趙慶安 戴克平 唐龍

1 安全問題

目前，城軌網(wǎng)絡安全環(huán)境和需求錯綜復雜，網(wǎng)絡安全防護對象呈現(xiàn)多樣性，需要進行信息安全防護的環(huán)節(jié)比較多，眾多的城軌信息化智能設備不可避免的存在信息和數(shù)據(jù)安全薄弱環(huán)節(jié)，而且網(wǎng)絡信息安全防護手段和措施缺乏整體規(guī)劃。

近期，對某城軌現(xiàn)有網(wǎng)絡進行了一次實地測試。被滲透穿越（攻擊失陷）的系統(tǒng)包括集團移動辦公網(wǎng)、集團內網(wǎng)、集團郵箱系統(tǒng)、VPN系統(tǒng)、人力資源系統(tǒng)、文件管理后臺、數(shù)據(jù)庫服務器、UMC統(tǒng)一管理系統(tǒng)、內網(wǎng)系統(tǒng)等。分析數(shù)據(jù)發(fā)現(xiàn)了各類安全事件，例如，通過未授權訪問進入移動辦公系統(tǒng)，通過獲取VPN登錄賬戶進入信息內網(wǎng)，通過內網(wǎng)掃描及橫向滲透獲取企業(yè)價值信息。其中，信息安全漏洞利用的細節(jié)包括弱口令、Structs 2遠程代碼執(zhí)行、Weblogic反序列化、SQL注入漏洞、數(shù)據(jù)庫配置信息泄露、PhpInfo泄露、XSS網(wǎng)站腳本、Webshell等。這些威脅和安全缺陷帶來的影響和后果令人震驚，比如，可以獲取重要部門的通信信息、手機號碼、郵箱、個人檔案、工資信息等，可以從辦公OA系統(tǒng)中獲取部分文件及處理意見，可以獲取部分數(shù)據(jù)庫的所有數(shù)據(jù)，獲取部分服務器的所有文件。總結各類安全事件，其共性的問題如下。

1）缺乏行業(yè)自身標準，以及相關工程建設中網(wǎng)絡層面上的信息安全體系結構整體規(guī)劃；已有的信息系統(tǒng)安全設計無規(guī)劃指導，實施相互獨立，所采用的安全保障技術和措施屬于局部性建設，定位于補充完善，作用單一且范圍有限。

2）缺乏信息安全保障機制和相應的測評技術，以及評估模型和工具、評測項目選擇及分析優(yōu)化的方法。

3）缺乏完善的信息安全管理體系，全國建成和在建的工程僅具備一些簡單的日常網(wǎng)絡信息安全管理制度和方法，細節(jié)缺陷較多。

面對以上問題，需要從全行業(yè)范圍綜合考慮信息安全規(guī)劃和建設的體系問題。

2 安全設計

作為保障城軌主要運行業(yè)務安全有序運轉的機構，城軌管理和運營的信息化部門應從頂層視角規(guī)劃和建設網(wǎng)絡安全，立足于安全和信息化的“全面覆蓋、深度融合”定位，以“內生安全”的思想，推進安全和IT的融合，制定城軌相關企業(yè)級網(wǎng)絡安全全景作戰(zhàn)地圖和演進路線，監(jiān)督落實“三同步”，構建面向實戰(zhàn)的網(wǎng)絡安全體系。

2.1 安全策略

自動化系統(tǒng)信息安全策略，應根據(jù)等級保護要求對城軌業(yè)務信息化系統(tǒng)進行防護設計，重點實現(xiàn)“垂直分層、水平分區(qū)、邊界控制、內部監(jiān)測”，包括網(wǎng)絡間、業(yè)務平臺（云平臺）、業(yè)務子系統(tǒng)的安全加固和風險監(jiān)控，系統(tǒng)和應用間進行邏輯隔離和防護［1］，確保應用、數(shù)據(jù)、系統(tǒng)、設備及人員的信息安全集中管理和統(tǒng)一呈現(xiàn)。

其中，垂直分層是對各類業(yè)務生產(chǎn)網(wǎng)垂直方向劃分層次；水平分區(qū)是水平方向劃分安全管理區(qū)域，平臺之間、系統(tǒng)之間等應該從網(wǎng)絡上隔離，并處于不同安全策略管控的安全區(qū)中；邊界控制，需要有效實施在系統(tǒng)邊界，即各操作終端站、遠端維護站、互聯(lián)互通級干線網(wǎng)絡上的系統(tǒng)連接處、站房外延無線網(wǎng)絡等基礎邊界進行身份識別、訪問控制；內部監(jiān)測，通過工業(yè)控制生產(chǎn)網(wǎng)的信息安全保障體系，以及相應的安全管理工具，對整個行車、站房、線路運行管理系統(tǒng)內各個子系統(tǒng)和安全設備，進行統(tǒng)一管理、實時監(jiān)測［2］，發(fā)現(xiàn)網(wǎng)絡異常立即報警。

2.2 設計要求

根據(jù)城軌各個業(yè)務系統(tǒng)的實際情況及等級保護2.0要求，按照業(yè)務系統(tǒng)實際定級（例如二級系統(tǒng)和三級系統(tǒng)），有針對性地進行等級保護安全設計，建議考慮以下7個方面。

1）業(yè)務系統(tǒng)定級。首先了解主要業(yè)務系統(tǒng)的基本構成、運行管理的類型、含有數(shù)據(jù)和信息類別、服務對象和范圍，包括對IT支撐系統(tǒng)的依賴程度，分析系統(tǒng)狀況、系統(tǒng)業(yè)務流程和數(shù)據(jù)應用模塊的關聯(lián)性，以及通過安全事件影響范圍和大小來確定系統(tǒng)的等級。

2）安全控制項現(xiàn)狀評估。根據(jù)國家相關風險評估方法，首先要確定主要業(yè)務系統(tǒng)和相關子系統(tǒng)所對應的各等級必須滿足的安全控制項評估內容［3－4］，再對系統(tǒng)各層次的安全管理域逐項進行等級風險評估。從而可以明確安全控制項做了哪些有效工作，哪些還需要完善，哪些還有高風險的場景存在，由此找到各層次安全域相應等級的安全差距，為后續(xù)合規(guī)工作和安全規(guī)劃指明方向。

3）設計合理的安全管理域［1］。結合業(yè)務系統(tǒng)運行及管理流程、數(shù)據(jù)訪問模式和相應IT功能組件，設計合理的安全域劃分原則，將業(yè)務系統(tǒng)分解為多個可管理層次，完善系統(tǒng)安全管理域框架。

4）明確安全管理域指標。依照安全管理域適用的安全等級要求，選擇合適的方法確定業(yè)務系統(tǒng)各區(qū)域不同的等級（例如二級和三級等）。同時，參照國家相關等級保護安全要求和指南，參考設計系統(tǒng)應具備的相應等級的安全指標庫，來確定各安全管理域所需采用的安全指標項。

5）設計安全保障體系的適用框架。依據(jù)安全管理域框架，設計系統(tǒng)各個層次的安全框架，包括安全策略、安全組織、安全制度［5］、安全流程、安全技術和安全運營［5］等，并最終形成適用于城軌系統(tǒng)整體的安全保障體系框架。

6）設計安全措施及控制項技術方案。針對評估安全差距要求，設計并建立面向城軌業(yè)務系統(tǒng)的安全風險和技術措施庫。通過等級風險評估，設計系統(tǒng)安全技術和工具解決方案。

7）優(yōu)化安全管理體系。針對評估安全差距要求，設計并建立面向業(yè)務的管理風險和管理措施庫。通過等級風險評估，進行城軌相關企業(yè)集團和業(yè)務生產(chǎn)網(wǎng)的安全管理組織、制度和流程建設。

一個城軌業(yè)務系統(tǒng)的網(wǎng)絡信息系統(tǒng)，應整體形成合理、有效、適用的安全保障體系［2］，根據(jù)安全組織、安全制度、安全流程、安全技術及工具的建設，實現(xiàn)生產(chǎn)業(yè)務系統(tǒng)良好運行的安全保障。

2.3 工程設計

針對新基建大環(huán)境和創(chuàng)新技術的廣泛應用，建議信息安全專項工程設計如下。

1）新一代身份安全。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算改變了各個業(yè)務系統(tǒng)以往身份管理和使用模式，“身份管理”從面向人員管理演進為對設備、程序等數(shù)字身份的管理。新一代身份安全應立足于信息化和網(wǎng)絡安全雙基礎設施的定位，采用基于零信任架構的技術路線，建設新一代身份安全體系。

2）重構企業(yè)級網(wǎng)絡縱深防御?；旌显啤⑽锫?lián)網(wǎng)、工業(yè)生產(chǎn)網(wǎng)等的技術應用產(chǎn)生更多類型的外部網(wǎng)絡出口，接入風險日趨嚴峻，應構建多層級網(wǎng)絡，采用集約化模式，設計標準化、模塊化靈活部署的網(wǎng)絡安全防護組件，在實際業(yè)務生產(chǎn)網(wǎng)中適配各層級網(wǎng)絡節(jié)點，統(tǒng)一策略管理，形成以城軌運營數(shù)據(jù)為防護核心的網(wǎng)絡縱深防御體系。

3）數(shù)字化終端環(huán)境安全。安全管理的復雜性隨著數(shù)字化時代的快速發(fā)展而急劇上升，終端類別和創(chuàng)新應用快速增加，終端資產(chǎn)安全屬性也在發(fā)生變化，終端信息化安全的事件處理和防范需求不斷擴大。從良好的用戶體驗視角出發(fā)，充分考慮城軌相關企業(yè)內部和外部組織的管理模式，建設涵蓋生產(chǎn)網(wǎng)、辦公網(wǎng)、遠程維護、智慧數(shù)據(jù)共享平臺等多場景數(shù)字化終端，全面覆蓋統(tǒng)一的安全管理保障體系。

4）建設云數(shù)據(jù)中心的安全防護。隨著云計算的深入應用，云數(shù)據(jù)中心將取代傳統(tǒng)數(shù)據(jù)中心，其混合了公有云、專有云及企業(yè)自建云等復雜場景。來自內部用戶、互聯(lián)網(wǎng)用戶、公有云的資源訪問等行為，與云平臺管理、云交付管理業(yè)務混合在一起，導致了云內網(wǎng)絡風險的高發(fā)。應立足于混合云模式，適應于IaaS、PaaS、SaaS云服務類型，在云數(shù)據(jù)中心各個業(yè)務和網(wǎng)絡縱深中部署相應的安全能力。

5）建設面向大數(shù)據(jù)應用的安全防護。數(shù)據(jù)是驅動業(yè)務發(fā)展的核心動力，數(shù)據(jù)集中導致風險集中，數(shù)據(jù)流轉產(chǎn)生更多攻擊面。應基于數(shù)據(jù)生命周期及數(shù)據(jù)應用場景，開展數(shù)據(jù)安全防護工作，保障大數(shù)據(jù)采集、存儲、傳輸、處理、使用、共享開放、銷毀等的安全，做到大數(shù)據(jù)場景下的數(shù)據(jù)不失控、不被盜用、不被誤用、不被濫用。

6）建設面向實戰(zhàn)化全局態(tài)勢感知體系［5］。態(tài)勢感知是網(wǎng)絡安全防護體系的“中樞”，全天候全方位感知網(wǎng)絡安全態(tài)勢。應構建面向安全實戰(zhàn)化的全局態(tài)勢感知體系，要覆蓋城軌相關企業(yè)所有信息資產(chǎn)，包括設備、系統(tǒng)、應用和數(shù)據(jù)，具備實時采集安全數(shù)據(jù)和分析監(jiān)測的能力，能動態(tài)識別安全威脅并及時處置相關安全風險，還要具備實現(xiàn)安全態(tài)勢全面分析、逐級鉆取事件調查分析、安全溯源和取證能力。

7）面向資產(chǎn)/漏洞/配置/補丁的系統(tǒng)安全。大多數(shù)城軌相關企業(yè)都存在信息化資產(chǎn)不清、漏洞分布不知、系統(tǒng)未按合規(guī)要求進行加固、漏洞修復不及時、基礎安全運行流程不閉環(huán)、缺乏一體化平臺工具支撐等問題，無法滿足實戰(zhàn)化的需求，應將合規(guī)要求中系統(tǒng)安全控制的執(zhí)行落地，從定期檢查模式轉變?yōu)榭沙掷m(xù)驗證模式，提高安全漏洞修復工作的確定性。通過聚合IT資產(chǎn)、配置、漏洞、補丁等數(shù)據(jù)，從依靠自發(fā)自覺模式提升到體系化支撐模式，建設數(shù)據(jù)驅動的系統(tǒng)安全運行體系，達到及時實現(xiàn)、分析準確、響應可持續(xù)的業(yè)務系統(tǒng)網(wǎng)絡信息安全防護。

8）建設工業(yè)控制生產(chǎn)業(yè)務網(wǎng)安全防護。由于數(shù)字化升級，使工業(yè)生產(chǎn)網(wǎng)絡從封閉走向開放，工業(yè)控制生產(chǎn)網(wǎng)與多個數(shù)據(jù)源區(qū)、控制管理域、甚至與外網(wǎng)互聯(lián)互通，這將面臨很大的潛在信息和數(shù)據(jù)安全威脅。工業(yè)控制生產(chǎn)網(wǎng)在建設網(wǎng)絡信息安全防護體系時，須考慮涵蓋業(yè)務系統(tǒng)中的多個數(shù)據(jù)使用控制和交換場景，例如面向工業(yè)控制生產(chǎn)網(wǎng)絡的內部，工控安全管理的有線和無線網(wǎng)絡邊界［6］，生產(chǎn)數(shù)據(jù)的采集、通信、遠程維護管理，城軌相關企業(yè)的數(shù)據(jù)中心與分支業(yè)務部門，以及系統(tǒng)集成商和服務商之間，構建多層次安全措施，全面有效地掌握工業(yè)控制生產(chǎn)網(wǎng)的全局安全態(tài)勢，確保重要工業(yè)控制生產(chǎn)網(wǎng)絡和數(shù)據(jù)的安全。

9）建設面向內部威脅的綜合防控體系?；谛禄ǖ男枨螅鄶?shù)業(yè)務向云遷移，大數(shù)據(jù)集中化、數(shù)據(jù)共享增多，導致內部威脅已成為信息安全事件的重要原因，造成的后果愈發(fā)嚴重。因此，應構建內部威脅安全管控體系，采集相關的業(yè)務操作和管理日志、業(yè)務子系統(tǒng)中的數(shù)據(jù)、訪問流量、重要及敏感數(shù)據(jù)，結合各個生產(chǎn)網(wǎng)和安全管理域的管控制度，以及基層員工的綜合網(wǎng)絡信息安全意識培訓，加強主動防范和防護內部威脅的能力。

10）密碼應用相關的建設任務。密碼技術與信息系統(tǒng)、數(shù)據(jù)和業(yè)務應用緊密結合，密碼法的實施也為密碼技術應用和評估提供了法律依據(jù)，城軌相關企業(yè)應從密碼基礎設施、密碼應用中間件、密碼業(yè)務應用、密碼應用管理、密碼應用測評等方面開展密碼體系建設。

2.4 運營管理

實戰(zhàn)化的安全運行體系是保障各個主要城軌業(yè)務安全穩(wěn)定運行的基礎［5］，通過信息安全運行活動將靜態(tài)的信息安全產(chǎn)品變?yōu)閯討B(tài)的信息安全防護體系并持續(xù)改進，如圖1所示。由于信息安全態(tài)勢瞬息萬變，這就要求持續(xù)檢測信息系統(tǒng)的安全狀態(tài)，發(fā)現(xiàn)問題及時處理。因此，安全產(chǎn)品需要人工持續(xù)管理、維護和優(yōu)化，安全告警需要實時分析和處理，安全情報要及時分析和適配，才能發(fā)揮安全產(chǎn)品和服務的最大作用。

圖1 信息安全防護階段和持續(xù)改進示意圖

2.4.1 整體建設要求

為保障業(yè)務安全有序運轉，城軌作為公共交通服務機構必須建立實戰(zhàn)化的信息安全運行體系，涵蓋信息安全運行團隊、信息安全運行流程、信息安全操作規(guī)程、信息安全運行支撐平臺和安全工具等方面。

1）安服響應團隊。作為安全運行活動的執(zhí)行者，設立城軌相關企業(yè)的信息安全運行團隊或外包安全服務資源，應該充分考慮應急響應和日常安全運營，并需要持續(xù)提升信息安全技能；同時，要發(fā)揮人防與技防融合提升的效果，保持與先進的網(wǎng)絡信息安全技術相匹配。

2）操作流程。制定安全運行流程和安全操作規(guī)程，作為安全運行人員合規(guī)、快速、準確執(zhí)行閉環(huán)安全運行活動的依據(jù)和指導。

3）身份主線。確保以人員身份為主線的身份、憑證、權限管理，和以資產(chǎn)為主線的資產(chǎn)、配置、漏洞、補丁管理。

4）安全策略。確保以安全策略和訪問關系為主線的縱深防御安全策略管理，確保以威脅和安全事件為主線的安全事件處理，通過威脅獵殺、攻擊模擬、策略優(yōu)化來提升安全防護水平。

5）情報數(shù)據(jù)。確保以情報數(shù)據(jù)為主線的威脅情報運營和適配，來提升響應速度和安全預防能力。安全運行團隊依照既定的操作規(guī)程快速有效地處理安全事務。

6）安全平臺。安全運行支撐平臺和安全工具的建設，需要結合整個安全運行體系的運行狀態(tài)，進行定期的、必要的、持續(xù)化的評估，不斷總結和優(yōu)化，同時也需要與實戰(zhàn)化的安全運行能力相匹配，不斷完善網(wǎng)路信息安全運行管理體系水平。

2.4.2 日常管理要求

1）完善安全運行體系。安全運行服務團隊，充分運用系統(tǒng)安全資產(chǎn)管理平臺、數(shù)據(jù)安全生命周期管理平臺，以及綜合態(tài)勢感知和相關安全分析工具，完善安全運行和服務響應流程，以及安全操作指南和崗位規(guī)程，構建城軌相關企業(yè)和服務線路網(wǎng)絡環(huán)境實戰(zhàn)化的安全運行管理體系。

2）滿足安全合規(guī)性要求［7-8］。依據(jù)安全戰(zhàn)略目標和安全合規(guī)性要求，梳理涵蓋基礎架構安全、縱深防御、積極防御、威脅情報等的安全運行流程，采用持續(xù)性的模式定義每項安全運行工作的閉環(huán)流程，為安全運行常態(tài)化打下基礎，平時能夠保持整體良好的安全狀況，在面對大型實戰(zhàn)演練時也能從容應對。

3）加強基礎架構安全。以資產(chǎn)為主線的資產(chǎn)運維、漏洞管理、配置基線管理及補丁管理等日常安全運行活動，接受來自積極防御運行活動中的安全加固指令，并依據(jù)威脅情報運行活動中的加固方法對相關資產(chǎn)進行加固；以身份為主線的身份、憑證的生命周期管理及權限管理，接受積極防御運行活動中臨時禁用賬號的指令。

4）堅持縱深防御策略［9］。以安全策略為主線，結合安全工程的建設以及網(wǎng)絡互訪關系，對安全防護策略進行全生命周期管理，接受積極防御運行活動中的指令臨時調整策略或者優(yōu)化策略，依據(jù)威脅情報運行活動的防護特征和黑名單情報調整安全策略。

5）持續(xù)積極防御。以事件或者威脅為主線，利用安全大數(shù)據(jù)結合威脅情報，采用交互式分析方法，發(fā)現(xiàn)、分析安全事件或者威脅，制定緩解和處置措施，并下發(fā)給基礎架構和縱深防御安全運行活動去執(zhí)行。

6）定義安全運行的各個崗位職責。各個崗位包括安全運維工程師、安全分析師、滲透工程師、威脅獵殺專家、情報分析師、安全策略優(yōu)化專家、安全流程優(yōu)化專家，組建安全運行團隊，使得安全運行工作能夠有效執(zhí)行。

7）明確標準操作規(guī)程。根據(jù)每個安全運行崗位的職責拆解安全運行流程，面向崗位形成明確的標準操作規(guī)程，將所有安全運行工作要求分解落實到具體的操作項目中。

8）設計安全運行工作流程。在各項安全工程和任務的平臺或系統(tǒng)建設交付項目過程中，同步設計相應的安全運行工作流程。隨著項目的試點和推廣，建立并完善安全運行機制，并隨著項目投產(chǎn)納入實戰(zhàn)化安全運行體系。

9）建立安全運行成熟度評估機制。評估項目包括安全運行流程評估、專業(yè)技術人員能力評估、技術運行平臺能力評估等，找出差距，制定提升計劃，促使安全運行體系成熟。

3 工作規(guī)劃

網(wǎng)絡信息安全的規(guī)劃，如圖2所示，應完善各項重要業(yè)務信息化，支持系統(tǒng)的近遠期的技術、運營、管理體系的發(fā)展規(guī)劃，落實從基礎網(wǎng)絡安全、業(yè)務應用安全和日常運營管理安全3個層面出發(fā)。

圖2 網(wǎng)絡信息安全的規(guī)劃全景圖（示意）

3.1 具體項目

1）開展相關信息安全關鍵技術和重點產(chǎn)品安全攻關工程。針對制約信息化網(wǎng)絡安全發(fā)展的關鍵技術和重點產(chǎn)品進行技術攻關。

2）設立網(wǎng)絡安全應用試點示范工程［10］。建立完善統(tǒng)一的實時在線安全監(jiān)測和預警系統(tǒng)、跨網(wǎng)跨專業(yè)信息安全交換管理平臺、敏感信息防泄漏系統(tǒng)、核心生產(chǎn)運行系統(tǒng)仿真平臺，制定網(wǎng)絡信息安全相關標準規(guī)范。

3）建立統(tǒng)一的網(wǎng)絡與信息安全管理平臺［11］。實現(xiàn)網(wǎng)絡與信息安全監(jiān)管電子化，各項管理工作流程化和統(tǒng)一化。

根據(jù)城市建設中實際工程的需求，基于本地建設和安全運營的基礎調研，有針對性地提出運營管理系統(tǒng)的信息安全需求，制定網(wǎng)絡信息安全相關規(guī)范，參照國內外網(wǎng)絡安全實踐和相關標準，建立包括信息系統(tǒng)安全框架、信息安全保障管理體系等信息安全體系結構，并基于可持續(xù)優(yōu)化的原則，提出相應的信息安全保障措施清單和綜合測評工具［12］。

3.2 建議和意見

3.2.1 加強信息安全頂層設計

成立信息安全工作領導小組，設立信息安全專家咨詢委員會，跟蹤分析行業(yè)發(fā)展和工程建設狀況，定期研究工程建設的信息安全保障工作的重大事項，為科學決策提供咨詢意見建議。各企事業(yè)單位成立相應信息安全保障工作組織，領導本單位信息安全工作，加強對信息安全工作的組織領導和內部管理，將信息安全納入各單位年度重點工作，完善信息安全保障體系。

加強多方戰(zhàn)略合作，統(tǒng)籌銜接與國家部委、地方政府的網(wǎng)絡和信息安全的發(fā)展規(guī)劃。深入實施行業(yè)信息安全工程，保障重要科研、建設、運營平臺的持續(xù)服務能力。通過培育并逐步建立支撐行業(yè)的網(wǎng)絡信息安全的公共戰(zhàn)略聯(lián)盟，有計劃的建立以企業(yè)為主導的行業(yè)網(wǎng)絡信息安全技術相關的創(chuàng)新體系。加強并協(xié)調好業(yè)務系統(tǒng)及平臺與網(wǎng)絡信息安全規(guī)劃的實施落實。健全信息安全規(guī)劃的任務分解、監(jiān)測評估和動態(tài)調整的工作機制，對重大任務的執(zhí)行情況進行制度化、規(guī)范化的檢查評估，為信息安全規(guī)劃的動態(tài)調整提供依據(jù)，確保各項任務落到實處。

3.2.2 建立信息安全資源投入體系

保證信息安全資源投入持續(xù)穩(wěn)定，建立多層次、多渠道信息安全資源投入體系。面向國家信息安全戰(zhàn)略重大需求，積極運用信息安全科技前沿技術，爭取國家支持，加大信息安全資源投入力度，吸引社會資本參與，激勵各企業(yè)加大信息安全科研投入，持續(xù)提升企業(yè)自主創(chuàng)新能力。設立信息安全應用科技成果轉化專項資金，促進適合工程建設和安全運營的信息安全技術成果轉化。設立網(wǎng)絡和信息安全科學普及專項資金，普及信息安全科學知識，為重點實驗室（如網(wǎng)絡信息安全工程技術中心）建設提供資金支持。

3.2.3 建立科學評估評價體系

建設由行業(yè)內外部高水平信息安全專家構成的多層級專家?guī)?，在信息安全保障?guī)劃項目征集、評估、評審過程中，充分發(fā)揮信息安全領域的專家作用，提高企業(yè)代表在評估、評審、決策、咨詢中的作用。改進信息安全建設的評價方式，完善以可靠、創(chuàng)新和質量為導向的體系評價辦法，建立以信息安全技術創(chuàng)新績效為導向的資源配置模式。支持、鼓勵行業(yè)協(xié)會、第三方專業(yè)機構信息安全保障及規(guī)劃服務能力建設，逐步將信息安全技術和工程評估、安全保障獎勵等工作整體或部分交由相關協(xié)會或第三方專業(yè)機構承擔，探索決策、執(zhí)行、評價相對分開的運行機制，加強政府對行業(yè)信息安全活動的政策引導和監(jiān)督管理。

3.2.4 完善信息安全管理制度

完善行業(yè)的建設和運營企業(yè)報告制度，加強信息安全管理信息系統(tǒng)建設。加強行業(yè)重點實驗室（例如網(wǎng)絡信息安全工程技術中心）、信息安全保障人才與團隊、信息安全技術科技成果轉化等制度建設，加快行業(yè)信息安全保障科技成果使用、處置和收益管理改革。完善有關網(wǎng)絡和信息安全新技術實驗驗證和新產(chǎn)品開發(fā)、應用的法規(guī)、規(guī)章和標準，為科技創(chuàng)新活動創(chuàng)造良好的制度環(huán)境。

4 結語

通過實測和分析總結，針對城軌相關企業(yè)和行業(yè)層面，從網(wǎng)信安全的計劃和實施方法提出了思考方向，給出建議；列舉了網(wǎng)絡信息安全立項、規(guī)劃、建設和行業(yè)頂層設計的方法，希望對有關部門能有所啟發(fā)。