燃?xì)庑袠I(yè)信息安全體系建設(shè)方法及在北京燃?xì)獾膶?shí)踐

1、 燃?xì)庑袠I(yè)信息安全體系建設(shè)方法及在北京燃?xì)獾膶?shí)踐 摘要：本文首先介紹了燃?xì)庑袠I(yè)信息化現(xiàn)狀、分析了燃?xì)庑袠I(yè)信息安全存在的問(wèn)題，然后介紹了企業(yè)建立信息安全體系的思路和方法，并結(jié)合此理論在國(guó)內(nèi)首次提出了燃?xì)庑袠I(yè)信息安全體系的構(gòu)建方法；最后以北京燃?xì)鉃槔?，?duì)燃?xì)庑袠I(yè)信息安全體系建設(shè)方法進(jìn)行了實(shí)踐和應(yīng)用，分析并總結(jié)了燃?xì)庑袠I(yè)信息安全體系建設(shè)成功的關(guān)鍵因素。關(guān)鍵詞：燃?xì)庑袠I(yè)燃?xì)庑畔⒒細(xì)庑畔踩畔踩?guī)劃燃?xì)庑畔踩w系工控安全1概述近年來(lái)，燃?xì)馄髽I(yè)不斷提高其信息化水平以支撐業(yè)務(wù)的高速發(fā)展，提升企業(yè)工作效率并優(yōu)化業(yè)務(wù)運(yùn)作模式，向公眾提供高質(zhì)量的服務(wù)。但是，作為傳統(tǒng)能源行業(yè)，燃?xì)馄髽I(yè)在利用信息技術(shù)帶來(lái)的優(yōu)

2、勢(shì)時(shí)也必然需要承受先進(jìn)技術(shù)帶來(lái)的風(fēng)險(xiǎn)信息安全問(wèn)題。2010年6月，“震網(wǎng)”病毒悄然襲擊伊朗核設(shè)施的工業(yè)系統(tǒng)，“震網(wǎng)”是第一個(gè)被發(fā)現(xiàn)用于針對(duì)于政府的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)武器。2012年，美國(guó)國(guó)土安全部應(yīng)急響應(yīng)小組報(bào)告了198起針對(duì)重要基礎(chǔ)設(shè)施的攻擊，而2011年的攻擊數(shù)量為l30起(上升了52)。據(jù)歐洲網(wǎng)絡(luò)與信息安全局統(tǒng)計(jì)的數(shù)據(jù)，在2012年遭受攻擊最多的行業(yè)為能源行業(yè)，占41，其次為供水，占152。燃?xì)馄髽I(yè)本身存在的信息安全問(wèn)題、外部嚴(yán)峻的安全形勢(shì)以及各種監(jiān)管的壓力都要求燃?xì)馄髽I(yè)盡快建設(shè)信息安全體系。本文將對(duì)北京燃?xì)庑畔踩w系建設(shè)過(guò)程中的經(jīng)驗(yàn)、方法進(jìn)行整理，供燃?xì)庑袠I(yè)其他企業(yè)構(gòu)建信息安全體系參考。下文的

3、“燃?xì)馄髽I(yè)”泛指國(guó)內(nèi)絕大部分燃?xì)馄髽I(yè)，代表著國(guó)內(nèi)燃?xì)庑袠I(yè)的主要情況。2燃?xì)庑袠I(yè)信息化現(xiàn)狀及信息安全問(wèn)題21燃?xì)庑袠I(yè)信息化現(xiàn)狀國(guó)內(nèi)燃?xì)馄髽I(yè)的生產(chǎn)運(yùn)營(yíng)信息化建設(shè)開(kāi)始于1996年左右，目前北京、上海、長(zhǎng)春等多個(gè)大城市的管道燃?xì)馄髽I(yè)均成功完成生產(chǎn)運(yùn)營(yíng)信息化項(xiàng)目的建設(shè)，使企業(yè)運(yùn)營(yíng)過(guò)程控制程序化、模型化、智能化、集成化、網(wǎng)絡(luò)化，監(jiān)測(cè)、控制過(guò)程實(shí)現(xiàn)可視化和遠(yuǎn)程化，以期達(dá)到進(jìn)一步理川頁(yè)管理流程、提升管理水平和提高工作效率的日標(biāo)。國(guó)內(nèi)燃?xì)庑袠I(yè)信息化具有以下特點(diǎn)：(1)企業(yè)的信息化建設(shè)已覆蓋主要業(yè)務(wù)，但信息化缺乏有效整合，信息化的“孤島效應(yīng)”明顯，企業(yè)信息資源沒(méi)有得到有效利用。(2)信息化管控能力薄弱，企業(yè)缺乏有

4、效it治理機(jī)制和行業(yè)的信息化標(biāo)準(zhǔn)規(guī)范指導(dǎo)，信息化在企業(yè)管理應(yīng)用有待提高。(3)信息化技術(shù)力量薄弱，企業(yè)的信息化建設(shè)嚴(yán)重依賴(lài)于第三方服務(wù)。(4)工業(yè)體系安全核心正在轉(zhuǎn)變，由傳統(tǒng)的物理安全正在向信息安全轉(zhuǎn)移。國(guó)內(nèi)燃?xì)馄髽I(yè)已經(jīng)基本完成了信息化“建設(shè)”的初期任務(wù)，已經(jīng)建成了涵蓋scada、gis、oa、erp、eam以及用戶(hù)管理系統(tǒng)等信息系統(tǒng)，而為了支撐燃?xì)鈽I(yè)務(wù)的高速發(fā)展，更有效的、安全的利用信息化體系，實(shí)現(xiàn)信息化的整合和管控必然成為企業(yè)未來(lái)信息化發(fā)展的主題，企業(yè)信息化發(fā)展路線(xiàn)也逐步由偏重建設(shè)轉(zhuǎn)向偏重管控。信息安全作為信息化管控的主要組成部分，已成為企業(yè)必須面對(duì)的現(xiàn)實(shí)問(wèn)題。22燃?xì)庑袠I(yè)信息安全問(wèn)題作為

5、傳統(tǒng)的能源行業(yè)，大部分燃?xì)馄髽I(yè)對(duì)信息安全比較陌生，缺乏主動(dòng)有效的信息安全保障機(jī)制。下面從組織、策略和技術(shù)3個(gè)層面分析燃?xì)庑袠I(yè)信息安全存在的問(wèn)題。221組織層面燃?xì)馄髽I(yè)的信息安全組織力量薄弱且定位較低，企業(yè)沒(méi)有形成自上而下的信息安全組織體系。(1)企業(yè)信息化隊(duì)伍并不完善，信息安全隊(duì)伍嚴(yán)重匱乏，無(wú)法有效支撐企業(yè)的信息化建設(shè)和業(yè)務(wù)安全。(2)企業(yè)對(duì)信息安全的認(rèn)知度偏低，依然注重于傳統(tǒng)的物理安全，并忽視信息安全問(wèn)題與業(yè)務(wù)安全之間的重要性。(3)企業(yè)各部門(mén)的信息安全職責(zé)不清，缺乏各部門(mén)和分子公司等單位的參與。(4)缺乏信息安全的培訓(xùn)和意識(shí)提升機(jī)制，員工的信息安全意識(shí)薄弱。(5)企業(yè)的信息化建設(shè)主要依賴(lài)于

6、第三方，但是對(duì)第三方的管控薄弱且明顯落后于信息化的建設(shè)速度。222策略層面燃?xì)馄髽I(yè)基本沒(méi)有成體系的信息安全策略，主要包括：(1)事件驅(qū)動(dòng)型，信息安全策略都是基于已發(fā)生的信息安全事件制定，缺乏體系化的制度流程支撐，信息安全策略側(cè)重于應(yīng)急響應(yīng)機(jī)制。(2)缺乏對(duì)信息系統(tǒng)和敏感信息的安全控制體系、技術(shù)規(guī)范以及安全基線(xiàn)。(3)缺乏信息安全策略推廣手段，信息安全策略難以落地實(shí)行。(4)業(yè)務(wù)為先，較難平衡信息安全的控制以及業(yè)務(wù)效率之間的關(guān)系，信息安全策略要求更多“屈從”于業(yè)務(wù)要求。(5)監(jiān)督和考核機(jī)制不足，缺乏明確的策略要求，信息安全控制無(wú)法得到有效的落實(shí)。223技術(shù)層面燃?xì)馄髽I(yè)已經(jīng)部署基本的信息安全防護(hù)設(shè)

7、施，如防火墻、入侵檢測(cè)、流量監(jiān)測(cè)等設(shè)施，但是存在以下問(wèn)題：(1)信息安全系統(tǒng)“孤島”效應(yīng)嚴(yán)重，無(wú)法形成有效合力。(2)系統(tǒng)和網(wǎng)絡(luò)的邊界控制能力薄弱，不同的系統(tǒng)和網(wǎng)絡(luò)間的資源訪(fǎng)問(wèn)控制顆粒度較粗，缺乏有效的監(jiān)控和審計(jì)能力。(3)企業(yè)業(yè)務(wù)復(fù)雜，第二三方廠(chǎng)商技術(shù)水平參差不齊，安全技術(shù)能力薄弱。(4)工控系統(tǒng)由于在網(wǎng)絡(luò)中的互聯(lián)性增加，導(dǎo)致多種途徑可訪(fǎng)問(wèn)這些系統(tǒng)，從而導(dǎo)致更多潛在攻擊的可能性。(5)系統(tǒng)的建設(shè)和部署缺乏信息安全考慮，信息系統(tǒng)自身存在大量漏洞，這些問(wèn)題極易被黑客所利用，嚴(yán)重影響到信息系統(tǒng)的運(yùn)行安全。23燃?xì)庑袠I(yè)信息安全成熟度越來(lái)越多的燃?xì)馄髽I(yè)高層管理人員認(rèn)識(shí)到信息安全的重要性，但是無(wú)法了解企

8、業(yè)自身信息安全所處的位置，不知道企業(yè)的信息安全未來(lái)發(fā)展之路如何走。參考信息安全控制最佳實(shí)踐cobit3，可定義燃?xì)馄髽I(yè)信息安全成熟度級(jí)別為初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、可管理級(jí)和已優(yōu)化級(jí)5個(gè)級(jí)別。初始級(jí)指企業(yè)信息安全管理流程不存在，或信息安全工作流程缺乏統(tǒng)籌安排；可重復(fù)級(jí)指信息安全管理流程遵循同定的模式；已定義級(jí)指信息安全體系已建立標(biāo)準(zhǔn)化的書(shū)面程序；可管理級(jí)指信息安全體系流程可監(jiān)控、可度量；已優(yōu)化級(jí)指信息安全工作流程自動(dòng)化且持續(xù)優(yōu)化。國(guó)內(nèi)絕大部分燃?xì)馄髽I(yè)信息安全現(xiàn)狀與北京燃?xì)庠谶M(jìn)行信息安全體系建設(shè)之前的狀況一樣，處于第一級(jí)即初始級(jí)；燃?xì)馄髽I(yè)的信息安全要達(dá)到一定的程度則信息安全成熟度必然要達(dá)到持續(xù)

9、優(yōu)化的第4級(jí)，即已管理級(jí)。通過(guò)信息安全成熟度模型，企業(yè)能夠準(zhǔn)確的找到當(dāng)前所處的位置，未來(lái)企業(yè)信息安全期望達(dá)到的目標(biāo)，以及企業(yè)未來(lái)信息安全的具體發(fā)展路線(xiàn)。3企業(yè)建立信息安全體系的思路和方法31傳統(tǒng)信息安全管理存在的誤區(qū)為實(shí)現(xiàn)組織的信息安全，各廠(chǎng)商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息安全的各個(gè)角度和整個(gè)生命周期來(lái)考察，現(xiàn)有的信息安全管理體系與標(biāo)準(zhǔn)是不夠完備的，特別是忽略了組織中最活躍的因素人的作用?？疾靽?guó)內(nèi)外的各種信息安全事件，發(fā)現(xiàn)在信息安全事件表象后面其實(shí)都是人的因素在起決定作用。不完備的安全體

10、系是不能保證日趨復(fù)雜的組織信息系統(tǒng)安全性的。因此，組織為達(dá)到保護(hù)信息資產(chǎn)的目的，應(yīng)在“以人為本”的基礎(chǔ)上，充分利用等級(jí)保護(hù)、is027000、is020000、cobit等信息化控制標(biāo)準(zhǔn)與最佳實(shí)踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。32信息安全管理體系模型信息安全的建設(shè)是一個(gè)系統(tǒng)工程，需要對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的考慮、規(guī)劃和構(gòu)架，并要時(shí)時(shí)兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅。從宏觀(guān)的角度來(lái)看，信息安全可以由以下htp模型來(lái)描述：人員與管理(human and management)、技術(shù)與產(chǎn)品(technology and produc

11、ts)、流程與體系(process and frahiework)。見(jiàn)圖1。其中人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。人特別是內(nèi)部員工既可以是對(duì)信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線(xiàn)。統(tǒng)計(jì)結(jié)果表明，在所有的信息安全事故中，只有2030是由于黑客入侵或其他外部原因造成的，7080是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來(lái)看信息和網(wǎng)絡(luò)安全的全貌就會(huì)發(fā)現(xiàn)安全問(wèn)題實(shí)際上都是人的問(wèn)題，單憑技術(shù)是無(wú)法實(shí)現(xiàn)從“最大威脅”到“最可靠防線(xiàn)”轉(zhuǎn)變的。以往的各種安全模型，其最大的缺陷是忽略了對(duì)人的因素的考慮，在信息安全問(wèn)題上，要以人為本，人的因素比信息安全技術(shù)和產(chǎn)品的

12、因素更重要。與人相關(guān)的安全問(wèn)題涉及面很廣，從國(guó)家的角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有企業(yè)信息安全治理結(jié)構(gòu)、安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。在信息安全的技術(shù)防范措施上，可以綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、pki服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全，但不應(yīng)把通過(guò)部署所有安全產(chǎn)品與技術(shù)而達(dá)到信息安全的零風(fēng)險(xiǎn)為目標(biāo)，安全成本太高，安全也就失去其意義。組織實(shí)現(xiàn)信息安全應(yīng)采用“適度防范”(right

13、sizing)的原則，就是在風(fēng)險(xiǎn)評(píng)估的前提下，引入恰當(dāng)?shù)目刂拼胧菇M織的風(fēng)險(xiǎn)降到可以接受的水平，保證組織業(yè)務(wù)的連續(xù)性和商業(yè)價(jià)值最大化就達(dá)到了安全的目的。信息安全不是一個(gè)孤立靜止的概念，信息安全是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過(guò)程，管理學(xué)上的木桶原理能夠很好的說(shuō)明信息安全各個(gè)環(huán)節(jié)之間的作用。一方面，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬(wàn)、顧此失彼的問(wèn)題，使得信息安全這只“木桶”出現(xiàn)若干“短木塊”，從而無(wú)法提高安全水平。正確的做法是遵循信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過(guò)程，考慮組織對(duì)信息安全各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理安

14、全管理體系，從而保證組織賴(lài)以牛存的信息資產(chǎn)的安全。另一方面，這個(gè)安全體系還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變。因此，實(shí)現(xiàn)信息安全是一個(gè)需要一個(gè)完整的體系來(lái)保證的持續(xù)過(guò)程。33建立信息安全管理htp體系的方法4此方法論由國(guó)內(nèi)著名的信息安全專(zhuān)家和it治理專(zhuān)家陳偉提出，已被國(guó)內(nèi)許多銀行和央企采用。331 htp方法論框架根據(jù)自頂向下，逐步求精的原則，根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求，首先要在組織中建立信息安全治理結(jié)構(gòu)，對(duì)信息安全做出制度保證；然后綜合考察業(yè)務(wù)環(huán)境與it環(huán)境，進(jìn)行風(fēng)險(xiǎn)評(píng)估，做出信息安全計(jì)劃，建立并運(yùn)行信息安全管理體系，初步達(dá)到粗粒度的信息安全；

15、在完整的信息安全管理體系之上，建立“人力防火墻”與“技術(shù)防火墻”，在細(xì)粒度上保證信息安全；實(shí)施階段性的信息系統(tǒng)審計(jì)，在持續(xù)不斷的改進(jìn)過(guò)程中保證信息的安全性、完整性、可用性及有效性，從而建立一套完整的、健壯的信息安全防御體系。332建立htp體系的步驟(1)在充分理解組織業(yè)務(wù)目標(biāo)、組織文件及信息安全的條件下，通過(guò)is013335風(fēng)險(xiǎn)分析方法，建立組織的信息安全基線(xiàn)(security baseline)，對(duì)組織的安全現(xiàn)狀有一個(gè)清晰的了解，并可以為以后進(jìn)行安全控制績(jī)效分析提供一個(gè)評(píng)價(jià)基礎(chǔ)。(2)根據(jù)安全基線(xiàn)分析報(bào)告，制定組織信息安全計(jì)劃，包括組織建設(shè)計(jì)劃、預(yù)算計(jì)劃和投資回報(bào)計(jì)劃。(3)按照is027

16、000標(biāo)準(zhǔn)建立信息安全管理框架，完善粗粒度的信息安全過(guò)程。建立框架后，冉通過(guò)這種細(xì)粒度的安全措施一“技術(shù)防火墻”和“人力防火墻”，就有可能建立起完備的信息安全管理體系。(4)重視信息安全中最活躍的因素“人”，建立“人力防火墻”，實(shí)現(xiàn)從信息安全“最大威脅”到“最可靠防線(xiàn)”轉(zhuǎn)變，這樣才能真正調(diào)動(dòng)組織中實(shí)現(xiàn)長(zhǎng)治久安的內(nèi)在動(dòng)力。(5)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，以“適度防范”為原則，建立有效的“技術(shù)防火墻”，這是實(shí)現(xiàn)信息安全管理的可靠外部保證措施。(6)實(shí)施階段性的信息系統(tǒng)審計(jì)，在持續(xù)不斷的改進(jìn)過(guò)程中保證信息安全性、完整性、可用性及有效性。34燃?xì)庑袠I(yè)信息安全體系建設(shè)方法根據(jù)國(guó)

17、內(nèi)燃?xì)庑袠I(yè)信息安全的現(xiàn)狀與特點(diǎn)，結(jié)合htp信息安全體系建設(shè)方法論，下面提出燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法。341燃?xì)庑袠I(yè)信息安全體系建設(shè)方法如圖2所示。根據(jù)燃?xì)馄髽I(yè)的戰(zhàn)略目標(biāo)和風(fēng)險(xiǎn)現(xiàn)狀，結(jié)合信息安全最佳實(shí)踐，滿(mǎn)足上級(jí)單位的監(jiān)管要求，兼顧燃?xì)馄髽I(yè)生產(chǎn)安全和信息安全的結(jié)合點(diǎn)工控安全，在確保外包服務(wù)安全的前提下設(shè)計(jì)燃?xì)馄髽I(yè)的信息安全架構(gòu)，并綜合燃?xì)馄髽I(yè)的戰(zhàn)略目標(biāo)和安全風(fēng)險(xiǎn)規(guī)劃信息安全實(shí)施路線(xiàn)矧，此藍(lán)圖作為未來(lái)信息安全體系建設(shè)的指南。在此基礎(chǔ)上考慮組織、制度、技術(shù)體系的建設(shè)，實(shí)現(xiàn)htp理論中“人力防火墻”和“技術(shù)防火墻”的目標(biāo)，先試點(diǎn)運(yùn)行并最終全面推廣，在此過(guò)程中應(yīng)充分結(jié)合當(dāng)前的環(huán)境推進(jìn)信息安全意識(shí)教

18、育，樹(shù)立企業(yè)正確的信息安全文化。在體系的建設(shè)和運(yùn)行過(guò)程中應(yīng)充分考慮企業(yè)的風(fēng)險(xiǎn)現(xiàn)狀，不斷提升和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管控措施，實(shí)現(xiàn)燃?xì)馄髽I(yè)的信息安全管理體系pdca循序漸進(jìn)的過(guò)程。在整個(gè)體系的設(shè)計(jì)、規(guī)劃、建設(shè)以及運(yùn)行過(guò)程中應(yīng)保持各部門(mén)各單位之間的有效溝通和協(xié)調(diào)，保證體系的正常運(yùn)行，并不斷監(jiān)控體系實(shí)施過(guò)程中的狀況，防止與業(yè)務(wù)目標(biāo)的偏離，提升燃?xì)馄髽I(yè)信息安全體系的保障能力。342燃?xì)庑袠I(yè)信息安全體系建設(shè)步驟燃?xì)庑袠I(yè)信息安全體系的建設(shè)建議按以下5個(gè)步驟進(jìn)行：(1)現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估；(2)架構(gòu)設(shè)計(jì)和藍(lán)圖規(guī)劃；(3)信息安全體系建設(shè)；(4)信息安全意識(shí)培訓(xùn)；(5)信息安全體系優(yōu)化。343燃?xì)庑袠I(yè)信息安全架構(gòu)設(shè)計(jì)

19、信息安全架構(gòu)是對(duì)信息安全治理機(jī)制的高度概括，從信息安全目標(biāo)和方針、信息安全策略，到信息安全管理工作的分解，再到信息安全管理工作如何開(kāi)展，提出了方向性和原則性指導(dǎo)意見(jiàn)。在信息安全架構(gòu)(見(jiàn)圖3)中，設(shè)置信息安全目標(biāo)和信息安全方針作為安全架構(gòu)的核心；為實(shí)現(xiàn)信息安全目標(biāo)和方針，需要構(gòu)建信息安全域，不同企業(yè)構(gòu)建的信息安全域的情況可能會(huì)不一樣；最后再通過(guò)3個(gè)體系來(lái)保證信息安全域的實(shí)施和落地。在構(gòu)建燃?xì)庑袠I(yè)的信息安全架構(gòu)時(shí)應(yīng)充分利用等級(jí)保護(hù)、iso27000、iso20000、cobit等信息化控制標(biāo)準(zhǔn)與最佳實(shí)踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全架構(gòu)。上一頁(yè) 1 2下一頁(yè)燃?xì)馄髽I(yè)在構(gòu)建信息安

20、全架構(gòu)時(shí)除了吸收最佳實(shí)踐標(biāo)準(zhǔn)外，還應(yīng)充分考慮風(fēng)險(xiǎn)評(píng)估、戰(zhàn)略驅(qū)動(dòng)以及監(jiān)管要求等內(nèi)容，最終將國(guó)際國(guó)內(nèi)信息安全最佳實(shí)踐標(biāo)準(zhǔn)裁剪成符合燃?xì)馄髽I(yè)的信息安全體系架構(gòu)。344燃?xì)庑袠I(yè)信息安全體系構(gòu)建燃?xì)庑袠I(yè)在信息安全體系的建設(shè)過(guò)程中為保障信息安全體系有效性，一般會(huì)遵從“組織體系定職責(zé)、策略體系定依據(jù)、技術(shù)體系定手段”的原則構(gòu)建“事前防御、事中控制、事后響應(yīng)”的信息安全體系，推進(jìn)信息安全體系的執(zhí)行和落地。(1)組織體系燃?xì)馄髽I(yè)應(yīng)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確企業(yè)所有單位的信息安全角色與職責(zé)以及總部和分公司之間的關(guān)系。信息安全組織體系處于信息安全戰(zhàn)略的核心，是信息安全戰(zhàn)略落實(shí)的基礎(chǔ)和保障

21、。(2)策略體系策略體系主要包含信息安全策略方針、各信息安全管理域的安全管理要求等，為燃?xì)馄髽I(yè)提供信息安全控制依據(jù)。(3)技術(shù)體系燃?xì)馄髽I(yè)的信息安全技術(shù)體系應(yīng)整合各種成熟的信息安全技術(shù)與產(chǎn)品，對(duì)企業(yè)各類(lèi)信息資產(chǎn)形成有效的差異化和精細(xì)化保護(hù)。依據(jù)縱深防御的原則，結(jié)合“橫向隔離，縱向認(rèn)證”的要求，采用不同層次的防護(hù)技術(shù)，如身份認(rèn)證、訪(fǎng)問(wèn)控制、內(nèi)容安全、監(jiān)控審計(jì)和備份恢復(fù)等，實(shí)現(xiàn)信息資產(chǎn)的安全防護(hù)。4北京燃?xì)庑畔踩w系建設(shè)實(shí)踐及應(yīng)用北京燃?xì)饧瘓F(tuán)于2012年10月份啟動(dòng)了信息安全體系建設(shè)項(xiàng)日，于2013年6月底結(jié)項(xiàng)。整個(gè)項(xiàng)目的建設(shè)基本遵循燃?xì)庑袠I(yè)信息安全體系建設(shè)方法，是對(duì)燃?xì)庑袠I(yè)信息安全體系建設(shè)方法

22、的實(shí)踐和應(yīng)用，同時(shí)根據(jù)實(shí)踐的結(jié)果再返回去對(duì)燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法進(jìn)行了完善。41建設(shè)目標(biāo)(1)通過(guò)現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估，全方位了解北京燃?xì)庑畔踩ぷ鳜F(xiàn)狀和存在的風(fēng)險(xiǎn)。(2)設(shè)計(jì)北京燃?xì)獾男畔踩w系架構(gòu)，完善信息安全組織與管理策略，編寫(xiě)信息安全制度與標(biāo)準(zhǔn)；并推進(jìn)信息安全管理體系的落地運(yùn)行。(3)建立信息安全管理體系實(shí)施藍(lán)圖，使北京燃?xì)饽軌蚶?年到5年時(shí)間，建立起較為完善的信息安全管理體系。(4)培育一批具備信息安全專(zhuān)業(yè)水平的技術(shù)人員和管理人員，并全面提升員工的信息安全意識(shí)。42現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估為全面梳理北京燃?xì)庑畔⑾到y(tǒng)安全現(xiàn)狀，項(xiàng)目組對(duì)北京燃?xì)庑畔⒒M織結(jié)構(gòu)、物理環(huán)境安全、人力資源

23、、信息資產(chǎn)、信息系統(tǒng)的開(kāi)發(fā)和運(yùn)行以及北京燃?xì)飧鲗?zhuān)業(yè)機(jī)構(gòu)和分子公司的信息化建設(shè)和管理過(guò)程做了全面細(xì)致的了解，形成了北京燃?xì)庑畔踩F(xiàn)狀調(diào)研報(bào)告。依據(jù)iso27001國(guó)際標(biāo)準(zhǔn)，對(duì)北京燃?xì)獾男畔踩F(xiàn)狀進(jìn)行了對(duì)標(biāo)，查找與國(guó)際信息安全最佳實(shí)踐之間的差距，并通過(guò)風(fēng)險(xiǎn)評(píng)估和分析進(jìn)行分類(lèi)和匯總，形成了包括應(yīng)用系統(tǒng)風(fēng)險(xiǎn)、訪(fǎng)問(wèn)控制風(fēng)險(xiǎn)、外包服務(wù)風(fēng)險(xiǎn)、人員環(huán)境風(fēng)險(xiǎn)、組織安全風(fēng)險(xiǎn)等11個(gè)類(lèi)別的風(fēng)險(xiǎn)。為將信息安全風(fēng)險(xiǎn)降低到北京燃?xì)饪梢越邮艿乃?，?xiàng)目組為各類(lèi)風(fēng)險(xiǎn)選擇了恰當(dāng)?shù)娘L(fēng)險(xiǎn)處置措施并制定了從近期到長(zhǎng)期詳細(xì)的風(fēng)險(xiǎn)處置計(jì)劃。43架構(gòu)設(shè)計(jì)和藍(lán)圖規(guī)劃依據(jù)前期調(diào)研發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)、遵照國(guó)際國(guó)內(nèi)最佳實(shí)踐標(biāo)準(zhǔn)、結(jié)合北京燃?xì)獾摹?/p>

24、十二五”規(guī)劃設(shè)計(jì)完成了北京燃?xì)獾男畔踩軜?gòu)，并規(guī)劃了北京燃?xì)馕磥?lái)3年至5年的信息安全建設(shè)路線(xiàn)。431架構(gòu)設(shè)計(jì)北京燃?xì)庑畔踩w系依照北京燃?xì)庑畔踩w目標(biāo)，圍繞“構(gòu)建信息安全體系、保障信息系統(tǒng)安全”的方針制定了北京燃?xì)獾男畔踩軜?gòu)(如圖4所示)，通過(guò)組織體系定職責(zé)、制度體系定依據(jù)、技術(shù)體系定手段，涵蓋了包括體系管控、建設(shè)安全、運(yùn)維安全、應(yīng)急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域，全面覆蓋北京燃?xì)庑畔踩母鱾€(gè)方面。北京燃?xì)獾奈宕笮畔踩蛑饕菂⒖糹so27001信息安全管理體系中的11個(gè)信息安全域，并結(jié)合燃?xì)庑袠I(yè)信息安全工作的特點(diǎn)和北京燃?xì)庖延械男畔踩A(chǔ)，重新進(jìn)行劃分和歸并而得。432

25、藍(lán)圖規(guī)劃信息安全藍(lán)圖規(guī)劃日的是明確北京燃?xì)馕磥?lái)信息安全的建設(shè)路線(xiàn)，經(jīng)過(guò)3年乃至5年信息安全規(guī)劃的實(shí)施，可以逐步改變目前信息安全的現(xiàn)狀，為北京燃?xì)庑畔⑾到y(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開(kāi)展提供強(qiáng)有力的保障。北京燃?xì)馕磥?lái)5年信息安全藍(lán)圖規(guī)劃如下，分為以下3個(gè)階段：(1)信息安全管理體系建立階段(2013年)。北京燃?xì)庥?013年上半年建立信息安全管理體系，通過(guò)信息安全管理體系的建設(shè)，建立了信息安全組織、完善了信息安全制度；通過(guò)持續(xù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，使北京燃?xì)庠谛畔踩矫婢哂辛俗晕彝晟频哪芰Α?2)it風(fēng)險(xiǎn)精細(xì)化管理階段(2014年2015年)。從2014年開(kāi)始，進(jìn)行it綜合管控體系的建設(shè)，建立完善的it治理

26、機(jī)制、it綜合管理流程(項(xiàng)目管理、外包管理、數(shù)據(jù)管理等)、it服務(wù)管理流程、軟件開(kāi)發(fā)管理流程和it績(jī)效管理體系等；通過(guò)部署安全管理中心(soc)開(kāi)展敏感信息泄漏防護(hù)工作，試點(diǎn)關(guān)鍵用戶(hù)信息安全績(jī)效測(cè)評(píng)工作，推動(dòng)信息安全工作的深人開(kāi)展。(3)安全與業(yè)務(wù)融合階段(2016年2017年)。從2016年開(kāi)始，北京燃?xì)獾男畔踩珜⑦M(jìn)入安全與業(yè)務(wù)融合階段，主要表現(xiàn)為，通過(guò)精細(xì)化信息安全管控體系的建立、it內(nèi)控體系建設(shè)，完善業(yè)務(wù)領(lǐng)域的信息安全工作，結(jié)合敏感信息防護(hù)工作的開(kāi)展，實(shí)現(xiàn)安全與業(yè)務(wù)的深度融合，為it支持業(yè)務(wù)運(yùn)行與業(yè)務(wù)創(chuàng)新而奠定基礎(chǔ)。44體系構(gòu)建441組織保障體系北京燃?xì)獾男畔踩M織體系(見(jiàn)圖5)包括

27、領(lǐng)導(dǎo)層、管理層、執(zhí)行層以及監(jiān)督層。領(lǐng)導(dǎo)層由集團(tuán)的信息化工作委員會(huì)擔(dān)任。管理層由集團(tuán)信息安全管理小組擔(dān)任，下設(shè)信息安全管理辦公室，成員包括總部相關(guān)部門(mén)的信息安全協(xié)調(diào)員。執(zhí)行層由信息檔案中心、運(yùn)營(yíng)調(diào)度中心以及集團(tuán)其他所屬各單位組成。監(jiān)督層由集團(tuán)法審部和第三方審計(jì)機(jī)構(gòu)組成。通過(guò)信息安全組織體系的建立，明確了集團(tuán)各屬單位信息安全角色與職責(zé)，以及總部和分公司之間信息安全接口與互動(dòng)關(guān)系。信息安全組織保障體系處于信息安全戰(zhàn)略的核心，是信息安全戰(zhàn)略落實(shí)的基礎(chǔ)和保障，同時(shí)，信息安全制度保障體系的建立和執(zhí)行、信息安全運(yùn)行相關(guān)工作以及信息安全技術(shù)在北京燃?xì)鈨?nèi)的運(yùn)用也需要信息安全組織保障體系相關(guān)機(jī)構(gòu)和角色去具體落實(shí)。

28、442制度保障體系制度保障體系主要包含北京燃?xì)獾男畔踩呗苑结?、各信息安全管理域的安全管理?guī)定、細(xì)則和表單類(lèi)的文檔，為北京燃?xì)馓峁┬畔踩罁?jù)。在制度體系中明確了信息安全技術(shù)類(lèi)各種標(biāo)準(zhǔn)、安全規(guī)范、配置基線(xiàn)等；制定了信息安全運(yùn)行保障機(jī)制以及總部和分公司的信息安全協(xié)作機(jī)制。目前制定的制度規(guī)范共32個(gè)，其中二級(jí)規(guī)定1個(gè)、三級(jí)辦法6個(gè)、四級(jí)細(xì)則l2個(gè)、技術(shù)規(guī)范l3個(gè)，覆蓋了系統(tǒng)建設(shè)、系統(tǒng)運(yùn)行、應(yīng)急保障、體系管控、基礎(chǔ)保障五大領(lǐng)域。443技術(shù)保障體系北京燃?xì)饨⒘恕拔蹇v五橫”的技術(shù)保障體系(見(jiàn)圖6)，實(shí)現(xiàn)從物理環(huán)境到終端數(shù)據(jù)的安全控制，建立了事前預(yù)防、事中監(jiān)控以及事后恢復(fù)的相關(guān)機(jī)制。北京燃?xì)獾募夹g(shù)保障體系將重點(diǎn)關(guān)注和解決：完善安全域的綜合規(guī)劃和整改、建立信息系統(tǒng)基本等級(jí)防護(hù)技術(shù)體系、建立pki體系、建立4a平臺(tái)、建立終端防護(hù)體系、建立信息安全監(jiān)控體系和建立災(zāi)備中心。45信息安全意識(shí)的宣貫和提