燃气行业信息安全标准体系建设方法及在北京燃气的实践.docx

1、燃气行业信息安全体系 建设方法及在北京燃气实践 摘　要：本文首先介绍了燃气行业信息化现实状况、分析了燃气行业信息安全存在问题，然后介绍了企业建立信息安全体系思绪和方法，并结合此理论在中国首次提出了燃气行业信息安全体系构建方法；最终以北京燃气为例，对燃气行业信息安全体系建设方法进行了实践和应用，分析并总结了燃气行业信息安全体系建设成功关键原因。 关键词：燃气行业　燃气信息化　燃气信息安全　信息安全计划　燃气信息安全体系　工控安全 1　概述 多年来，燃气企业不停提升其信息化水平以支撑业务高速发展，提升企业工作效率并优化业务运作模式，向公众提供高质量服务。不过，作为传统能源行业，燃气企

2、业在利用信息技术带来优势时也肯定需要承受优异技术带来风险——信息安全问题。 6月，“震网”病毒悄然攻击伊朗核设施工业系统，“震网”是第一个被发觉用于针对于政府网络战争武器。，美国国土安全部应急响应小组汇报了198起针对关键基础设施攻击，而攻击数量为l30起(上升了52％)。据欧洲网络和信息安全局统计数据，在遭受攻击最多行业为能源行业，占41％，其次为供水，占15％[2]。 燃气企业本身存在信息安全问题、外部严峻安全形势和多种监管压力全部要求燃气企业立即建设信息安全体系。本文将对北京燃气信息安全体系建设过程中经验、方法进行整理，供燃气行业其它企业构建信息安全体系参考。 下文“燃气企业”泛指

3、中国绝大部分燃气企业，代表着中国燃气行业关键情况。 2　燃气行业信息化现实状况及信息安全问题 2．1　燃气行业信息化现实状况 中国燃气企业生产运行信息化建设开始于1996年左右，现在北京、上海、长春等多个大城市管道燃气企业均成功完成生产运行信息化项目标建设，使企业运行过程控制程序化、模型化、智能化、集成化、网络化，监测、控制过程实现可视化和远程化，以期达成深入理川页管理步骤、提升管理水平和提升工作效率日标。中国燃气行业信息化含有以下特点： (1)企业信息化建设已覆盖关键业务，但信息化缺乏有效整合，信息化“孤岛效应”显著，企业信息资源没有得到有效利用。 (2)信息化管控能力微弱，企业缺

4、乏有效IT治理机制和行业信息化标准规范指导，信息化在企业管理应用有待提升。 (3)信息化技术力量微弱，企业信息化建设严重依靠于第三方服务。 (4)工业体系安全关键正在转变，由传统物理安全正在向信息安全转移。 中国燃气企业已经基础完成了信息化“建设”早期任务，已经建成了涵盖SCADA、GIS、OA、ERP、EAM和用户管理系统等信息系统，而为了支撑燃气业务高速发展，更有效、安全利用信息化体系，实现信息化整合和管控肯定成为企业未来信息化发展专题，企业信息化发展路线也逐步由偏重建设转向偏重管控。信息安全作为信息化管控关键组成部分，已成为企业必需面正确现实问题。 2．2燃气行业信息安全问题

5、作为传统能源行业，大部分燃气企业对信息安全比较陌生，缺乏主动有效信息安全保障机制。下面从组织、策略和技术3个层面分析燃气行业信息安全存在问题。 2．2．1组织层面 燃气企业信息安全组织力量微弱且定位较低，企业没有形成自上而下信息安全组织体系。 (1)企业信息化队伍并不完善，信息安全队伍严重匮乏，无法有效支撑企业信息化建设和业务安全。 (2)企业对信息安全认知度偏低，仍然重视于传统物理安全，并忽略信息安全问题和业务安全之间关键性。 (3)企业各部门信息安全职责不清，缺乏各部门和分子企业等单位参与。 (4)缺乏信息安全培训和意识提升机制，职员信息安全意识微弱。 (5)企业信息化建设关

6、键依靠于第三方，不过对第三方管控微弱且显著落后于信息化建设速度。 2．2．2策略层面 燃气企业基础没有成体系信息安全策略，关键包含： (1)事件驱动型，信息安全策略全部是基于已发生信息安全事件制订，缺乏体系化制度步骤支撑，信息安全策略侧重于应急响应机制。 (2)缺乏对信息系统和敏感信息安全控制体系、技术规范和安全基线。 (3)缺乏信息安全策略推广手段，信息安全策略难以落地实施。 (4)业务为先，较难平衡信息安全控制和业务效率之间关系，信息安全策略要求更多“屈从”于业务要求。 (5)监督和考评机制不足，缺乏明确策略要求，信息安全控制无法得到有效落实。 2．2．3技术层面 燃气企

7、业已经布署基础信息安全防护设施，如防火墙、入侵检测、流量监测等设施，不过存在以下问题： (1)信息安全系统“孤岛”效应严重，无法形成有效协力。 (2)系统和网络边界控制能力微弱，不一样系统和网络间资源访问控制颗粒度较粗，缺乏有效监控和审计能力。 (3)企业业务复杂，第二三方厂商技术水平参差不齐，安全技术能力微弱。 (4)工控系统因为在网络中互联性增加，造成多个路径可访问这些系统，从而造成更多潜在攻击可能性。 (5)系统建设和布署缺乏信息安全考虑，信息系统本身存在大量漏洞，这些问题极易被黑客所利用，严重影响到信息系统运行安全。 2．3　燃气行业信息安全成熟度 越来越多燃气企业高层管

8、理人员认识到信息安全关键性，不过无法了解企业本身信息安全所处位置，不知道企业信息安全未来发展之路怎样走。参考信息安全控制最好实践CoBIT[3]，可定义燃气企业信息安全成熟度等级为初始级、可反复级、已定义级、可管理级和已优化级5个等级。初始级指企业信息安全管理步骤不存在，或信息安全工作步骤缺乏统筹安排；可反复级指信息安全管理步骤遵照同定模式；已定义级指信息安全体系已建立标准化书面程序；可管理级指信息安全体系步骤可监控、可度量；已优化级指信息安全工作步骤自动化且连续优化。 中国绝大部分燃气企业信息安全现实状况和北京燃气在进行信息安全体系建设之前情况一样，处于第一级即初始级；燃气企业信息安全要达

9、成一定程度则信息安全成熟度肯定要达成连续优化第4级，即已管理级。经过信息安全成熟度模型，企业能够正确找到目前所处位置，未来企业信息安全期望达成目标，和企业未来信息安全具体发展路线。 3　企业建立信息安全体系思绪和方法 3．1　传统信息安全管理存在误区 为实现组织信息安全，各厂商、各标准化组织全部基于各自角度提出了多种信息安全管理体系标准，这些基于产品、技术和管理层面标准在一些领域得到了很好应用，但从组织信息安全各个角度和整个生命周期来考察，现有信息安全管理体系和标准是不够完备，尤其是忽略了组织中最活跃原因——人作用。 考察中国外多种信息安全事件，发觉在信息安全事件表象后面其实全部是人原

10、因在起决定作用。不完备安全体系是不能确保日趋复杂组织信息系统安全性。所以，组织为达成保护信息资产目标，应在“以人为本”基础上，充足利用等级保护、IS027000、IS00、CoBIT等信息化控制标准和最好实践，制订出周密、系统、适合组织本身需求信息安全管理体系。 3．2　信息安全管理体系模型 信息安全建设是一个系统工程，需要对信息系统各个步骤进行统一考虑、计划和构架，并要时时兼顾组织内不停发生改变，任何步骤上安全缺点全部会对系统组成威胁。 从宏观角度来看，信息安全能够由以下HTP模型来描述：人员和管理(Human and management)、技术和产品(Technology and

11、products)、步骤和体系(Process and frahiework)。见图1。   其中人是信息安全最活跃原因，人行为是信息安全保障最关键方面。人尤其是内部职员既能够是对信息系统最大潜在威胁，也能够是最可靠安全防线。统计结果表明，在全部信息安全事故中，只有20％～30％是因为黑客入侵或其它外部原因造成，70％～80％是因为内部职员疏忽或有意泄密造成。站在较高层次上来看信息和网络安全全貌就会发觉安全问题实际上全部是人问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变。 以往多种安全模型，其最大缺点是忽略了对人原因考虑，在信息安全问题上，要以人为本，人原因比信息安全技术

12、和产品原因更关键。和人相关安全问题包含面很广，从国家角度考虑有法律、法规、政策问题；从组织角度考虑有企业信息安全治理结构、安全方针政策程序、安全管理、安全教育和培训、组织文化、应急计划和业务连续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。 在信息安全技术防范方法上，能够综合采取商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多个技术和产品来保护信息系统安全，但不应把经过布署全部安全产品和技术而达成信息安全零风险为目标，安全成本太高，安全也就失去其意义。组织实现信息安全应采取“适度防范”(Righ

13、tsizing)标准，就是在风险评定前提下，引入合适控制方法，使组织风险降到能够接收水平，确保组织业务连续性和商业价值最大化就达成了安全目标。 信息安全不是一个孤立静止概念，信息安全是一个多层面、多原因、综合、动态过程，管理学上木桶原理能够很好说明信息安全各个步骤之间作用。 首先，假如组织凭着一时需要，想当然去制订部分控制方法和引入一些技术产品，全部难免存在挂一漏万、顾此失彼问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提升安全水平。正确做法是遵照信息安全标准和最好实践过程，考虑组织对信息安全各个层面实际需求，在风险分析基础上引入合适控制，建立合理安全管理体系，从而确保组织赖以

14、牛存信息资产安全。 其次，这个安全体系还应该伴随组织环境改变、业务发展和信息技术提升而不停改善，不能一劳永逸，一成不变。所以，实现信息安全是一个需要一个完整体系来确保连续过程。 3．3　建立信息安全管理HTP体系方法[4] 此方法论由中国著名信息安全教授和IT治理教授陈伟提出，已被中国很多银行和央企采取。 3．3．1 HTP方法论框架 依据自顶向下，逐步求精标准，依据组织业务目标和安全要求，首先要在组织中建立信息安全治理结构，对信息安全做出制度确保；然后综合考察业务环境和IT环境，进行风险评定，做出信息安全计划，建立并运行信息安全管理体系，初步达成粗粒度信息安全；在完整信息安全管理体

15、系之上，建立“人力防火墙”和“技术防火墙”，在细粒度上确保信息安全；实施阶段性信息系统审计，在连续不停改善过程中确保信息安全性、完整性、可用性及有效性，从而建立一套完整、健壮信息安全防御体系。 3．3．2建立HTP体系步骤 (1)在充足了解组织业务目标、组织文件及信息安全条件下，经过IS013335风险分析方法，建立组织信息安全基线(Security Baseline)，对组织安全现实状况有一个清楚了解，并能够为以后进行安全控制绩效分析提供一个评价基础。 (2)依据安全基线分析汇报，制订组织信息安全计划，包含组织建设计划、预算计划和投资回报计划。 (3)根据IS027000标准建立信息

16、安全管理框架，完善粗粒度信息安全过程。建立框架后，冉经过这种细粒度安全方法一“技术防火墙”和“人力防火墙”，就有可能建立起完备信息安全管理体系。 (4)重视信息安全中最活跃原因——“人”，建立“人力防火墙”，实现从信息安全“最大威胁”到“最可靠防线”转变，这么才能真正调动组织中实现长治久安内在动力。 (5)依据风险评定结果，综合利用多种信息安全技术和产品，以“适度防范”为标准，建立有效“技术防火墙”，这是实现信息安全管理可靠外部确保方法。 (6)实施阶段性信息系统审计，在连续不停改善过程中确保信息安全性、完整性、可用性及有效性。 3．4　燃气行业信息安全体系建设方法 依据中国燃气行业

17、信息安全现实状况和特点，结合HTP信息安全体系建设方法论，下面提出燃气行业信息安全体系建设方法。 3．4．1燃气行业信息安全体系建设方法 图2所表示。依据燃气企业战略目标和风险现实状况，结合信息安全最好实践，满足上级单位监管要求，兼顾燃气企业生产安全和信息安全结合点——工控安全，在确保外包服务安全前提下设计燃气企业信息安全架构，并综合燃气企业战略目标和安全风险计划信息安全实施路线矧，此蓝图作为未来信息安全体系建设指南。   在此基础上考虑组织、制度、技术体系建设，实现HTP理论中“人力防火墙”和“技术防火墙”目标，先试点运行并最终全方面推广，在此过程中应充足结合目前环境推进信息安全

18、意识教育，树立企业正确信息安全文化。 在体系建设和运行过程中应充足考虑企业风险现实状况，不停提升和改善企业风险管控方法，实现燃气企业信息安全管理体系PDCA循序渐进过程。在整个体系设计、计划、建设和运行过程中应保持各部门各单位之间有效沟通和协调，确保体系正常运行，并不停监控体系实施过程中情况，预防和业务目标偏离，提升燃气企业信息安全体系保障能力。 3．4．2燃气行业信息安全体系建设步骤 燃气行业信息安全体系建设提议按以下5个步骤进行： (1)现实状况调研和风险评定； (2)架构设计和蓝图计划； (3)信息安全体系建设； (4)信息安全意识培训； (5)信息安全体系优化。 3．

19、4．3燃气行业信息安全架构设计 信息安全架构是对信息安全治理机制高度概括，从信息安全目标和方针、信息安全策略，到信息安全管理工作分解，再到信息安全管理工作怎样开展，提出了方向性和标准性指导意见。 在信息安全架构(见图3)中，设置信息安全目标和信息安全方针作为安全架构关键；为实现信息安全目标和方针，需要构建信息安全域，不一样企业构建信息安全域情况可能会不一样；最终再经过3个体系来确保信息安全域实施和落地。   在构建燃气行业信息安全架构时应充足利用等级保护、ISO27000、ISO0、CoBIT等信息化控制标准和最好实践，制订出周密、系统、适合组织本身需求信息安全架构。 燃气企业在

20、构建信息安全架构时除了吸收最好实践标准外，还应充足考虑风险评定、战略驱动和监管要求等内容，最终将国际中国信息安全最好实践标准裁剪成符合燃气企业信息安全体系架构。 3．4．4燃气行业信息安全体系构建 燃气行业在信息安全体系建设过程中为保障信息安全体系有效性，通常会遵从“组织体系定职责、策略体系定依据、技术体系定手段”标准构建“事前防御、事中控制、事后响应”信息安全体系，推进信息安全体系实施和落地。 (1)组织体系 燃气企业应建立和完善信息安全决议、管理、实施和监管机构，明确企业全部单位信息安全角色和职责和总部和分企业之间关系。信息安全组织体系处于信息安全战略关键，是信息安全战略落实基础和

21、保障。 (2)策略体系 策略体系关键包含信息安全策略／方针、各信息安全管理域安全管理要求等，为燃气企业提供信息安全控制依据。 (3)技术体系 燃气企业信息安全技术体系应整合多种成熟信息安全技术和产品，对企业各类信息资产形成有效差异化和精细化保护。依据纵深防御标准，结合“横向隔离，纵向认证”要求，采取不一样层次防护技术，如身份认证、访问控制、内容安全、监控审计和备份恢复等，实现信息资产安全防护。 4　北京燃气信息安全体系建设实践及应用 北京燃气集团于10月份开启了信息安全体系建设项日，于6月底结项。整个项目标建设基础遵照燃气行业信息安全体系建设方法，是对燃气行业信息安全体系建设方法实

22、践和应用，同时依据实践结果再返回去对燃气行业信息安全体系建设方法进行了完善。 4．1　建设目标 (1)经过现实状况调研和风险评定，全方位了解北京燃气信息安全工作现实状况和存在风险。 (2)设计北京燃气信息安全体系架构，完善信息安全组织和管理策略，编写信息安全制度和标准；并推进信息安全管理体系落地运行。 (3)建立信息安全管理体系实施蓝图，使北京燃气能够利用3年到5年时间，建立起较为完善信息安全管理体系。 (4)培育一批含有信息安全专业水平技术人员和管理人员，并全方面提升职员信息安全意识。 4．2　现实状况调研和风险评定 为全方面梳理北京燃气信息系统安全现实状况，项目组对北京燃气信

23、息化组织结构、物理环境安全、人力资源、信息资产、信息系统开发和运行和北京燃气各专业机构和分子企业信息化建设和管理过程做了全方面细致了解，形成了北京燃气信息安全现实状况调研汇报。 依据ISO27001国际标准，对北京燃气信息安全现实状况进行了对标，查找和国际信息安全最好实践之间差距，并经过风险评定和分析进行分类和汇总，形成了包含应用系统风险、访问控制风险、外包服务风险、人员环境风险、组织安全风险等11个类别风险。为将信息安全风险降低到北京燃气能够接收水平，项目组为各类风险选择了合适风险处理方法并制订了从近期到长久具体风险处理计划。 4．3　架构设计和蓝图计划 依据前期调研发觉问题和风险、遵

24、照国际中国最好实践标准、结合北京燃气“十二五”计划设计完成了北京燃气信息安全架构，并计划了北京燃气未来3年至5年信息安全建设路线。 4．3．1架构设计 北京燃气信息安全体系依据北京燃气信息安全整体目标，围绕“构建信息安全体系、保障信息系统安全”方针制订了北京燃气信息安全架构(图4所表示)，经过组织体系定职责、制度体系定依据、技术体系定手段，涵盖了包含体系管控、建设安全、运维安全、应急保障和基础保障在内五大信息安全域，全方面覆盖北京燃气信息安全各个方面。   北京燃气五大信息安全域关键是参考ISO27001信息安全管理体系中11个信息安全域，并结合燃气行业信息安全工作特点和北京燃气已

25、经有信息安全基础，重新进行划分和归并而得。 4．3．2蓝图计划 信息安全蓝图计划日是明确北京燃气未来信息安全建设路线，经过3年乃至5年信息安全计划实施，能够逐步改变现在信息安全现实状况，为北京燃气信息系统平稳运行和业务连续开展提供强有力保障。 北京燃气未来5年信息安全蓝图计划以下，分为以下3个阶段： (1)信息安全管理体系建立阶段()。北京燃气于上六个月建立信息安全管理体系，经过信息安全管理体系建设，建立了信息安全组织、完善了信息安全制度；经过连续进行风险评定，使北京燃气在信息安全方面含有了自我完善能力。 (2)IT风险精细化管理阶段(—)。从开始，进行IT综合管控体系建设，建立完善

26、IT治理机制、IT综合管理步骤(项目管理、外包管理、数据管理等)、IT服务管理步骤、软件开发管理步骤和IT绩效管理体系等；经过布署安全管理中心(SOC)开展敏感信息泄漏防护工作，试点关键用户信息安全绩效测评工作，推进信息安全工作深人开展。 (3)安全和业务融合阶段(—)。从开始，北京燃气信息安全将进入安全和业务融合阶段，关键表现为，经过精细化信息安全管控体系建立、IT内控体系建设，完善业务领域信息安全工作，结合敏感信息防护工作开展，实现安全和业务深度融合，为IT支持业务运行和业务创新而奠定基础。 4．4　体系构建 4．4．1组织保障体系 北京燃气信息安全组织体系(见图5)包含领导层、管

27、理层、实施层和监督层。领导层由集团信息化工作委员会担任。管理层由集团信息安全管理小组担任，下设信息安全管理办公室，组员包含总部相关部门信息安全协调员。实施层由信息档案中心、运行调度中心和集团其它所属各单位组成。监督层由集团法审部和第三方审计机构组成。   经过信息安全组织体系建立，明确了集团各属单位信息安全角色和职责，和总部和分企业之间信息安全接口和互动关系。信息安全组织保障体系处于信息安全战略关键，是信息安全战略落实基础和保障，同时，信息安全制度保障体系建立和实施、信息安全运行相关工作和信息安全技术在北京燃气内利用也需要信息安全组织保障体系相关机构和角色去具体落实。 4．4．2制度

28、保障体系 制度保障体系关键包含北京燃气信息安全策略／方针、各信息安全管理域安全管理要求、细则和表单类文档，为北京燃气提供信息安全依据。在制度体系中明确了信息安全技术类多种标准、安全规范、配置基线等；制订了信息安全运行保障机制和总部和分企业信息安全协作机制。 现在制订制度规范共32个，其中二级要求1个、三级措施6个、四级细则l2个、技术规范l3个，覆盖了系统建设、系统运行、应急保障、体系管控、基础保障五大领域。 4．4．3技术保障体系 北京燃气建立了“五纵五横”技术保障体系(见图6)，实现从物理环境到终端数据安全控制，建立了事前预防、事中监控和事后恢复相关机制。   北京燃气技术

29、保障体系将关键关注和处理：完善安全域综合计划和整改、建立信息系统基础等级防护技术体系、建立PKI体系、建立4A平台、建立终端防护体系、建立信息安全监控体系和建立灾备中心。 4．5　信息安全意识宣贯和提升 北京燃气在信息安全体系建设过程中考虑了各个层面“人”要素，从管理层到一般职员，从专业人员到非专业人员，充足保障了各层面人员所需信息安全意识和技能培养，图7所表示。   在构建本身信息安全宣贯体系同时，考虑了本身企业文化和企业特点，在借助传统宣传媒介同时引入社会化媒体进行企业内部职员信息安全意识宣传，建立多维度全方位信息安全宣传渠道，图8所表示。   5　燃气行业信息安全体系

30、建设成功原因 信息安全风险是应用信息技术过程所必需面正确问题，所以建立信息安全体系是保障燃气企业业务和信息化持久发展基础。结合北京燃气信息安全体系建设过程和经验，总结几点燃气行业信息安全体系成功实施要素： (1)来自企业高层明确支持和承诺，尤其对于相对传统燃气行业而言这是信息安全体系有效推进保障。 (2)重视体系落地，依据“总体计划、分步实施”战略，信息安全体系建设要从全局观念出发组建系统，制订具体且可实现计划。 (3)信息安全部门定位问题和和信息化之间关系，明确信息安拿和信息化是相互交叉又相互区分关系。 (4)加大信息安全培训并建立自己信息安全队伍，同时借助多个手段向全部管理者和职

31、员有效宣贯安全意识，重视连续性和时效性，降低信息安全在实施过程中阻力。 (5)完善信息安全架构体系，增加信息安全纵深，整合现有信息安全设施，形成信息安全协力，避免无须要资源浪费。 6　结束语 北京燃气信息安全建设才刚刚起步，燃气行业其它企业信息安全建设也立即开始，本文将在北京燃气信息安全体系建设过程中经验、方法进行整理，在中国首次提出燃气行业信息安全体系建设方法，供燃气行业其它企业构建信息安全体系参考。燃气企业信息安全发展肯定是不停改变和前进过程，北京燃气比较重视信息安全体系建设落地实际效果，不停扎实信息安全基础，关注信息安全未来发展方向，连续优化已建立信息安全体系架构，使之符合燃气企业本身安全需求并保障燃气业务安全运行。