信息安全體系構(gòu)建

1、.燃氣行業(yè)信息安全體系燃氣行業(yè)信息安全體系建設方法探索建設方法探索2022年4月信息檔案中心.2目錄目錄燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全未來之路燃氣行業(yè)信息安全未來之路信息檔案中心.31.1天然氣業(yè)務增長迅速天然氣業(yè)務增長迅速2010年底，北京市天然氣居民用戶約454萬戶，供氣量達到75.0億立方米。到2012年，用戶達到約580萬戶，供氣量達到84.1億立方米。近年中國各省PM2.5濃度遠高于世界衛(wèi)生組織標準預計未來預計未來“清潔清潔”天然氣業(yè)務依然會高速增長天然氣

2、業(yè)務依然會高速增長信息檔案中心.41.2 燃氣行業(yè)信息化特點燃氣行業(yè)信息化特點燃氣企業(yè)為滿足業(yè)務的高速發(fā)展，不斷投入資源用于生產(chǎn)運營和辦公管理的信息化項目的建設，涵蓋SCADA、GIS、ERP、EAM、OA以及用戶管理系統(tǒng)等信息系統(tǒng)。信息化特點：信息化特點：企業(yè)信息化的企業(yè)信息化的“孤島效應孤島效應”明顯明顯信息化信息化的綜合的綜合管控管控能力能力薄弱薄弱信息化技術(shù)能力嚴重依賴于第三方信息化技術(shù)能力嚴重依賴于第三方1. 工業(yè)體系安全核心正在轉(zhuǎn)變工業(yè)體系安全核心正在轉(zhuǎn)變信息檔案中心.51.3 外部安全形勢嚴峻外部安全形勢嚴峻在2011年之前，公開披露的工業(yè)控制系統(tǒng)相關漏洞的數(shù)量相當少。但在201

3、1年出現(xiàn)了井噴現(xiàn)象，并持續(xù)到2012年。-綠盟科技2012年安全態(tài)勢報告2010年6月，“震網(wǎng)”病毒悄然襲擊伊朗核設施的工業(yè)系統(tǒng)，“震網(wǎng)”是第一個被發(fā)現(xiàn)用于針對于政府的網(wǎng)絡戰(zhàn)爭武器。信息檔案中心.61.4 “棱鏡事件棱鏡事件”帶來的啟示帶來的啟示回顧：2013年6月，前中情局（CIA）職員愛德華斯諾頓將兩份絕密資料交給英國衛(wèi)報和美國華盛頓郵報發(fā)表，隨之全世界嘩然。棱鏡門是美國國家安全局和聯(lián)邦調(diào)查局啟動的一個旨在對全球網(wǎng)絡活動進行秘密監(jiān)控的項目。當局通過接入微軟、雅虎、谷歌、蘋果等9家美國互聯(lián)網(wǎng)公司中心服務器，對視頻、圖片、郵件、電話記錄等10類數(shù)據(jù)進行監(jiān)控，以搜集他國情報，監(jiān)視本國民眾。啟示：

4、啟示：美國人美國人“賊喊捉賊賊喊捉賊”1. 我們被國外監(jiān)視著我們被國外監(jiān)視著信息檔案中心.71.5 信息安全的驅(qū)動力信息安全的驅(qū)動力信息安全是保障企業(yè)業(yè)務發(fā)展的重要手段，是企業(yè)內(nèi)控的重要組成部分。信息安全是保障企業(yè)業(yè)務發(fā)展的重要手段，是企業(yè)內(nèi)控的重要組成部分。外在的威脅外在的威脅面對業(yè)務的高速發(fā)展以面對業(yè)務的高速發(fā)展以及信息化與業(yè)務的不斷及信息化與業(yè)務的不斷融合，信息化管控的壓融合，信息化管控的壓力陡然增大力陡然增大監(jiān)管的壓力監(jiān)管的壓力內(nèi)部業(yè)務驅(qū)動內(nèi)部業(yè)務驅(qū)動作為影響著國計民生的燃氣作為影響著國計民生的燃氣企業(yè)，面臨諸如包括企業(yè)，面臨諸如包括“震網(wǎng)震網(wǎng)”病毒、黑客攻擊、敏感數(shù)據(jù)病毒、黑客攻擊、

5、敏感數(shù)據(jù)泄密等各種潛在的或已知的泄密等各種潛在的或已知的威脅威脅，也包括如，也包括如“棱鏡棱鏡”類類似的監(jiān)控似的監(jiān)控；滿足國家的法律、法規(guī)以及滿足國家的法律、法規(guī)以及上級單位的監(jiān)管要求，尤其上級單位的監(jiān)管要求，尤其是滿足等級保護的要求是滿足等級保護的要求信息檔案中心.8目錄目錄燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全未來之路燃氣行業(yè)信息安全未來之路信息檔案中心.92.1 信息安全現(xiàn)狀分析信息安全現(xiàn)狀分析作為傳統(tǒng)的能源企業(yè)，燃氣企業(yè)對信息化的認知和適應性普遍偏低，而對于信息安全

6、更是陌生，缺乏主動有效的信息安全保障機制。分別從組織、策略和技術(shù)三個層面系統(tǒng)了解燃氣企業(yè)的信息安全現(xiàn)狀信息檔案中心.102.2 信息安全組織層面分析信息安全組織層面分析企業(yè)的信息安全組織力量薄弱且定位較低，企業(yè)沒有形成自上而下的信息安全組織體系企業(yè)信息安全隊伍無法有效支撐企業(yè)的信息化建設和維護安全企業(yè)對信息安全重視程度不夠，注重于傳動工業(yè)的物理安全企業(yè)各部門的信息安全職責不清，缺乏跨部門的協(xié)調(diào)機制企業(yè)員工的信息安全意識薄弱外部組織（外包服務）的管控薄弱信息檔案中心.112.2 信息安全策略層面分析信息安全策略層面分析企業(yè)基本沒有成體系的信息安全策略，主要包括：事件驅(qū)動型信息安全處置機制信息安全

7、控制體系缺乏體系化信息安全策略 “屈從”于業(yè)務要求。監(jiān)督和考核機制不足，缺乏明確的策略要求，信息安全控制無法得到有效的落實。信息檔案中心.122.3 信息安全技術(shù)層面分析信息安全技術(shù)層面分析企業(yè)已經(jīng)部署基本的信息安全防護設施，如防火墻、入侵檢測、流量監(jiān)測等設施，但是存在以下問題：信息安全系統(tǒng)“孤島”效應嚴重系統(tǒng)和網(wǎng)絡區(qū)域的邊界控制薄弱信息安全技術(shù)標準缺乏規(guī)范化第三方系統(tǒng)信息安全防護能力缺乏評測工控系統(tǒng)的互聯(lián)性增加導致潛在攻擊的可能性信息檔案中心.132.4 信息安全成熟度分析信息安全成熟度分析參考Cobit成熟度模型，將信息安全成熟度級別定義為初始級、可重復級、已經(jīng)定義級、可管理級和優(yōu)化級五個

8、級別，燃氣企業(yè)的信息安全成熟度如圖所示：信息安全管理成熟度信息安全管理成熟度1級2級3級4級5級初始級現(xiàn)狀現(xiàn)狀可重復級已定義級已管理級未來未來已優(yōu)化級初始級初始級 信息安全管理流程不存在；初始級初始級 信息安全工作流程缺乏統(tǒng)籌；可重復級可重復級 信息安全管理流程遵循固定的模式已定義級已定義級 信息安全體系建立標準化的書面程序可管理級可管理級 信息安全體系流程可監(jiān)控可度量已優(yōu)化級已優(yōu)化級 信息安全工作流程自動化且持續(xù)優(yōu)化為最佳實踐黃色代表現(xiàn)在黃色代表現(xiàn)在紅色代表未來紅色代表未來信息檔案中心.14目錄目錄燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全現(xiàn)狀分

9、析燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全未來之路燃氣行業(yè)信息安全未來之路信息檔案中心.153.1 信息安全體系建設路線圖信息安全體系建設路線圖燃氣企業(yè)在信息安全建設過程主要按照以下四個階段實施：依照法律規(guī)范以及監(jiān)管要求和國內(nèi)外標準,設計信息安全實施藍圖,并進行總體的信息安全規(guī)劃。建立符合燃氣企業(yè)的信息安全策略,包括完善信息安全技術(shù)標準和管理規(guī)范依照燃氣企業(yè)的安全策略要求小范圍的落實信息安全控制措施,并建立信息安全管理體系的持續(xù)運行機制總結(jié)成功的經(jīng)驗和不足之處在燃氣企業(yè)內(nèi)部全部全面推廣信息安全管理體系。第一階段第一階段第二階段第二階段第三階段第三階段第四階段第四階段信息

10、檔案中心.163.2 信息安全體系架構(gòu)信息安全體系架構(gòu)信息檔案中心3.3 3.3 信息安全方針與目標信息安全方針與目標信息安全信息安全方針：方針：規(guī)范安全控制體系、保護信息系統(tǒng)安全、落實信息安全責任、保障燃氣生產(chǎn)安全。近期目標（近期目標（2013-2015）:建立信息安全組織體系，健全信息安全制度規(guī)范，構(gòu)筑縱深技術(shù)防御體系，提高IT服務連續(xù)性水平，保護企業(yè)重要信息資產(chǎn)，促進信息化過程的安全管控能力。中長期目標（中長期目標（2015-2017）:培養(yǎng)信息安全專業(yè)隊伍，建立可持續(xù)完善的信息安全管理體系，實現(xiàn)信息安全的體系化、流程化、績效化、工具化管理，實現(xiàn)信息安全與業(yè)務安全深度融合，保護企業(yè)的核心

11、競爭力信息檔案中心.183.4 信息安全體系構(gòu)建信息安全體系構(gòu)建信息安全體系建設過程中依據(jù)組織體系定職責組織體系定職責策略體系定依據(jù)策略體系定依據(jù)技術(shù)體系定手段技術(shù)體系定手段構(gòu)建出信息安全體系能夠?qū)崿F(xiàn):事前防御事前防御（Preventive）事中控制事中控制 (Detection)事后響應事后響應 (Response)信息檔案中心.193.4.1 信息安全組織體系構(gòu)建信息安全組織體系構(gòu)建企業(yè)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu)，明確各單位的信息安全角色、職責和關系：明確信息安全組織的定位明確信息安全組織的定位壯大信息安全管理隊伍壯大信息安全管理隊伍提升全員信息安全意識水平提升全員信

12、息安全意識水平管理第三方管理第三方(外包外包)服務服務信息檔案中心.203.4.2 信息安全技術(shù)體系構(gòu)建信息安全技術(shù)體系構(gòu)建消除消除“信息安全技術(shù)的孤島信息安全技術(shù)的孤島”注重注重系統(tǒng)和網(wǎng)絡系統(tǒng)和網(wǎng)絡域域的邊界安全的邊界安全注重注重信息系統(tǒng)自身的安全信息系統(tǒng)自身的安全重點關注：安全域綜合規(guī)劃、建立PKI體系、建立4A平臺、建立終端防護體系、建立安全監(jiān)控體系、建立災備中心信息檔案中心.213.4.3 信息安全培訓體系構(gòu)建信息安全培訓體系構(gòu)建加強信息安全人才隊伍建設，搭建自下而上全方位的信息安全培訓體系，全方位的提升企業(yè)各層級員工的信息安全技能和意識。信息檔案中心3.4.4 信息安全意識宣傳信息安

13、全意識宣傳Flash動畫電子海報手冊張貼畫培訓與專題講座電腦屏保展板燃氣報網(wǎng)站電腦桌貼微信鼠標墊北京燃氣使用包括微信、視頻、OA、海報、手冊、貼畫、易拉寶等十多種形式進行全方面的信息安全宣傳信息檔案中心.3.4.5 構(gòu)建工控系統(tǒng)的邊界安全構(gòu)建工控系統(tǒng)的邊界安全整合企業(yè)信息系統(tǒng)資源、加速工控系統(tǒng)的互聯(lián)和利用成為必然的趨勢，那么如何保護工控系統(tǒng)的互聯(lián)安全？信息檔案中心.243.5 信息安全建設過程關注點信息安全建設過程關注點燃氣企業(yè)的信息安全風險是應用信息技術(shù)過程所必須面對的問題，因此建立燃氣企業(yè)的信息安全體系是保障燃氣企業(yè)業(yè)務和信息化持久發(fā)展的基礎。燃氣企業(yè)信息安全體系建設成功實施的要素如下所示

14、：來自企業(yè)高層明確的支持和承諾依據(jù)“總體規(guī)劃、分步實施”的戰(zhàn)略，注重體系落地信息安全部門的定位問題以及與信息化之間的關系加大信息安全的培訓并建立自己的信息安全隊伍構(gòu)建合力的信息安全架構(gòu)體系信息檔案中心.25目錄目錄燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全背景介紹燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全現(xiàn)狀分析燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全體系建設燃氣行業(yè)信息安全未來之路燃氣行業(yè)信息安全未來之路信息檔案中心.264.1 燃氣行業(yè)信息安全未來發(fā)展方向燃氣行業(yè)信息安全未來發(fā)展方向隨著燃氣企業(yè)信息化的發(fā)展以及先進信息技術(shù)的引入，信息化領域的管控應不僅僅局限于信息安全領域的控制，應該深入企業(yè)業(yè)務的綜合體系中，建立符合燃氣業(yè)務特點的IT綜合管控體系，并時刻關注先進信息化技術(shù)帶來便利的同時也需要關注其帶來的風險以及未來的發(fā)展趨勢：工控安全工控安全：工控系統(tǒng)的安全關系著燃氣企業(yè)的生產(chǎn)安全IT綜合管控綜合管控：建立燃氣企業(yè)的IT綜合管控體系，建立IT決策機制與職責框架，實現(xiàn)精確高效的信息化管理。信息檔案中心.27敏感信息保護敏感信息保護：近年來，大量的數(shù)據(jù)泄露事件發(fā)生，而燃氣企業(yè)存有大量本地用戶的敏感信息以及企業(yè)