久久精品国产免费-久久精品国产免费高清-久久精品国产免费观看99-久久精品国产免费中文-久久精品国产欧美

企業動態
行業資訊

軌道交通信息安全體系建設心得


本篇并不是討論如何編制管理制度,如何運用管理技術,而是站在更高的層面上來討論如何針對企業自身特點建立、完善信息化安全體系,有了個科學化的體系建設,信息化安全主管部門才會更有信心地應對各式各樣的安全威脅。

在工業信息化被日趨重視的今天,信息化的安全也被國家領導人提到了國家戰略的高度,從政府部門、企事業單位,國家層面的信息化安全管理要求也越發的嚴謹和完善。作為軌道行業的運營企業,也是信息化安全建設浪潮的重點單位,最近國資委也要求加緊對本企業的信息化安全進行建設。信息化的安全管理也不僅僅是下發幾個安全文件草草了事,也不是頭疼醫頭,腳痛醫腳。當前的信息化安全,更要求務實的從企業生產出發,多層次,多角度深入企業信息化建設中,從信息系統安全過渡到信息安全保障,將技術與管理相結合。關于技術和管理方面的信息化安全建設,我寫過的《工業控制系統信息安全技術在XX地鐵的創新應用》和《構建工控安全平臺 支撐安全運營管理》,后期我會放到公眾號里。

現階段信息安全部門推崇的基于時間的動態安全體系分為:策略、防護、檢測和響應(P2DR模型),具體的內容大家可以自行搜搜這方面內容。這四部份內容都離不開以人為本的核心,所以我們經常在很多書中看到,以人為中心,通過策略和技術來支持資產的防護、檢測與響應的信息安全機制。所以,我認為在信息化安全體系建設上應該圍繞人、策略(管理)、技術三要素構建,信息安全體系總體架構包括:信息安全管理、信息安全控制、信息安全技術。

那么,針對軌道交通行業,上述三個體系架構內容實際是什么意思呢?

我們首先大概了解下信息安全管理,它包括了信息安全組織、信息安全流程和信息安全制度。安全組織是對人的管理、職責的劃分,信息安全流程是指安全意識的提升、信息安全風險的管理(風險預警、風險應急)、安全監督等,安全制度是指相關的管理和技術規范的層次結構。

其次是信息安全控制,它包括了信息安全等級劃分、信息安全運作控制和信息安全技術控制。主要是對信息安全等級劃分的框架和安全等級的定義,并根據等級實施控制、系統建設與維護安全控制、第三方控制等,信息安全技術控制是為實現安全運作控制所需的技術服務。

再就是信息安全技術,它包括了應用安全、信息安全服務和信息技術基礎設施三方面。可以簡單理解一個安全的信息交互通過基礎設施,經過安全訪問的策略(權限),對應用進行使用。

信息安全理論內容深入且關系復雜,不同行業有不同的體系建設,下面我根據軌道交通企業特點,介紹如何建設上述信息安全管理、信息安全控制、信息安全技術。另外,由于軌道交通設備資產眾多,在建設前期,各系統必須要建立《信息資產登記表》,這是信息安全建設的一個必要元素。

0x1信息安全管理體系

0x1.1組織機構

借鑒軌道交通組織架構的特點和運營情況,將信息化安全機構按如下層級劃分,決策層:信息化領導小組/網安領導小組;管理層:信息管理部(信息安全處);執行層:數據安全運維中心、下屬成員企業信息中心、成員企業二級單位(生產專業、職能部門)信息中心。

0x1.2信息安全制度體系

目的在于更好的提高組織協調性和管理的有效性,所以需要一個制度體系進行規范和實施,我們經常寫的一些:信息安全管理規定、信息安全管理制度、信息安全管理辦法和一些執行細則都屬于這個制度體系。

0x1.3信息安全運行維護

在這方面,我們需要借鑒國內外的運維先進經驗,持續的進行總結、完善、推廣安全運維的工作。比如信息安全配置管理,需要制定一整套網安設備與系統配置策略,最好建立出配置模板,同時定期審核這些策略的執行情況,實現設備與系統的集中管理,這也是我《工業控制系統信息安全技術在XX地鐵的創新應用》一文中提到的集中式管理。另外還有關于信息安全監測管理(網絡監控、內容監控)、應急處理等內容。

0x1.4信息安全培訓

信息交互的每個環節都是安全防范的重點,所以從培訓體系也是需要分層次,從操作層到管理層都需要進行培訓。

0x1.5信息安全檢查與考核

對于信息安全的管理,要不斷創新與完善,從規劃到實施的考核形成一個閉環的循環,由考核來推動信息安全的建設質量與效率。各成員企業可以根據信息管理部的要求進行綜合評價,形成周期性考核報告。

0x2信息安全控制體系

我們經常能從安保部門下發的文件中看到,要建設信息安全防護體系,其實本質就是對信息及訪問的防護。所以需要對信息安全等級進行劃分和制定對應的安全控制。

0x1.1信息系統等級保護

這一內容,各個單位根據自身情況以及等保要求進行自主定級,但“自行定級、自行保護”明顯已不符合網絡安全管理的需要。如何避免企業降低保護等級規避,尚缺少更高位級的法律要求。對于等保2.0以及以后的政策,國家對自主定級將越來越趨于規范性管理,而不是自主保護。

0x1.1安全控制

這一點,應按照定級后的等保內容要求,對相應方面進行規范。比如邏輯安全控制:用戶賬號管理、口令規則、權限等管理,物理安全、網絡安全等等。這里著重說明對第三方的訪問控制,這是很多企業疏忽的管理漏點。

0x3信息安全技術體系

信息安全是個非常復雜的綜合領域,需要從信息系統安全的不同層次和角度去分析設計,形成企業完整有效的信息安全技術體系,我在《工業控制系統信息安全技術在XX地鐵的創新應用》中從技術角度,提出了“四層架構、六層防護”的工控信息安全建設架構。但對于信息化安全體系建設來說,應從物理環境、操作系統、網絡、主機、數據、應用、策略方面進行建設。

以上是信息安全體系建設的一個大概思路,但基本的建設內容都涵蓋。企業的信息安全建設無捷徑,腳踏實地才是真。

?
版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯系我們
主站蜘蛛池模板: 亚洲国产欧美日韩第一香蕉 | 婷婷综合七月激情啪啪 | 青青青国产依人精品视频 | 黄色a视频 | 99精品国产自产在线观看 | 日韩欧美亚洲综合 | 国产一区二区精品在线观看 | 国模无水印一区二区三区 | 国产精品自在线拍 | 免费在线看黄 | 久草资源免费 | 中文字幕综合久久久久 | 99爱视频精品免视看 | 日本一级毛片私人影院 | 午夜性刺激片免费观看成人 | 亚洲国产精品久久综合 | wwwa级片| 欧美一级毛片免费观看软件 | 国产在线播放拍拍拍 | 日本三级韩国三级三级a级按摩 | 深夜一级毛片 | 97视频在线播放 | 1024免费看| 色播综合网 | 亚洲一区二区三区亚瑟 | 1024黄| 成年女人a毛片免费视频 | 国产第一页无线好源 | 国产一区二区高清 | 国产免费高清国产在线视频 | 日韩中文字幕免费版 | 青春草国产成人精品久久 | 国产精品1区2区 | 久久亚洲欧美日本精品品 | 91po国产在线高清福利 | 亚洲热综合 | 欧美亚洲综合另类在线观看 | 又刺激又黄的一级毛片 | 亚洲精品视频网 | 毛片在线播放观看日本 | 特别福利视频在线观看 |