在工業信息化被日趨重視的今天，信息化的安全也被國家領導人提到了國家戰略的高度，從政府部門、企事業單位，國家層面的信息化安全管理要求也越發的嚴謹和完善。作為軌道行業的運營企業，也是信息化安全建設浪潮的重點單位，最近國資委也要求加緊對本企業的信息化安全進行建設。信息化的安全管理也不僅僅是下發幾個安全文件草草了事，也不是頭疼醫頭，腳痛醫腳。當前的信息化安全，更要求務實的從企業生產出發，多層次，多角度深入企業信息化建設中，從信息系統安全過渡到信息安全保障，將技術與管理相結合。關于技術和管理方面的信息化安全建設，我寫過的《工業控制系統信息安全技術在XX地鐵的創新應用》和《構建工控安全平臺 支撐安全運營管理》，后期我會放到公眾號里。

現階段信息安全部門推崇的基于時間的動態安全體系分為：策略、防護、檢測和響應（P2DR模型），具體的內容大家可以自行搜搜這方面內容。這四部份內容都離不開以人為本的核心，所以我們經常在很多書中看到，以人為中心，通過策略和技術來支持資產的防護、檢測與響應的信息安全機制。所以，我認為在信息化安全體系建設上應該圍繞人、策略（管理）、技術三要素構建，信息安全體系總體架構包括：信息安全管理、信息安全控制、信息安全技術。

那么，針對軌道交通行業，上述三個體系架構內容實際是什么意思呢？

我們首先大概了解下信息安全管理，它包括了信息安全組織、信息安全流程和信息安全制度。安全組織是對人的管理、職責的劃分，信息安全流程是指安全意識的提升、信息安全風險的管理（風險預警、風險應急）、安全監督等，安全制度是指相關的管理和技術規范的層次結構。

其次是信息安全控制，它包括了信息安全等級劃分、信息安全運作控制和信息安全技術控制。主要是對信息安全等級劃分的框架和安全等級的定義，并根據等級實施控制、系統建設與維護安全控制、第三方控制等，信息安全技術控制是為實現安全運作控制所需的技術服務。

再就是信息安全技術，它包括了應用安全、信息安全服務和信息技術基礎設施三方面。可以簡單理解一個安全的信息交互通過基礎設施，經過安全訪問的策略（權限），對應用進行使用。

信息安全理論內容深入且關系復雜，不同行業有不同的體系建設，下面我根據軌道交通企業特點，介紹如何建設上述信息安全管理、信息安全控制、信息安全技術。另外，由于軌道交通設備資產眾多，在建設前期，各系統必須要建立《信息資產登記表》，這是信息安全建設的一個必要元素。

0x1信息安全管理體系

0x1.1組織機構

借鑒軌道交通組織架構的特點和運營情況，將信息化安全機構按如下層級劃分，決策層：信息化領導小組/網安領導小組；管理層：信息管理部（信息安全處）；執行層：數據安全運維中心、下屬成員企業信息中心、成員企業二級單位（生產專業、職能部門）信息中心。

0x1.2信息安全制度體系

目的在于更好的提高組織協調性和管理的有效性，所以需要一個制度體系進行規范和實施，我們經常寫的一些：信息安全管理規定、信息安全管理制度、信息安全管理辦法和一些執行細則都屬于這個制度體系。

0x1.3信息安全運行維護

在這方面，我們需要借鑒國內外的運維先進經驗，持續的進行總結、完善、推廣安全運維的工作。比如信息安全配置管理，需要制定一整套網安設備與系統配置策略，最好建立出配置模板，同時定期審核這些策略的執行情況，實現設備與系統的集中管理，這也是我《工業控制系統信息安全技術在XX地鐵的創新應用》一文中提到的集中式管理。另外還有關于信息安全監測管理（網絡監控、內容監控）、應急處理等內容。

0x1.4信息安全培訓

信息交互的每個環節都是安全防范的重點，所以從培訓體系也是需要分層次，從操作層到管理層都需要進行培訓。

0x1.5信息安全檢查與考核

對于信息安全的管理，要不斷創新與完善，從規劃到實施的考核形成一個閉環的循環，由考核來推動信息安全的建設質量與效率。各成員企業可以根據信息管理部的要求進行綜合評價，形成周期性考核報告。

0x2信息安全控制體系

我們經常能從安保部門下發的文件中看到，要建設信息安全防護體系，其實本質就是對信息及訪問的防護。所以需要對信息安全等級進行劃分和制定對應的安全控制。

0x1.1信息系統等級保護

這一內容，各個單位根據自身情況以及等保要求進行自主定級，但“自行定級、自行保護”明顯已不符合網絡安全管理的需要。如何避免企業降低保護等級規避，尚缺少更高位級的法律要求。對于等保2.0以及以后的政策，國家對自主定級將越來越趨于規范性管理，而不是自主保護。

0x1.1安全控制

這一點，應按照定級后的等保內容要求，對相應方面進行規范。比如邏輯安全控制：用戶賬號管理、口令規則、權限等管理，物理安全、網絡安全等等。這里著重說明對第三方的訪問控制，這是很多企業疏忽的管理漏點。

0x3信息安全技術體系

信息安全是個非常復雜的綜合領域，需要從信息系統安全的不同層次和角度去分析設計，形成企業完整有效的信息安全技術體系，我在《工業控制系統信息安全技術在XX地鐵的創新應用》中從技術角度，提出了“四層架構、六層防護”的工控信息安全建設架構。但對于信息化安全體系建設來說，應從物理環境、操作系統、網絡、主機、數據、應用、策略方面進行建設。