?
摘 要:本文首先介紹了燃?xì)庑袠I(yè)信息化現(xiàn)狀、分析了燃?xì)庑袠I(yè)信息安全存在的問題,然后介紹了企業(yè)建立信息安全體系的思路和方法,并結(jié)合此理論在國內(nèi)首次提出了燃?xì)庑袠I(yè)信息安全體系的構(gòu)建方法;最后以北京燃?xì)鉃槔?,對燃?xì)庑袠I(yè)信息安全體系建設(shè)方法進(jìn)行了實踐和應(yīng)用,分析并總結(jié)了燃?xì)庑袠I(yè)信息安全體系建設(shè)成功的關(guān)鍵因素。??
關(guān)鍵詞:燃?xì)庑袠I(yè) 燃?xì)庑畔⒒∪細(xì)庑畔踩⌒畔踩?guī)劃 燃?xì)庑畔踩w系 工控安全
1 概述
近年來,燃?xì)馄髽I(yè)不斷提高其信息化水平以支撐業(yè)務(wù)的高速發(fā)展,提升企業(yè)工作效率并優(yōu)化業(yè)務(wù)運作模式,向公眾提供高質(zhì)量的服務(wù)。但是,作為傳統(tǒng)能源行業(yè),燃?xì)馄髽I(yè)在利用信息技術(shù)帶來的優(yōu)勢時也必然需要承受先進(jìn)技術(shù)帶來的風(fēng)險——信息安全問題。
2010年6月,“震網(wǎng)”病毒悄然襲擊伊朗核設(shè)施的工業(yè)系統(tǒng),“震網(wǎng)”是第一個被發(fā)現(xiàn)用于針對于政府的網(wǎng)絡(luò)戰(zhàn)爭武器。2012年,美國國土安全部應(yīng)急響應(yīng)小組報告了198起針對重要基礎(chǔ)設(shè)施的攻擊,而2011年的攻擊數(shù)量為l30起(上升了52%)。據(jù)歐洲網(wǎng)絡(luò)與信息安全局統(tǒng)計的數(shù)據(jù),在2012年遭受攻擊最多的行業(yè)為能源行業(yè),占41%,其次為供水,占15%[2]。
燃?xì)馄髽I(yè)本身存在的信息安全問題、外部嚴(yán)峻的安全形勢以及各種監(jiān)管的壓力都要求燃?xì)馄髽I(yè)盡快建設(shè)信息安全體系。本文將對北京燃?xì)庑畔踩w系建設(shè)過程中的經(jīng)驗、方法進(jìn)行整理,供燃?xì)庑袠I(yè)其他企業(yè)構(gòu)建信息安全體系參考。
下文的“燃?xì)馄髽I(yè)”泛指國內(nèi)絕大部分燃?xì)馄髽I(yè),代表著國內(nèi)燃?xì)庑袠I(yè)的主要情況。
2 燃?xì)庑袠I(yè)信息化現(xiàn)狀及信息安全問題
2.1 燃?xì)庑袠I(yè)信息化現(xiàn)狀
國內(nèi)燃?xì)馄髽I(yè)的生產(chǎn)運營信息化建設(shè)開始于1996年左右,目前北京、上海、長春等多個大城市的管道燃?xì)馄髽I(yè)均成功完成生產(chǎn)運營信息化項目的建設(shè),使企業(yè)運營過程控制程序化、模型化、智能化、集成化、網(wǎng)絡(luò)化,監(jiān)測、控制過程實現(xiàn)可視化和遠(yuǎn)程化,以期達(dá)到進(jìn)一步理川頁管理流程、提升管理水平和提高工作效率的日標(biāo)。國內(nèi)燃?xì)庑袠I(yè)信息化具有以下特點:
(1)企業(yè)的信息化建設(shè)已覆蓋主要業(yè)務(wù),但信息化缺乏有效整合,信息化的“孤島效應(yīng)”明顯,企業(yè)信息資源沒有得到有效利用。
(2)信息化管控能力薄弱,企業(yè)缺乏有效IT治理機(jī)制和行業(yè)的信息化標(biāo)準(zhǔn)規(guī)范指導(dǎo),信息化在企業(yè)管理應(yīng)用有待提高。
(3)信息化技術(shù)力量薄弱,企業(yè)的信息化建設(shè)嚴(yán)重依賴于第三方服務(wù)。
(4)工業(yè)體系安全核心正在轉(zhuǎn)變,由傳統(tǒng)的物理安全正在向信息安全轉(zhuǎn)移。
國內(nèi)燃?xì)馄髽I(yè)已經(jīng)基本完成了信息化“建設(shè)”的初期任務(wù),已經(jīng)建成了涵蓋SCADA、GIS、OA、ERP、EAM以及用戶管理系統(tǒng)等信息系統(tǒng),而為了支撐燃?xì)鈽I(yè)務(wù)的高速發(fā)展,更有效的、安全的利用信息化體系,實現(xiàn)信息化的整合和管控必然成為企業(yè)未來信息化發(fā)展的主題,企業(yè)信息化發(fā)展路線也逐步由偏重建設(shè)轉(zhuǎn)向偏重管控。信息安全作為信息化管控的主要組成部分,已成為企業(yè)必須面對的現(xiàn)實問題。
2.2燃?xì)庑袠I(yè)信息安全問題
作為傳統(tǒng)的能源行業(yè),大部分燃?xì)馄髽I(yè)對信息安全比較陌生,缺乏主動有效的信息安全保障機(jī)制。下面從組織、策略和技術(shù)3個層面分析燃?xì)庑袠I(yè)信息安全存在的問題。
2.2.1組織層面
燃?xì)馄髽I(yè)的信息安全組織力量薄弱且定位較低,企業(yè)沒有形成自上而下的信息安全組織體系。
(1)企業(yè)信息化隊伍并不完善,信息安全隊伍嚴(yán)重匱乏,無法有效支撐企業(yè)的信息化建設(shè)和業(yè)務(wù)安全。
(2)企業(yè)對信息安全的認(rèn)知度偏低,依然注重于傳統(tǒng)的物理安全,并忽視信息安全問題與業(yè)務(wù)安全之間的重要性。
(3)企業(yè)各部門的信息安全職責(zé)不清,缺乏各部門和分子公司等單位的參與。
(4)缺乏信息安全的培訓(xùn)和意識提升機(jī)制,員工的信息安全意識薄弱。
(5)企業(yè)的信息化建設(shè)主要依賴于第三方,但是對第三方的管控薄弱且明顯落后于信息化的建設(shè)速度。
2.2.2策略層面
燃?xì)馄髽I(yè)基本沒有成體系的信息安全策略,主要包括:
(1)事件驅(qū)動型,信息安全策略都是基于已發(fā)生的信息安全事件制定,缺乏體系化的制度流程支撐,信息安全策略側(cè)重于應(yīng)急響應(yīng)機(jī)制。
(2)缺乏對信息系統(tǒng)和敏感信息的安全控制體系、技術(shù)規(guī)范以及安全基線。
(3)缺乏信息安全策略推廣手段,信息安全策略難以落地實行。
(4)業(yè)務(wù)為先,較難平衡信息安全的控制以及業(yè)務(wù)效率之間的關(guān)系,信息安全策略要求更多“屈從”于業(yè)務(wù)要求。
(5)監(jiān)督和考核機(jī)制不足,缺乏明確的策略要求,信息安全控制無法得到有效的落實。
2.2.3技術(shù)層面
燃?xì)馄髽I(yè)已經(jīng)部署基本的信息安全防護(hù)設(shè)施,如防火墻、入侵檢測、流量監(jiān)測等設(shè)施,但是存在以下問題:
(1)信息安全系統(tǒng)“孤島”效應(yīng)嚴(yán)重,無法形成有效合力。
(2)系統(tǒng)和網(wǎng)絡(luò)的邊界控制能力薄弱,不同的系統(tǒng)和網(wǎng)絡(luò)間的資源訪問控制顆粒度較粗,缺乏有效的監(jiān)控和審計能力。
(3)企業(yè)業(yè)務(wù)復(fù)雜,第二三方廠商技術(shù)水平參差不齊,安全技術(shù)能力薄弱。
(4)工控系統(tǒng)由于在網(wǎng)絡(luò)中的互聯(lián)性增加,導(dǎo)致多種途徑可訪問這些系統(tǒng),從而導(dǎo)致更多潛在攻擊的可能性。
(5)系統(tǒng)的建設(shè)和部署缺乏信息安全考慮,信息系統(tǒng)自身存在大量漏洞,這些問題極易被黑客所利用,嚴(yán)重影響到信息系統(tǒng)的運行安全。
2.3 燃?xì)庑袠I(yè)信息安全成熟度
越來越多的燃?xì)馄髽I(yè)高層管理人員認(rèn)識到信息安全的重要性,但是無法了解企業(yè)自身信息安全所處的位置,不知道企業(yè)的信息安全未來發(fā)展之路如何走。參考信息安全控制最佳實踐CoBIT[3],可定義燃?xì)馄髽I(yè)信息安全成熟度級別為初始級、可重復(fù)級、已定義級、可管理級和已優(yōu)化級5個級別。初始級指企業(yè)信息安全管理流程不存在,或信息安全工作流程缺乏統(tǒng)籌安排;可重復(fù)級指信息安全管理流程遵循同定的模式;已定義級指信息安全體系已建立標(biāo)準(zhǔn)化的書面程序;可管理級指信息安全體系流程可監(jiān)控、可度量;已優(yōu)化級指信息安全工作流程自動化且持續(xù)優(yōu)化。
國內(nèi)絕大部分燃?xì)馄髽I(yè)信息安全現(xiàn)狀與北京燃?xì)庠谶M(jìn)行信息安全體系建設(shè)之前的狀況一樣,處于第一級即初始級;燃?xì)馄髽I(yè)的信息安全要達(dá)到一定的程度則信息安全成熟度必然要達(dá)到持續(xù)優(yōu)化的第4級,即已管理級。通過信息安全成熟度模型,企業(yè)能夠準(zhǔn)確的找到當(dāng)前所處的位置,未來企業(yè)信息安全期望達(dá)到的目標(biāo),以及企業(yè)未來信息安全的具體發(fā)展路線。
3 企業(yè)建立信息安全體系的思路和方法
3.1 傳統(tǒng)信息安全管理存在的誤區(qū)
為實現(xiàn)組織的信息安全,各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理的體系標(biāo)準(zhǔn),這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用,但從組織信息安全的各個角度和整個生命周期來考察,現(xiàn)有的信息安全管理體系與標(biāo)準(zhǔn)是不夠完備的,特別是忽略了組織中最活躍的因素——人的作用。
考察國內(nèi)外的各種信息安全事件,發(fā)現(xiàn)在信息安全事件表象后面其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復(fù)雜的組織信息系統(tǒng)安全性的。因此,組織為達(dá)到保護(hù)信息資產(chǎn)的目的,應(yīng)在“以人為本”的基礎(chǔ)上,充分利用等級保護(hù)、IS027000、IS020000、CoBIT等信息化控制標(biāo)準(zhǔn)與最佳實踐,制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。
3.2 信息安全管理體系模型
信息安全的建設(shè)是一個系統(tǒng)工程,需要對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的考慮、規(guī)劃和構(gòu)架,并要時時兼顧組織內(nèi)不斷發(fā)生的變化,任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅。
從宏觀的角度來看,信息安全可以由以下HTP模型來描述:人員與管理(Human and management)、技術(shù)與產(chǎn)品(Technology and products)、流程與體系(Process and frahiework)。見圖1。
?
其中人是信息安全最活躍的因素,人的行為是信息安全保障最主要的方面。人特別是內(nèi)部員工既可以是對信息系統(tǒng)的最大潛在威脅,也可以是最可靠的安全防線。統(tǒng)計結(jié)果表明,在所有的信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題,單憑技術(shù)是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。
以往的各種安全模型,其最大的缺陷是忽略了對人的因素的考慮,在信息安全問題上,要以人為本,人的因素比信息安全技術(shù)和產(chǎn)品的因素更重要。與人相關(guān)的安全問題涉及面很廣,從國家的角度考慮有法律、法規(guī)、政策問題;從組織角度考慮有企業(yè)信息安全治理結(jié)構(gòu)、安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計劃和業(yè)務(wù)持續(xù)性管理等問題;從個人角度來看有職業(yè)要求、個人隱私、行為學(xué)、心理學(xué)等問題。
在信息安全的技術(shù)防范措施上,可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全,但不應(yīng)把通過部署所有安全產(chǎn)品與技術(shù)而達(dá)到信息安全的零風(fēng)險為目標(biāo),安全成本太高,安全也就失去其意義。組織實現(xiàn)信息安全應(yīng)采用“適度防范”(Rightsizing)的原則,就是在風(fēng)險評估的前提下,引入恰當(dāng)?shù)目刂拼胧?,使組織的風(fēng)險降到可以接受的水平,保證組織業(yè)務(wù)的連續(xù)性和商業(yè)價值最大化就達(dá)到了安全的目的。
信息安全不是一個孤立靜止的概念,信息安全是一個多層面、多因素的、綜合的、動態(tài)的過程,管理學(xué)上的木桶原理能夠很好的說明信息安全各個環(huán)節(jié)之間的作用。
一方面,如果組織憑著一時的需要,想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品,都難免存在掛一漏萬、顧此失彼的問題,使得信息安全這只“木桶”出現(xiàn)若干“短木塊”,從而無法提高安全水平。正確的做法是遵循信息安全標(biāo)準(zhǔn)與最佳實踐過程,考慮組織對信息安全各個層面的實際需求,在風(fēng)險分析的基礎(chǔ)上引入恰當(dāng)控制,建立合理安全管理體系,從而保證組織賴以牛存的信息資產(chǎn)的安全。
另一方面,這個安全體系還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn),不能一勞永逸,一成不變。因此,實現(xiàn)信息安全是一個需要一個完整的體系來保證的持續(xù)過程。
3.3 建立信息安全管理HTP體系的方法[4]
此方法論由國內(nèi)著名的信息安全專家和IT治理專家陳偉提出,已被國內(nèi)許多銀行和央企采用。
3.3.1 HTP方法論框架
根據(jù)自頂向下,逐步求精的原則,根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求,首先要在組織中建立信息安全治理結(jié)構(gòu),對信息安全做出制度保證;然后綜合考察業(yè)務(wù)環(huán)境與IT環(huán)境,進(jìn)行風(fēng)險評估,做出信息安全計劃,建立并運行信息安全管理體系,初步達(dá)到粗粒度的信息安全;在完整的信息安全管理體系之上,建立“人力防火墻”與“技術(shù)防火墻”,在細(xì)粒度上保證信息安全;實施階段性的信息系統(tǒng)審計,在持續(xù)不斷的改進(jìn)過程中保證信息的安全性、完整性、可用性及有效性,從而建立一套完整的、健壯的信息安全防御體系。
3.3.2建立HTP體系的步驟
(1)在充分理解組織業(yè)務(wù)目標(biāo)、組織文件及信息安全的條件下,通過IS013335風(fēng)險分析方法,建立組織的信息安全基線(Security Baseline),對組織的安全現(xiàn)狀有一個清晰的了解,并可以為以后進(jìn)行安全控制績效分析提供一個評價基礎(chǔ)。
(2)根據(jù)安全基線分析報告,制定組織信息安全計劃,包括組織建設(shè)計劃、預(yù)算計劃和投資回報計劃。
(3)按照IS027000標(biāo)準(zhǔn)建立信息安全管理框架,完善粗粒度的信息安全過程。建立框架后,冉通過這種細(xì)粒度的安全措施一“技術(shù)防火墻”和“人力防火墻”,就有可能建立起完備的信息安全管理體系。
(4)重視信息安全中最活躍的因素——“人”,建立“人力防火墻”,實現(xiàn)從信息安全“最大威脅”到“最可靠防線”轉(zhuǎn)變,這樣才能真正調(diào)動組織中實現(xiàn)長治久安的內(nèi)在動力。
(5)根據(jù)風(fēng)險評估的結(jié)果,綜合利用各種信息安全技術(shù)與產(chǎn)品,以“適度防范”為原則,建立有效的“技術(shù)防火墻”,這是實現(xiàn)信息安全管理的可靠外部保證措施。
(6)實施階段性的信息系統(tǒng)審計,在持續(xù)不斷的改進(jìn)過程中保證信息安全性、完整性、可用性及有效性。
3.4 燃?xì)庑袠I(yè)信息安全體系建設(shè)方法
根據(jù)國內(nèi)燃?xì)庑袠I(yè)信息安全的現(xiàn)狀與特點,結(jié)合HTP信息安全體系建設(shè)方法論,下面提出燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法。
3.4.1燃?xì)庑袠I(yè)信息安全體系建設(shè)方法
如圖2所示。根據(jù)燃?xì)馄髽I(yè)的戰(zhàn)略目標(biāo)和風(fēng)險現(xiàn)狀,結(jié)合信息安全最佳實踐,滿足上級單位的監(jiān)管要求,兼顧燃?xì)馄髽I(yè)生產(chǎn)安全和信息安全的結(jié)合點——工控安全,在確保外包服務(wù)安全的前提下設(shè)計燃?xì)馄髽I(yè)的信息安全架構(gòu),并綜合燃?xì)馄髽I(yè)的戰(zhàn)略目標(biāo)和安全風(fēng)險規(guī)劃信息安全實施路線矧,此藍(lán)圖作為未來信息安全體系建設(shè)的指南。
?
在此基礎(chǔ)上考慮組織、制度、技術(shù)體系的建設(shè),實現(xiàn)HTP理論中“人力防火墻”和“技術(shù)防火墻”的目標(biāo),先試點運行并最終全面推廣,在此過程中應(yīng)充分結(jié)合當(dāng)前的環(huán)境推進(jìn)信息安全意識教育,樹立企業(yè)正確的信息安全文化。
在體系的建設(shè)和運行過程中應(yīng)充分考慮企業(yè)的風(fēng)險現(xiàn)狀,不斷提升和改進(jìn)企業(yè)的風(fēng)險管控措施,實現(xiàn)燃?xì)馄髽I(yè)的信息安全管理體系PDCA循序漸進(jìn)的過程。在整個體系的設(shè)計、規(guī)劃、建設(shè)以及運行過程中應(yīng)保持各部門各單位之間的有效溝通和協(xié)調(diào),保證體系的正常運行,并不斷監(jiān)控體系實施過程中的狀況,防止與業(yè)務(wù)目標(biāo)的偏離,提升燃?xì)馄髽I(yè)信息安全體系的保障能力。
3.4.2燃?xì)庑袠I(yè)信息安全體系建設(shè)步驟
燃?xì)庑袠I(yè)信息安全體系的建設(shè)建議按以下5個步驟進(jìn)行:
(1)現(xiàn)狀調(diào)研和風(fēng)險評估;
(2)架構(gòu)設(shè)計和藍(lán)圖規(guī)劃;
(3)信息安全體系建設(shè);
(4)信息安全意識培訓(xùn);
(5)信息安全體系優(yōu)化。
3.4.3燃?xì)庑袠I(yè)信息安全架構(gòu)設(shè)計
信息安全架構(gòu)是對信息安全治理機(jī)制的高度概括,從信息安全目標(biāo)和方針、信息安全策略,到信息安全管理工作的分解,再到信息安全管理工作如何開展,提出了方向性和原則性指導(dǎo)意見。
在信息安全架構(gòu)(見圖3)中,設(shè)置信息安全目標(biāo)和信息安全方針作為安全架構(gòu)的核心;為實現(xiàn)信息安全目標(biāo)和方針,需要構(gòu)建信息安全域,不同企業(yè)構(gòu)建的信息安全域的情況可能會不一樣;最后再通過3個體系來保證信息安全域的實施和落地。
?
在構(gòu)建燃?xì)庑袠I(yè)的信息安全架構(gòu)時應(yīng)充分利用等級保護(hù)、ISO27000、ISO20000、CoBIT等信息化控制標(biāo)準(zhǔn)與最佳實踐,制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全架構(gòu)。