NSC2015王广清:燃气行业信息安全体系建设

北京燃气集团信息档案中心总工程师王广清王总,他分享的主题是燃气行业信息安全体系建设,掌声有请。

王广清:感谢主持人,各位专家各位朋友下午好!我是北京燃气信息档案中心的总工,也是北大CIO18届的学员。非常高兴有这样的机会和大家交流,我演讲的题目是燃气行业信息安全体系建设,主要是将我们企业在信息安全方面的经验进行了整理,与大家进行分享,希望对大家有所启发。

不知道在座的各位有多少是在企业负责信息安全工作的,或者做着与信息安全相关工作的?因为我可能是讲企业信息安全的一些事情。我们有一个微信公众号,这里面有一些信息安全的知识,大家可以关注。我的演讲的内容包含三个方面:燃气行业信息安全的现状及存在问题。燃气行业信息安全体系建设方法。最后介绍一下我们企业信息安全的实践。

由于城镇化和PM2.5的原因,国内天然气业务发展这几年高速增长,就北京燃气为例,2014年底我们的用户500万户,年用气量达到100亿,北京也是全球第四个年用气量超过100亿的城市。所以,业务高速的发展,要求我们的信息化对业务安全能够支撑,倒逼我们的信息化快速的发展。我们再看一下安全形势。外部的安全形势非常严峻,前面各位专家提到了各种安全事件,斯诺登和震网等等,这些安全事件都给我们敲响了安全的警钟。

据欧洲信息安全统计,黑客们越来越针对国家的基础设施进行攻击。2012年受到攻击最多的行业是能源行业占41%,供水15%,2013年有一个数据关于工控的安全事件显示受到攻击最多的还是能源行业,大概是59%,可想而知外部的安全形势非常严峻,黑客们越来越针对一些国家的基础设施和公用设施来进行攻击。

我们看一下燃气行业信息的特点。这几年燃气业务的快速发展,我们燃气企业已经建设了相应的信息系统,涵盖了生产运营领域,比如SCADA系统,我们的市场营销领域,比如我们用户系统还有客服系统,还有  经营管理的领域ERP等等,这些系统基本都已经建成了。燃气行业信息化存在着一些问题,或者说有这样一些特点。

第一,它的孤岛效应比较明显,系统之间虽然建成了,但系统间的互联互通比较少。第二,信息化综合管控能力比较弱。第三,我们信息化更多的还是有赖于第三方。第四,工业体系的安全核心在转变。这句话什么意思呢?以前更多的是关注工控的物理安全,但现在更多的是往信息安全方面转变。

燃气行业信息安全的现状又是什么样呢?作为传统的能源企业,燃气企业对信息化的认识和适应性普遍偏低,对信息安全这块相对陌生,缺乏主动、完整、有效的信息安全保障机制。在具体的几个方面,组织方面,信息安全队伍能力不足,信息安全重视程度不够,信息安全职责不清。在制度方面,我们信息安全处理更多是事件型的,发生事件我们应急和响应。我们的管控体系缺乏体系化,零零碎碎的。更多的安全策略要让位于业务为先,而不是安全为先,这是制度层面存在的问题。在技术层面,我们也建设了一些安全系统,但一样有孤岛效应,没有形成联动。我们整个边界控制相对比较薄弱也比较模糊,特别是工控系统互联性提升以后,就存在大量的潜在被攻击的危险,这些都是目前燃气行业信息化和信息安全方面存在的一些问题。

所以,燃气企业本身存在着信息安全问题,所谓内部驱动力还有我来自于外部的威胁,以及来自于监管的压力,都要求燃气企业尽快建设信息安全体系。燃气企业的信息安全体系究竟怎么来建设呢?接下来我就将我们在建设信息安全体系过程中的一些经验和方法进行整理,提出了燃气行业信息安全体系的建设方法,供燃气企业和燃气行业的其他企业进行参考。当然这个方法如果你作为一个企业的信息安全负责人的话,实际上也有一些借鉴意义。特别是里面一些具体的做法,大家可以有好多参考价值。

下面我来介绍我们整理的燃气行业的信息安全体系的建设方法。

首先,我们采用的信息安全管理体系的模型和框架,叫做HTP信息安全模型。HTP是包含人员、管理,外面是技术和产品,最外面是流程和体系。这里面最核心的是说模型强调以人为本,人是最核心的,后面也会提到,除了我的技术防火墙之外,我还有人力防火墙,主要是和这个模型相对应起来的。我们这个模型有一个方法论框架,它是这样一个步骤,我们是采用自顶向下逐步求精的原则,根据组织的业务目标和安全要求,首先在组织建立信息安全的治理结构,就是最上面这块。然后对信息安全做出制度保证,综合考察企业的业务环境和IT环境,进行风险评估,做出信息安全的一个计划,建立并运行信息安全的管理体系。这个管理体系是一个粗的保证,是一个粗力度的信息安全的保障。在此之上,我们建立一个所谓的人力防火墙和一个技术防火墙,这两个防火墙来保证信息安全。我们相应的还有信息安全的审计,在持续不断的改进过程中保证信息安全的安全性、完整性、可用性、有效性,建立一套完整的信息安全体系,这是方法论的框架,首先是这样一个模型,有这样一个框架,这是我们建设信息安全体系采用的一些理论知识。

这张是我们整理了燃气行业信息安全体系的建设方法。上面是一些输入,下面是一些输出。输入是你要考虑企业信息安全战略,企业面临的信息安全风险,我们要借鉴最佳的信息安全实践,比如COPET(音)、我们要考虑上级部门的监管要求,在燃气行业你要重点考虑外包的安全和工控的安全,这些作为输入我们产生了这些输出,首先我们要制定和设计信息安全的架构,我们要制定整个企业信息安全的蓝图,我们进行信息安全体系的建设。这个体系制定了之后,我们采取先试点再逐步推广的方式在整个企业进行推开,这是我们整个整理的信息安全体系的建设方法。在信息安全体系里,有重要的一个部分,就是整个企业信息安全架构的设计。信息安全架构是对信息安全治理机制的高度的概括,从信息安全目标和方针,信息安全的策略到信息安全的管理工作的分解,再到信息安全管理工作如何开展提出了方向性和原则性的指导意见。在信息安全的架构中,目标和方针作为信息安全的核心,构建不同的信息安全域,不同的企业构件的信息安全域不一样,你要根据企业具体的情况来看信息安全域具体有哪些,每一部分又包含哪几项。最后通过制度体系、组织体系和技术体系来保证你的信息安全域的落地。

在构建安全域的时候,我们要参考一些最佳设计、规章制度、等级保护等国内外的信息安全的最佳实践,要充分考虑企业信息安全风险评估,战略驱动和监管要求等内容,裁剪出适合企业特点的信息安全体系架构。这里面强调了,你最后做的时候不是把这套国际标准照搬过来,一定要参考自己的最佳实践,针对企业的战略和你面临的风险、监管的要求,最后裁剪出适合你自己的安全域。

制定了信息安全的架构后我们开始信息安全体系的建设,包括组织体系、制度体系和技术体系。我们这三个体系所谓的组织体系定职责,在一个企业里首先要把组织体系定出来,说明整个这件事情各个部门要负责什么。第二部分是制度体系定依据,做某一件事情你的依据是什么。第三,技术体系定保证,你采取哪些技术方法来保证企业的信息安全。这是整个信息安全体系的三个部分,组织体系、制度体系和技术体系。

前面是把燃气行业信息安全体系的建设方法做了简单的介绍,比较枯燥。接下来介绍一下这个方法在我们北京燃气的实践应用的具体情况。

我们按照前面的介绍方法把整个项目分成了六个阶段,基本和前面对应起来,每个阶段也对应了具体的相应工作。这六个阶段从前期的启动到现状调研、风险评估,到我们信息安全架构的设计,到安全的规划,最后是体系的建设。体系建设的后期还有体系的评审和发布等等相关的工作。这是我们北京燃气在建设信息安全体系时的整个的建设步骤。

这是北京燃气的信息安全架构,信息安全架构是信息安全体系中比较重要的一项工作,在整体架构中要设置好信息安全的目标和方针,为了实现这个目标和方针,我们构建了五个安全域,分别是体系管控域、建设安全域、运维安全域、应急保障域、基础支撑域。最后我们通过三个体系,前面也提到了,制度体系、组织体系和技术体系,来保证五大安全域的落地。这是我们针对北京燃气的实际情况,我们制定了信息安全的一个架构。

我们在体系建设过程中还对企业未来三到五年,信息安全的建设思路进行了规划,建设蓝图进行了规划,确定了企业安全总体方针,规划了短期和长期的一个安全的建设目标,这也是在安全体系规划里要做的事情。

下面我们再来看一下安全体系里面的三个体系,制度体系、组织体系和技术体系具体的内容。

这张是组织保障体系的内容。实际上也是信息安全体系的一个核心,是信息安全战略落地的保障,没有人是做不了的。在我们的组织保障体系里,我们包含相应的领导层,管理层和执行层,还有第三方的监督和审计。在一个企业里面,信息安全的工作不能仅仅落在信息中心这一个部门身上,所以,你一定要把相关的部门和领导放在这个体系里面去,把大家一起拉过来干这个事情,所以这是很重要的。而且我们设立了日常的一个管理机构,定期的开会,让组织体系里面各个部门各司其则,组织体系真正的运作起来,这是在信息安全体系制定的时候一个重要的工作,一定不是说信息中心一个部门在唱独角戏,或信息安全中心下的一个部门在唱独角戏,一定是企业相关部门都放进来,一起做这个事情,这个事情才能做成。

我们再来看一下在我们信息安全体系里的一个制度保障体系。制度保障体系主要包含我们的一些安全策略方针,信息安全管理域的具体管理要求,为我们企业提供信息安全的控制依据。自主体系包括四级文件,最开始的安全管理规定、管理办法、管理标准和规范,以及最后的表单和操作手册。每个企业我想这是很重要的一项工作,一个企业的信息安全肯定要有相关的制度,这个制度也不是一个制度,它一定是分级分层的制度,有顶层制度还有下面具体管理的办法,还有管理的标准和规范,具体到标准的表单,这是分层分级的工作。随着企业信息安全的深入,制度体系还在不断的完善,涉及到企业信息安全的方方面面。

这是我们制度体系里的一个顶层制度,就是信息安全的管理规定。这个管理规定应该是在整个企业里属于信息安全的最重要的制度,它是顶层的制度,再下面的管理办法是一层层往下分的。在管理规定里我们包含了方针、原则和组织治理,我们的风险管理和具体到我们信息化基础设施的管理,我们信息系统的管理,供应商和人员的管理,这是一个早期版本,后来我们还增加了安全事件处理和应急管理,最后就是监督检查和改进。

这是我们企业信息安全管理规定中的内容。我们简单说一下方针和原则这方面。这实际上是比较重要的,在燃气企业信息安全工作以风险评估为依据,抓住信息安全工作要点,将信息安全工作落实到信息安全全生命周期中,与信息安全系统同步规划、同步建设、同步运行,三个同步,信息安全不是说后期我来做一些事情,一定是和你信息安全系统同步规划,同步建设和同步运行,实现信息安全的全面的防御,这就是第一点,我们的重点突出和全面防御相结合的原则。

我们还有其他两个原则,比如风险管理和持续改进,信息安全的事情也不是说你建了一些防火墙,买了一些安全设备,放在那里就万事大吉,高枕无忧了,一定是持续改进的。而且随着工具技术不断的提高,所以你的企业面临的风险如果不改进遇到的问题就会越来越多。

第三,我们的技术体系和管理体系相结合。不仅仅是技术和产品,我们在安全的模型里面,强调管理,强调人,强调以人为本,所以,在我们的信息安全管理规定中,一开始我们就把这些原则制定出来,这些原则确定了你整个企业信息安全,怎么往下走,你的安全战略和安全的方针究竟是什么样的,所以这是很重要的。

我们再介绍一下信息安全体系里面的技术保障体系。我们建立了所谓的五纵五横的技术保障体系,实现了从物理环境到终端数据的安全控制,建立了一个事前防御,事中监控和事后恢复的相关机制。而且我们采用不同防护技术,如身份论证,访问控制、内容安全、监控审计和备份恢复等不同的防护技术,形成一个信息安全的合力,形成信息资产的安全保护,对企业各类信息资产的形成有效的差异化的精细化的防护,这是我们制定的信息安全保障体系。

信息安全技术这块要讲的东西特别多,由于时间的关系,我就不一一展开了,但是我就讲一点,随着这个技术的发展,我们现在也在搭建大数据平台,对整个企业的安全日志进行分析。我们搭建这样一个Hadoop平台,收集企业所有的日志,来自我的网络设备、安全设备、来自于我互联网入口、企业流量镜像,来自于各种日志,我们对这些日志采集过来进行收集,进行相关访问行为的统计和相关的告警,我想这个是未来很多企业应该做的,特别是一些大中型企业推荐大家应该做的一件事情。

前面把信息安全体系的制度体系、组织体系和技术体系作了介绍,下面就是讲一下与HTP模型相对应,我们要建立以人为本的信息安全的培训体系。所以我们在安全体系建设过程中,特别重视各个层面员工所需要的信息安全知识、技能和意识的培养。这里面包括我们搭建阶梯化的信息安全培训体系,对全员进行信息安全意识宣灌,对员工进行持续的信息安全的宣灌。这一点非常重要,在一个企业里面你要建立信息安全培训体系,要持续对员工进行信息安全的宣灌,这是非常重要的。

我再讲一下我们通过信息安全周来强化信息安全意识的宣传。我们在每年6月份要举行信息安全周,截至目前已经举行了三届,在信息安全周我们采取多种安全形式。信息安全周五天,每天有不同的宣传的主题,这是五个特色的宣传日,经过这三年的宣传来看,我们取得了很好的宣传效果。我今天来参会之前,我刚才看到今天人大通过了国家安全法,确定每年的4月15号是国家的安全日,我国到今年为止也举行了两届信息安全周,我们比国家早了一届,我们举行了三届。所以,信息安全周,根据我们的体会这实际上是企业很好的手段,通过信息安全周可以强化全体员工的信息安全意识,加强对全体员工信息安全意识的宣传,所以信息安全周对企业的宣传非常有意义,在座企业的信息安全的负责人可以参考。

我们的信息安全周的宣传形式多种多样,我们包含微信、视频、OA、海报、手册、贴图、易拉宝等十多种宣传形式。而且我们在信息安全周之后,我们对我们的宣传效果会进行评估,我们目前的评估结果来看,到目前为止,我们基本上宣传达到了全集团50%的覆盖,未来的目标希望全员能够覆盖,而且这项工作是一个持续性的工作。

我们也利用微信加强信息安全意识的宣传,这是我前面提到的,我们微信的公众号。在看天下下面有一个安全常识栏目,大家如果点击进去会有一个信息安全意识的宣传手册。我们以前把这个宣传手册做成纸质版的,今年我们做成电子版的,用H5的技术每个员工都可以下载保存在手机上随时看,很好的资料,里面的内容也比较多,除了那里边的Logo是我们的,那些内容你们都可以参考。

因为安全周举行了已经三届,我有一点体会,安全周的效果和重点在于策划。实际上我们的安全周6月底举行,这次是6月23号到29号刚刚举行,我们的整个策划就花了两个月的时间,所以,这里面所有的刚才各种各样的宣传形式,每一块的内容你都要去策划和确定。因为你的企业里面安全周的话,你要确定宣传的对象是谁。最开始我们有安全知识竞赛,我们认为我们的用户和对象就是那些竞赛的选手,但后来我们发现,去年举行的时候并不好,台上在竞赛,台下的员工在玩其他的,觉得台上的题目太高大上了,与他们的工作差很远。今年我们就改变了,我们竞赛的不仅仅是台上的那部分用户,更多的是我们台下的几百位领导,全集团相关的员工,我们把整个题目的难度降低了,竞赛的形式活泼多样了,让全体台下的员工都能进行参与,都有阳关的奖品,所以,我们的员工还有微信互动,我们的员工就说有奖品的活动才是好活动。整个活动大家参与度都非常好。所以,这一点也是我们的经验,我们的用户是谁?不仅仅是台上的选手,而是我们全体来参加会议的领导和相关的员工,而且信息安全周的效果重点在于策划。

最后我讲一下,因为我在集团负责信息安全工作,责任比较重大,我个人感觉也是如临深渊,如履薄冰,在座如果有负责信息安全的我们可能有共鸣。如何把企业信息安全工作做好,我们现在把整个企业信息安全的所有的工作细化到日常工作中,像全年的信息安全的相关工作进行梳理,落实到每个季度,每个月每一天,重视信息安全体系的PDCA的循环和信息安全的日常运维,这是我现在的一些感触。信息安全绝对不是说建一个体系或者买一些安全设备,一定是一个PDCA的循环,一定是在每一天每一个月每一个季度,日常的信息安全运维工作中。我们把全年的信息安全工作进行了仔细的梳理和分解,分解到每个月每一天。我们有整个信息安全管理体系的PDCA的循环,我们有全年安全系统的建设,我们还有日常的信息安全的运维和事件的应急等等,在运维方面我们也有第三方的运营厂商驻厂运维,包括我们所有日常事件的处理和所有上线系统日常的检测,包括我们所有的信息系统定期的安全评估,帮助我们建立相关的信息安全制度,这些我们都可以让我们的安全运维厂商帮我们一起做。

我们做的过程中发现应用安全这块是比较难以管理的,我们上线了一些系统发现安全开发厂商这方面的技术比较薄弱,开发了很多互联网的应用,很多都存在CQL注入、跨境和跨站的一些漏洞。现在我们从源头开始做起我们在招标文件中提出对信息系统安全建设的需求,我们和开发厂商制定了安全上线的规范,我们在上线前定律了安全检测,我们定期对安全系统进行评估,只有这样一系列的政策才能确保信息系统的安全,这里面还有很多,比如帐号的安全和数据的安全对企业都是很大的问题。

通过信息安全的体系的建设,我们在四个方面都有相关的受益,时间关系我不一一说了,包括对信息安全的现状和风险我们进行了详细的了解,对一些风险进行了整改,我们对安全架构进行了分析,对安全进行了对话,我们建立了整个企业信息安全的管理体系,我们对我们的人员进行意志和技能的培养,通过这些佛教我们整体提升信息安全管控能力,这是我们整体信息安全的收益。

讲了这么多,我希望大家记住三张图,第一张图是外部的安全形势非常严峻,信息安全要做到的事情千头万绪。对于大中心企业来说,我建议你们先从信息安全体系入手,有相关的组织体系、技术体系和制度体系,组织体系定职责,制度体系定做事的依据,技术体系做相关的保证。第二张图是说我们建议通过信息安全周的形势来强化信息安全意识的宣传,信息安全周的目的是进行人防和机防结合,针对员工薄弱的这块,我们通过信息安全周提升企业整体信息安全意识,信息安全周有很多的活动,想要取得好的效果就要进行详细的策划。信息安全要有一颗敬畏之心,要建立信息安全日常的工作机制,将信息安全落实到每一日的工作中。

我的演讲就到这里,谢谢各位。

上一篇:NSC2015郑斌:虚拟化系统环境下的安全防护

下一篇:NSC2015董樾:众测模式下的互联网+安全