等保2.0 要求下的城轨云内部管理网信息系统安全管理工作的思考
2022-10-14张炜宋海萍袁博
◆张炜 宋海萍 袁博
(1.中电科鹏跃电子科技有限公司 山西 030000;2.太原市轨道交通发展有限公司 山西 030000)
1 引言
随着国民经济的持续、快速、健康发展,新型城镇化战略正在积极、稳妥、有序推进,我国强力推进“互联网+城市轨道交通”战略,城市轨道交通跨入蓬勃发展的黄金机遇期,信息化建设也已进入到大规模开发和应用阶段,云计算、大数据等新一代信息技术在城市轨道交通行业逐渐得到广泛应用。中国城市轨道交通协会发布的行业标准《城市轨道交通云平台网络架构技术规范》T/CAMET 11004-2020 提出城市轨道交通云平台网络架构应符合城市轨道交通云平台的统一规划,满足信息化平台管理、业务承载及运营维护的需求。根据应用、管理及安全防护等级的不同,信息系统网络划分为安全生产网、内部管理网、外部服务网。通过调研城市轨道交通行业内既有应用系统安全现状及企业信息化发展面临的网络安全威胁,以城市轨道交通企业信息化项目的建设、部署、运维、安全防护等工作为前提,围绕网络安全等级保护制度2.0 的要求,展开信息系统安全管理相关工作的思考,为实际网络安全管理工作的开展提供思路和方法。
2 安全管理现状
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。城市轨道交通作为影响国计民生、公共利益的关键信息基础设施,是需要进行重点保护的行业领域之一,其中的生产系统是轨道交通运营企业重点防护的普遍达到三级等保要求并独立运营与防护的。对于支撑企业内部业务流转和数据交互的信息化系统的安全管理而言,存在以下几方面的管理不足:
(1)新形势下对信息系统安全定级重视程度不够,一方面认为内部管理网与外网隔离,不会对有较大的信息安全隐患,另一方面因为信息安全等级保护测评要求的频度和相应成本支出原因导致规避业务系统定级或降级系统安全等级。
(2)城轨云内部管理网的信息安全防护设备并非一次性配置到位,而是根据需要逐渐配置或扩容,这就存在了部分设备配置跟不上信息化建设的速度,同时因内部管理网与互联网的隔离,防护软件不能及时升级,导致存在安全隐患。
(3)虽然各单位都有自己的一套信息系统安全管理制度,但从专业化信息安全管理角度来看,制度是否真正发挥作用和具体操作执行环节匹配程度都会导致管理措施不到位,考核与检查无法真正落实,管理手段也同样想多落后。
(4)最重要的一点就是信息安全意识不强,对于非计算机或信息安全专业人员在信息化系统使用过程中有信息安全概念,但信息安全重视程度远远不够,流于表面形式,个人信息安全保护淡薄,密码和信息载体保护使用不规范,配合组织的安全应急演练做得不到位。
上述这些不足之处,是需要不断通过信息系统安全管理工作逐步解决的。一方面通过管理来保障企业信息系统的安全防护需要,另一方面也不能制定过于细致的安全管理制度和过度的检查导致企业工作效率的降低,这就需要展开相应工作的思考。
3 安全管理工作思路
随着《信息安全技术网络安全等级保护基本要求》(等保2.0)正式发布,在法律法规、标准要求、安全体系、实施环节等方面都发生了变化。等保2.0 要求更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计;实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。因此,依托于云计算技术的城轨云信息系统总体安全防护思路应遵循《城市轨道交通云平台网络安全技术规范》提出的“系统自保、平台统保、边界防护、等保达标、安全确保”的策略,以网络安全等级保护为基础,分级分类建立应用系统的安全保护措施;以技术和管理两个方面为抓手,确保内部管理网部署的业务安全。构建集中的安全管理中心,对平台和应用进行持续监控,掌控网内、网间区域边界和关键业务系统的安全态势,实现对安全策略管理、安全监测、安全审计的统一支撑,促进各安全组件间的协同与联动。按国家等保要求,进行全面安全风险评估,确保信息系统的安全风险处于可接受水平。同时,信息系统安全相关工作的开展须严格遵循相关法律规范。在总体安全防护思路的框架下结合城轨云内部管理网信息系统安全的实际工作提出下列工作思路:
3.1 在企业信息化总体规划下统筹考虑系统建设和安全防护
新的信息化系统的建设一定是企业解决某一业务问题而购置成熟产品或定制化开发。因此,信息化系统建设应该在企业总体信息化规划的框架下,根据业务的重要程度、数据重要性、数据交互程度、安全防护程度进行分析和建设,只有这样才能从根本上保障建设合规,安全统保。由于城市轨道交通是重点关键基础设施保护单位,其核心的基础类平台、数据集成平台、数据仓库、关键业务系统等应就高定级,按三级等级保护要求开展防护(如图1 所示),配置安全审计、数据库审计、漏洞扫描和安全态势感知等安全设备和软件产品。非核心业务系统等级保护,根据实际需求进行统筹规划和管理。同时在统一规划下,根据业务需要逐步配置安全产品和防护,能够有效提高资源的使用效率。
图1 三级系统安全保护环境建设框架
3.2 责权明确实施三权分立管理和统一权限管理
随着企业信息化建设规模逐渐增大,系统管理与系统运维工作量增多,从系统管理员权限角度应进行管理员、安全员、审计员三权管理,来降低内部管理风险。同时根据信息系统的应用层面,根据岗位责任划分在系统中定义不同用户组的访问权限,并赋值最小满足业务的权限,防止权限过大带来风险;并且时时监控权限用户的访问活动,达到可知可审计;进而对潜在风险区域进行风险监控(必须知道),控制访问权限(最小授权),实现风险最小化。对于采用企业信息一体化建设模式的单位,可考虑建设统一权限管理,来规范化授权和统一权限管理。采用三权管理和最小化授权,能够有效杜绝泛滥授权、超过职能范围授权、权限超时等情况的发生。
3.3 适应未来构建可视化智能化安全管理运维一体化平台
当业务系统数量增长到一定程度后,依靠有限的运维工作人员进行人工管理系统和监控各安全信息显然无法满足管理需要,而且容易出现监控盲点和漏项,这就需要以现代信息化、自动化、智能化的发展思路开展系统安全运维工作。研究与探索智能化运维一体化平台来解决相关问题,通过运用智能运维软件,实施监控安全预警信息,系统操作异常信息,非法接入信息和越权使用等,通过安全数据模型进行分析,判定是否达到整体安全要求,解决多业务系统的信息安全隐患。
3.4 强化信息安全培训有效提升全员安全防护意识
在整个安全防护体系结构中,人为因素是最容易发生安全事故的环节,有意识或无意识的系统违规操作、不规范的载体使用、个人关键安全信息的泄漏等等,总体成因还是个人信息安全防护意识的薄弱,这需要在管理过程中定期开展信息系统安全培训和安全事件的分析,提升企业管理层和员工的安全防护意识,扭转被动接受和应付安全检查的局面,改为从我做起主动开展安全防御工作,确保把好个人安全防护关口。定期组织开展信息安全应急演练,完善应急处置措施,优化流程,提升整体的安全防护意识。
3.5 结合实际工作制定适用的安全管理制度保障安全管理工作顺畅开展
随信息技术的不断发展,信息系统给企业管理带来了极大的便利的同时,信息系统面对的安全威胁也越来越多,国家逐步出台了对于信息系统的等级保护定级、测评相关规定用以保护信息系统安全和降低其所面临的风险。信息安全等级保护2.0 的发布,将基于云计算技术条件的信息系统安全纳入了管理范畴,围绕城轨云内部管理网的建设和运行,应制定与新要求相适应的信息安全管理制度,来提高系统运行的可靠性和连续性。同时,根据单位组织管理的实际情况,将信息安全管理流程固化和不断优化,即保障信息安全又不增加制度运行成本,是安全防护制度建设持续探索课题。
4 结语
城市轨道交通云平台技术的建设与发展给轨道交通企业信息化带来极大方便得同时,面对新技术的应用,对企业信息化系统建设、网络安全、运维团队组建都提出了更高的要求。因此,在信息安全等级保护2.0 要求下,在企业信息化建设总体规划的指导下,统筹考虑信息化项目立项与定级、网络建设、设备资源配置、制度建设、组织管理、人员管理、运维管理,探索和研究智能化的系统安全与运维一体化平台解决实际问题,是新形式下城轨云平台安全应用与管理发展的方向。