电网信息安全体系建设及实践探讨.docx

1、 电网信息安全体系建设及实践探讨 刘毅，邹庆，王玮(贵州电网公司信息通信分公司，贵州贵阳550002)摘要：信息安全体系化、规范化、标准化建设是电网信息化发展的重要保障，在开展电网企业信息安全体系研究的基础上，结合电网具体实践工作，本文详细阐述了构建基于IS027001框架要求下的信息安全管理体系，以及利用ISO15408的技术规范推演和搭建电网信息安全技术防护架构。通过研究与落地全方位信息安全体系，本文提炼并给出电网信息安全体系建设和国际标准结合可借鉴的思路和方法。关键词：电网；IS027001：IS01.54008；信息安全体系TP393.08 ：A0引言近年来，随着技术进步，社会信息安全

2、环境日趋复杂，信息安伞风险1益加大。电网企业信息网络隶属同家基础信息网络范畴，企业信息安全涉及国家安全、政治安全和社会安全、从国家及企业自身信息安全要求考虑，建立完备的企业信息安全体系防范信息安全风险，提高信息安全保障水平，是保障企业科学发展上水平的迫切需要。1电网信息安全体系建设需求1.1电网信息化建设现状“十一五”期间，电网企业信息化建设步入快车道，在国家信息化发展战略的指导下，按照信息化所赋予“信息化带动工业化”的历史使命，坚持以信息化辅助管理现代化，坚持以全局性考虑推进信息化建设，从集约化发展、精细化管理的需求出发，将统一性、通用性、安全性和实效性的要求贯穿信息化的全生命周期。经过统一

3、、规范的建设，信息系统已覆盖电网建设、人事、营销和财务等主营业务，支撑了电网的生产、经营、服务及管理过程。1.2电网信息系统对信息安全的需求随着大范围信息化建设及应用的展开，信息安全已成为电网信息化建设的重要环节，电网企业经过多年建设，从技术环境改造与优化、制度建没与梳理以及责任制落实几个方面，已经仞步形成了管理制度加技术手段配套的信息安全保障体系。但是，随着信息技术弋速发展，应用环境日益复杂，以及企业应刚需求的日益增加，国家、企业对信息安全的要求不断提高，信息安全工作也暴露出许多问题和不足，主要体现在：随着信息化大集中的建设，信息安全基础没施需要进一步进行系统化的优化整合；i前信息安全监管水

4、平和能力不足，需要建设高自动化水平的集中监管平台；电网企业普遍缺乏体系化的安伞管理策略，无法有效指导信息化建设、运维与监管巾的安全工作；现有的信息安全组织架构、人员数量及素质与整体信息化规模不匹配。因此，电网需要建设具有前瞻性、战略性的企业信息安全体系去指导信息安全工作的开展。2体系标准的选择及安全体系建设的思考2.1电网信息安全管理体系的标准选择从电网信息安全现状可以看出，对于电网企业体系化的信息安全要求，必须站在全球信息一体化的背景下以国际标准的角度去重新审视现状和分析存存的差距，针对电网信息安全管理体系的具体内容，需要去选择合适的标准，考虑到IS027001具有全球最佳实践经验衍生信息安

5、全的所有控制项，足一个被国际礼会广泛认可的信息安全管理标准，IS027001明确建设I的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供参考依据，并且能够让各种规模的组织所采用，我们可以确认其也适合作为电网企业信息安全管理体系的参照标准IS027001是关于信息安全管理的标准，达到这些标准的要求并不难，重要的是用什么方法去实现，以求通过实施标准全面改善内部管理，而不是将标准作为一种简单的模式对现有运作流程进行套用。为建立有责、有序、高效的信息安全管理体系，只有对现有组织运作流程进行详细分析，有针对性地设计并改善现有管理体系、改善薄弱环节、提高员工的信息安全意识，并有效地将先进的管理

6、思想融合到具体的实施过程中，才能不断获取并运用先进的管理方法和技术手段，才能使企业信息安全管理水平得以持续发展和提升，才能发挥标准的真正作用。2.2电网信息安全技术体系的标准选择IS015408是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。该标准定义了评价安全技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安伞行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。因此，可结合IS015408的具体规范，完善电网企业技术防护架构。2.3信息安全体系标

7、准的应用分析IS027001和IS015408所涉及范围都是信息安全领域；1S027001侧重安全管理方面的要求，即对IT系统中非技术内容的检查这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。IS015408则侧重于对系统和产品的技术指标，旨在支持设备中IT安全特征的技术性评估，它可以用于描述用户对安全性的技术需求。IS015408巾虽然对信息安全管理方面提出了一定的要求，但这些管理要求是孤立、相对静止、不成体系的。同样，IS027001也涉及极小部分的技术指标，但仅限于管理上必须的技术指标。电网信息安全体系是一个整体，没有全盘的考虑，没有高度的重视，任何一个环节出现明显的短板都将

8、功亏一篑。因此，融合两个国际标准，并结合企业特点进行应用实践是本文研究方向和重点。3基于IS027001及IS015408的电网信息安全体系的研究及应用3.1基于IS027001的电网信息安全管理体系研究与实践3.1.1电网信息安全管理体系的构建3.1.1.1企业安全机构模型的制定全面构建企业信息安全保障体系，首先要明确企业信息安全需求，即提出企业安全架构，才能保证信息安全策略与业务需求的一致性。构建企业安全架构模型要根据企业的发展方向和业务特点，制定企业信息安全目标与建设原则；然后根据信息安全f_1标和建设原则，确立企业信息安全方针，方针承上启下，为后续的体系规划明确方向；在明确信息安全建设

9、目标和方针的基础上，建立信息安全管理体系和信息安全技术防护架构，模型的内容根据企业的需求可有调整，但需保证信息安全策略与业务需求的一致性、3.1.1.2电网信息安全目标、原则、信息安全方针的制定要求电网企业信息安全目标必须以企业战略目标和信息化H标为指引，必须为企业信息化目标和企业战略目标保驾护航电网企业信息安全建设原则必须结合电网信息化建设原则及电网信息特征的安全发展特点，以及国内外信息安全发展趋。总结出有代表性的信息安全建设要求。电网企业信息安全方针的制定，一定是在分析了企业自身信息安全目标、国家及行业安全方针，企业信息化覆盖范围、满足IS027001国际标准对应域要求的基础上，推导出来的

10、信息安全策略，以指导后续的信息安全管理体系和信息安全技术体系。3.1.1.3信息安全管理体系规划针对企业安全架构模型的具体内容，IS027001细化了11个域、39个控制目标、133个控制项的管理要求。在完成企业信息安全目标、原则和方针的基础上，电网企业要依据本身具体特征，进行适用性研究，以形成一套完整的ISMS（信息安全管理体系）。具体工作中，对照27001标准项，可进一步分析信息安全差距，规划电网企业信息安全管理体系，导出信息安全组织、信息安全标准体系、信息安全意识培训框架，其结构如图l所示。3.1.2电网信息安全管理体系的落地3.1.2.1信息安全组织架构的落地随着信息业务的持续发展，电

11、网企业的信息化管理、建设与运维部门将不断发展与变化，信息安全组织不管怎么调整，建议遵循四项原则1)统一遵循原则：即制定安全组织建设要求、角色分1：和职责定义并严格遵循；2）分权管理原则：即建立管理规划、运行保障和监督审计三权分离的组织结构；3）集中管理和属地化管理并行原则：即安全政策的制定和发布以集团公司为主，实现以集团、省、地三级的监督审核体系和省、地、县_三级安全运维保障体系；4）管理角色职责备份原则：重要安全管理角色建立主备机制，提高人员的可用性和内部工作审核机制3.1.2.2信息安全管理制度的落地信息安全策略体系由一系列具体的制度、规定、流程文件支持。按照IS027001框架要求，信息

12、安全策略体系分为4个等级，企业在保障策略内容完整性的同时，可根据自身情况，调整策略体系的等级。为保障安全制度的有效执行，在企业管理层高度重视的前提下，号虑如下五方面同规划：安全策略的推行先固化，后优化，需要持续完善；安全策略要求落实到具体的部门、角色；安全策略应与工具有效结合；需要做到全员、信息人员、信息安全人员等不同梯队的安全策略意识教育及培训；策略执行的客观评价，需要建立有效的内部及外部审计机制。3.1.2.3建立安全运行保障常态化机制运行保障工作方面，电网企业应该通过安全测评，安全加固、运维和监管，应急响应，持续改进形成闭环的PDCA流程，探索并建立一个常态化的安全运行保障机制。，3.1

13、.2.4应用系统的全生命周期管理应结合SSE-CMM（应用系统全生命周期安全管理）相关内容，对应用系统设计、L线、运行、废弃各个环节加强管理，对里程碑事件进行检查、监督和考核。3.2基于IS015408的电网信息安全技术体系研究与实践3.2.1电网信息安全技术体系的构建3.2.1,1信息安全技术子系统定义在IS015408-2“通用规范”描述了信任凭证、访问控制、信息流控制、完整性、审计五个安全子系统，覆盖了信息安伞的所有领域。它们相互可依存并分别运作，共同构成一个和企业业务需求紧密相关的完整安全架构。依据安全技术子系统要求，针对电网安伞策略、业务需求，从信息安全角度，可细化电网各安全服务模块

14、的功能组件（静态模型）3.2.1.2信息安全技术架构部件在安全区域中的部署安全功能部署设计（动态模型）是存静态模型基础上，根据实际物理环境进行动态部署。动态模型的实现思路需要两个主要输入：一个输入是前面介绍企业所需安全技术服务组件；另一个输入是企业实际网络安全环境，需要明确企业网络区域的划分，综合考虑不同网络区域中IT资源的分布特点、重要程度和资源访问者的类型，以及对应用系统的要求，对网络区域进行安全级别划分；通过分析每个网络区域的安全风险，总结对应的安全防护要点，将安全服务组件进行针对性的部署。3.2.1.3信息安全技术体系架构规划电网企业信息安全技术架构规划是根据电网业务具体需求来确定所需

15、信息安全技术能力，完成信息安全功能服务组件定义（静态模型）及运行部署设计（动态模型）。信息安全技术体系架构规划的工作流程由六个步骤组成，分别是安全需求梳理，安全技术架构功能服务组件框架确定，网络安全域确定，安令技术功能服务组件运行部署，安全技术建没项日规划和安全技术建设阶段规划，整个信息安全技术体系架构规划过程如图2来自www.Lw5U.com所示。信息安全技术架构规划过程中，要求立足电网企业现状，因此，电网企业信息安全架构设计实践，要求遵循以下原则：l)统一性原则：安全技术建设要实现安全服务平台化、统一化，统一为电网业务系统和资源提供安全技术服务；2）综合性：应从外到内、从点到面、从源头控制

16、到事后恢复，进行综合性的整体预防与控制；3）先进性：具有前瞻性，考虑安全技术的发展趋势，满足业务未来发展的需求；4）合规性：符合国家信息安全保障体系的总体要求，符合电监会、集团公司等上级部门相关管理要求；5）可持续性：满足信息系统全生命周期管理安全保障要求；6）平衡性原则：安全技术的使用不能以影响业务系统正常运行、降低员工的工作效率为代价，安全技术规划要考虑安全要求与业务要求的平衡性：3.2.2信息安全技术体系的落地基于IS015408标准内容，对照电网实际状况，可按照严重程度、紧迫程度、业界技术解决方案成熟程度、项目运行维护管理负担，采用优先级赋值法有序进行信息安全防护架构项日的建设和完善，

17、有效实现内外网防控、对数据的审查和保护及事前、事中、事后安全事件的监控和管理。在进行企业信息安全技术架构建设的同时，应全面部署IT主流设备安全基线(base-LINE)，新上设备在完成基线配置后才能上线，并实现核查，同时结合信息安全的需求变化，保障基线标准定期更新、信息安全的核心是实现对数据的保护，随着大集中系统的建设，在业务需要时，企业需进行容灾中心建设，以保护数据的完整性和可用性4结语通过融合和落地IS027001和ISo15408两个安全标准，可以从全方位的角度规范定位和指导电网企业信息化的安全建设、安全管理和安全运维，从系统化的高度去规避信息安全风险，确保企业IT环境、应用系统及数据的安全。开展电力企业信息安全体系建设及实践，是电力信息安全实现体系化、规范化和标准化的必然选择。（责编 张岩）参考文献：【1】CB/T 220802008(ISO/IEC 27001-2005)，信息技术安全技术信息安全管理体系要求【2】CB/T 18336-2001( ISO/IEC 15408-1999)，信息技术安全技术信息技术安全性评估准则【3】曾海雷信息安全评估标准的研究和比较J电脑知识与技术：学术交流2007(6)：1228-1229，1264 -全文完-