企業(yè)信息安全保障體系建設(shè)探索

1、I y - If I b 3 , J j III I II勺I E f I I關(guān)于企業(yè)信息安全保障體系建設(shè)的探索摘要信息安全保障體系是由美國首先提出，并將其上升到國家戰(zhàn)略、國際戰(zhàn)略的高度。我國于 2003年也明確提出建設(shè) 我國的信息安全保障體系。本文通過對國內(nèi)外建設(shè)的介紹，進(jìn)而列出中國石油信息安全體系建設(shè)內(nèi)容及存在問題，供其他企業(yè)借鑒。關(guān)鍵詞信息安全保障體系;中國石油;企業(yè)1信息安全保障體系概述信息安全保障(in format!S surance,a)來源于1 9 9 6年美國國防部dod指令53600.1(dodd5-3600.1)。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安

2、全保障。內(nèi)容包括保護(hù)(prot ect ion )、檢測(detect ion )、響應(yīng)(re spon se)、 恢復(fù)(re covery ) 4個(gè)環(huán)節(jié)，即pdrr模型。信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個(gè)層面, 人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩 部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐 性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu) 建自上而下的各級信息安全管理組織架構(gòu)、制定信息安全方針與信 息安全策略及完善信息安全管理制度 4個(gè)板塊。通過縱深防御的多 層防護(hù)，多處設(shè)置保護(hù)機(jī)制，抵御通過內(nèi)部或外部從多點(diǎn)向信息系 統(tǒng)發(fā)起

3、的攻擊，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的程度。2國外信息安全保障體系建設(shè)美國的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話 語權(quán)等方面占據(jù)先天優(yōu)勢，他們在信息安全保障體系建設(shè)以及政策 支持方面也走在全球的前列。美國政府先后發(fā)布了一系列政策戰(zhàn)略 報(bào)告，將信息安全由“政策”、“計(jì)劃”上升到“國家戰(zhàn)略”及“國 際戰(zhàn)略”的高度。美國國土安全局是美國信息安全管理的最高權(quán)力 機(jī)構(gòu)，其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國家安全局、聯(lián)邦調(diào) 查局、國防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部 門的情況實(shí)施信息安全保障工作。其他國家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建 設(shè)有效的信息安全

4、保障體系，實(shí)施切實(shí)可行的信息安全保障措施已 經(jīng)成為世界各國信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá) 國家，如俄、德、日等國家都已經(jīng)或正在制定自己的信息安全發(fā)展 戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，在信息安全 領(lǐng)域不斷進(jìn)行著積極有益的探索。3 國內(nèi)信息安全保障體系建設(shè)我國信息化安全保障體系建設(shè)相對于發(fā)達(dá)國家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國信息安全保障體系。20 0 6年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國信息產(chǎn)業(yè)核心技術(shù)自主開發(fā)能力和整體水平, 初步建立有中國特色的信息安全保障體系。2 0 0 7年7月20I y - If I

5、 b , J j III I II勺I E f I I日，“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”召 開，標(biāo)志著信息安全等級保護(hù)工作在全國范圍內(nèi)的開展與實(shí)施。20 11年3月我國國民經(jīng)濟(jì)和社會發(fā)展十二五規(guī)劃綱要明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過一系列的文件要求，不斷完 善與提升我國的信息安全體系，強(qiáng)調(diào)信息安全的重要性。我國信息安全保障體系建設(shè)主要包括： 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。建立國家 信息安全組織管理體系，加強(qiáng)國家職能，建立職能高效、職責(zé)分工 明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評價(jià)體系。 建立國家信息安全技術(shù)保障體系，使

6、用科學(xué)技術(shù)，實(shí)施安全的 防護(hù)保障。在技術(shù)保障體系下，建設(shè)國家信息安全保障基礎(chǔ)設(shè) 施。 建立國家信息安全經(jīng)費(fèi)保障體系，加大信息安全投入。 高 度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機(jī)制。我國通過近幾年的努力，信息安體保障體系取得了長足發(fā)展，20 0 2年成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會，不斷完善信息安全標(biāo)準(zhǔn)。同時(shí)在互聯(lián)網(wǎng)管理、信息安全測評認(rèn)證、信息安全等級保 護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù) 庫、網(wǎng)關(guān)軟件仍大多依賴進(jìn)口，受制于人。4 企業(yè)信息安全保障體系建設(shè)中國石油集團(tuán)公司信息化建設(shè)在我國大型企業(yè)中處于領(lǐng)先地位, 在國資委歷年信息化評比中，都名列前茅，“十一五”期間，公

7、司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實(shí) 施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。管理類項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng) 險(xiǎn)評估能力建設(shè)3個(gè)項(xiàng)目。信息安全組織完善是指完善信息安全的 決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責(zé)，建立完備 的管理流程，為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行 能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織1 t運(yùn)行維護(hù)人員信息安全技能培訓(xùn)，較快形成基本的信息安全運(yùn)行能力。風(fēng)險(xiǎn)評估能力建設(shè)是指通過建立風(fēng)險(xiǎn)評估規(guī)范及實(shí)施團(tuán) 隊(duì)，提高信息安全風(fēng)險(xiǎn)自評估能力和風(fēng)險(xiǎn)管理能力，強(qiáng)化保障體系 的有效

8、性。信息安全控制類項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個(gè)項(xiàng)目。信息安全制 度與標(biāo)準(zhǔn)完善包括： 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系，發(fā)布了信 息系統(tǒng)安全管理辦法及系統(tǒng)定級實(shí)施辦法。 建立和完善了信息系統(tǒng)安全管理員制度，開展了信息安全培訓(xùn)。跟蹤國家信息 安全等級保護(hù)政策，開展信息系統(tǒng)安全測評方法研究等，規(guī)范了信 息系統(tǒng)安全管理流程，提升安全運(yùn)行能力?；A(chǔ)設(shè)施安全配置規(guī)范 開發(fā)目標(biāo)是制定滿足安全域和等級保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施 安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng) 安全合規(guī)性實(shí)施是提供專業(yè)的信息安全指導(dǎo)與服務(wù)，支持國家等級 I y - If

9、 I b , J j III I II勺I E f I I保護(hù)、中國石油內(nèi)部控制等制度的實(shí)施，使信息化建設(shè)與應(yīng)用滿足 合規(guī)性要求。信息安全技術(shù)類項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌?安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心 5個(gè)項(xiàng)目組成。身份 管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺，實(shí)現(xiàn)關(guān)鍵和重 要系統(tǒng)的用戶身份認(rèn)證，提高用戶身份管理效率，保證系統(tǒng)訪問的 安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心 防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國各地 的中國石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個(gè)區(qū)域網(wǎng)絡(luò)中心，員工受 控訪問互聯(lián)網(wǎng)資源，并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間

10、與數(shù)據(jù)中 心防護(hù)項(xiàng)目指建立。區(qū)域間訪問與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān) 控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、 補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺管理、電子文檔保護(hù)和信息安全等級保 護(hù)綜合管理6個(gè)子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括： 對數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險(xiǎn)評估，提出了風(fēng)險(xiǎn)防范和改進(jìn)措施。對已上線的18個(gè)信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。 制 定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形 成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對信 息安全事件的預(yù)警和響應(yīng)能力。5 存在問題及建議中國石油作為國

11、資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團(tuán)領(lǐng)導(dǎo) 和各級領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實(shí)等級保護(hù)制度，加強(qiáng) 信息安全基礎(chǔ)設(shè)施建設(shè)，深入開展信息安全戰(zhàn)略、策略研究等方面, 都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系 建設(shè)中還存在以下問題:(1)信息安全組織體系不夠健全，不能較好地落實(shí)安全管理責(zé)任制。目前，部分二級單位沒有獨(dú)立的信息部門，更沒有負(fù)責(zé)安 全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)，安全的組織保障職能分散在 各個(gè)部門，兼職安全管理員有責(zé)無權(quán)的現(xiàn)象普遍存在，制約了中國 石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管 理體系，明確直屬二級單位的信息部門建設(shè)，崗位設(shè)定、人員配備 滿足對信息系統(tǒng)管理的需求。(2)