网络安全是国家安全体系的重要组成部分。为深入学习贯彻党的二十大精神、鼓励学生积极投身国家安全事业,2024年1月30日,东南大学网安学院2023级辅导员老师赵玉宇博士带领团队至南京地铁灵山控制中心开展实践调研。
团队首先拜访了电子及信息技术研究院(以下简称电信院)刘院长。他向师生们介绍了电信院在地铁运营中的定位与四大业务板块职能。其中网络安全是信息化业务板块中的重要组成部分,电信院总体牵头并依规全面落实地铁运营管理与生产系统的网络安全,各运营生产控制系统运维责任主体由不同的分公司承担,在网络安全管理实践中,贯彻落实网络安全相关法规,不断夯实网络安全基础建设,构建完善网络安全工作机制,提升企业网络安全管理能力,强化信息化基础设施的安全管理和保障。强调网络安全工作是城轨运营企业安全生产中的重要一环,没有网络安全就没有企业与国家安全。在信息化的业务架构方面,随着技术的进步,运营管理与生产专业的业务承载模式朝着云化的方向发展,初步实现了集中和统一管理。
赵玉宇老师对于校企合作也提出了富有建设性的提议:“高校在宣传网络安全意识、培育网络安全素养有着一定社会职能。”他表示高校学生可以承担向企业员工宣讲网络安全知识的任务,这也是一种校企合作的方式。刘院长对这个提议非常感兴趣,表示公司自主开发“网络安全”钉钉微应用,面向运营全体员工推出网安资讯、工作动态、风险预警、法律法规、案例分享、网安动漫等6大模块,并建立定期更新机制,构建运营网络安全宣传阵地;同时常态化开展各层级的网络安全培训,内容涵盖网络安全法规、安全运维技术、典型案例等,有效提升企业网络安全管理水平和技术能力;另外结合国家网络安全宣传周,通过钉钉平台、海报、视频等多种载体,营造网络安全氛围,同步组织全员线上网络安全专题学习和考试,不断增强员工网络安全意识。后续非常乐意采取邀请高校老师或学生来企业宣讲这种形式,进一步丰富宣传教育的形式,增强网路安全宣传的效果。
接着,在电信院运维科滕科长的带领下,团队进入南京地铁生产云平台数据中心参观。在滕科长的一路讲解下,师生们了解到,每个机房都部署了相对完整的网络安全设备,包括防火墙、入侵检测、态势感知、日志审计、运维堡垒机、主机防病毒等,通过多重设备强化安全网络安全防线,保证关键核心资产的安全,有了这些设备之后,需要匹配业务建立完善的安全控制策略,设定适宜的访问控制策略,采用多因子认证手段,实施必要的入侵检测的规则,确保策略与规则的最小化,同时针对管辖资产开展关键资产的辨识与分类管理,对关键资产进行重点的保护,从网络安全风险的角度,制定各对象分级标准,明确责任人,并分级制定管控措施,践行“大数据”和“网格化”的治理理念,全面提升运营网络安全风险管控水平,同时针对常见网络安全事件建立常态化的响应机制与规则,确保风险及时发现并有效响应处置。此外还要对数据进行分析和管理,包括对数据的级别进行定义,数据级别进行识别与管控,对重点的数据进行加密,敏感数据进行脱敏,以及数据风险识别与管控,敏感信息维护等,提升数据安全。
对于网络安全的管理方面,滕科长说网络安全风险与挑战离不开“人的不安全行为、物的不安全状态、环境的不安全因素”,网络安全管理工作必须从“人机料法环”等多个层面体系化的采取工作措施:首先,结合新法规和新要求,持续优化公司网络安全管理制度,健全企业网络安全管理三级组织体系,明确各层级职责,并签订网络安全责任状,推动压实网络安全责任;其次,梳理各层级员工网络安全应知应会,常态化开展网络安全培训和教育,定期召开网络安全会议,组织网络安全检查,不断提升全员网络安全意识和企业网络安全管理水平;再次,结合当前阶段易发网络安全事件和运营实际,梳理编制网络安全预案库,定期开展网络安全应急演练,提升突发事件的应急处置能力。最后,利用好前沿的技术与网络安全理念,借鉴行业内好的做法,引进来提升本质安全,通过网络安全设备与系统平台,对网络内的安全风险有效检测,提前预警,发现潜在的威胁,在发现威胁的同时,第一时间响应与处置,防范小事件造成大影响。另外新的技术应用带来新的安全威胁,网络安全工作要紧跟技术发展趋势,努力构建全方位、全覆盖的网络安全维护格局。
最后,团队来到会议室,与滕科长和员工代表开展交流。员工代表简单介绍了一下公司信息化与网络安全工作概况,主要包括三个方面:运营公司的概况、公司的信息化工作现状、公司网络安全管理工作开展情况相关内容。公司信息化由信息化和网络安全工作领导小组领导,信息化及网络安全管理办公室负责整体规划、建设、运维和网络安全。
团队成员李想向滕科长与员工代表提出了三个主要问题:工作团队的基本情况;所在领域所需的能力与知识;工作中面临的挑战。总的来说,团队目前成员主要为计算机专业毕业生,没有专业的网络安全毕业生。根据内部运维管理的需要,依据信息技术的特性开展专业分工,划分终端、网络、机房三个业务领域,同时覆盖基础环境、主机、数据库、大数据、网络安全、云计算、网络等信息化专业技术对象维护技术为分工界面的组织架构,这三大方向下设有相应的专业技术管理人员和运维班组。工作中主要使用Linux操作系统。进行具体的开发工作的人员需要掌握Java和Python等编程语言。进行数据库相关的维护工作的人员需要掌握常用的SQL语句以及各种服务端设备的常用命令和维护操作。对于挑战,知识碎片化,团队对新技术引入的风险识别不充分,终身学习的思想未能贯彻到每个员工的身上,来自国外网络的攻击通过加密跳板VPN对我们造成威胁,均是当前遇到的挑战。
经过调研实践,团队得出了一个结论,“真正的数据安全核心就是把这些看似杂乱无章的数据进行结构化”,比如美国某州的案例:通过公路运行的客流数据,就能够得出当天城市的路况、运行情况。相似的,从地铁的人流就能判断哪个道路堵车了。地铁安全的重要一点就是防护这些最基础的数据,阻断一切灰黑产希望得到这些数据的可能性,把这块数据管好、用好。同网络安全一样,在这个互联网时代,都是各个国家的咽喉所在。
本次调研促进了校企交流,同时加深了同学们对网安行业的认知、强化了其责任感与使命感。希望同学们以优秀的专业知识和热血的青春年华,投入国家网络安全事业中。
分享