




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、.燃气行业信息安全体系燃气行业信息安全体系建设方法探索建设方法探索2022年4月信息档案中心.2目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.31.1天然气业务增长迅速天然气业务增长迅速2010年底,北京市天然气居民用户约454万户,供气量达到75.0亿立方米。到2012年,用户达到约580万户,供气量达到84.1亿立方米。近年中国各省PM2.5浓度远高于世界卫生组织标准预计未来预计未来“清洁清洁”天然气业务依然会高速增长天然气
2、业务依然会高速增长信息档案中心.41.2 燃气行业信息化特点燃气行业信息化特点燃气企业为满足业务的高速发展,不断投入资源用于生产运营和办公管理的信息化项目的建设,涵盖SCADA、GIS、ERP、EAM、OA以及用户管理系统等信息系统。信息化特点:信息化特点:企业信息化的企业信息化的“孤岛效应孤岛效应”明显明显信息化信息化的综合的综合管控管控能力能力薄弱薄弱信息化技术能力严重依赖于第三方信息化技术能力严重依赖于第三方1. 工业体系安全核心正在转变工业体系安全核心正在转变信息档案中心.51.3 外部安全形势严峻外部安全形势严峻在2011年之前,公开披露的工业控制系统相关漏洞的数量相当少。但在201
3、1年出现了井喷现象,并持续到2012年。-绿盟科技2012年安全态势报告2010年6月,“震网”病毒悄然袭击伊朗核设施的工业系统,“震网”是第一个被发现用于针对于政府的网络战争武器。信息档案中心.61.4 “棱镜事件棱镜事件”带来的启示带来的启示回顾:2013年6月,前中情局(CIA)职员爱德华斯诺顿将两份绝密资料交给英国卫报和美国华盛顿邮报发表,随之全世界哗然。棱镜门是美国国家安全局和联邦调查局启动的一个旨在对全球网络活动进行秘密监控的项目。当局通过接入微软、雅虎、谷歌、苹果等9家美国互联网公司中心服务器,对视频、图片、邮件、电话记录等10类数据进行监控,以搜集他国情报,监视本国民众。启示:
4、启示:美国人美国人“贼喊捉贼贼喊捉贼”1. 我们被国外监视着我们被国外监视着信息档案中心.71.5 信息安全的驱动力信息安全的驱动力信息安全是保障企业业务发展的重要手段,是企业内控的重要组成部分。信息安全是保障企业业务发展的重要手段,是企业内控的重要组成部分。外在的威胁外在的威胁面对业务的高速发展以面对业务的高速发展以及信息化与业务的不断及信息化与业务的不断融合,信息化管控的压融合,信息化管控的压力陡然增大力陡然增大监管的压力监管的压力内部业务驱动内部业务驱动作为影响着国计民生的燃气作为影响着国计民生的燃气企业,面临诸如包括企业,面临诸如包括“震网震网”病毒、黑客攻击、敏感数据病毒、黑客攻击、
5、敏感数据泄密等各种潜在的或已知的泄密等各种潜在的或已知的威胁威胁,也包括如,也包括如“棱镜棱镜”类类似的监控似的监控;满足国家的法律、法规以及满足国家的法律、法规以及上级单位的监管要求,尤其上级单位的监管要求,尤其是满足等级保护的要求是满足等级保护的要求信息档案中心.8目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.92.1 信息安全现状分析信息安全现状分析作为传统的能源企业,燃气企业对信息化的认知和适应性普遍偏低,而对于信息安全
6、更是陌生,缺乏主动有效的信息安全保障机制。分别从组织、策略和技术三个层面系统了解燃气企业的信息安全现状信息档案中心.102.2 信息安全组织层面分析信息安全组织层面分析企业的信息安全组织力量薄弱且定位较低,企业没有形成自上而下的信息安全组织体系企业信息安全队伍无法有效支撑企业的信息化建设和维护安全企业对信息安全重视程度不够,注重于传动工业的物理安全企业各部门的信息安全职责不清,缺乏跨部门的协调机制企业员工的信息安全意识薄弱外部组织(外包服务)的管控薄弱信息档案中心.112.2 信息安全策略层面分析信息安全策略层面分析企业基本没有成体系的信息安全策略,主要包括:事件驱动型信息安全处置机制信息安全
7、控制体系缺乏体系化信息安全策略 “屈从”于业务要求。监督和考核机制不足,缺乏明确的策略要求,信息安全控制无法得到有效的落实。信息档案中心.122.3 信息安全技术层面分析信息安全技术层面分析企业已经部署基本的信息安全防护设施,如防火墙、入侵检测、流量监测等设施,但是存在以下问题:信息安全系统“孤岛”效应严重系统和网络区域的边界控制薄弱信息安全技术标准缺乏规范化第三方系统信息安全防护能力缺乏评测工控系统的互联性增加导致潜在攻击的可能性信息档案中心.132.4 信息安全成熟度分析信息安全成熟度分析参考Cobit成熟度模型,将信息安全成熟度级别定义为初始级、可重复级、已经定义级、可管理级和优化级五个
8、级别,燃气企业的信息安全成熟度如图所示:信息安全管理成熟度信息安全管理成熟度1级2级3级4级5级初始级现状现状可重复级已定义级已管理级未来未来已优化级初始级初始级 信息安全管理流程不存在;初始级初始级 信息安全工作流程缺乏统筹;可重复级可重复级 信息安全管理流程遵循固定的模式已定义级已定义级 信息安全体系建立标准化的书面程序可管理级可管理级 信息安全体系流程可监控可度量已优化级已优化级 信息安全工作流程自动化且持续优化为最佳实践黄色代表现在黄色代表现在红色代表未来红色代表未来信息档案中心.14目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分
9、析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.153.1 信息安全体系建设路线图信息安全体系建设路线图燃气企业在信息安全建设过程主要按照以下四个阶段实施:依照法律规范以及监管要求和国内外标准,设计信息安全实施蓝图,并进行总体的信息安全规划。建立符合燃气企业的信息安全策略,包括完善信息安全技术标准和管理规范依照燃气企业的安全策略要求小范围的落实信息安全控制措施,并建立信息安全管理体系的持续运行机制总结成功的经验和不足之处在燃气企业内部全部全面推广信息安全管理体系。第一阶段第一阶段第二阶段第二阶段第三阶段第三阶段第四阶段第四阶段信息
10、档案中心.163.2 信息安全体系架构信息安全体系架构信息档案中心3.3 3.3 信息安全方针与目标信息安全方针与目标信息安全信息安全方针:方针:规范安全控制体系、保护信息系统安全、落实信息安全责任、保障燃气生产安全。近期目标(近期目标(2013-2015):建立信息安全组织体系,健全信息安全制度规范,构筑纵深技术防御体系,提高IT服务连续性水平,保护企业重要信息资产,促进信息化过程的安全管控能力。中长期目标(中长期目标(2015-2017):培养信息安全专业队伍,建立可持续完善的信息安全管理体系,实现信息安全的体系化、流程化、绩效化、工具化管理,实现信息安全与业务安全深度融合,保护企业的核心
11、竞争力信息档案中心.183.4 信息安全体系构建信息安全体系构建信息安全体系建设过程中依据组织体系定职责组织体系定职责策略体系定依据策略体系定依据技术体系定手段技术体系定手段构建出信息安全体系能够实现:事前防御事前防御(Preventive)事中控制事中控制 (Detection)事后响应事后响应 (Response)信息档案中心.193.4.1 信息安全组织体系构建信息安全组织体系构建企业建立和完善信息安全决策、管理、执行以及监管的机构,明确各单位的信息安全角色、职责和关系:明确信息安全组织的定位明确信息安全组织的定位壮大信息安全管理队伍壮大信息安全管理队伍提升全员信息安全意识水平提升全员信
12、息安全意识水平管理第三方管理第三方(外包外包)服务服务信息档案中心.203.4.2 信息安全技术体系构建信息安全技术体系构建消除消除“信息安全技术的孤岛信息安全技术的孤岛”注重注重系统和网络系统和网络域域的边界安全的边界安全注重注重信息系统自身的安全信息系统自身的安全重点关注:安全域综合规划、建立PKI体系、建立4A平台、建立终端防护体系、建立安全监控体系、建立灾备中心信息档案中心.213.4.3 信息安全培训体系构建信息安全培训体系构建加强信息安全人才队伍建设,搭建自下而上全方位的信息安全培训体系,全方位的提升企业各层级员工的信息安全技能和意识。信息档案中心3.4.4 信息安全意识宣传信息安
13、全意识宣传Flash动画电子海报手册张贴画培训与专题讲座电脑屏保展板燃气报网站电脑桌贴微信鼠标垫北京燃气使用包括微信、视频、OA、海报、手册、贴画、易拉宝等十多种形式进行全方面的信息安全宣传信息档案中心.3.4.5 构建工控系统的边界安全构建工控系统的边界安全整合企业信息系统资源、加速工控系统的互联和利用成为必然的趋势,那么如何保护工控系统的互联安全?信息档案中心.243.5 信息安全建设过程关注点信息安全建设过程关注点燃气企业的信息安全风险是应用信息技术过程所必须面对的问题,因此建立燃气企业的信息安全体系是保障燃气企业业务和信息化持久发展的基础。燃气企业信息安全体系建设成功实施的要素如下所示
14、:来自企业高层明确的支持和承诺依据“总体规划、分步实施”的战略,注重体系落地信息安全部门的定位问题以及与信息化之间的关系加大信息安全的培训并建立自己的信息安全队伍构建合力的信息安全架构体系信息档案中心.25目录目录燃气行业信息安全背景介绍燃气行业信息安全背景介绍燃气行业信息安全现状分析燃气行业信息安全现状分析燃气行业信息安全体系建设燃气行业信息安全体系建设燃气行业信息安全未来之路燃气行业信息安全未来之路信息档案中心.264.1 燃气行业信息安全未来发展方向燃气行业信息安全未来发展方向随着燃气企业信息化的发展以及先进信息技术的引入,信息化领域的管控应不仅仅局限于信息安全领域的控制,应该深入企业业务的综合体系中,建立符合燃气业务特点的IT综合管控体系,并时刻关注先进信息化技术带来便利的同时也需要关注其带来的风险以及未来的发展趋势:工控安全工控安全:工控系统的安全关系着燃气企业的生产安全IT综合管控综合管控:建立燃气企业的IT综合管控体系,建立IT决策机制与职责框架,实现精确高效的信息化管理。信息档案中心.27敏感信息保护敏感信息保护:近年来,大量的数据泄露事件发生,而燃气企业存有大量本地用户的敏感信息以及企业
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026届江苏省扬州市江都区邵凡片重点达标名校中考数学最后一模试卷含解析
- 装饰公司总经办管理制度
- 监狱安全生产意识课件
- 面向自动驾驶汽车的室外单目ORB-SLAM技术研究
- 体温监测与护理安全流程
- 术后伤口护理及感染预防
- 重症病房护理中的安全保障机制
- 输液过程中护士核心技能的强化
- 肿瘤化疗期间的健康教育护理
- 健康管理与护理服务的整合查房
- 2024年山东省高考生物试卷真题(含答案解析)
- GB/T 32124-2024磷石膏的处理处置规范
- 光伏工程施工组织设计
- 【课件】光的直线传播人教版八年级上册物理
- 美术编辑岗位招聘笔试题与参考答案(某大型集团公司)2025年
- 弱电工程招标文件样本
- 压力容器事故应急预案
- 2024建安杯信息通信建设行业安全竞赛题库(试题含答案)
- 招聘工作人员笔试考务手册
- 2024年广东茂名信宜市事业单位招聘工作人员144人笔试【重点基础提升】模拟试题(共500题)附带答案详解
- 2024年秋新版人教版三年级英语上册电子课本
评论
0/150
提交评论