勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的建設(shè)

周元德 龍?jiān)? 楊曉斌 葉紅兵 劉海蓮 金博文

摘 要 《網(wǎng)絡(luò)安全法》第二十一條規(guī)定：“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度從法律意義上成為國(guó)家網(wǎng)絡(luò)安全工作的基本制度。勘察設(shè)計(jì)集團(tuán)企業(yè)在網(wǎng)絡(luò)安全等級(jí)保護(hù)方面做了大量實(shí)踐，對(duì)整個(gè)行業(yè)的信息安全工作起到了促進(jìn)作用。本文簡(jiǎn)要介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度重要性，通過(guò)勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作實(shí)踐以及典型案例，總結(jié)經(jīng)驗(yàn)，分析不足并提出了相關(guān)建議，以期能對(duì)本行業(yè)信息系統(tǒng)安全防護(hù)的進(jìn)一步研究應(yīng)用提供參考。

【關(guān)鍵詞】勘察設(shè)計(jì)集團(tuán)企業(yè) 網(wǎng)絡(luò)安全等級(jí)保護(hù)

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度重要性

近年來(lái)，在黨中央、國(guó)務(wù)院高度重視和各有關(guān)方面協(xié)調(diào)配合、共同努力下，我國(guó)信息安全等級(jí)保護(hù)工作取得了很大進(jìn)展。勘察設(shè)計(jì)集團(tuán)企業(yè)在信息化建設(shè)的同時(shí)，實(shí)行信息安全等級(jí)保護(hù)制度，有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于明確企業(yè)信息系統(tǒng)管理部門和各個(gè)業(yè)務(wù)部門的安全責(zé)任，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施，提高整體企業(yè)的安全保護(hù)水平，保障業(yè)務(wù)信息系統(tǒng)安全正常運(yùn)行，保障信息安全，進(jìn)而保障各部門和單位的職能安全、高速、高效地運(yùn)轉(zhuǎn)；有利于提升企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力。

2 勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度建設(shè)

網(wǎng)絡(luò)安全等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度，是網(wǎng)絡(luò)空間保障體系的重要支撐，是應(yīng)對(duì)強(qiáng)敵APT的有效措施。通過(guò)對(duì)信息系統(tǒng)實(shí)行分等級(jí)安全防護(hù)、對(duì)信息安全產(chǎn)品實(shí)行按等級(jí)管理、對(duì)安全事件分等級(jí)響應(yīng)來(lái)落地網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段。某勘察設(shè)計(jì)集團(tuán)企業(yè)認(rèn)真貫徹國(guó)家信息安全等級(jí)保護(hù)制度，初步建立了實(shí)用的網(wǎng)絡(luò)安全保障體系，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，使勘察設(shè)計(jì)集團(tuán)企業(yè)的信息安全保障能力顯著提高。在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作實(shí)踐中，我們開(kāi)展了如下工作：

2.1 以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為契機(jī)，積極梳理業(yè)務(wù)系統(tǒng)并定級(jí)備案

依據(jù)國(guó)資委相關(guān)信息化會(huì)議精神，某勘察設(shè)計(jì)集團(tuán)企業(yè)對(duì)企業(yè)信息系統(tǒng)全面梳理并進(jìn)行了定級(jí)備案、差距分析及安全整改等工作。參照國(guó)家規(guī)定的等級(jí)劃分標(biāo)準(zhǔn)，對(duì)鐵路專業(yè)知識(shí)庫(kù)管理系統(tǒng)等九個(gè)主要系統(tǒng)進(jìn)行定級(jí)備案評(píng)，按照信息系統(tǒng)安全等級(jí)保護(hù)管理要求，確定整體信息系統(tǒng)的保護(hù)等級(jí)，并提出整改意見(jiàn)報(bào)告，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的重點(diǎn)安全保障，推進(jìn)了信息安全保護(hù)工作的規(guī)范化、法制化建設(shè)，有效體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的思想，將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中，改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況。同時(shí)，隨著集團(tuán)企業(yè)的信息化發(fā)展，對(duì)定級(jí)過(guò)高、過(guò)低的情況進(jìn)行糾正，并及時(shí)進(jìn)行安全整改。

2.2 以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為抓手，全面推動(dòng)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

某勘察設(shè)計(jì)集團(tuán)企業(yè)以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為抓手，定期開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，完善網(wǎng)絡(luò)安全整體解決方案，建立安全技術(shù)保障體系、安全管理保障體貼和安全運(yùn)維保障體系。通過(guò)對(duì)系統(tǒng)的信息資產(chǎn)進(jìn)行調(diào)查；參考國(guó)家、國(guó)資委及勘察設(shè)計(jì)行業(yè)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行安全級(jí)別劃分；采用各種方式對(duì)信息系統(tǒng)進(jìn)行全面評(píng)估；根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，參考通用標(biāo)準(zhǔn)基本要求設(shè)計(jì)短期解決方案及長(zhǎng)期的安全規(guī)劃。

2.3 以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為重點(diǎn)，建立重要信息系統(tǒng)應(yīng)急處置預(yù)案，完善災(zāi)難恢復(fù)機(jī)制

在網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，網(wǎng)監(jiān)辦堅(jiān)持日常管理與應(yīng)急響應(yīng)相結(jié)合，形成“統(tǒng)一指揮、協(xié)調(diào)聯(lián)動(dòng)、專業(yè)處置、溝通順暢、反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效”的保障和應(yīng)急處置預(yù)案。制定一系列與網(wǎng)絡(luò)安全相關(guān)的應(yīng)急預(yù)案。每年都組織信息安全相關(guān)的應(yīng)急演練，根據(jù)預(yù)案模擬信息系統(tǒng)可能遇到的安全事故，按照應(yīng)急響應(yīng)流程對(duì)安全事故進(jìn)行處理，在應(yīng)急響應(yīng)演練結(jié)束之后，針對(duì)應(yīng)急響應(yīng)工作過(guò)程中遇到的問(wèn)題，分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性，針對(duì)預(yù)案中的問(wèn)題向網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組提出修改建議。

2.4 以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為基礎(chǔ)，強(qiáng)化網(wǎng)絡(luò)安全運(yùn)維中心，建立安全運(yùn)維監(jiān)控機(jī)制

從運(yùn)維的角度思考信息安全問(wèn)題，以業(yè)務(wù)驅(qū)動(dòng)為導(dǎo)向，堅(jiān)持從實(shí)踐中來(lái)、到實(shí)踐中去的原則，探尋集團(tuán)企業(yè)運(yùn)行、管理中存在的信息安全問(wèn)題。某勘察設(shè)計(jì)集團(tuán)企業(yè)推行基于ITIL的安全運(yùn)維體系，規(guī)范日常安全運(yùn)維管理，建立健全信息安全監(jiān)測(cè)預(yù)警體系，變"為運(yùn)維而運(yùn)維"為“為用戶而運(yùn)維”的管理理念。適應(yīng)新形勢(shì)對(duì)信息系統(tǒng)建設(shè)提出了“為員工提供更加優(yōu)質(zhì)安全運(yùn)維”的新目標(biāo)。通過(guò)維護(hù)熱線、信息技術(shù)人員電話方式及上門服務(wù)等方式為員工遇到的安全問(wèn)題提供解答，并解決。通過(guò)網(wǎng)絡(luò)運(yùn)行狀態(tài)、信息系統(tǒng)安全數(shù)據(jù)匯集、安全監(jiān)測(cè)分析功能和安全管理流程的有機(jī)結(jié)合，實(shí)現(xiàn)某勘察設(shè)計(jì)集團(tuán)企業(yè)信息安全事件分析、風(fēng)險(xiǎn)分析、應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力。通過(guò)將安全管理組織、安全運(yùn)維流程和安全監(jiān)測(cè)三方面有機(jī)結(jié)合，實(shí)現(xiàn)事前預(yù)警、事中處置、事后追溯的信息安全閉環(huán)運(yùn)行機(jī)制，為某勘察設(shè)計(jì)集團(tuán)企業(yè)信息安全保障奠定了良好基礎(chǔ)。

3 勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作典型案例

近年來(lái)，某勘察設(shè)計(jì)集團(tuán)企業(yè)進(jìn)一步重視企業(yè)網(wǎng)信工作，尤其在局域網(wǎng)建設(shè)和海外項(xiàng)目信息安全方面開(kāi)展了卓有成效的工作。

3.1 企業(yè)域網(wǎng)安全接入平臺(tái)建設(shè)

某勘察設(shè)計(jì)集團(tuán)企業(yè)針對(duì)局域網(wǎng)接入控制手段的不足以及計(jì)算機(jī)終端不能集中管控的情況，通過(guò)對(duì)企業(yè)的局域網(wǎng)安全現(xiàn)狀進(jìn)行分析，網(wǎng)絡(luò)安全部門對(duì)當(dāng)前業(yè)界主流的網(wǎng)絡(luò)接入安全管理技術(shù)進(jìn)行了研究，于2014年底購(gòu)買引進(jìn)了局域網(wǎng)安全接入平臺(tái)系統(tǒng)，能夠?qū)K端設(shè)備的安全接入、安全使用、硬件資源配置和網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行有效的管理。經(jīng)過(guò)近2年時(shí)間的精心測(cè)試和細(xì)致準(zhǔn)備，于2016年底在某勘察設(shè)計(jì)集團(tuán)企業(yè)總部全面完成局域網(wǎng)安全接入管理系統(tǒng)的部署和應(yīng)用，極大地提升了某勘察設(shè)計(jì)集團(tuán)企業(yè)網(wǎng)絡(luò)及信息安全的整體防護(hù)能力。

3.2 海外高鐵項(xiàng)目網(wǎng)絡(luò)信息安全建設(shè)管理

針對(duì)海外高鐵項(xiàng)目所面臨的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，某勘察設(shè)計(jì)集團(tuán)企業(yè)向國(guó)安廳、中國(guó)電子科技集團(tuán)等網(wǎng)絡(luò)安全相關(guān)單位和公司進(jìn)行咨詢，為海外高鐵項(xiàng)目的設(shè)計(jì)工作提供信息安全保障。根據(jù)工作需要，基于大型集團(tuán)企業(yè)的商業(yè)機(jī)密及國(guó)家安全戰(zhàn)略的高度考慮，需要對(duì)項(xiàng)目現(xiàn)場(chǎng)的辦公網(wǎng)絡(luò)及項(xiàng)目部與集團(tuán)總部?jī)傻氐霓k公通信業(yè)務(wù)進(jìn)行安全保護(hù)，防止相關(guān)信息被竊聽(tīng)、竊取。我們主要從管理和技術(shù)兩方面加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。

首先，從管理方面，由網(wǎng)絡(luò)安全部門派遣信息安全管理員加入項(xiàng)目部專門負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)工作。在信息安全管理員協(xié)助下，項(xiàng)目部制定并發(fā)布了《海外項(xiàng)目部信息安全保密管理制度》，并通過(guò)周例會(huì)等多種方式對(duì)制度進(jìn)行宣貫，提升項(xiàng)目部全員的信息安全意識(shí)。其次，從技術(shù)方面，根據(jù)項(xiàng)目部辦公區(qū)分散在不同樓宇的實(shí)際情況，制定了單獨(dú)部署有線光纖局域網(wǎng)的方案。

海外高鐵項(xiàng)目網(wǎng)絡(luò)信息安全管理的實(shí)施，助力海外高鐵項(xiàng)目安全穩(wěn)定的推進(jìn)，為某勘察設(shè)計(jì)集團(tuán)企業(yè)海外項(xiàng)目信息安全體系建設(shè)進(jìn)行了有益的探索，對(duì)于某勘察設(shè)計(jì)集團(tuán)企業(yè)的核心商業(yè)機(jī)密的保護(hù)和“一帶一路”基礎(chǔ)建設(shè)的安全實(shí)施起到了積極有效的作用。

4 網(wǎng)絡(luò)安全等級(jí)保護(hù)工作存在的不足及改進(jìn)建議

進(jìn)過(guò)幾年的努力，某勘察設(shè)計(jì)集團(tuán)企業(yè)信息安全工作形成了以信息安全等級(jí)保護(hù)制度為核心、信息安全組織為保障，定期梳理信息安全現(xiàn)狀，促進(jìn)信息安全建設(shè)的均衡發(fā)展和整體水平提高，做到信息安全工作制度化、規(guī)范化、體系化，網(wǎng)絡(luò)安全保障能力顯著提高。但是，也同時(shí)也存在一些不足。

（1）對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的定位不夠高，對(duì)重要信息系統(tǒng)安全保護(hù)缺乏足夠的重視。建議把網(wǎng)絡(luò)安全等級(jí)保護(hù)工作定位為“一把手”工程，強(qiáng)化信息安全整體規(guī)劃，落實(shí)網(wǎng)絡(luò)安全責(zé)任部門，安全策略動(dòng)態(tài)適時(shí)調(diào)整；設(shè)立網(wǎng)絡(luò)安全專項(xiàng)經(jīng)費(fèi)，避免重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏的問(wèn)題。

（2）重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施，尤其是未落實(shí)安全審計(jì)措施。建議對(duì)集團(tuán)企業(yè)息安全監(jiān)控審計(jì)的需求進(jìn)行逐一梳理，主要包括網(wǎng)絡(luò)監(jiān)控審計(jì)、應(yīng)用系統(tǒng)監(jiān)控審計(jì)和互聯(lián)網(wǎng)輿情監(jiān)控處置等，并進(jìn)行逐一落實(shí)。

5 結(jié)束語(yǔ)

面對(duì)網(wǎng)絡(luò)安全和信息化不斷出現(xiàn)的新形勢(shì)和新問(wèn)題以及勘察設(shè)計(jì)業(yè)務(wù)應(yīng)用的新特點(diǎn)，勘察設(shè)計(jì)集團(tuán)企業(yè)通過(guò)安全管理、安全技術(shù)、安全運(yùn)維等方面保障信息系統(tǒng)安全，自始建至今未出現(xiàn)過(guò)大的安全事故，較好地完成了信息系統(tǒng)的安全保障要求，為勘察設(shè)計(jì)業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的信息化系統(tǒng)基礎(chǔ)保障的安全保障目標(biāo)。同時(shí)，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)過(guò)程，不是一勞永逸的結(jié)果，即使我們做了很多安全保障工作，也不能確保現(xiàn)在信息系統(tǒng)的絕對(duì)安全，這需要我們與時(shí)俱進(jìn)，不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)。網(wǎng)絡(luò)安全是手段，應(yīng)用才是目的，我們將緊緊圍繞勘察設(shè)計(jì)核心業(yè)務(wù)，優(yōu)化系統(tǒng)支持，深化數(shù)據(jù)應(yīng)用，完善IT運(yùn)維，強(qiáng)化信息安全，推進(jìn)工作創(chuàng)新，不斷提高信息化安全管理水平，有效發(fā)揮職能作用，確保信息系統(tǒng)穩(wěn)定高效安全運(yùn)行，為促進(jìn)勘察設(shè)計(jì)事業(yè)科學(xué)發(fā)展提供強(qiáng)有力的信息安全保障。

參考文獻(xiàn)

[1]姚洪磊，張彥.鐵路信息安全等級(jí)保護(hù)技術(shù)體系規(guī)劃與設(shè)計(jì)研究[J].警察技術(shù)，2014（S1）.

[2]中央和國(guó)家機(jī)關(guān)有關(guān)部門信息安全等級(jí)保護(hù)工作經(jīng)驗(yàn)摘編[J].信息網(wǎng)絡(luò)安全，2011（03）.

作者簡(jiǎn)介

周元德（1977-），男，湖北省人。高級(jí)工程師，CISP，碩士。主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

作者單位

中國(guó)中鐵二院工程集團(tuán)有限責(zé)任公司 四川省成都市 610031