在工业信息化被日趋重视的今天，信息化的安全也被国家领导人提到了国家战略的高度，从政府部门、企事业单位，国家层面的信息化安全管理要求也越发的严谨和完善。作为轨道行业的运营企业，也是信息化安全建设浪潮的重点单位，最近国资委也要求加紧对本企业的信息化安全进行建设。信息化的安全管理也不仅仅是下发几个安全文件草草了事，也不是头疼医头，脚痛医脚。当前的信息化安全，更要求务实的从企业生产出发，多层次，多角度深入企业信息化建设中，从信息系统安全过渡到信息安全保障，将技术与管理相结合。关于技术和管理方面的信息化安全建设，我写过的《工业控制系统信息安全技术在XX地铁的创新应用》和《构建工控安全平台 支撑安全运营管理》，后期我会放到公众号里。

现阶段信息安全部门推崇的基于时间的动态安全体系分为：策略、防护、检测和响应（P2DR模型），具体的内容大家可以自行搜搜这方面内容。这四部份内容都离不开以人为本的核心，所以我们经常在很多书中看到，以人为中心，通过策略和技术来支持资产的防护、检测与响应的信息安全机制。所以，我认为在信息化安全体系建设上应该围绕人、策略（管理）、技术三要素构建，信息安全体系总体架构包括：信息安全管理、信息安全控制、信息安全技术。

那么，针对轨道交通行业，上述三个体系架构内容实际是什么意思呢？

我们首先大概了解下信息安全管理，它包括了信息安全组织、信息安全流程和信息安全制度。安全组织是对人的管理、职责的划分，信息安全流程是指安全意识的提升、信息安全风险的管理（风险预警、风险应急）、安全监督等，安全制度是指相关的管理和技术规范的层次结构。

其次是信息安全控制，它包括了信息安全等级划分、信息安全运作控制和信息安全技术控制。主要是对信息安全等级划分的框架和安全等级的定义，并根据等级实施控制、系统建设与维护安全控制、第三方控制等，信息安全技术控制是为实现安全运作控制所需的技术服务。

再就是信息安全技术，它包括了应用安全、信息安全服务和信息技术基础设施三方面。可以简单理解一个安全的信息交互通过基础设施，经过安全访问的策略（权限），对应用进行使用。

信息安全理论内容深入且关系复杂，不同行业有不同的体系建设，下面我根据轨道交通企业特点，介绍如何建设上述信息安全管理、信息安全控制、信息安全技术。另外，由于轨道交通设备资产众多，在建设前期，各系统必须要建立《信息资产登记表》，这是信息安全建设的一个必要元素。

0x1信息安全管理体系

0x1.1组织机构

借鉴轨道交通组织架构的特点和运营情况，将信息化安全机构按如下层级划分，决策层：信息化领导小组/网安领导小组；管理层：信息管理部（信息安全处）；执行层：数据安全运维中心、下属成员企业信息中心、成员企业二级单位（生产专业、职能部门）信息中心。

0x1.2信息安全制度体系

目的在于更好的提高组织协调性和管理的有效性，所以需要一个制度体系进行规范和实施，我们经常写的一些：信息安全管理规定、信息安全管理制度、信息安全管理办法和一些执行细则都属于这个制度体系。

0x1.3信息安全运行维护

在这方面，我们需要借鉴国内外的运维先进经验，持续的进行总结、完善、推广安全运维的工作。比如信息安全配置管理，需要制定一整套网安设备与系统配置策略，最好建立出配置模板，同时定期审核这些策略的执行情况，实现设备与系统的集中管理，这也是我《工业控制系统信息安全技术在XX地铁的创新应用》一文中提到的集中式管理。另外还有关于信息安全监测管理（网络监控、内容监控）、应急处理等内容。

0x1.4信息安全培训

信息交互的每个环节都是安全防范的重点，所以从培训体系也是需要分层次，从操作层到管理层都需要进行培训。

0x1.5信息安全检查与考核

对于信息安全的管理，要不断创新与完善，从规划到实施的考核形成一个闭环的循环，由考核来推动信息安全的建设质量与效率。各成员企业可以根据信息管理部的要求进行综合评价，形成周期性考核报告。

0x2信息安全控制体系

我们经常能从安保部门下发的文件中看到，要建设信息安全防护体系，其实本质就是对信息及访问的防护。所以需要对信息安全等级进行划分和制定对应的安全控制。

0x1.1信息系统等级保护

这一内容，各个单位根据自身情况以及等保要求进行自主定级，但“自行定级、自行保护”明显已不符合网络安全管理的需要。如何避免企业降低保护等级规避，尚缺少更高位级的法律要求。对于等保2.0以及以后的政策，国家对自主定级将越来越趋于规范性管理，而不是自主保护。

0x1.1安全控制

这一点，应按照定级后的等保内容要求，对相应方面进行规范。比如逻辑安全控制：用户账号管理、口令规则、权限等管理，物理安全、网络安全等等。这里着重说明对第三方的访问控制，这是很多企业疏忽的管理漏点。

0x3信息安全技术体系

信息安全是个非常复杂的综合领域，需要从信息系统安全的不同层次和角度去分析设计，形成企业完整有效的信息安全技术体系，我在《工业控制系统信息安全技术在XX地铁的创新应用》中从技术角度，提出了“四层架构、六层防护”的工控信息安全建设架构。但对于信息化安全体系建设来说，应从物理环境、操作系统、网络、主机、数据、应用、策略方面进行建设。