信息安全体系构建

1、.燃气行业信息安全体系燃气行业信息安全体系建设方法探索建设方法探索2022年4月信息档案中心.2目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.31.1天然气业务增长迅速天然气业务增长迅速2010年底，北京市天然气居民用户约454万户，供气量达到75.0亿立方米。到2012年，用户达到约580万户，供气量达到84.1亿立方米。近年中国各省PM2.5浓度远高于世界卫生组织标准预计未来预计未来“清洁清洁”天然气业务依然会高速增长天然气

2、业务依然会高速增长信息档案中心.41.2 燃气行业信息化特点燃气行业信息化特点燃气企业为满足业务的高速发展，不断投入资源用于生产运营和办公管理的信息化项目的建设，涵盖SCADA、GIS、ERP、EAM、OA以及用户管理系统等信息系统。信息化特点：信息化特点：企业信息化的企业信息化的“孤岛效应孤岛效应”明显明显信息化信息化的综合的综合管控管控能力能力薄弱薄弱信息化技术能力严重依赖于第三方信息化技术能力严重依赖于第三方1. 工业体系安全核心正在转变工业体系安全核心正在转变信息档案中心.51.3 外部安全形势严峻外部安全形势严峻在2011年之前，公开披露的工业控制系统相关漏洞的数量相当少。但在201

3、1年出现了井喷现象，并持续到2012年。-绿盟科技2012年安全态势报告2010年6月，“震网”病毒悄然袭击伊朗核设施的工业系统，“震网”是第一个被发现用于针对于政府的网络战争武器。信息档案中心.61.4 “棱镜事件棱镜事件”带来的启示带来的启示回顾：2013年6月，前中情局（CIA）职员爱德华斯诺顿将两份绝密资料交给英国卫报和美国华盛顿邮报发表，随之全世界哗然。棱镜门是美国国家安全局和联邦调查局启动的一个旨在对全球网络活动进行秘密监控的项目。当局通过接入微软、雅虎、谷歌、苹果等9家美国互联网公司中心服务器，对视频、图片、邮件、电话记录等10类数据进行监控，以搜集他国情报，监视本国民众。启示：

4、启示：美国人美国人“贼喊捉贼贼喊捉贼”1. 我们被国外监视着我们被国外监视着信息档案中心.71.5 信息安全的驱动力信息安全的驱动力信息安全是保障企业业务发展的重要手段，是企业内控的重要组成部分。信息安全是保障企业业务发展的重要手段，是企业内控的重要组成部分。外在的威胁外在的威胁面对业务的高速发展以面对业务的高速发展以及信息化与业务的不断及信息化与业务的不断融合，信息化管控的压融合，信息化管控的压力陡然增大力陡然增大监管的压力监管的压力内部业务驱动内部业务驱动作为影响着国计民生的燃气作为影响着国计民生的燃气企业，面临诸如包括企业，面临诸如包括“震网震网”病毒、黑客攻击、敏感数据病毒、黑客攻击、

5、敏感数据泄密等各种潜在的或已知的泄密等各种潜在的或已知的威胁威胁，也包括如，也包括如“棱镜棱镜”类类似的监控似的监控；满足国家的法律、法规以及满足国家的法律、法规以及上级单位的监管要求，尤其上级单位的监管要求，尤其是满足等级保护的要求是满足等级保护的要求信息档案中心.8目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.92.1 信息安全现状分析信息安全现状分析作为传统的能源企业，燃气企业对信息化的认知和适应性普遍偏低，而对于信息安全

6、更是陌生，缺乏主动有效的信息安全保障机制。分别从组织、策略和技术三个层面系统了解燃气企业的信息安全现状信息档案中心.102.2 信息安全组织层面分析信息安全组织层面分析企业的信息安全组织力量薄弱且定位较低，企业没有形成自上而下的信息安全组织体系企业信息安全队伍无法有效支撑企业的信息化建设和维护安全企业对信息安全重视程度不够，注重于传动工业的物理安全企业各部门的信息安全职责不清，缺乏跨部门的协调机制企业员工的信息安全意识薄弱外部组织（外包服务）的管控薄弱信息档案中心.112.2 信息安全策略层面分析信息安全策略层面分析企业基本没有成体系的信息安全策略，主要包括：事件驱动型信息安全处置机制信息安全

7、控制体系缺乏体系化信息安全策略 “屈从”于业务要求。监督和考核机制不足，缺乏明确的策略要求，信息安全控制无法得到有效的落实。信息档案中心.122.3 信息安全技术层面分析信息安全技术层面分析企业已经部署基本的信息安全防护设施，如防火墙、入侵检测、流量监测等设施，但是存在以下问题：信息安全系统“孤岛”效应严重系统和网络区域的边界控制薄弱信息安全技术标准缺乏规范化第三方系统信息安全防护能力缺乏评测工控系统的互联性增加导致潜在攻击的可能性信息档案中心.132.4 信息安全成熟度分析信息安全成熟度分析参考Cobit成熟度模型，将信息安全成熟度级别定义为初始级、可重复级、已经定义级、可管理级和优化级五个

8、级别，燃气企业的信息安全成熟度如图所示：信息安全管理成熟度信息安全管理成熟度1级2级3级4级5级初始级现状现状可重复级已定义级已管理级未来未来已优化级初始级初始级 信息安全管理流程不存在；初始级初始级 信息安全工作流程缺乏统筹；可重复级可重复级 信息安全管理流程遵循固定的模式已定义级已定义级 信息安全体系建立标准化的书面程序可管理级可管理级 信息安全体系流程可监控可度量已优化级已优化级 信息安全工作流程自动化且持续优化为最佳实践黄色代表现在黄色代表现在红色代表未来红色代表未来信息档案中心.14目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分

9、析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.153.1 信息安全体系建设路线图信息安全体系建设路线图燃气企业在信息安全建设过程主要按照以下四个阶段实施：依照法律规范以及监管要求和国内外标准,设计信息安全实施蓝图,并进行总体的信息安全规划。建立符合燃气企业的信息安全策略,包括完善信息安全技术标准和管理规范依照燃气企业的安全策略要求小范围的落实信息安全控制措施,并建立信息安全管理体系的持续运行机制总结成功的经验和不足之处在燃气企业内部全部全面推广信息安全管理体系。第一阶段第一阶段第二阶段第二阶段第三阶段第三阶段第四阶段第四阶段信息

10、档案中心.163.2 信息安全体系架构信息安全体系架构信息档案中心3.3 3.3 信息安全方针与目标信息安全方针与目标信息安全信息安全方针：方针：规范安全控制体系、保护信息系统安全、落实信息安全责任、保障燃气生产安全。近期目标（近期目标（2013-2015）:建立信息安全组织体系，健全信息安全制度规范，构筑纵深技术防御体系，提高IT服务连续性水平，保护企业重要信息资产，促进信息化过程的安全管控能力。中长期目标（中长期目标（2015-2017）:培养信息安全专业队伍，建立可持续完善的信息安全管理体系，实现信息安全的体系化、流程化、绩效化、工具化管理，实现信息安全与业务安全深度融合，保护企业的核心

11、竞争力信息档案中心.183.4 信息安全体系构建信息安全体系构建信息安全体系建设过程中依据组织体系定职责组织体系定职责策略体系定依据策略体系定依据技术体系定手段技术体系定手段构建出信息安全体系能够实现:事前防御事前防御（Preventive）事中控制事中控制 (Detection)事后响应事后响应 (Response)信息档案中心.193.4.1 信息安全组织体系构建信息安全组织体系构建企业建立和完善信息安全决策、管理、执行以及监管的机构，明确各单位的信息安全角色、职责和关系：明确信息安全组织的定位明确信息安全组织的定位壮大信息安全管理队伍壮大信息安全管理队伍提升全员信息安全意识水平提升全员信

12、息安全意识水平管理第三方管理第三方(外包外包)服务服务信息档案中心.203.4.2 信息安全技术体系构建信息安全技术体系构建消除消除“信息安全技术的孤岛信息安全技术的孤岛”注重注重系统和网络系统和网络域域的边界安全的边界安全注重注重信息系统自身的安全信息系统自身的安全重点关注：安全域综合规划、建立PKI体系、建立4A平台、建立终端防护体系、建立安全监控体系、建立灾备中心信息档案中心.213.4.3 信息安全培训体系构建信息安全培训体系构建加强信息安全人才队伍建设，搭建自下而上全方位的信息安全培训体系，全方位的提升企业各层级员工的信息安全技能和意识。信息档案中心3.4.4 信息安全意识宣传信息安

13、全意识宣传Flash动画电子海报手册张贴画培训与专题讲座电脑屏保展板燃气报网站电脑桌贴微信鼠标垫北京燃气使用包括微信、视频、OA、海报、手册、贴画、易拉宝等十多种形式进行全方面的信息安全宣传信息档案中心.3.4.5 构建工控系统的边界安全构建工控系统的边界安全整合企业信息系统资源、加速工控系统的互联和利用成为必然的趋势，那么如何保护工控系统的互联安全？信息档案中心.243.5 信息安全建设过程关注点信息安全建设过程关注点燃气企业的信息安全风险是应用信息技术过程所必须面对的问题，因此建立燃气企业的信息安全体系是保障燃气企业业务和信息化持久发展的基础。燃气企业信息安全体系建设成功实施的要素如下所示

14、：来自企业高层明确的支持和承诺依据“总体规划、分步实施”的战略，注重体系落地信息安全部门的定位问题以及与信息化之间的关系加大信息安全的培训并建立自己的信息安全队伍构建合力的信息安全架构体系信息档案中心.25目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.264.1 燃气行业信息安全未来发展方向燃气行业信息安全未来发展方向随着燃气企业信息化的发展以及先进信息技术的引入，信息化领域的管控应不仅仅局限于信息安全领域的控制，应该深入企业业务的综合体系中，建立符合燃气业务特点的IT综合管控体系，并时刻关注先进信息化技术带来便利的同时也需要关注其带来的风险以及未来的发展趋势：工控安全工控安全：工控系统的安全关系着燃气企业的生产安全IT综合管控综合管控：建立燃气企业的IT综合管控体系，建立IT决策机制与职责框架，实现精确高效的信息化管理。信息档案中心.27敏感信息保护敏感信息保护：近年来，大量的数据泄露事件发生，而燃气企业存有大量本地用户的敏感信息以及企业