NSC2015王廣清:燃氣行業信息安全體系建設
責編:penggao |2015-07-06 11:03:16北京燃氣集團信息檔案中心總工程師王廣清王總,他分享的主題是燃氣行業信息安全體系建設,掌聲有請。
王廣清:感謝主持人,各位專家各位朋友下午好!我是北京燃氣信息檔案中心的總工,也是北大CIO18屆的學員。非常高興有這樣的機會和大家交流,我演講的題目是燃氣行業信息安全體系建設,主要是將我們企業在信息安全方面的經驗進行了整理,與大家進行分享,希望對大家有所啟發。
不知道在座的各位有多少是在企業負責信息安全工作的,或者做著與信息安全相關工作的?因為我可能是講企業信息安全的一些事情。我們有一個微信公眾號,這里面有一些信息安全的知識,大家可以關注。我的演講的內容包含三個方面:燃氣行業信息安全的現狀及存在問題。燃氣行業信息安全體系建設方法。最后介紹一下我們企業信息安全的實踐。
由于城鎮化和PM2.5的原因,國內天然氣業務發展這幾年高速增長,就北京燃氣為例,2014年底我們的用戶500萬戶,年用氣量達到100億,北京也是全球第四個年用氣量超過100億的城市。所以,業務高速的發展,要求我們的信息化對業務安全能夠支撐,倒逼我們的信息化快速的發展。我們再看一下安全形勢。外部的安全形勢非常嚴峻,前面各位專家提到了各種安全事件,斯諾登和震網等等,這些安全事件都給我們敲響了安全的警鐘。
據歐洲信息安全統計,黑客們越來越針對國家的基礎設施進行攻擊。2012年受到攻擊最多的行業是能源行業占41%,供水15%,2013年有一個數據關于工控的安全事件顯示受到攻擊最多的還是能源行業,大概是59%,可想而知外部的安全形勢非常嚴峻,黑客們越來越針對一些國家的基礎設施和公用設施來進行攻擊。
我們看一下燃氣行業信息的特點。這幾年燃氣業務的快速發展,我們燃氣企業已經建設了相應的信息系統,涵蓋了生產運營領域,比如SCADA系統,我們的市場營銷領域,比如我們用戶系統還有客服系統,還有? 經營管理的領域ERP等等,這些系統基本都已經建成了。燃氣行業信息化存在著一些問題,或者說有這樣一些特點。
第一,它的孤島效應比較明顯,系統之間雖然建成了,但系統間的互聯互通比較少。第二,信息化綜合管控能力比較弱。第三,我們信息化更多的還是有賴于第三方。第四,工業體系的安全核心在轉變。這句話什么意思呢?以前更多的是關注工控的物理安全,但現在更多的是往信息安全方面轉變。
燃氣行業信息安全的現狀又是什么樣呢?作為傳統的能源企業,燃氣企業對信息化的認識和適應性普遍偏低,對信息安全這塊相對陌生,缺乏主動、完整、有效的信息安全保障機制。在具體的幾個方面,組織方面,信息安全隊伍能力不足,信息安全重視程度不夠,信息安全職責不清。在制度方面,我們信息安全處理更多是事件型的,發生事件我們應急和響應。我們的管控體系缺乏體系化,零零碎碎的。更多的安全策略要讓位于業務為先,而不是安全為先,這是制度層面存在的問題。在技術層面,我們也建設了一些安全系統,但一樣有孤島效應,沒有形成聯動。我們整個邊界控制相對比較薄弱也比較模糊,特別是工控系統互聯性提升以后,就存在大量的潛在被攻擊的危險,這些都是目前燃氣行業信息化和信息安全方面存在的一些問題。
所以,燃氣企業本身存在著信息安全問題,所謂內部驅動力還有我來自于外部的威脅,以及來自于監管的壓力,都要求燃氣企業盡快建設信息安全體系。燃氣企業的信息安全體系究竟怎么來建設呢?接下來我就將我們在建設信息安全體系過程中的一些經驗和方法進行整理,提出了燃氣行業信息安全體系的建設方法,供燃氣企業和燃氣行業的其他企業進行參考。當然這個方法如果你作為一個企業的信息安全負責人的話,實際上也有一些借鑒意義。特別是里面一些具體的做法,大家可以有好多參考價值。
下面我來介紹我們整理的燃氣行業的信息安全體系的建設方法。
首先,我們采用的信息安全管理體系的模型和框架,叫做HTP信息安全模型。HTP是包含人員、管理,外面是技術和產品,最外面是流程和體系。這里面最核心的是說模型強調以人為本,人是最核心的,后面也會提到,除了我的技術防火墻之外,我還有人力防火墻,主要是和這個模型相對應起來的。我們這個模型有一個方法論框架,它是這樣一個步驟,我們是采用自頂向下逐步求精的原則,根據組織的業務目標和安全要求,首先在組織建立信息安全的治理結構,就是最上面這塊。然后對信息安全做出制度保證,綜合考察企業的業務環境和IT環境,進行風險評估,做出信息安全的一個計劃,建立并運行信息安全的管理體系。這個管理體系是一個粗的保證,是一個粗力度的信息安全的保障。在此之上,我們建立一個所謂的人力防火墻和一個技術防火墻,這兩個防火墻來保證信息安全。我們相應的還有信息安全的審計,在持續不斷的改進過程中保證信息安全的安全性、完整性、可用性、有效性,建立一套完整的信息安全體系,這是方法論的框架,首先是這樣一個模型,有這樣一個框架,這是我們建設信息安全體系采用的一些理論知識。
這張是我們整理了燃氣行業信息安全體系的建設方法。上面是一些輸入,下面是一些輸出。輸入是你要考慮企業信息安全戰略,企業面臨的信息安全風險,我們要借鑒最佳的信息安全實踐,比如COPET(音)、我們要考慮上級部門的監管要求,在燃氣行業你要重點考慮外包的安全和工控的安全,這些作為輸入我們產生了這些輸出,首先我們要制定和設計信息安全的架構,我們要制定整個企業信息安全的藍圖,我們進行信息安全體系的建設。這個體系制定了之后,我們采取先試點再逐步推廣的方式在整個企業進行推開,這是我們整個整理的信息安全體系的建設方法。在信息安全體系里,有重要的一個部分,就是整個企業信息安全架構的設計。信息安全架構是對信息安全治理機制的高度的概括,從信息安全目標和方針,信息安全的策略到信息安全的管理工作的分解,再到信息安全管理工作如何開展提出了方向性和原則性的指導意見。在信息安全的架構中,目標和方針作為信息安全的核心,構建不同的信息安全域,不同的企業構件的信息安全域不一樣,你要根據企業具體的情況來看信息安全域具體有哪些,每一部分又包含哪幾項。最后通過制度體系、組織體系和技術體系來保證你的信息安全域的落地。
在構建安全域的時候,我們要參考一些最佳設計、規章制度、等級保護等國內外的信息安全的最佳實踐,要充分考慮企業信息安全風險評估,戰略驅動和監管要求等內容,裁剪出適合企業特點的信息安全體系架構。這里面強調了,你最后做的時候不是把這套國際標準照搬過來,一定要參考自己的最佳實踐,針對企業的戰略和你面臨的風險、監管的要求,最后裁剪出適合你自己的安全域。
制定了信息安全的架構后我們開始信息安全體系的建設,包括組織體系、制度體系和技術體系。我們這三個體系所謂的組織體系定職責,在一個企業里首先要把組織體系定出來,說明整個這件事情各個部門要負責什么。第二部分是制度體系定依據,做某一件事情你的依據是什么。第三,技術體系定保證,你采取哪些技術方法來保證企業的信息安全。這是整個信息安全體系的三個部分,組織體系、制度體系和技術體系。
前面是把燃氣行業信息安全體系的建設方法做了簡單的介紹,比較枯燥。接下來介紹一下這個方法在我們北京燃氣的實踐應用的具體情況。
我們按照前面的介紹方法把整個項目分成了六個階段,基本和前面對應起來,每個階段也對應了具體的相應工作。這六個階段從前期的啟動到現狀調研、風險評估,到我們信息安全架構的設計,到安全的規劃,最后是體系的建設。體系建設的后期還有體系的評審和發布等等相關的工作。這是我們北京燃氣在建設信息安全體系時的整個的建設步驟。
這是北京燃氣的信息安全架構,信息安全架構是信息安全體系中比較重要的一項工作,在整體架構中要設置好信息安全的目標和方針,為了實現這個目標和方針,我們構建了五個安全域,分別是體系管控域、建設安全域、運維安全域、應急保障域、基礎支撐域。最后我們通過三個體系,前面也提到了,制度體系、組織體系和技術體系,來保證五大安全域的落地。這是我們針對北京燃氣的實際情況,我們制定了信息安全的一個架構。
我們在體系建設過程中還對企業未來三到五年,信息安全的建設思路進行了規劃,建設藍圖進行了規劃,確定了企業安全總體方針,規劃了短期和長期的一個安全的建設目標,這也是在安全體系規劃里要做的事情。
下面我們再來看一下安全體系里面的三個體系,制度體系、組織體系和技術體系具體的內容。
這張是組織保障體系的內容。實際上也是信息安全體系的一個核心,是信息安全戰略落地的保障,沒有人是做不了的。在我們的組織保障體系里,我們包含相應的領導層,管理層和執行層,還有第三方的監督和審計。在一個企業里面,信息安全的工作不能僅僅落在信息中心這一個部門身上,所以,你一定要把相關的部門和領導放在這個體系里面去,把大家一起拉過來干這個事情,所以這是很重要的。而且我們設立了日常的一個管理機構,定期的開會,讓組織體系里面各個部門各司其則,組織體系真正的運作起來,這是在信息安全體系制定的時候一個重要的工作,一定不是說信息中心一個部門在唱獨角戲,或信息安全中心下的一個部門在唱獨角戲,一定是企業相關部門都放進來,一起做這個事情,這個事情才能做成。
我們再來看一下在我們信息安全體系里的一個制度保障體系。制度保障體系主要包含我們的一些安全策略方針,信息安全管理域的具體管理要求,為我們企業提供信息安全的控制依據。自主體系包括四級文件,最開始的安全管理規定、管理辦法、管理標準和規范,以及最后的表單和操作手冊。每個企業我想這是很重要的一項工作,一個企業的信息安全肯定要有相關的制度,這個制度也不是一個制度,它一定是分級分層的制度,有頂層制度還有下面具體管理的辦法,還有管理的標準和規范,具體到標準的表單,這是分層分級的工作。隨著企業信息安全的深入,制度體系還在不斷的完善,涉及到企業信息安全的方方面面。
這是我們制度體系里的一個頂層制度,就是信息安全的管理規定。這個管理規定應該是在整個企業里屬于信息安全的最重要的制度,它是頂層的制度,再下面的管理辦法是一層層往下分的。在管理規定里我們包含了方針、原則和組織治理,我們的風險管理和具體到我們信息化基礎設施的管理,我們信息系統的管理,供應商和人員的管理,這是一個早期版本,后來我們還增加了安全事件處理和應急管理,最后就是監督檢查和改進。
這是我們企業信息安全管理規定中的內容。我們簡單說一下方針和原則這方面。這實際上是比較重要的,在燃氣企業信息安全工作以風險評估為依據,抓住信息安全工作要點,將信息安全工作落實到信息安全全生命周期中,與信息安全系統同步規劃、同步建設、同步運行,三個同步,信息安全不是說后期我來做一些事情,一定是和你信息安全系統同步規劃,同步建設和同步運行,實現信息安全的全面的防御,這就是第一點,我們的重點突出和全面防御相結合的原則。
我們還有其他兩個原則,比如風險管理和持續改進,信息安全的事情也不是說你建了一些防火墻,買了一些安全設備,放在那里就萬事大吉,高枕無憂了,一定是持續改進的。而且隨著工具技術不斷的提高,所以你的企業面臨的風險如果不改進遇到的問題就會越來越多。
第三,我們的技術體系和管理體系相結合。不僅僅是技術和產品,我們在安全的模型里面,強調管理,強調人,強調以人為本,所以,在我們的信息安全管理規定中,一開始我們就把這些原則制定出來,這些原則確定了你整個企業信息安全,怎么往下走,你的安全戰略和安全的方針究竟是什么樣的,所以這是很重要的。
我們再介紹一下信息安全體系里面的技術保障體系。我們建立了所謂的五縱五橫的技術保障體系,實現了從物理環境到終端數據的安全控制,建立了一個事前防御,事中監控和事后恢復的相關機制。而且我們采用不同防護技術,如身份論證,訪問控制、內容安全、監控審計和備份恢復等不同的防護技術,形成一個信息安全的合力,形成信息資產的安全保護,對企業各類信息資產的形成有效的差異化的精細化的防護,這是我們制定的信息安全保障體系。
信息安全技術這塊要講的東西特別多,由于時間的關系,我就不一一展開了,但是我就講一點,隨著這個技術的發展,我們現在也在搭建大數據平臺,對整個企業的安全日志進行分析。我們搭建這樣一個Hadoop平臺,收集企業所有的日志,來自我的網絡設備、安全設備、來自于我互聯網入口、企業流量鏡像,來自于各種日志,我們對這些日志采集過來進行收集,進行相關訪問行為的統計和相關的告警,我想這個是未來很多企業應該做的,特別是一些大中型企業推薦大家應該做的一件事情。
前面把信息安全體系的制度體系、組織體系和技術體系作了介紹,下面就是講一下與HTP模型相對應,我們要建立以人為本的信息安全的培訓體系。所以我們在安全體系建設過程中,特別重視各個層面員工所需要的信息安全知識、技能和意識的培養。這里面包括我們搭建階梯化的信息安全培訓體系,對全員進行信息安全意識宣灌,對員工進行持續的信息安全的宣灌。這一點非常重要,在一個企業里面你要建立信息安全培訓體系,要持續對員工進行信息安全的宣灌,這是非常重要的。
我再講一下我們通過信息安全周來強化信息安全意識的宣傳。我們在每年6月份要舉行信息安全周,截至目前已經舉行了三屆,在信息安全周我們采取多種安全形式。信息安全周五天,每天有不同的宣傳的主題,這是五個特色的宣傳日,經過這三年的宣傳來看,我們取得了很好的宣傳效果。我今天來參會之前,我剛才看到今天人大通過了國家安全法,確定每年的4月15號是國家的安全日,我國到今年為止也舉行了兩屆信息安全周,我們比國家早了一屆,我們舉行了三屆。所以,信息安全周,根據我們的體會這實際上是企業很好的手段,通過信息安全周可以強化全體員工的信息安全意識,加強對全體員工信息安全意識的宣傳,所以信息安全周對企業的宣傳非常有意義,在座企業的信息安全的負責人可以參考。
我們的信息安全周的宣傳形式多種多樣,我們包含微信、視頻、OA、海報、手冊、貼圖、易拉寶等十多種宣傳形式。而且我們在信息安全周之后,我們對我們的宣傳效果會進行評估,我們目前的評估結果來看,到目前為止,我們基本上宣傳達到了全集團50%的覆蓋,未來的目標希望全員能夠覆蓋,而且這項工作是一個持續性的工作。
我們也利用微信加強信息安全意識的宣傳,這是我前面提到的,我們微信的公眾號。在看天下下面有一個安全常識欄目,大家如果點擊進去會有一個信息安全意識的宣傳手冊。我們以前把這個宣傳手冊做成紙質版的,今年我們做成電子版的,用H5的技術每個員工都可以下載保存在手機上隨時看,很好的資料,里面的內容也比較多,除了那里邊的Logo是我們的,那些內容你們都可以參考。
因為安全周舉行了已經三屆,我有一點體會,安全周的效果和重點在于策劃。實際上我們的安全周6月底舉行,這次是6月23號到29號剛剛舉行,我們的整個策劃就花了兩個月的時間,所以,這里面所有的剛才各種各樣的宣傳形式,每一塊的內容你都要去策劃和確定。因為你的企業里面安全周的話,你要確定宣傳的對象是誰。最開始我們有安全知識競賽,我們認為我們的用戶和對象就是那些競賽的選手,但后來我們發現,去年舉行的時候并不好,臺上在競賽,臺下的員工在玩其他的,覺得臺上的題目太高大上了,與他們的工作差很遠。今年我們就改變了,我們競賽的不僅僅是臺上的那部分用戶,更多的是我們臺下的幾百位領導,全集團相關的員工,我們把整個題目的難度降低了,競賽的形式活潑多樣了,讓全體臺下的員工都能進行參與,都有陽關的獎品,所以,我們的員工還有微信互動,我們的員工就說有獎品的活動才是好活動。整個活動大家參與度都非常好。所以,這一點也是我們的經驗,我們的用戶是誰?不僅僅是臺上的選手,而是我們全體來參加會議的領導和相關的員工,而且信息安全周的效果重點在于策劃。
最后我講一下,因為我在集團負責信息安全工作,責任比較重大,我個人感覺也是如臨深淵,如履薄冰,在座如果有負責信息安全的我們可能有共鳴。如何把企業信息安全工作做好,我們現在把整個企業信息安全的所有的工作細化到日常工作中,像全年的信息安全的相關工作進行梳理,落實到每個季度,每個月每一天,重視信息安全體系的PDCA的循環和信息安全的日常運維,這是我現在的一些感觸。信息安全絕對不是說建一個體系或者買一些安全設備,一定是一個PDCA的循環,一定是在每一天每一個月每一個季度,日常的信息安全運維工作中。我們把全年的信息安全工作進行了仔細的梳理和分解,分解到每個月每一天。我們有整個信息安全管理體系的PDCA的循環,我們有全年安全系統的建設,我們還有日常的信息安全的運維和事件的應急等等,在運維方面我們也有第三方的運營廠商駐廠運維,包括我們所有日常事件的處理和所有上線系統日常的檢測,包括我們所有的信息系統定期的安全評估,幫助我們建立相關的信息安全制度,這些我們都可以讓我們的安全運維廠商幫我們一起做。
我們做的過程中發現應用安全這塊是比較難以管理的,我們上線了一些系統發現安全開發廠商這方面的技術比較薄弱,開發了很多互聯網的應用,很多都存在CQL注入、跨境和跨站的一些漏洞。現在我們從源頭開始做起我們在招標文件中提出對信息系統安全建設的需求,我們和開發廠商制定了安全上線的規范,我們在上線前定律了安全檢測,我們定期對安全系統進行評估,只有這樣一系列的政策才能確保信息系統的安全,這里面還有很多,比如帳號的安全和數據的安全對企業都是很大的問題。
通過信息安全的體系的建設,我們在四個方面都有相關的受益,時間關系我不一一說了,包括對信息安全的現狀和風險我們進行了詳細的了解,對一些風險進行了整改,我們對安全架構進行了分析,對安全進行了對話,我們建立了整個企業信息安全的管理體系,我們對我們的人員進行意志和技能的培養,通過這些佛教我們整體提升信息安全管控能力,這是我們整體信息安全的收益。
講了這么多,我希望大家記住三張圖,第一張圖是外部的安全形勢非常嚴峻,信息安全要做到的事情千頭萬緒。對于大中心企業來說,我建議你們先從信息安全體系入手,有相關的組織體系、技術體系和制度體系,組織體系定職責,制度體系定做事的依據,技術體系做相關的保證。第二張圖是說我們建議通過信息安全周的形勢來強化信息安全意識的宣傳,信息安全周的目的是進行人防和機防結合,針對員工薄弱的這塊,我們通過信息安全周提升企業整體信息安全意識,信息安全周有很多的活動,想要取得好的效果就要進行詳細的策劃。信息安全要有一顆敬畏之心,要建立信息安全日常的工作機制,將信息安全落實到每一日的工作中。
我的演講就到這里,謝謝各位。