燃气行业信息安全标准体系建设方法及在北京燃气的实践.docx
《燃气行业信息安全标准体系建设方法及在北京燃气的实践.docx》由会员分享,可在线阅读,更多相关《燃气行业信息安全标准体系建设方法及在北京燃气的实践.docx(16页珍藏版)》请在咨信网上搜索。
1、燃气行业信息安全体系建设方法及在北京燃气实践摘要:本文首先介绍了燃气行业信息化现实状况、分析了燃气行业信息安全存在问题,然后介绍了企业建立信息安全体系思绪和方法,并结合此理论在中国首次提出了燃气行业信息安全体系构建方法;最终以北京燃气为例,对燃气行业信息安全体系建设方法进行了实践和应用,分析并总结了燃气行业信息安全体系建设成功关键原因。关键词:燃气行业燃气信息化燃气信息安全信息安全计划燃气信息安全体系工控安全1概述多年来,燃气企业不停提升其信息化水平以支撑业务高速发展,提升企业工作效率并优化业务运作模式,向公众提供高质量服务。不过,作为传统能源行业,燃气企业在利用信息技术带来优势时也肯定需要承
2、受优异技术带来风险信息安全问题。6月,“震网”病毒悄然攻击伊朗核设施工业系统,“震网”是第一个被发觉用于针对于政府网络战争武器。,美国国土安全部应急响应小组汇报了198起针对关键基础设施攻击,而攻击数量为l30起(上升了52)。据欧洲网络和信息安全局统计数据,在遭受攻击最多行业为能源行业,占41,其次为供水,占152。燃气企业本身存在信息安全问题、外部严峻安全形势和多种监管压力全部要求燃气企业立即建设信息安全体系。本文将对北京燃气信息安全体系建设过程中经验、方法进行整理,供燃气行业其它企业构建信息安全体系参考。下文“燃气企业”泛指中国绝大部分燃气企业,代表着中国燃气行业关键情况。2燃气行业信息
3、化现实状况及信息安全问题21燃气行业信息化现实状况中国燃气企业生产运行信息化建设开始于1996年左右,现在北京、上海、长春等多个大城市管道燃气企业均成功完成生产运行信息化项目标建设,使企业运行过程控制程序化、模型化、智能化、集成化、网络化,监测、控制过程实现可视化和远程化,以期达成深入理川页管理步骤、提升管理水平和提升工作效率日标。中国燃气行业信息化含有以下特点:(1)企业信息化建设已覆盖关键业务,但信息化缺乏有效整合,信息化“孤岛效应”显著,企业信息资源没有得到有效利用。(2)信息化管控能力微弱,企业缺乏有效IT治理机制和行业信息化标准规范指导,信息化在企业管理应用有待提升。(3)信息化技术
4、力量微弱,企业信息化建设严重依靠于第三方服务。(4)工业体系安全关键正在转变,由传统物理安全正在向信息安全转移。中国燃气企业已经基础完成了信息化“建设”早期任务,已经建成了涵盖SCADA、GIS、OA、ERP、EAM和用户管理系统等信息系统,而为了支撑燃气业务高速发展,更有效、安全利用信息化体系,实现信息化整合和管控肯定成为企业未来信息化发展专题,企业信息化发展路线也逐步由偏重建设转向偏重管控。信息安全作为信息化管控关键组成部分,已成为企业必需面正确现实问题。22燃气行业信息安全问题作为传统能源行业,大部分燃气企业对信息安全比较陌生,缺乏主动有效信息安全保障机制。下面从组织、策略和技术3个层面
5、分析燃气行业信息安全存在问题。221组织层面燃气企业信息安全组织力量微弱且定位较低,企业没有形成自上而下信息安全组织体系。(1)企业信息化队伍并不完善,信息安全队伍严重匮乏,无法有效支撑企业信息化建设和业务安全。(2)企业对信息安全认知度偏低,仍然重视于传统物理安全,并忽略信息安全问题和业务安全之间关键性。(3)企业各部门信息安全职责不清,缺乏各部门和分子企业等单位参与。(4)缺乏信息安全培训和意识提升机制,职员信息安全意识微弱。(5)企业信息化建设关键依靠于第三方,不过对第三方管控微弱且显著落后于信息化建设速度。222策略层面燃气企业基础没有成体系信息安全策略,关键包含:(1)事件驱动型,信
6、息安全策略全部是基于已发生信息安全事件制订,缺乏体系化制度步骤支撑,信息安全策略侧重于应急响应机制。(2)缺乏对信息系统和敏感信息安全控制体系、技术规范和安全基线。(3)缺乏信息安全策略推广手段,信息安全策略难以落地实施。(4)业务为先,较难平衡信息安全控制和业务效率之间关系,信息安全策略要求更多“屈从”于业务要求。(5)监督和考评机制不足,缺乏明确策略要求,信息安全控制无法得到有效落实。223技术层面燃气企业已经布署基础信息安全防护设施,如防火墙、入侵检测、流量监测等设施,不过存在以下问题:(1)信息安全系统“孤岛”效应严重,无法形成有效协力。(2)系统和网络边界控制能力微弱,不一样系统和网
7、络间资源访问控制颗粒度较粗,缺乏有效监控和审计能力。(3)企业业务复杂,第二三方厂商技术水平参差不齐,安全技术能力微弱。(4)工控系统因为在网络中互联性增加,造成多个路径可访问这些系统,从而造成更多潜在攻击可能性。(5)系统建设和布署缺乏信息安全考虑,信息系统本身存在大量漏洞,这些问题极易被黑客所利用,严重影响到信息系统运行安全。23燃气行业信息安全成熟度越来越多燃气企业高层管理人员认识到信息安全关键性,不过无法了解企业本身信息安全所处位置,不知道企业信息安全未来发展之路怎样走。参考信息安全控制最好实践CoBIT3,可定义燃气企业信息安全成熟度等级为初始级、可反复级、已定义级、可管理级和已优化
8、级5个等级。初始级指企业信息安全管理步骤不存在,或信息安全工作步骤缺乏统筹安排;可反复级指信息安全管理步骤遵照同定模式;已定义级指信息安全体系已建立标准化书面程序;可管理级指信息安全体系步骤可监控、可度量;已优化级指信息安全工作步骤自动化且连续优化。中国绝大部分燃气企业信息安全现实状况和北京燃气在进行信息安全体系建设之前情况一样,处于第一级即初始级;燃气企业信息安全要达成一定程度则信息安全成熟度肯定要达成连续优化第4级,即已管理级。经过信息安全成熟度模型,企业能够正确找到目前所处位置,未来企业信息安全期望达成目标,和企业未来信息安全具体发展路线。3企业建立信息安全体系思绪和方法31传统信息安全
9、管理存在误区为实现组织信息安全,各厂商、各标准化组织全部基于各自角度提出了多种信息安全管理体系标准,这些基于产品、技术和管理层面标准在一些领域得到了很好应用,但从组织信息安全各个角度和整个生命周期来考察,现有信息安全管理体系和标准是不够完备,尤其是忽略了组织中最活跃原因人作用。考察中国外多种信息安全事件,发觉在信息安全事件表象后面其实全部是人原因在起决定作用。不完备安全体系是不能确保日趋复杂组织信息系统安全性。所以,组织为达成保护信息资产目标,应在“以人为本”基础上,充足利用等级保护、IS027000、IS00、CoBIT等信息化控制标准和最好实践,制订出周密、系统、适合组织本身需求信息安全管
10、理体系。32信息安全管理体系模型信息安全建设是一个系统工程,需要对信息系统各个步骤进行统一考虑、计划和构架,并要时时兼顾组织内不停发生改变,任何步骤上安全缺点全部会对系统组成威胁。从宏观角度来看,信息安全能够由以下HTP模型来描述:人员和管理(Human and management)、技术和产品(Technology and products)、步骤和体系(Process and frahiework)。见图1。其中人是信息安全最活跃原因,人行为是信息安全保障最关键方面。人尤其是内部职员既能够是对信息系统最大潜在威胁,也能够是最可靠安全防线。统计结果表明,在全部信息安全事故中,只有2030是
11、因为黑客入侵或其它外部原因造成,7080是因为内部职员疏忽或有意泄密造成。站在较高层次上来看信息和网络安全全貌就会发觉安全问题实际上全部是人问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变。以往多种安全模型,其最大缺点是忽略了对人原因考虑,在信息安全问题上,要以人为本,人原因比信息安全技术和产品原因更关键。和人相关安全问题包含面很广,从国家角度考虑有法律、法规、政策问题;从组织角度考虑有企业信息安全治理结构、安全方针政策程序、安全管理、安全教育和培训、组织文化、应急计划和业务连续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全技术防范方法上,能够综合
12、采取商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多个技术和产品来保护信息系统安全,但不应把经过布署全部安全产品和技术而达成信息安全零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采取“适度防范”(Rightsizing)标准,就是在风险评定前提下,引入合适控制方法,使组织风险降到能够接收水平,确保组织业务连续性和商业价值最大化就达成了安全目标。信息安全不是一个孤立静止概念,信息安全是一个多层面、多原因、综合、动态过程,管理学上木桶原理能够很好说明信息安全各个步骤之间作用。首先,假如组织凭着一时需要,想当
13、然去制订部分控制方法和引入一些技术产品,全部难免存在挂一漏万、顾此失彼问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提升安全水平。正确做法是遵照信息安全标准和最好实践过程,考虑组织对信息安全各个层面实际需求,在风险分析基础上引入合适控制,建立合理安全管理体系,从而确保组织赖以牛存信息资产安全。其次,这个安全体系还应该伴随组织环境改变、业务发展和信息技术提升而不停改善,不能一劳永逸,一成不变。所以,实现信息安全是一个需要一个完整体系来确保连续过程。33建立信息安全管理HTP体系方法4此方法论由中国著名信息安全教授和IT治理教授陈伟提出,已被中国很多银行和央企采取。331 HTP方法论
14、框架依据自顶向下,逐步求精标准,依据组织业务目标和安全要求,首先要在组织中建立信息安全治理结构,对信息安全做出制度确保;然后综合考察业务环境和IT环境,进行风险评定,做出信息安全计划,建立并运行信息安全管理体系,初步达成粗粒度信息安全;在完整信息安全管理体系之上,建立“人力防火墙”和“技术防火墙”,在细粒度上确保信息安全;实施阶段性信息系统审计,在连续不停改善过程中确保信息安全性、完整性、可用性及有效性,从而建立一套完整、健壮信息安全防御体系。332建立HTP体系步骤(1)在充足了解组织业务目标、组织文件及信息安全条件下,经过IS013335风险分析方法,建立组织信息安全基线(Security
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 燃气 行业 信息 安全标准 体系 建设 方法 北京 实践
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。