构建温州轨道交通网络安全综合防御体系筑牢数字化改革安全防线

2021-09-28 07:16陆诗钊潘明富温州市铁路与轨道交通投资集团有限公司
城市轨道交通 2021年8期
关键词:数据安全网络安全体系

文/陆诗钊,潘明富,温州市铁路与轨道交通投资集团有限公司

“没有网络安全就没有国家安全”,网络安全已成为牵一发而动全身的基础性、全局性国家安全问题。2021年2月,浙江省省委书记袁家军在数字化改革大会上强调,构建“152”体系要坚持系统安全观,建立关键信息基础设施安全保护体系,确保数据存储、传输、共享安全,处理好“矛”与“盾”的关系。近年来,温州市铁投集团一直高度重视网络安全问题,为全面落实习近平总书记关于网络强国的重要思想和党中央、省委关于网络安全工作的总体部署,坚强数字化改革网络安全底座,防范化解网络安全、数据安全风险。按照业务规划与安全规划同步原则,围绕指挥、制度、技术、运营四大体系,积极推进全域网络安全综合防御体系建设,全面提升网络安全整体能力,筑牢数字化改革安全防线。

一、网络安全指挥体系

在网络安全与信息化领导小组的指导下,发布《网络安全突发事件应急预案》,初步形成自上而下、分级处置的统一应急指挥体系。通过在数据中心建设“一网统揽”的态势感知系统,对单位关键信息基础设施进行全面监测,掌握关键信息基础设施运行状况和安全风险,了解当前网络环境内的网络安全形式、安全问题与安全水平。通过真实网络安全信息汇总、分析研判和通报,提前有效防范,形成系统安全问题的主动预警机制,把握“平安网络”的安全目标,做到了安全建设心中有数,依据真实的感知数据,驱动今后制定对应的有效决策,有针对性地研判预警,提升整体安全水平。

二、网络安全制度体系

在遵循《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《GB/T22239-2019信息安全技术网络安全等级保护基本要求》等有关精神的基础上,通过建立系统、科学、高效的数据安全管理制度,健全审批流程体系和评价体系,加快研究编制数据安全分级保障、网络与数据安全监管等相关标准规范。让安全保障工作有据可依,促进安全工作标准化、流程化、规范化开展,实现安全管理总体目标。按照最新等级保护标准要求以及自身网络安全管理需求,制定了网络安全管理制度体系框架,明确了管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单,从贴合业务流程的原则出发,编写了相应的管理制度文件,并进行修订和完善,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求,明确责任权力,规范操作,加强对人员、设备和业务系统的管理,完备应急响应机制,有效控制信息系统所面临的安全风险,从而确保业务系统的安全、稳定运行。

三、网络安全技术体系

网络安全技术架构总体上以《智慧城市轨道交通信息技术架构及网络安全规范》为指导,初步构建了内部管理网、对外服务网以及安全生产网,并划分出核心区、桌面云系统区、服务器区、用户接入区、互联网接入区和生产系统接口区等安全域。基础安全技术保障主要遵循国家电子政务和等级保护的要求,利用“一个中心,三重防护”即“一个安全管理中心,通信网络、区域边界和计算环境安全防护”的安全框架开展系统设计,在这一安全框架下构建安全应用支撑平台,形成安全保护环境。安全保护环境为数据中心等核心业务的典型应用子系统提供安全支撑服务,通过实施等级保护安全要求的网站应用,使用安全保护环境所提供的安全机制,为应用提供符合等保要求的安全功能支持和安全保证。通过部署边界防护、入侵防御、日志审计等设备,加强网络安全综合防御能力。通过建设容灾备份中心,完成“同城双活、多级容灾”的建设,整体提升数据中心可靠性和安全性。

四、网络安全运营体系

在安全运营方面,以“安全运营服务化,安全服务目录化”为设计原则,将安全运营所需的各类安全运营能力统一集成为安全运营基础资源。通过建立常态化的安全运营机制,以网络安全监控中心为中枢,以各类安全服务为支撑,实现对安全运营资源的统一管理、统一调度、统一监控,提高突发网络安全事件的应急处理能力。形成事前预警通报,事中防护应急,事后监督整改的安全闭环。通过对环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置等方面的优化部署,使系统始终处于安全相应的等级安全中。

2021年6月,中华人民共和国《数据安全法》正式公布,城市轨道交通网络安全管理将进一步向数据安全方面延伸,通过建立自上而下的安全管理架构,不断完善指挥、制度、技术、运营安全管理体系,进一步提升城市轨道交通网络安全和数据安全的综合防御能力,有效保障关键信息基础设施安全可靠,筑牢数字化改革安全防线。

猜你喜欢
数据安全网络安全体系
构建体系,举一反三
云计算中基于用户隐私的数据安全保护方法
网络安全
网络安全人才培养应“实战化”
建立激励相容机制保护数据安全
上网时如何注意网络安全?
大数据云计算环境下的数据安全
大数据安全搜索与共享
我国拟制定网络安全法
“曲线运动”知识体系和方法指导