安全运营方案（安全运维方案）

本文目录一览：

• 1、北京市城市轨道交通安全运营管理办法
• 2、概述两会重保期间的安全运营服务工作
• 3、数据安全运营包括哪些内容?

北京市城市轨道交通安全运营管理办法

第一章　总则第一条　为了加强城市轨道交通安全管理，保障安全运营，维护乘客合法权益，根据本市实际情况，制定本办法。第二条　凡在本市行政区域内从事与城市轨道交通安全运营有关活动的，均须遵守本办法。

本办法所称城市轨道交通是指地铁、轻轨等城市轨道公共客运系统。第三条　城市轨道交通安全运营管理，坚持安全第一、预防为主的方针。第四条　市安全生产监督行政管理部门依照《中华人民共和国安全生产法》的规定，对本市城市轨道交通安全运营实施综合监督管理。

市交通行政管理部门负责本市城市轨道交通行业安全运营的监督管理工作，指导城市轨道交通运营单位（以下简称运营单位）落实安全运营措施，消除事故隐患，对运营单位违反本办法的行为予以纠正并提请有关行政管理部门依法处理。

规划、建设、公安、消防、卫生、环境保护、市政管理等行政管理部门，依照各自职责对城市轨道交通安全实施监督管理。

城市轨道交通沿线的区、县人民政府负有宣传教育、协助组织抢险救援的职责。第五条　市人民政府相关部门和运营单位应当采取多种形式，向社会公众宣传有关城市轨道交通安全运营的法律规定和安全知识，提高市民的安全意识。第二章　建设与运营的衔接第六条　城市轨道交通工程项目可行性研究报告和初步设计中应当确定列车运行、调度指挥、运营辅助系统、维修保障系统和人员组织等内容并经过运营安全论证，系统功能应当符合安全运营需要。第七条　城市轨道交通设备、设施的设计、安装、建造应当符合国家和本市规定的设计标准和技术规范。第八条　城市轨道交通工程完工后，建设单位应当向运营单位提供技术档案和相关资料，并会同运营单位组织试运行，对设备、设施进行调试和安全测试。试运行期不得少于3个月，并不得载客。第九条　试运行合格的，建设单位应当组织工程竣工验收。验收合格并依法向建设行政管理部门备案后，方可移交运营单位投入试运营。

试运营期间，运营单位应当按照设计标准和技术规范，对设备、设施运行情况和运营状况进行安全监测和综合调试，试运营期不得少于1年。试运营期满，设备、设施保持正常稳定运行状态，可以投入正式运营的，运营单位应当在投入正式运营30日前向市交通行政管理部门备案。第三章　安全运营管理第十条　禁止在地面轨道线路上设置平面交叉道口和人行过道。禁止在地面轨道线路弯道内侧建造影响行车望的建筑物、构筑物。禁止种植影响行车望的树木。第十一条　严格控制可能影响安全运营的作业。确需进行下列可能影响安全运营的作业的，作业单位应当制定有效的安全防护方案，征得运营单位同意后，方可向规划、建设等行政管理部门申请办理有关行政许可：

（一）新建、改建、扩建建筑物、构筑物；

（二）拆除建筑物、构筑物；

（三）其他大面积增加或者减少载荷的作业。

有关行政管理部门应当根据经过论证的安全防护方案做出行政许可决定。经许可准予作业的，作业单位必须落实安全防护方案。作业单位和运营单位应当按照有关技术规范对作业进行动态监测。出现危及运营安全情形的，作业单位应当立即停止作业，采取补救措施，并报告许可作业的行政管理部门、市交通行政管理部门和运营单位。第十二条　市交通行政管理部门应当制定本市城市轨道交通安全运营服务标准。运营单位应当按照服务标准的要求，安全运送乘客。第十三条　运营单位应当履行下列安全运营职责：

（一）建立健全安全运营责任制；

（二）组织制定安全运营规章制度和操作规程；

（三）保证本单位安全运营投入的有效实施；

（四）督促检查本单位的安全运营工作，及时消除事故隐患；

（五）组织制定并实施先期应急处置方案和特殊情况下的运营组织方案；

（六）及时、如实报告安全运营事故。第十四条　运营单位的主要负责人和安全生产监督管理人员必须具备与运营活动相应的安全知识和管理能力。第十五条　运营单位应当对从业人员进行安全教育和培训，保证从业人员具备必要的安全运营知识，熟悉有关的安全运营规章制度和安全操作规程，掌握本岗位的安全操作技能。

运营单位工作人员应当履行下列安全管理职责：

（一）维护车站内秩序，引导乘客有序乘车；发生险情时，及时引导乘客疏散；

（二）及时劝阻、制止可能导致危险发生的行为；对劝阻、制止无效的，移交公安机关处置；

（三）发现事故隐患，及时报告。

概述两会重保期间的安全运营服务工作

第十三届全国人民代表大会第四次会议和政协第十三届全国委员会第四次会议，将分别于2021年3月5日和3月4日在北京开幕。

        在国家重大活动期间，政府、企业、高校、运营商、金融等各个单位都需要应对网络安全威胁影响的重大保护，重点目标是针对核心业务系统、敏感信息资产等关键信息基础设施。

        因此，各个单位需要进行重保服务准备工作，落实相应网络安全责任制，建立7*24H监测预警防护制度，确保及时处置网络安全隐患，充分做好网络应急响应准备和安全保障工作，尽可能避免出现黑客攻击入侵、篡改事件、感染受勒索病毒等安全风险。

        多面魔方安全服务团队，自春节前就开始部署并服务多家重保单位，结合工作经验对安全运营服务内容进行概述供行业内参考。

重保目标及对象

        重保场景重点目标是关键信息基础设施及重要信息系统， 如：党政机关网站、 企事业单位网站、 重点新闻网站以及重大的平台类、 生产业务类系统， 其核心目的是保障关键信息基础设施及重要信息系统在重大活动期间的稳定运行， 尽可能避免反动的黑客及敌对势力的网络安全攻击。

重保服务范围

        重保服务范围为全国各重点保障单位，包括：公安、教育、电力、市政、交通、军事、广电、医疗、铁路、银行、电信以及主流媒体等关键基础性设施。

《国家网络空间安全战略》 2016年12月

国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

《关键信息基础设施保护条例》 （报批稿） 2018年12月

第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

（一）金融，包括银行、证券、保险等；

（二）能源，包括电力、石油天然气、石化等；

（三）交通，包括民航、铁路等；

（四）水利；

（五）公共服务，包括教育、医疗卫生、社会保障等；

（六）国防科技工业；

（七）电子政务。

重大活动网络安全面临的威胁

        每年重保网安网监等主管单位，均会对重点单位的关键信息基础设置进行检查，排查隐患通报整改，所以时间紧任务重是所有重保单位共同面临的问题，亟需组织人员开展业务系统的隐患排查，漏洞修复，系统加固，监控值守工作。

重保需求分析

        面对纷繁复杂的工作，信息安全保障工作也会面临各方面的需求，除了内外部的硬性要求，也需要针对领导汇报和安排具体工作。

重保核心工作

脆弱性检测

        在重保前对各重要业务系统及网络/安全设备进行安全脆弱性检测和评估：

互联网安全风险评

评估内网安全风险评估

设备/终端安全基线核查

安全管理制度情况评估

......

安全加固整改

        对检测到有安全风险的业务系统及设备进行安全整改和加固：

网络安全设备加固

终端设备加固

服务器加固

业务系统备份

......

通告预警

        重保期间对网络安全状态、事件、通知、预警类的通报(验证)、处置、反馈流程：

安全漏洞通报流程

安全事件通报流程

互联网资产通报流程

安全漏洞验证流程

安全事件验证流程

通知或预警流程

快速处置

        在重保期间的网络发生的紧急隐患处置、网站后门、网页篡改、反共黑客等类型的网络安全事件而进行快速处置动作的一套应急处置工作。

重保解决方案框架与流程

重保方案分解：三个阶段

重保前--内网安全风险评估（资产梳理） 

        识别高概率攻击，保障目标资产以及相关联的资产及网络设备，明确纳入重点重保防护的对象范围。

【目标资产】 面向互联网的重要业务系统（ 等保三级及以上、关键信息基础设施系统） 的承载主机， 包括管理后台和中间件服务器

【潜在目标资产】 具备互联网通信IP和对外端口的服务器或代理设备

【高危利用跳板】 与潜在目标系统发生直接交互通信的其他业务系统主机、 服务器、 中间件、 固定终端

【关键设备】 远程网络接入访问设备和网络边界设备

【已有安全设备】 系统网络范围内相关的安全防护设备

【高风险资产】 具备网络外部通信连接能力的影子资产（ 未知资产） 设备

        网络安全意识是以组织中的人员为出发点，围绕人员的知识、技能、行为活动等可能出现网络安全漏洞的薄弱环节，通过一些宣贯、培训、 教育等方法，对组织中人员的网络安全意识进行加强与提升的活动。

重保期间--安全监控与实时防御

工作目标：在重保期间进行7*24小时监测，实时监控安全态势、发现攻击行为，并对安全事件进行紧急响应确保整个重保期间的安全。

重保结束

1、工作总结

2、安全规划建议

3、方案清单

我们的价值与优势

数据安全运营包括哪些内容?

近几年互联网公司数据安全已从单兵作战逐步发到到团队作战，分工上也朝着精细化运营、风险模型建设、数据安全平台建设等细分方向专业化演进。

定位与目标

近几年互联网公司数据安全已从单兵作战逐步发到到团队作战，分工上也朝着精细化运营、风险模型建设、数据安全平台建设等细分方向专业化演进。

其中数据安全运营定位：数据分析(掌握核心技术)—数据安全运营(背锅+其它)– 业务(价值方)，数据安全运营渐渐成为公司数据安全团队与业务沟通、项目推进及价值输出(赋能)的窗口，数据安全的核心在运营能力，数据、模型、工具都是手段，通过运营实现对业务的价值输出目标，运营不仅仅要懂技术，还要做到既要、还要的更高要求。

请点击输入图片描述

数据安全

2. 我理解的数据安全运营：

风险管控能力：识别、治理、收敛，在过程中结合业务特征提炼真实的风险场景、及隐私要求通过技术手段实现对法律法规的遵从性–来自业界大佬语录(一般管理手段与安全管理、合规团队联合推进)，并建立匹配的治理方案及工具、方法论;

运营赋能业务：

关键数据支撑业务决策，影响业务在风险环节的资源投入;

基础工具、组件服务支持，安全能力左移(前置)，降低业务安全上的成本