南京地铁集团网络安全管理体系设计项目

文/于百勇、杨旭、唐德浩、姚啟航、倪晟峰，南京地铁集团有限公司、江苏金盾检测技术股份有限公司

一、案例总体情况

本案例是南京地铁集团第一份网络安全管理标准化体系，采用顶层设计的方式，从管理层面自上而下地对集团网络安全进行了全面的设计，以优先保障行车安全为根本，兼顾国家现有的网络安全方针和政策，统筹设计了南京地铁组织责任体系，并依据网络安全“同步规划、同步建设、同步运行”的原则，通过编制《信息系统分类定级标准》、《等级保护工作指南》、《新线建设网络安全实施规范》等文本，因地制宜地将集团网络安全工作落到实处。

二、案例背景情况

为贯彻党中央、国务院以及上级党委、政府有关网络安全工作部署，根据《中华人民共和国网络安全法》、“等保2.0”等网络安全相关法律、法规、标准和规范，落实南京地铁集团信息化建设规划，2018年，南京地铁制定了《南京地铁集团信息安全管理办法》。该办法作为南京地铁网络安全总体方针策略，成为集团网络安全体系建设的纲领性文件。2019年～2020年，南京地铁将网络安全管理体系建设作为业务工作重点，以“统一标准、统一设计”为原则，启动并完成了网络安全管理体系设计咨询项目，通过试运行和不断优化本项目管理体系，形成了集团全面的网络安全保障机制。

三、案例主要内容及关键技术

（一）完成了《南京地铁集团有限公司网络安全管理体系设计报告》

1.根据南京地铁企业管理的特点，建立了企业网络安全管理组织框架，明确了全集团网络安全管理职责，形成组织管理层和责任主体层两级网络安全组织责任体系，从而加强了南京地铁的网络安全管理。

2.制定了网络安全计划管理规范与流程，明确了网络安全目标，规定了网络安全工作计划的制定、审批与实施的具体流程。为有序的开展网络安全管理工作提供基本的制度保障。

3.制定了网络安全检查规范与流程，制定检查科目池及检查规则，通过定期实施网络安全检查全面了解集团各子单位信息系统的网络安全状况、网络安全管理制度、技术保护措施的落实及网络安全等级保护工作的开展情况等，及时发现网络安全隐患和存在的突出问题并加以改进。

（二）完成了《南京地铁集团有限公司信息系统安全等级保护分类定级标准》

1.根据《网络安全法》、“等保2.0”等法律法规、标准规范的要求，在集团内部通过该标准将等级保护工作科学化、制度化。

2.结合国家等级保护相关标准，对集团重要信息系统（包括工控系统、云计算平台）的定级提出了标准，以规范集团各子单位未来的信息系统等级保护定级工作。

（三）完成了《南京地铁集团有限公司新线建设网络安全实施规范》

1.将网络安全等级保护工作落实到南京地铁新线建设的设计阶段，并对相关工控系统的信息安全等级保护工作在设计上进行了明确。通过对线路工程实施阶段、初步设计阶段具体工作流程、内容的规定，从制度上保障了重要信息系统的安全系统规划、设计、实施、审核同步进行。

2.提出了安全系统设计标准与要求，制度上保障了安全系统建设的完整性、科学性、合规性。

（四）完成了《南京地铁集团有限公司网络安全等级保护工作指南》

1.有效地指导南京地铁网络安全等级保护工作的开展，形成一套可落地实施的集团信息系统定级、备案、测评、后期检查等工作流程，为集团的等级保护工作提供了制度保障。

2.为重要信息系统定级、建设与整改、监督与检查、测试与评估、系统运维、系统终止方面等工作提供了标准化工作流程，为信息系统的全生命周期的安全提供了保障。

（五）完成了《南京地铁集团有限公司数据中心安全规划报告》

1.完成了集团数据中心的技术防护体系规划设计。

2.有效分析了安全防护需求，以技术、管理、服务三者的结合，为数据中心未来的安全系统建设完成了架构设计。从安全防护能力、隐患发现能力、应急响应能力、系统恢复能力方面规划了技术路线、防护手段与基本安全策略。从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心几个层面提出了安全防护功能要求。

（六）完成了《南京地铁集团有限公司灵山数据中心设计方案》

对南京地铁集团数据中心双活容灾及IT软硬件的建设进行了需求分析与设计，达到了保证数据中心建设能够满足未来5到10年不断发展的业务需求，为集团各业务系统提供不间断、安全可靠的IT软硬件服务能力，为应用系统建设提供底层环境保障。

四、案例应用场景

通过本项目的研究和规划形成了南京地铁网络安全管理的规范和可行流程，明确了集团网络安全组织架构和职能，实现了集团包括各子单位的检查与管理规范，为集团整体网络安全提供了制度保障和持续改进的依据和管理办法。

在充分考虑轨道交通行业特点的基础上建立集团网络安全管理体系，由集团统筹组织和管理，各业务单位为责任主体负责落实，逐级明确网络安全责任，开展企业和轨道交通生产网络安全工作。

建立并完善网络安全事件信息通报及应急响应机制。制定相关文件明确网络安全事件分类分级定义及信息通报联络对象，依据等级保护标准及网络安全事件专项应急预案，对集团网络安全总体预案和各重要信息系统子预案进行梳理，并据此开展预案演练、培训等应急保障工作。

建立并实施网络安全风险防控业务机制，由集团各子单位根据辖内信息系统运行状况、安全检查或风险排查结果建立网络安全问题台帐、事件台帐及风险台帐，并定期报送集团网信办备案，集团网信办定期更新并持续跟踪，形成闭环管理流程。

加强了网络安全等级保护管理工作。依据南京地铁信息系统分类定级标准对辖内信息系统实施等级保护定级备案工作，集团各子单位将信息系统等级保护定级备案、安全改造、等级测评等工作纳入年度网络安全计划任务，并严格遵循“信息系统分类定级保准”、“等级保护工作指南”及“新线建设信息系统等级保护实施规范”等项目输出标准和规范，开展信息系统建设和运维工作，确保信息化和网络安全工作的有效融合。

初步建立了集团网络安全技术架构体系。依托本项目“数据中心安全规划”等安全规划报告，以“全面防护、分级分域、强化边界”为总体目标，初步确立合理有效的网络安全技术架构体系，针对业务系统等保定级情况、网络安全域规划与网络隔离、信息系统部署及业务交互、安全边界隔离等方面进行了全局的规划，为南京地铁集团数据中心网络和信息系统规划和建设工作提供了基础性支撑，并据此开展了后续集团数据中心的建设工作，逐步提升网络安全技术保障能级。

五、案例经验总结

2020年，本项目成功验收后经江苏省综合交通运输学会信息化工作委员会审核通过，取得项目成果鉴定报告，鉴定认为本项目成果结合了南京地铁实际情况，构建了较为完善的网络安全管理体系框架，对落实南京地铁网络安全责任制、提升网络安全保障能力具有重要的现实意义。

企业的网络安全管理组织机构决定了一个企业网络安全管理的水平，同时也是一个企业信息安全管理制度有效推动和执行的关键因素之一。本项目所形成的研究成果可以应用的本领域的其他单位作为参考建议，其既突出了轨道交通行业信息化管理特点，也涵盖了管理信息系统、工业控制信息系统等方面的技术和管理方面的考量，具有一定的推广价值和参考意义。

通过建立体系化的网络安全管理模式促进轨道交通业务运营高效，并提供基础性安全保障，为国内轨道交通信息化业务的快速发展提供辅助支撑。为轨道交通行业网络安全工作提供清晰的思路，从而为轨道交通网络安全工作走向有序、可持续发展打下基础。为轨道交通行业网络安全管理体系设计及管理信息化安全技术体系建设提供思路和方法，避免重复建设和投入，减少资源浪费。