南京地鐵集團網絡安全管理體系設計項目

文/于百勇、楊旭、唐德浩、姚啟航、倪晟峰，南京地鐵集團有限公司、江蘇金盾檢測技術股份有限公司

一、案例總體情況

本案例是南京地鐵集團第一份網絡安全管理標準化體系，采用頂層設計的方式，從管理層面自上而下地對集團網絡安全進行了全面的設計，以優先保障行車安全為根本，兼顧國家現有的網絡安全方針和政策，統籌設計了南京地鐵組織責任體系，并依據網絡安全“同步規劃、同步建設、同步運行”的原則，通過編制《信息系統分類定級標準》、《等級保護工作指南》、《新線建設網絡安全實施規范》等文本，因地制宜地將集團網絡安全工作落到實處。

二、案例背景情況

為貫徹黨中央、國務院以及上級黨委、政府有關網絡安全工作部署，根據《中華人民共和國網絡安全法》、“等保2.0”等網絡安全相關法律、法規、標準和規范，落實南京地鐵集團信息化建設規劃，2018年，南京地鐵制定了《南京地鐵集團信息安全管理辦法》。該辦法作為南京地鐵網絡安全總體方針策略，成為集團網絡安全體系建設的綱領性文件。2019年～2020年，南京地鐵將網絡安全管理體系建設作為業務工作重點，以“統一標準、統一設計”為原則，啟動并完成了網絡安全管理體系設計咨詢項目，通過試運行和不斷優化本項目管理體系，形成了集團全面的網絡安全保障機制。

三、案例主要內容及關鍵技術

（一）完成了《南京地鐵集團有限公司網絡安全管理體系設計報告》

1.根據南京地鐵企業管理的特點，建立了企業網絡安全管理組織框架，明確了全集團網絡安全管理職責，形成組織管理層和責任主體層兩級網絡安全組織責任體系，從而加強了南京地鐵的網絡安全管理。

2.制定了網絡安全計劃管理規范與流程，明確了網絡安全目標，規定了網絡安全工作計劃的制定、審批與實施的具體流程。為有序的開展網絡安全管理工作提供基本的制度保障。

3.制定了網絡安全檢查規范與流程，制定檢查科目池及檢查規則，通過定期實施網絡安全檢查全面了解集團各子單位信息系統的網絡安全狀況、網絡安全管理制度、技術保護措施的落實及網絡安全等級保護工作的開展情況等，及時發現網絡安全隱患和存在的突出問題并加以改進。

（二）完成了《南京地鐵集團有限公司信息系統安全等級保護分類定級標準》

1.根據《網絡安全法》、“等保2.0”等法律法規、標準規范的要求，在集團內部通過該標準將等級保護工作科學化、制度化。

2.結合國家等級保護相關標準，對集團重要信息系統（包括工控系統、云計算平臺）的定級提出了標準，以規范集團各子單位未來的信息系統等級保護定級工作。

（三）完成了《南京地鐵集團有限公司新線建設網絡安全實施規范》

1.將網絡安全等級保護工作落實到南京地鐵新線建設的設計階段，并對相關工控系統的信息安全等級保護工作在設計上進行了明確。通過對線路工程實施階段、初步設計階段具體工作流程、內容的規定，從制度上保障了重要信息系統的安全系統規劃、設計、實施、審核同步進行。

2.提出了安全系統設計標準與要求，制度上保障了安全系統建設的完整性、科學性、合規性。

（四）完成了《南京地鐵集團有限公司網絡安全等級保護工作指南》

1.有效地指導南京地鐵網絡安全等級保護工作的開展，形成一套可落地實施的集團信息系統定級、備案、測評、后期檢查等工作流程，為集團的等級保護工作提供了制度保障。

2.為重要信息系統定級、建設與整改、監督與檢查、測試與評估、系統運維、系統終止方面等工作提供了標準化工作流程，為信息系統的全生命周期的安全提供了保障。

（五）完成了《南京地鐵集團有限公司數據中心安全規劃報告》

1.完成了集團數據中心的技術防護體系規劃設計。

2.有效分析了安全防護需求，以技術、管理、服務三者的結合，為數據中心未來的安全系統建設完成了架構設計。從安全防護能力、隱患發現能力、應急響應能力、系統恢復能力方面規劃了技術路線、防護手段與基本安全策略。從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心幾個層面提出了安全防護功能要求。

（六）完成了《南京地鐵集團有限公司靈山數據中心設計方案》

對南京地鐵集團數據中心雙活容災及IT軟硬件的建設進行了需求分析與設計，達到了保證數據中心建設能夠滿足未來5到10年不斷發展的業務需求，為集團各業務系統提供不間斷、安全可靠的IT軟硬件服務能力，為應用系統建設提供底層環境保障。

四、案例應用場景

通過本項目的研究和規劃形成了南京地鐵網絡安全管理的規范和可行流程，明確了集團網絡安全組織架構和職能，實現了集團包括各子單位的檢查與管理規范，為集團整體網絡安全提供了制度保障和持續改進的依據和管理辦法。

在充分考慮軌道交通行業特點的基礎上建立集團網絡安全管理體系，由集團統籌組織和管理，各業務單位為責任主體負責落實，逐級明確網絡安全責任，開展企業和軌道交通生產網絡安全工作。

建立并完善網絡安全事件信息通報及應急響應機制。制定相關文件明確網絡安全事件分類分級定義及信息通報聯絡對象，依據等級保護標準及網絡安全事件專項應急預案，對集團網絡安全總體預案和各重要信息系統子預案進行梳理，并據此開展預案演練、培訓等應急保障工作。

建立并實施網絡安全風險防控業務機制，由集團各子單位根據轄內信息系統運行狀況、安全檢查或風險排查結果建立網絡安全問題臺帳、事件臺帳及風險臺帳，并定期報送集團網信辦備案，集團網信辦定期更新并持續跟蹤，形成閉環管理流程。

加強了網絡安全等級保護管理工作。依據南京地鐵信息系統分類定級標準對轄內信息系統實施等級保護定級備案工作，集團各子單位將信息系統等級保護定級備案、安全改造、等級測評等工作納入年度網絡安全計劃任務，并嚴格遵循“信息系統分類定級保準”、“等級保護工作指南”及“新線建設信息系統等級保護實施規范”等項目輸出標準和規范，開展信息系統建設和運維工作，確保信息化和網絡安全工作的有效融合。

初步建立了集團網絡安全技術架構體系。依托本項目“數據中心安全規劃”等安全規劃報告，以“全面防護、分級分域、強化邊界”為總體目標，初步確立合理有效的網絡安全技術架構體系，針對業務系統等保定級情況、網絡安全域規劃與網絡隔離、信息系統部署及業務交互、安全邊界隔離等方面進行了全局的規劃，為南京地鐵集團數據中心網絡和信息系統規劃和建設工作提供了基礎性支撐，并據此開展了后續集團數據中心的建設工作，逐步提升網絡安全技術保障能級。

五、案例經驗總結

2020年，本項目成功驗收后經江蘇省綜合交通運輸學會信息化工作委員會審核通過，取得項目成果鑒定報告，鑒定認為本項目成果結合了南京地鐵實際情況，構建了較為完善的網絡安全管理體系框架，對落實南京地鐵網絡安全責任制、提升網絡安全保障能力具有重要的現實意義。

企業的網絡安全管理組織機構決定了一個企業網絡安全管理的水平，同時也是一個企業信息安全管理制度有效推動和執行的關鍵因素之一。本項目所形成的研究成果可以應用的本領域的其他單位作為參考建議，其既突出了軌道交通行業信息化管理特點，也涵蓋了管理信息系統、工業控制信息系統等方面的技術和管理方面的考量，具有一定的推廣價值和參考意義。

通過建立體系化的網絡安全管理模式促進軌道交通業務運營高效，并提供基礎性安全保障，為國內軌道交通信息化業務的快速發展提供輔助支撐。為軌道交通行業網絡安全工作提供清晰的思路，從而為軌道交通網絡安全工作走向有序、可持續發展打下基礎。為軌道交通行業網絡安全管理體系設計及管理信息化安全技術體系建設提供思路和方法，避免重復建設和投入，減少資源浪費。