摘要:《网络安全法》第二十一条规定:“国家实行网络安全等级保护制度”。网络安全等级保护制度从法律意义上成为国家网络安全工作的基本制度。勘察设计集团企业在网络安全等级保护方面做了大量实践,对整个行业的信息安全工作起到了促进作用。本文简要介绍了网络安全等级保护制度重要性,通过勘察设计集团企业网络安全等级保护工作实践以及典型案例,总结经验,分析不足并提出了相关建议,以期能对本行业信息系统安全防护的进一步研究应用提供参考。
关键词:勘察设计集团企业;网络安全等级;保护
1网络安全等级保护制度重要性
近年来,在党中央、国务院高度重视和各有关方面协调配合、共同努力下,我国信息安全等级保护工作取得了很大进展。勘察设计集团企业在信息化建设的同时,实行信息安全等级保护制度,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于明确企业信息系统管理部门和各个业务部门的安全责任,共同落实各项安全建设和安全管理措施,提高整体企业的安全保护水平,保障业务信息系统安全正常运行,保障信息安全,进而保障各部门和单位的职能安全、高速、高效地运转;有利于提升企业在市场上的竞争力。
2勘察设计集团企业网络安全等级保护制度建设
网络安全等级保护是我国信息安全保障的基本制度,是网络空间保障体系的重要支撑,是应对强敌APT的有效措施。通过对信息系统实行分等级安全防护、对信息安全产品实行按等级管理、对安全事件分等级响应来落地网络安全等级保护制度。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。某勘察设计集团企业认真贯彻国家信息安全等级保护制度,初步建立了实用的网络安全保障体系,保障信息系统的安全稳定运行,使勘察设计集团企业的信息安全保障能力显著提高。在网络安全等级保护工作实践中,我们开展了如下工作:
2.1以网络安全等级保护工作为契机,积极梳理业务系统并定级备案
依据国资委相关信息化会议精神,某勘察设计集团企业对企业信息系统全面梳理并进行了定级备案、差距分析及安全整改等工作。参照国家规定的等级划分标准,对铁路专业知识库管理系统等九个主要系统进行定级备案评,按照信息系统安全等级保护管理要求,确定整体信息系统的保护等级,并提出整改意见报告,实现对重要信息系统的重点安全保障,推进了信息安全保护工作的规范化、法制化建设,有效体现“适度安全、保护重点”的思想,将有限的财力、物力、人力投入到重要信息系统安全保护中,改变传统的安全管理“头痛医头、脚痛医脚”的情况。同时,随着集团企业的信息化发展,对定级过高、过低的情况进行纠正,并及时进行安全整改。
2.2以网络安全等级保护工作为抓手,全面推动企业网络安全风险评估
某勘察设计集团企业以网络安全等级保护工作为抓手,定期开展信息系统安全风险评估,完善网络安全整体解决方案,建立安全技术保障体系、安全管理保障体贴和安全运维保障体系。通过对系统的信息资产进行调查;参考国家、国资委及勘察设计行业标准对信息系统进行安全级别划分;采用各种方式对信息系统进行全面评估;根据风险评估结果,参考通用标准基本要求设计短期解决方案及长期的安全规划。
2.3以网络安全等级保护工作为重点,建立重要信息系统应急处置预案,完善灾难恢复机制
在网络与信息安全领导小组的领导下,网监办坚持日常管理与应急响应相结合,形成“统一指挥、协调联动、专业处置、沟通顺畅、反应灵敏、运转高效”的保障和应急处置预案。制定一系列与网络安全相关的应急预案。每年都组织信息安全相关的应急演练,根据预案模拟信息系统可能遇到的安全事故,按照应急响应流程对安全事故进行处理,在应急响应演练结束之后,针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题向网络与信息安全领导小组提出修改建议。
2.4以网络安全等级保护工作为基础,强化网络安全运维中心,建立安全运维监控机制
从运维的角度思考信息安全问题,以业务驱动为导向,坚持从实践中来、到实践中去的原则,探寻集团企业运行、管理中存在的信息安全问题。某勘察设计集团企业推行基于ITIL的安全运维体系,规范日常安全运维管理,建立健全信息安全监测预警体系,变"为运维而运维"为“为用户而运维”的管理理念。适应新形势对信息系统建设提出了“为员工提供更加优质安全运维”的新目标。通过维护热线、信息技术人员电话方式及上门服务等方式为员工遇到的安全问题提供解答,并解决。通过网络运行状态、信息系统安全数据汇集、安全监测分析功能和安全管理流程的有机结合,实现某勘察设计集团企业信息安全事件分析、风险分析、应急响应处理一体化的技术支撑能力。通过将安全管理组织、安全运维流程和安全监测三方面有机结合,实现事前预警、事中处置、事后追溯的信息安全闭环运行机制,为某勘察设计集团企业信息安全保障奠定了良好基础。
3勘察设计集团企业网络安全等级保护工作典型案例
近年来,某勘察设计集团企业进一步重视企业网信工作,尤其在局域网建设和海外项目信息安全方面开展了卓有成效的工作。
3.1企业域网安全接入平台建设
某勘察设计集团企业针对局域网接入控制手段的不足以及计算机终端不能集中管控的情况,通过对企业的局域网安全现状进行分析,网络安全部门对当前业界主流的网络接入安全管理技术进行了研究,于2014年底购买引进了局域网安全接入平台系统,能够对终端设备的安全接入、安全使用、硬件资源配置和网络访问权限进行有效的管理。经过近2年时间的精心测试和细致准备,于2016年底在某勘察设计集团企业总部全面完成局域网安全接入管理系统的部署和应用,极大地提升了某勘察设计集团企业网络及信息安全的整体防护能力。
3.2海外高铁项目网络信息安全建设管理
针对海外高铁项目所面临的网络信息安全风险,某勘察设计集团企业向国安厅、中国电子科技集团等网络安全相关单位和公司进行咨询,为海外高铁项目的设计工作提供信息安全保障。根据工作需要,基于大型集团企业的商业机密及国家安全战略的高度考虑,需要对项目现场的办公网络及项目部与集团总部两地的办公通信业务进行安全保护,防止相关信息被窃听、窃取。我们主要从管理和技术两方面加强网络安全防护。首先,从管理方面,由网络安全部门派遣信息安全管理员加入项目部专门负责网络安全防护工作。在信息安全管理员协助下,项目部制定并了《海外项目部信息安全保密管理制度》,并通过周例会等多种方式对制度进行宣贯,提升项目部全员的信息安全意识。其次,从技术方面,根据项目部办公区分散在不同楼宇的实际情况,制定了单独部署有线光纤局域网的方案。海外高铁项目网络信息安全管理的实施,助力海外高铁项目安全稳定的推进,为某勘察设计集团企业海外项目信息安全体系建设进行了有益的探索,对于某勘察设计集团企业的核心商业机密的保护和“一带一路”基础建设的安全实施起到了积极有效的作用。
4网络安全等级保护工作存在的不足及改进建议
进过几年的努力,某勘察设计集团企业信息安全工作形成了以信息安全等级保护制度为核心、信息安全组织为保障,定期梳理信息安全现状,促进信息安全建设的均衡发展和整体水平提高,做到信息安全工作制度化、规范化、体系化,网络安全保障能力显著提高。但是,也同时也存在一些不足。(1)对网络安全等级保护工作的定位不够高,对重要信息系统安全保护缺乏足够的重视。建议把网络安全等级保护工作定位为“一把手”工程,强化信息安全整体规划,落实网络安全责任部门,安全策略动态适时调整;设立网络安全专项经费,避免重要信息系统安全加固和整改经费严重缺乏的问题。(2)重要信息系统未落实关键安全保护技术措施,尤其是未落实安全审计措施。建议对集团企业息安全监控审计的需求进行逐一梳理,主要包括网络监控审计、应用系统监控审计和互联网舆情监控处置等,并进行逐一落实。
5结束语
面对网络安全和信息化不断出现的新形势和新问题以及勘察设计业务应用的新特点,勘察设计集团企业通过安全管理、安全技术、安全运维等方面保障信息系统安全,自始建至今未出现过大的安全事故,较好地完成了信息系统的安全保障要求,为勘察设计业务的发展提供一个坚实的信息化系统基础保障的安全保障目标。同时,网络安全是一个动态过程,不是一劳永逸的结果,即使我们做了很多安全保障工作,也不能确保现在信息系统的绝对安全,这需要我们与时俱进,不断加强网络安全建设。网络安全是手段,应用才是目的,我们将紧紧围绕勘察设计核心业务,优化系统支持,深化数据应用,完善IT运维,强化信息安全,推进工作创新,不断提高信息化安全管理水平,有效发挥职能作用,确保信息系统稳定高效安全运行,为促进勘察设计事业科学发展提供强有力的信息安全保障。
参考文献
[1]姚洪磊,张彦.铁路信息安全等级保护技术体系规划与设计研究[J].警察技术,2014(S1).
[2]中央和国家机关有关部门信息安全等级保护工作经验摘编[J].信息网络安全,2011(03).
作者:周元德 龙云 杨晓斌 叶红兵 刘海莲 金博文 单位:中国中铁二院工程集团有限责任公司
