維護

在這方面,我們需要借鑒國內外的運維先進經驗,持續的進行總結、完善、推廣安全運維的工作。比如信息安全配置管理,需要制定一整套網安設備與系統配置策略,最好建立出配置模板,同時定期審核這些策略的執行情況,實現設備與系統的集中管理,這也是我《工業控制系統信息安全技術在XX地鐵的創新應用》一文中提到的集中式管理。另外還有關于信息安全監測管理(網絡監控、內容監控)、應急處理等內容。

0x1.4信息安全培訓

信息交互的每個環節都是安全防范的重點,所以從培訓體系也是需要分層次,從操作層到管理層都需要進行培訓。

0x1.5信息安全檢查與考核

對于信息安全的管理,要不斷創新與完善,從規劃到實施的考核形成一個閉環的循環,由考核來推動信息安全的建設質量與效率。各成員企業可以根據信息管理部的要求進行綜合評價,形成周期性考核報告。

0x2信息安全控制體系

我們經常能從安保部門下發的文件中看到,要建設信息安全防護體系,其實本質就是對信息及訪問的防護。所以需要對信息安全等級進行劃分和制定對應的安全控制。

0x1.1信息系統等級保護

這一內容,各個單位根據自身情況以及等保要求進行自主定級,但“自行定級、自行保護”明顯已不符合網絡安全管理的需要。如何避免企業降低保護等級規避,尚缺少更高位級的法律要求。對于等保2.0以及以后的政策,國家對自主定級將越來越趨于規范性管理,而不是自主保護。

0x1.1安全控制

這一點,應按照定級后的等保內容要求,對相應方面進行規范。比如邏輯安全控制:用戶賬號管理、口令規則、權限等管理,物理安全、網絡安全等等。這里著重說明對第三方的訪問控制,這是很多企業疏忽的管理漏點。

0x3信息安全技術體系

信息安全是個非常復雜的綜合領域,需要從信息系統安全的不同層次和角度去分析設計,形成企業完整有效的信息安全技術體系,我在《工業控制系統信息安全技術在XX地鐵的創新應用》中從技術角度,提出了“四層架構、六層防護”的工控信息安全建設架構。但對于信息化安全體系建設來說,應從物理環境、操作系統、網絡、主機、數據、應用、策略方面進行建設。

以上是信息安全體系建設的一個大概思路,但基本的建設內容都涵蓋。企業的信息安全建設無捷徑,腳踏實地才是真。

?
版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯系我們
主站蜘蛛池模板: 成人性视频在线 | 亚洲黄色中文字幕 | 久久久91精品国产一区二区三区 | 91精品国产闺蜜国产在线 | 青青草国产免费久久久91 | 亚洲 欧美 自拍 另类 欧美 | 欧美高清国产在线观看 | 久久97久久97精品免视看秋霞 | 五月天婷婷在线视频国产在线 | 亚洲综合日韩 | 国产网址| 91精品啪在线观看国产日本 | 大片免费观看入口 | 国产欧美日韩不卡在线播放在线 | 色极影院 | 国产精品麻豆入口 | 一级成人a免费视频 | 免费看一级毛片 | 在线观看国产亚洲 | 日本japanesevideo护士 | japanese无码中文字幕 | mm在线视频免费看 | 国产成人美女福利在线观看 | 国产成 人 色综合 亚洲 | 欧美黄色大片免费观看 | www欧美在线观看 | 亚洲天天综合 | 一本毛片 | 国产乱码精品一区二区三区卡 | 国产产一区二区三区久久毛片国语 | freesexvideo性欧美tv2021 | 国产一区二 | 色拍拍在线精品视频 | 欧美亚洲偷图色综合91 | 国产一区二区在线观看麻豆 | 亚洲美女毛片 | 在线看的黄色网址 | 亚洲无吗在线视频 | 最新色图 | 精品一区二区三区在线视频观看 | 热99re久久精品2久久久 |