信息安全體系構(gòu)建

1、.燃?xì)庑袠I(yè)信息安全體系燃?xì)庑袠I(yè)信息安全體系建設(shè)方法探索建設(shè)方法探索2022年4月信息檔案中心.2目錄目錄燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全未來(lái)之路燃?xì)庑袠I(yè)信息安全未來(lái)之路信息檔案中心.31.1天然氣業(yè)務(wù)增長(zhǎng)迅速天然氣業(yè)務(wù)增長(zhǎng)迅速2010年底，北京市天然氣居民用戶約454萬(wàn)戶，供氣量達(dá)到75.0億立方米。到2012年，用戶達(dá)到約580萬(wàn)戶，供氣量達(dá)到84.1億立方米。近年中國(guó)各省PM2.5濃度遠(yuǎn)高于世界衛(wèi)生組織標(biāo)準(zhǔn)預(yù)計(jì)未來(lái)預(yù)計(jì)未來(lái)“清潔清潔”天然氣業(yè)務(wù)依然會(huì)高速增長(zhǎng)天然氣

2、業(yè)務(wù)依然會(huì)高速增長(zhǎng)信息檔案中心.41.2 燃?xì)庑袠I(yè)信息化特點(diǎn)燃?xì)庑袠I(yè)信息化特點(diǎn)燃?xì)馄髽I(yè)為滿足業(yè)務(wù)的高速發(fā)展，不斷投入資源用于生產(chǎn)運(yùn)營(yíng)和辦公管理的信息化項(xiàng)目的建設(shè)，涵蓋SCADA、GIS、ERP、EAM、OA以及用戶管理系統(tǒng)等信息系統(tǒng)。信息化特點(diǎn)：信息化特點(diǎn)：企業(yè)信息化的企業(yè)信息化的“孤島效應(yīng)孤島效應(yīng)”明顯明顯信息化信息化的綜合的綜合管控管控能力能力薄弱薄弱信息化技術(shù)能力嚴(yán)重依賴于第三方信息化技術(shù)能力嚴(yán)重依賴于第三方1. 工業(yè)體系安全核心正在轉(zhuǎn)變工業(yè)體系安全核心正在轉(zhuǎn)變信息檔案中心.51.3 外部安全形勢(shì)嚴(yán)峻外部安全形勢(shì)嚴(yán)峻在2011年之前，公開(kāi)披露的工業(yè)控制系統(tǒng)相關(guān)漏洞的數(shù)量相當(dāng)少。但在201

3、1年出現(xiàn)了井噴現(xiàn)象，并持續(xù)到2012年。-綠盟科技2012年安全態(tài)勢(shì)報(bào)告2010年6月，“震網(wǎng)”病毒悄然襲擊伊朗核設(shè)施的工業(yè)系統(tǒng)，“震網(wǎng)”是第一個(gè)被發(fā)現(xiàn)用于針對(duì)于政府的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)武器。信息檔案中心.61.4 “棱鏡事件棱鏡事件”帶來(lái)的啟示帶來(lái)的啟示回顧：2013年6月，前中情局（CIA）職員愛(ài)德華斯諾頓將兩份絕密資料交給英國(guó)衛(wèi)報(bào)和美國(guó)華盛頓郵報(bào)發(fā)表，隨之全世界嘩然。棱鏡門(mén)是美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局啟動(dòng)的一個(gè)旨在對(duì)全球網(wǎng)絡(luò)活動(dòng)進(jìn)行秘密監(jiān)控的項(xiàng)目。當(dāng)局通過(guò)接入微軟、雅虎、谷歌、蘋(píng)果等9家美國(guó)互聯(lián)網(wǎng)公司中心服務(wù)器，對(duì)視頻、圖片、郵件、電話記錄等10類數(shù)據(jù)進(jìn)行監(jiān)控，以搜集他國(guó)情報(bào)，監(jiān)視本國(guó)民眾。啟示：

4、啟示：美國(guó)人美國(guó)人“賊喊捉賊賊喊捉賊”1. 我們被國(guó)外監(jiān)視著我們被國(guó)外監(jiān)視著信息檔案中心.71.5 信息安全的驅(qū)動(dòng)力信息安全的驅(qū)動(dòng)力信息安全是保障企業(yè)業(yè)務(wù)發(fā)展的重要手段，是企業(yè)內(nèi)控的重要組成部分。信息安全是保障企業(yè)業(yè)務(wù)發(fā)展的重要手段，是企業(yè)內(nèi)控的重要組成部分。外在的威脅外在的威脅面對(duì)業(yè)務(wù)的高速發(fā)展以面對(duì)業(yè)務(wù)的高速發(fā)展以及信息化與業(yè)務(wù)的不斷及信息化與業(yè)務(wù)的不斷融合，信息化管控的壓融合，信息化管控的壓力陡然增大力陡然增大監(jiān)管的壓力監(jiān)管的壓力內(nèi)部業(yè)務(wù)驅(qū)動(dòng)內(nèi)部業(yè)務(wù)驅(qū)動(dòng)作為影響著國(guó)計(jì)民生的燃?xì)庾鳛橛绊懼鴩?guó)計(jì)民生的燃?xì)馄髽I(yè)，面臨諸如包括企業(yè)，面臨諸如包括“震網(wǎng)震網(wǎng)”病毒、黑客攻擊、敏感數(shù)據(jù)病毒、黑客攻擊、

5、敏感數(shù)據(jù)泄密等各種潛在的或已知的泄密等各種潛在的或已知的威脅威脅，也包括如，也包括如“棱鏡棱鏡”類類似的監(jiān)控似的監(jiān)控；滿足國(guó)家的法律、法規(guī)以及滿足國(guó)家的法律、法規(guī)以及上級(jí)單位的監(jiān)管要求，尤其上級(jí)單位的監(jiān)管要求，尤其是滿足等級(jí)保護(hù)的要求是滿足等級(jí)保護(hù)的要求信息檔案中心.8目錄目錄燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全未來(lái)之路燃?xì)庑袠I(yè)信息安全未來(lái)之路信息檔案中心.92.1 信息安全現(xiàn)狀分析信息安全現(xiàn)狀分析作為傳統(tǒng)的能源企業(yè)，燃?xì)馄髽I(yè)對(duì)信息化的認(rèn)知和適應(yīng)性普遍偏低，而對(duì)于信息安全

6、更是陌生，缺乏主動(dòng)有效的信息安全保障機(jī)制。分別從組織、策略和技術(shù)三個(gè)層面系統(tǒng)了解燃?xì)馄髽I(yè)的信息安全現(xiàn)狀信息檔案中心.102.2 信息安全組織層面分析信息安全組織層面分析企業(yè)的信息安全組織力量薄弱且定位較低，企業(yè)沒(méi)有形成自上而下的信息安全組織體系企業(yè)信息安全隊(duì)伍無(wú)法有效支撐企業(yè)的信息化建設(shè)和維護(hù)安全企業(yè)對(duì)信息安全重視程度不夠，注重于傳動(dòng)工業(yè)的物理安全企業(yè)各部門(mén)的信息安全職責(zé)不清，缺乏跨部門(mén)的協(xié)調(diào)機(jī)制企業(yè)員工的信息安全意識(shí)薄弱外部組織（外包服務(wù)）的管控薄弱信息檔案中心.112.2 信息安全策略層面分析信息安全策略層面分析企業(yè)基本沒(méi)有成體系的信息安全策略，主要包括：事件驅(qū)動(dòng)型信息安全處置機(jī)制信息安全

7、控制體系缺乏體系化信息安全策略 “屈從”于業(yè)務(wù)要求。監(jiān)督和考核機(jī)制不足，缺乏明確的策略要求，信息安全控制無(wú)法得到有效的落實(shí)。信息檔案中心.122.3 信息安全技術(shù)層面分析信息安全技術(shù)層面分析企業(yè)已經(jīng)部署基本的信息安全防護(hù)設(shè)施，如防火墻、入侵檢測(cè)、流量監(jiān)測(cè)等設(shè)施，但是存在以下問(wèn)題：信息安全系統(tǒng)“孤島”效應(yīng)嚴(yán)重系統(tǒng)和網(wǎng)絡(luò)區(qū)域的邊界控制薄弱信息安全技術(shù)標(biāo)準(zhǔn)缺乏規(guī)范化第三方系統(tǒng)信息安全防護(hù)能力缺乏評(píng)測(cè)工控系統(tǒng)的互聯(lián)性增加導(dǎo)致潛在攻擊的可能性信息檔案中心.132.4 信息安全成熟度分析信息安全成熟度分析參考Cobit成熟度模型，將信息安全成熟度級(jí)別定義為初始級(jí)、可重復(fù)級(jí)、已經(jīng)定義級(jí)、可管理級(jí)和優(yōu)化級(jí)五個(gè)

8、級(jí)別，燃?xì)馄髽I(yè)的信息安全成熟度如圖所示：信息安全管理成熟度信息安全管理成熟度1級(jí)2級(jí)3級(jí)4級(jí)5級(jí)初始級(jí)現(xiàn)狀現(xiàn)狀可重復(fù)級(jí)已定義級(jí)已管理級(jí)未來(lái)未來(lái)已優(yōu)化級(jí)初始級(jí)初始級(jí) 信息安全管理流程不存在；初始級(jí)初始級(jí) 信息安全工作流程缺乏統(tǒng)籌；可重復(fù)級(jí)可重復(fù)級(jí) 信息安全管理流程遵循固定的模式已定義級(jí)已定義級(jí) 信息安全體系建立標(biāo)準(zhǔn)化的書(shū)面程序可管理級(jí)可管理級(jí) 信息安全體系流程可監(jiān)控可度量已優(yōu)化級(jí)已優(yōu)化級(jí) 信息安全工作流程自動(dòng)化且持續(xù)優(yōu)化為最佳實(shí)踐黃色代表現(xiàn)在黃色代表現(xiàn)在紅色代表未來(lái)紅色代表未來(lái)信息檔案中心.14目錄目錄燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全現(xiàn)狀分

9、析燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全未來(lái)之路燃?xì)庑袠I(yè)信息安全未來(lái)之路信息檔案中心.153.1 信息安全體系建設(shè)路線圖信息安全體系建設(shè)路線圖燃?xì)馄髽I(yè)在信息安全建設(shè)過(guò)程主要按照以下四個(gè)階段實(shí)施：依照法律規(guī)范以及監(jiān)管要求和國(guó)內(nèi)外標(biāo)準(zhǔn),設(shè)計(jì)信息安全實(shí)施藍(lán)圖,并進(jìn)行總體的信息安全規(guī)劃。建立符合燃?xì)馄髽I(yè)的信息安全策略,包括完善信息安全技術(shù)標(biāo)準(zhǔn)和管理規(guī)范依照燃?xì)馄髽I(yè)的安全策略要求小范圍的落實(shí)信息安全控制措施,并建立信息安全管理體系的持續(xù)運(yùn)行機(jī)制總結(jié)成功的經(jīng)驗(yàn)和不足之處在燃?xì)馄髽I(yè)內(nèi)部全部全面推廣信息安全管理體系。第一階段第一階段第二階段第二階段第三階段第三階段第四階段第四階段信息

10、檔案中心.163.2 信息安全體系架構(gòu)信息安全體系架構(gòu)信息檔案中心3.3 3.3 信息安全方針與目標(biāo)信息安全方針與目標(biāo)信息安全信息安全方針：方針：規(guī)范安全控制體系、保護(hù)信息系統(tǒng)安全、落實(shí)信息安全責(zé)任、保障燃?xì)馍a(chǎn)安全。近期目標(biāo)（近期目標(biāo)（2013-2015）:建立信息安全組織體系，健全信息安全制度規(guī)范，構(gòu)筑縱深技術(shù)防御體系，提高IT服務(wù)連續(xù)性水平，保護(hù)企業(yè)重要信息資產(chǎn)，促進(jìn)信息化過(guò)程的安全管控能力。中長(zhǎng)期目標(biāo)（中長(zhǎng)期目標(biāo)（2015-2017）:培養(yǎng)信息安全專業(yè)隊(duì)伍，建立可持續(xù)完善的信息安全管理體系，實(shí)現(xiàn)信息安全的體系化、流程化、績(jī)效化、工具化管理，實(shí)現(xiàn)信息安全與業(yè)務(wù)安全深度融合，保護(hù)企業(yè)的核心

11、競(jìng)爭(zhēng)力信息檔案中心.183.4 信息安全體系構(gòu)建信息安全體系構(gòu)建信息安全體系建設(shè)過(guò)程中依據(jù)組織體系定職責(zé)組織體系定職責(zé)策略體系定依據(jù)策略體系定依據(jù)技術(shù)體系定手段技術(shù)體系定手段構(gòu)建出信息安全體系能夠?qū)崿F(xiàn):事前防御事前防御（Preventive）事中控制事中控制 (Detection)事后響應(yīng)事后響應(yīng) (Response)信息檔案中心.193.4.1 信息安全組織體系構(gòu)建信息安全組織體系構(gòu)建企業(yè)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確各單位的信息安全角色、職責(zé)和關(guān)系：明確信息安全組織的定位明確信息安全組織的定位壯大信息安全管理隊(duì)伍壯大信息安全管理隊(duì)伍提升全員信息安全意識(shí)水平提升全員信

12、息安全意識(shí)水平管理第三方管理第三方(外包外包)服務(wù)服務(wù)信息檔案中心.203.4.2 信息安全技術(shù)體系構(gòu)建信息安全技術(shù)體系構(gòu)建消除消除“信息安全技術(shù)的孤島信息安全技術(shù)的孤島”注重注重系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)域域的邊界安全的邊界安全注重注重信息系統(tǒng)自身的安全信息系統(tǒng)自身的安全重點(diǎn)關(guān)注：安全域綜合規(guī)劃、建立PKI體系、建立4A平臺(tái)、建立終端防護(hù)體系、建立安全監(jiān)控體系、建立災(zāi)備中心信息檔案中心.213.4.3 信息安全培訓(xùn)體系構(gòu)建信息安全培訓(xùn)體系構(gòu)建加強(qiáng)信息安全人才隊(duì)伍建設(shè)，搭建自下而上全方位的信息安全培訓(xùn)體系，全方位的提升企業(yè)各層級(jí)員工的信息安全技能和意識(shí)。信息檔案中心3.4.4 信息安全意識(shí)宣傳信息安

13、全意識(shí)宣傳Flash動(dòng)畫(huà)電子海報(bào)手冊(cè)張貼畫(huà)培訓(xùn)與專題講座電腦屏保展板燃?xì)鈭?bào)網(wǎng)站電腦桌貼微信鼠標(biāo)墊北京燃?xì)馐褂冒ㄎ⑿?、視頻、OA、海報(bào)、手冊(cè)、貼畫(huà)、易拉寶等十多種形式進(jìn)行全方面的信息安全宣傳信息檔案中心.3.4.5 構(gòu)建工控系統(tǒng)的邊界安全構(gòu)建工控系統(tǒng)的邊界安全整合企業(yè)信息系統(tǒng)資源、加速工控系統(tǒng)的互聯(lián)和利用成為必然的趨勢(shì)，那么如何保護(hù)工控系統(tǒng)的互聯(lián)安全？信息檔案中心.243.5 信息安全建設(shè)過(guò)程關(guān)注點(diǎn)信息安全建設(shè)過(guò)程關(guān)注點(diǎn)燃?xì)馄髽I(yè)的信息安全風(fēng)險(xiǎn)是應(yīng)用信息技術(shù)過(guò)程所必須面對(duì)的問(wèn)題，因此建立燃?xì)馄髽I(yè)的信息安全體系是保障燃?xì)馄髽I(yè)業(yè)務(wù)和信息化持久發(fā)展的基礎(chǔ)。燃?xì)馄髽I(yè)信息安全體系建設(shè)成功實(shí)施的要素如下所示

14、：來(lái)自企業(yè)高層明確的支持和承諾依據(jù)“總體規(guī)劃、分步實(shí)施”的戰(zhàn)略，注重體系落地信息安全部門(mén)的定位問(wèn)題以及與信息化之間的關(guān)系加大信息安全的培訓(xùn)并建立自己的信息安全隊(duì)伍構(gòu)建合力的信息安全架構(gòu)體系信息檔案中心.25目錄目錄燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全背景介紹燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全現(xiàn)狀分析燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全體系建設(shè)燃?xì)庑袠I(yè)信息安全未來(lái)之路燃?xì)庑袠I(yè)信息安全未來(lái)之路信息檔案中心.264.1 燃?xì)庑袠I(yè)信息安全未來(lái)發(fā)展方向燃?xì)庑袠I(yè)信息安全未來(lái)發(fā)展方向隨著燃?xì)馄髽I(yè)信息化的發(fā)展以及先進(jìn)信息技術(shù)的引入，信息化領(lǐng)域的管控應(yīng)不僅僅局限于信息安全領(lǐng)域的控制，應(yīng)該深入企業(yè)業(yè)務(wù)的綜合體系中，建立符合燃?xì)鈽I(yè)務(wù)特點(diǎn)的IT綜合管控體系，并時(shí)刻關(guān)注先進(jìn)信息化技術(shù)帶來(lái)便利的同時(shí)也需要關(guān)注其帶來(lái)的風(fēng)險(xiǎn)以及未來(lái)的發(fā)展趨勢(shì)：工控安全工控安全：工控系統(tǒng)的安全關(guān)系著燃?xì)馄髽I(yè)的生產(chǎn)安全I(xiàn)T綜合管控綜合管控：建立燃?xì)馄髽I(yè)的IT綜合管控體系，建立IT決策機(jī)制與職責(zé)框架，實(shí)現(xiàn)精確高效的信息化管理。信息檔案中心.27敏感信息保護(hù)敏感信息保護(hù)：近年來(lái)，大量的數(shù)據(jù)泄露事件發(fā)生，而燃?xì)馄髽I(yè)存有大量本地用戶的敏感信息以及企業(yè)