信息安全體系構(gòu)建課件

1、燃?xì)庑袠I(yè)信息安全體系建設(shè)方法探索,2021年2月,信息安全體系構(gòu)建,2,目錄,燃?xì)庑袠I(yè)信息安全背景介紹,燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析,2,1,燃?xì)庑袠I(yè)信息安全體系建設(shè),3,燃?xì)庑袠I(yè)信息安全未來之路,4,3,1.1天然氣業(yè)務(wù)增長迅速,2010年底，北京市天然氣居民用戶約454萬戶，供氣量達(dá)到75.0億立方米。到2012年，用戶達(dá)到約580萬戶，供氣量達(dá)到84.1億立方米,近年中國各省PM2.5濃度 遠(yuǎn)高于世界衛(wèi)生組織標(biāo)準(zhǔn),預(yù)計未來“清潔”天然氣業(yè)務(wù)依然會高速增長,4,1.2 燃?xì)庑袠I(yè)信息化特點,燃?xì)馄髽I(yè)為滿足業(yè)務(wù)的高速發(fā)展，不斷投入資源用于生產(chǎn)運營和辦公管理的信息化項目的建設(shè)，涵蓋SCADA、GIS

2、、ERP、EAM、OA以及用戶管理系統(tǒng)等信息系統(tǒng),信息化特點： 企業(yè)信息化的“孤島效應(yīng)”明顯 信息化的綜合管控能力薄弱 信息化技術(shù)能力嚴(yán)重依賴于第三方 工業(yè)體系安全核心正在轉(zhuǎn)變,5,1.3 外部安全形勢嚴(yán)峻,在2011年之前，公開披露的工業(yè)控制系統(tǒng)相關(guān)漏洞的數(shù)量相當(dāng)少。但在2011年出現(xiàn)了井噴現(xiàn)象，并持續(xù)到2012年。 -綠盟科技2012年安全態(tài)勢報告,2010年6月，“震網(wǎng)”病毒悄然襲擊伊朗核設(shè)施的工業(yè)系統(tǒng)，“震網(wǎng)”是第一個被發(fā)現(xiàn)用于針對于政府的網(wǎng)絡(luò)戰(zhàn)爭武器,6,1.4 “棱鏡事件”帶來的啟示,回顧： 2013年6月，前中情局（CIA）職員愛德華斯諾頓將兩份絕密資料交給英國衛(wèi)報和美國華盛頓郵

3、報發(fā)表，隨之全世界嘩然。 棱鏡門是美國國家安全局和聯(lián)邦調(diào)查局啟動的一個旨在對全球網(wǎng)絡(luò)活動進(jìn)行秘密監(jiān)控的項目。當(dāng)局通過接入微軟、雅虎、谷歌、蘋果等9家美國互聯(lián)網(wǎng)公司中心服務(wù)器，對視頻、圖片、郵件、電話記錄等10類數(shù)據(jù)進(jìn)行監(jiān)控，以搜集他國情報，監(jiān)視本國民眾,啟示： 美國人“賊喊捉賊” 我們被國外監(jiān)視著,7,1.5 信息安全的驅(qū)動力,信息安全是保障企業(yè)業(yè)務(wù)發(fā)展的重要手段，是企業(yè)內(nèi)控的重要組成部分,外在的威脅,面對業(yè)務(wù)的高速發(fā)展以及信息化與業(yè)務(wù)的不斷融合，信息化管控的壓力陡然增大,監(jiān)管的壓力,內(nèi)部業(yè)務(wù)驅(qū)動,作為影響著國計民生的燃?xì)馄髽I(yè)，面臨諸如包括“震網(wǎng)”病毒、黑客攻擊、敏感數(shù)據(jù)泄密等各種潛在的或已知

4、的威脅，也包括如“棱鏡”類似的監(jiān)控,滿足國家的法律、法規(guī)以及上級單位的監(jiān)管要求，尤其是滿足等級保護(hù)的要求,驅(qū)動力,8,目錄,燃?xì)庑袠I(yè)信息安全背景介紹,燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析,2,1,燃?xì)庑袠I(yè)信息安全體系建設(shè),3,燃?xì)庑袠I(yè)信息安全未來之路,4,9,2.1 信息安全現(xiàn)狀分析,作為傳統(tǒng)的能源企業(yè)，燃?xì)馄髽I(yè)對信息化的認(rèn)知和適應(yīng)性普遍偏低，而對于信息安全更是陌生，缺乏主動有效的信息安全保障機(jī)制。分別從組織、策略和技術(shù)三個層面系統(tǒng)了解燃?xì)馄髽I(yè)的信息安全現(xiàn)狀,10,2.2 信息安全組織層面分析,企業(yè)的信息安全組織力量薄弱且定位較低，企業(yè)沒有形成自上而下的信息安全組織體系,企業(yè)信息安全隊伍無法有效支撐企業(yè)的

5、信息化建設(shè)和維護(hù)安全 企業(yè)對信息安全重視程度不夠，注重于傳動工業(yè)的物理安全 企業(yè)各部門的信息安全職責(zé)不清，缺乏跨部門的協(xié)調(diào)機(jī)制 企業(yè)員工的信息安全意識薄弱 外部組織（外包服務(wù)）的管控薄弱,11,2.2 信息安全策略層面分析,企業(yè)基本沒有成體系的信息安全策略，主要包括,事件驅(qū)動型信息安全處置機(jī)制 信息安全控制體系缺乏體系化 信息安全策略 “屈從”于業(yè)務(wù)要求。 監(jiān)督和考核機(jī)制不足，缺乏明確的策略要求，信息安全控制無法得到有效的落實,12,2.3 信息安全技術(shù)層面分析,企業(yè)已經(jīng)部署基本的信息安全防護(hù)設(shè)施，如防火墻、入侵檢測、流量監(jiān)測等設(shè)施，但是存在以下問題,信息安全系統(tǒng)“孤島”效應(yīng)嚴(yán)重 系統(tǒng)和網(wǎng)絡(luò)區(qū)

6、域的邊界控制薄弱 信息安全技術(shù)標(biāo)準(zhǔn)缺乏規(guī)范化 第三方系統(tǒng)信息安全防護(hù)能力缺乏評測 工控系統(tǒng)的互聯(lián)性增加導(dǎo)致潛在攻擊的可能性,13,2.4 信息安全成熟度分析,參考Cobit成熟度模型，將信息安全成熟度級別定義為初始級、可重復(fù)級、已經(jīng)定義級、可管理級和優(yōu)化級五個級別，燃?xì)馄髽I(yè)的信息安全成熟度如圖所示,初始級 信息安全管理流程不存在； 初始級 信息安全工作流程缺乏統(tǒng)籌； 可重復(fù)級 信息安全管理流程遵循固定的模式 已定義級 信息安全體系建立標(biāo)準(zhǔn)化的書面程序 可管理級 信息安全體系流程可監(jiān)控可度量 已優(yōu)化級 信息安全工作流程自動化且持續(xù)優(yōu)化為最佳實踐,黃色代表現(xiàn)在,紅色代表未來,14,目錄,燃?xì)庑袠I(yè)信

7、息安全背景介紹,燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析,2,1,燃?xì)庑袠I(yè)信息安全體系建設(shè),3,燃?xì)庑袠I(yè)信息安全未來之路,4,15,3.1 信息安全體系建設(shè)路線圖,燃?xì)馄髽I(yè)在信息安全建設(shè)過程主要按照以下四個階段實施,依照法律規(guī)范以及監(jiān)管要求和國內(nèi)外標(biāo)準(zhǔn),設(shè)計信息安全實施藍(lán)圖,并進(jìn)行總體的信息安全規(guī)劃,建立符合燃?xì)馄髽I(yè)的信息安全策略,包括完善信息安全技術(shù)標(biāo)準(zhǔn)和管理規(guī)范,依照燃?xì)馄髽I(yè)的安全策略要求小范圍的落實信息安全控制措施,并建立信息安全管理體系的持續(xù)運行機(jī)制,總結(jié)成功的經(jīng)驗和不足之處在燃?xì)馄髽I(yè)內(nèi)部全部全面推廣信息安全管理體系,第一階段,第二階段,第三階段,第四階段,16,3.2 信息安全體系架構(gòu),3.3 信息

8、安全方針與目標(biāo),信息安全方針：規(guī)范安全控制體系、保護(hù)信息系統(tǒng)安全、落實信息安全責(zé)任、保障燃?xì)馍a(chǎn)安全,近期目標(biāo)（2013-2015）: 建立信息安全組織體系，健全信息安全制度規(guī)范，構(gòu)筑縱深技術(shù)防御體系，提高IT服務(wù)連續(xù)性水平，保護(hù)企業(yè)重要信息資產(chǎn)，促進(jìn)信息化過程的安全管控能力,中長期目標(biāo)（2015-2017）: 培養(yǎng)信息安全專業(yè)隊伍，建立可持續(xù)完善的信息安全管理體系，實現(xiàn)信息安全的體系化、流程化、績效化、工具化管理，實現(xiàn)信息安全與業(yè)務(wù)安全深度融合，保護(hù)企業(yè)的核心競爭力,18,3.4 信息安全體系構(gòu)建,信息安全體系建設(shè)過程中依據(jù) 組織體系定職責(zé) 策略體系定依據(jù) 技術(shù)體系定手段,構(gòu)建出信息安全體系

9、能夠?qū)崿F(xiàn): 事前防御（Preventive） 事中控制 (Detection) 事后響應(yīng) (Response,19,3.4.1 信息安全組織體系構(gòu)建,企業(yè)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確各單位的信息安全角色、職責(zé)和關(guān)系,明確信息安全組織的定位 壯大信息安全管理隊伍 提升全員信息安全意識水平 管理第三方(外包)服務(wù),20,3.4.2 信息安全技術(shù)體系構(gòu)建,消除“信息安全技術(shù)的孤島” 注重系統(tǒng)和網(wǎng)絡(luò)域的邊界安全 注重信息系統(tǒng)自身的安全,重點關(guān)注： 安全域綜合規(guī)劃、建立PKI體系、 建立4A平臺、建立終端防護(hù)體系、 建立安全監(jiān)控體系、建立災(zāi)備中心,3.4.3 信息安全培訓(xùn)體系構(gòu)

10、建,信息安全體系構(gòu)建,21,加強信息安全人才隊伍建設(shè)，搭建自下而上全方位的信息安全培訓(xùn)體系，全方位的提升企業(yè)各層級員工的信息安全技能和意識,3.4.4 信息安全意識宣傳,Flash動畫,電子海報,手冊,張貼畫,培訓(xùn)與專題講座,電腦屏保,展板,燃?xì)鈭?網(wǎng)站,電腦桌貼,微信,鼠標(biāo)墊,北京燃?xì)馐褂冒ㄎ⑿拧⒁曨l、OA、海報、手冊、貼畫、易拉寶等十多種形式進(jìn)行全方面的信息安全宣傳,3.4.5 構(gòu)建工控系統(tǒng)的邊界安全,整合企業(yè)信息系統(tǒng)資源、加速工控系統(tǒng)的互聯(lián)和利用成為必然的趨勢， 那么如何保護(hù)工控系統(tǒng)的互聯(lián)安全,24,3.5 信息安全建設(shè)過程關(guān)注點,燃?xì)馄髽I(yè)的信息安全風(fēng)險是應(yīng)用信息技術(shù)過程所必須面對的問

11、題，因此建立燃?xì)馄髽I(yè)的信息安全體系是保障燃?xì)馄髽I(yè)業(yè)務(wù)和信息化持久發(fā)展的基礎(chǔ)。燃?xì)馄髽I(yè)信息安全體系建設(shè)成功實施的要素如下所示,來自企業(yè)高層明確的支持和承諾 依據(jù)“總體規(guī)劃、分步實施”的戰(zhàn)略，注重體系落地 信息安全部門的定位問題以及與信息化之間的關(guān)系 加大信息安全的培訓(xùn)并建立自己的信息安全隊伍 構(gòu)建合力的信息安全架構(gòu)體系,25,目錄,燃?xì)庑袠I(yè)信息安全背景介紹,燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析,2,1,燃?xì)庑袠I(yè)信息安全體系建設(shè),3,燃?xì)庑袠I(yè)信息安全未來之路,4,26,4.1 燃?xì)庑袠I(yè)信息安全未來發(fā)展方向,隨著燃?xì)馄髽I(yè)信息化的發(fā)展以及先進(jìn)信息技術(shù)的引入，信息化領(lǐng)域的管控應(yīng)不僅僅局限于信息安全領(lǐng)域的控制，應(yīng)該深入企業(yè)業(yè)務(wù)的綜合體系中，建立符合燃?xì)鈽I(yè)務(wù)特點的IT綜合管控體系，并時刻關(guān)注先進(jìn)信息化技術(shù)帶來便利的同時也需要關(guān)注其帶來的風(fēng)險以及未來的發(fā)展趨勢,工控安全：工控系統(tǒng)的安全關(guān)系著燃?xì)馄髽I(yè)的生產(chǎn)安全,IT綜合管控：建立燃?xì)馄髽I(yè)的IT綜合管控體系，建立IT決策機(jī)制與職責(zé)框架，實現(xiàn)精確高效的信息化管理,27,敏感信息保護(hù)：近年來，大量的數(shù)據(jù)泄露事件發(fā)生，而燃?xì)馄髽I(yè)存有大量本地用戶的敏感信息以及企業(yè)自身的敏感信息，如何保護(hù)這些信息成為信息安全