核安全文化與信息安全的結(jié)合.docVIP

核安全文化與信息安全的結(jié)合最近在做核電的項目，其中包括為客戶設(shè)計信息安全保障體系架構(gòu)，而核電行業(yè)本身在安全方面的要求就已經(jīng)達到了非常高的水平，其在工業(yè)和生產(chǎn)安全管理體系和要求方面已經(jīng)非常成熟，可以說信息安全在整體的核安全內(nèi)容中還只是非常小的一部分。所以借此機會將核電行業(yè)的安全文化如何與企業(yè)信息安全的安全建設(shè)相結(jié)合做個初步的探討，一方面幫助我們了解核電行業(yè)在信息安全方面的需求和特點，另一方也有助于我們在非常重視安全的核電企業(yè)將信息安全做的更有特色。如果沒有在核電行業(yè)或電力行業(yè)工作過或者沒有做過核電行業(yè)或電力行業(yè)項目的人，對核安全文化應(yīng)該是比較陌生的，為了讓大家能夠更好的理解什么是核安全文化，我們需要先簡單了解一下核安全文化包括哪些主要內(nèi)容。1.核安全文化的主要內(nèi)容1.1核安全文化的起源核電站的“安全文化”是國際核能界在三里島和切爾諾貝利事故后，結(jié)合“企業(yè)文化”的管理思想，提出的這一新的安全管理思想和原則，它是傳統(tǒng)的縱深防御原則的擴充，也是安全管理思想的一次重大變革。大亞灣核電站從運行初期安全管理制度就是建立在“縱深防御”和“程序管理”的安全管理思想上的。即認為設(shè)備、人和管理都是可能出現(xiàn)失效的，為把這種失效的可能性減為最小，除提高設(shè)備質(zhì)量、人員素質(zhì)和改進管理外，還必須采取一系列的防范措施，即預(yù)防、監(jiān)督和在萬一出現(xiàn)失效時必要的響應(yīng)對策。1.2核安全文化的特點核安全文化強調(diào)四個“凡事”：“凡事有章可循，凡事有人負責，凡事有據(jù)可查，凡事有人監(jiān)督”(也被稱作核電制造的靈魂)。這四個“凡事”與谷安天下幫助客戶建立信息安全保障體系架構(gòu)的思想也存在一定的相似之處。下面對四個“凡事”的內(nèi)容簡單描述一下。1)凡事有章可循，就是說我們所做的工作、所要求的內(nèi)容和建立的管理制度要落實到明確規(guī)定和文件，形成實實在在的制度文件，在我們開展各項工作、執(zhí)行各類操作的時候都能夠找到相關(guān)的文件進行指導。2)凡事有人負責，就是說我們要在現(xiàn)有業(yè)務(wù)部門結(jié)構(gòu)的基礎(chǔ)上建立起安全管理的組織結(jié)構(gòu)和組織人員，不僅如此，還需要對包括安全部門和安全的崗位在內(nèi)的各個部門和崗位建立明確安全職責，確保每項工作都能夠找到明確的負責人。3)凡事有據(jù)可查，就是說我們所做的各項工作和操作都需要形成記錄，這些記錄應(yīng)當詳細的記錄我們的工作時間、工作內(nèi)容和工作結(jié)果等信息，確保工作情況被詳細記錄，這些信息保存起來可以為之后開展的檢查工作提供輸入。4)凡事有人監(jiān)督，就是說我們要建立起完善的監(jiān)督、檢查和審計機制，制定明確的監(jiān)督人員、崗位，制定詳細的監(jiān)督、檢查和審計內(nèi)容，通過開展監(jiān)督、檢查和審計，確保建立的安全管理制度、組織以及所實施的各項保護被有效和正確的執(zhí)行?？梢钥闯鰜?，無論是核安全建設(shè)還是信息安全建設(shè)，這四個“凡事”的內(nèi)容都是不可缺少的關(guān)鍵要素。1.3核安全文化的落實核電站通過安全文化的滲透和員工基礎(chǔ)素質(zhì)的系統(tǒng)提升,將縱深安全管理的各項制度與文化有機地結(jié)合起來，核安全文化建設(shè)通過培訓等各種措施將核安全意識落實到員工的日常工作中去,通過不斷的實踐改進,把理念變?yōu)榱晳T,真正做到“人人都是一道屏障”。核安全技術(shù)保護是保障核電站安全運行的重要手段，當前核電行業(yè)采用的四道屏障：第一道屏障燃料芯塊、第二道屏障燃料包殼、第三道屏障壓力邊界、第四道屏障安全殼。這些屏障就是通過技術(shù)手段對反應(yīng)堆進行安全保護。這種保障方式與信息安全領(lǐng)域的縱深防御的思想也有相同之處，通過四道屏障不同的手段和技術(shù)，實現(xiàn)多層保護。核電運維方面的工作也需要高度的安全保障，對于程序遵守充分體現(xiàn)了“預(yù)防為主”的思想。原WANO主席在離別主席生涯時說過一句話：核電站只有在自動停堆、棒沒落下的時候著急，其它沒有著急的事情。這句話對核電安全文化的啟發(fā)很大：在做事情之前停一停、想一想，把要做的事情寫下來，按流程批準后再實施，風險就能得到有效的控制，安全運維也就有了保障。核事故應(yīng)急(簡稱“核應(yīng)急”)也是核電發(fā)展工作中的重要組成部分，核應(yīng)急工作包括核應(yīng)急準備和核應(yīng)急響應(yīng)，是保證核電站正常運行必不可少的環(huán)節(jié)。2.核安全文化與信息安全相結(jié)合通過上面的介紹大家對核安全文化已經(jīng)有了初步的了解，那么核安全如何與信息安全相結(jié)合就是接下來將要介紹的內(nèi)容。在繼續(xù)往下閱讀之前需要清楚的一個問題就是我在這里提到的幫助核電企業(yè)制定信息安全管理和信息安全保障都是不包括二次系統(tǒng)部分內(nèi)容的，主要是由于電力二次系統(tǒng)本身不在電力企業(yè)的IT部門管理，是由專門的生產(chǎn)部分負責，同時由于二次系統(tǒng)本身安全性要求非常高，一般外部公司很難接觸到。2.1核點企業(yè)發(fā)展信息安全的需求核電企業(yè)是以提供清潔能源為主要業(yè)務(wù)的，核電企業(yè)自成立以來，始終堅持“安全第一，質(zhì)量第一，追求卓越”的方針。隨著核電業(yè)務(wù)的發(fā)展，信息技術(shù)在企業(yè)內(nèi)部的不斷推廣和普及，業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，信息系統(tǒng)能否安全、穩(wěn)定的運行將直接影響核電業(yè)務(wù)的開展，因此，網(wǎng)絡(luò)與信息安全已經(jīng)成為保障核安全有機的組成部分，并且其重要程度將隨著信息技術(shù)的普及和發(fā)展變得更加重要。2.2核安全文化與縱深防御的思想的結(jié)合核安全文化中倡導的“縱深防御”原則在信息安全領(lǐng)域很早就被提出過。例如，在信息安全領(lǐng)域美國國家安全局制定的IATF中最早已經(jīng)提出了縱深防御，也稱作“深度防護(Defense-in-Depth)”的策略。IATF強調(diào)人、技術(shù)、操作這三個核心原則，關(guān)注四個信息安全保障領(lǐng)域：保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護邊界、保護計算環(huán)境、支撐基礎(chǔ)設(shè)施。通過下圖可以比較清晰的了解IATF的理論建立模型。因此我們在為核電企業(yè)設(shè)計信息安全保障體系架構(gòu)時也是結(jié)合了“縱深防御”的安全保護理念，結(jié)合了四個“凡事”的工作思想，通過“三道防線”與“體系文件與安全組織”的建立，有效的實現(xiàn)了“縱深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的應(yīng)用。而我們在架構(gòu)設(shè)計中的“三道防線”設(shè)計思想也與核電行業(yè)對反應(yīng)堆的“四道安全保護屏障”的保護方式相一致。建立完善的信息安全保障架構(gòu)不僅是核電企業(yè)為保障信息技術(shù)安全的需求，同時也是符合核電行業(yè)的核安全需求的，隨著信息安全在企業(yè)中的重要性越來越高，在建立信息安全保障體系的同時，也要將信息安全的文化融入的員工的日常工作中，只有這樣才能夠讓企業(yè)的信息安全保障體系真正的發(fā)揮作用。3.核電企業(yè)信息安全保障架構(gòu)設(shè)計3.1信息安全保障架構(gòu)設(shè)計在充分了解核安全文化與信息安全的相似點之后，結(jié)合信息安全領(lǐng)域的建設(shè)方法以及谷安天下在建立信息安全保障架構(gòu)的方法論，為核電企業(yè)設(shè)計如下的信息安全保障架構(gòu)。我們的信息安全保障架構(gòu)通過建立四個保障目標(信息安全、系統(tǒng)安全、運行安全、物理安全)，參考四種建設(shè)標準(ISO27001、ISO2000、等級保護、風險評估)為總體架構(gòu)設(shè)計奠定了基礎(chǔ)，總體架構(gòu)包含五個主要部分(安全管理、安全組織、安全技術(shù)、安全運維、應(yīng)急恢復)，通過兩種監(jiān)督措施(檢查、審計)，實現(xiàn)三道防線的保護(事前控制、事中控制、事后控制)。3.2保障架構(gòu)與核安全文化的融合為了更加貼近信息安全保障架構(gòu)與核安全文化的融合，下面我們從安全架構(gòu)的五個主要組成部分介紹一下它們是如何通過相同和相似之處進行融合的。3.2.1安全組織信息安全管理組織的建立與核安全文化中提到的“凡事有人負責”有著許多相同的地方，通過建立信息安全組織明確崗位職責，做到了信息安全工作有組織協(xié)調(diào)管理，有人落實具體工作。我們建立安全組織是確保信息安全決策落實、支持信息安全工作開展的基礎(chǔ)。信息安全組織建設(shè)的目的主要是通過構(gòu)建和完善信息安全組織架構(gòu)，明確不同安全組織、不同安全角色的定位、職責以及相互關(guān)系，強化信息安全的專業(yè)化管理，實現(xiàn)對信息安全風險的有效控制。3.2.2安全管理核安全文化中提到了“程序管理”、“凡事有章可循”，這些內(nèi)容都是說明建立安全管理，必須要將現(xiàn)有和即將制定的安全管理制度通過落實到文件的形式固化下來，這樣在執(zhí)行的過程中才能夠有依據(jù)，所以我們建立安全管理體系的目的也是通過制定出一套完整的信息安全管理體系文件來提高全企業(yè)的信息安全管理水平。我們提供的安全管理即建立信息安全管理體系(簡稱“ISMS”)是整體安全建設(shè)的一部分，也是信息化管理中的重要一環(huán)。信息安全管理體系是信息安全策略、組織、運作、技術(shù)體系標準化、制度化后形成的一整套信息安全的管理規(guī)范。我們在結(jié)合ISO27001國際標注與國際原子能機構(gòu)(IAEA)建立ISMS的最佳實踐基礎(chǔ)上提出15個域的信息安全管理體系建設(shè)方法。3.2.3安全運維核安全思想中，對安全運維的要求也非常高，這是保證電廠能夠穩(wěn)定工作的重要條件。因此建立同樣的信息安全運維保障體系也是要提高集團的信息安全運維水平，這與“凡事有人負責”，“凡事有據(jù)可查”，“凡事有人監(jiān)督”的內(nèi)容都有相似之處。所以安全運維作為整體信息安全保障架構(gòu)的一部分，它是通過安全的運行管理，結(jié)合安全產(chǎn)品和技術(shù)，保障對業(yè)務(wù)應(yīng)用系統(tǒng)等各方面穩(wěn)定運行。通過將靜態(tài)的制度、人員、技術(shù)等“點”串聯(lián)起來形成動態(tài)的流程“線”。清晰點明安全運維體系的各項工作的控制和內(nèi)容，便于理清整體的運維過程。3.2.4安全技術(shù)核安全技術(shù)保護中，通過四道屏障保證了反應(yīng)堆的安全，通過在不同的區(qū)域使用不同的技術(shù)進行安全控制。安全技術(shù)體系正是利用各種安全技術(shù)、產(chǎn)品以及工具作為安全管理和運行的落實的重要手段，最終支撐信息安全體系的建設(shè)。我們在建立信息安全技術(shù)保證體系的過程中同樣借鑒了“縱深防御”的思想，通過制定不同的安全等級和過劃分不同的安全區(qū)域，進行分區(qū)域的保護，通過在每個區(qū)域中實施各種技術(shù)手段實現(xiàn)域內(nèi)的安全控制。3.2.5應(yīng)急恢復在核安全文化中，“核應(yīng)急”也是保障核安全的重要一環(huán)，而在信息安全管理方面應(yīng)急響應(yīng)和信息安全事件管理同樣也是保證業(yè)務(wù)持續(xù)運行的最后一道重要保障。建立應(yīng)急保障體系將包括信息安全事件管理規(guī)定、應(yīng)急響應(yīng)計劃