关于企业信息安全保障体系建设的探索
[摘要]信息安全保障体系是由美国首先提出,并将其上升到国家战略、国际战略的高度。
我国于2003年也明确提出建设我国的信息安全保障体系。
本文通过对国内外建设的介绍,进而列出中国石油信息安全体系建设内容及存在问题,供其他企业借鉴。
[关键词]信息安全保障体系;中国石油;企业
1信息安全保障体系概述
信息安全保障(informationassurance,ia)来源于1996年美国国防部dod指令5-3600.1(dodd5-3600.1)。
其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。
内容包括保护(protection)、检测(detection)、响应(response)、恢复(recovery) 4个环节,即pdrr模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。
技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。
管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。
通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。
美国政府先后发布了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。
美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。
构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。
信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。
2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。
2007年7月20
日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。
2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。
通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:①加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。
②建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。
③建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。
④在技术保障体系下,建设国家信息安全保障基础设施。
⑤建立国家信息安全经费保障体系,加大信息安全投入。
⑥高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。
同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但cpu芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司
将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。
其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。
信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。
信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织it运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。
风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。
信息安全制度与标准完善包括:①初步构建了制度和标准体系,发布了《信息系统安全管理办法》及系统定级实施办法。
②建立和完善了信息系统安全管理员制度,开展了信息安全培训。
③跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。
基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施
安全配置规范,提高信息技术基础设施的安全防护能力。
应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级
保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。
身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。
网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。
广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。
广域网域间与数据中心防护项目指建立。
区域间访问与防护标准、数据中心防护标准。
广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。
桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。
系统灾难恢复包括:①对数据中心机房进行了风险评估,提出了风险防范和改进措施。
②对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。
③制定整体的灾备策略和灾难恢复系统方案。
信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。
公司在信息安全保障体系建设中还存在以下问题:
(1)信息安全组织体系不够健全,不能较好地落实安全管理责任制。
目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。
需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
(2)信息安全法规、标准和制度建设需要进一步完善。
现阶段,标准与制度建设处于堵漏、补缺阶段,未能形成与国际标准、国家标准相衔接的具有石油行业特点的信息安全标准体系,同时对于标准宣贯工作需进一步加强。
企业应定期和有针对性地组织信息化工作人员学习新的标准及
有关制度和规范,使他们熟悉和掌握各项制度的基本内容,并完善对制度落实情况的监督检查和激励机制。