能源企業(yè)信息安全管理研究

賈焰宇

（西山煤電集團(tuán)有限責(zé)任公司機(jī)電廠，太原 030053）

0 引言

能源企業(yè)涵蓋以能源開發(fā)、加工轉(zhuǎn)換、倉(cāng)儲(chǔ)、輸送、配售、貿(mào)易和服務(wù)等為主營(yíng)業(yè)務(wù)的所有企業(yè)，為人們的基本生活和社會(huì)各行各業(yè)的發(fā)展提供能源保障。近年來，世界范圍內(nèi)攻擊能源企業(yè)信息系統(tǒng)的事件頻繁發(fā)生，這對(duì)能源企業(yè)原有的信息安全管理體系提出了新的要求。目前，部分能源企業(yè)按照ISO/IEC 27001 標(biāo)準(zhǔn)要求進(jìn)行了信息安全管理體系的構(gòu)建，但信息安全管理體系在實(shí)施與運(yùn)營(yíng)、監(jiān)督與評(píng)價(jià)及維護(hù)與改進(jìn)方面仍有許多地方需要完善。能源企業(yè)信息安全管理體系需要以技術(shù)手段為基礎(chǔ)，通過設(shè)定程序文件，規(guī)范企業(yè)全過程信息安全管理，以應(yīng)對(duì)不斷變化的、錯(cuò)綜復(fù)雜的信息安全管理風(fēng)險(xiǎn)［1］。

1 能源企業(yè)信息安全管理現(xiàn)狀和存在的問題

1.1 能源企業(yè)信息安全管理現(xiàn)狀

近年來，能源企業(yè)的信息安全管理不再局限于生產(chǎn)系統(tǒng)的信息安全管理，而是延伸到企業(yè)管理系統(tǒng)。我國(guó)能源企業(yè)未發(fā)生較大規(guī)模的信息安全事件，信息系統(tǒng)和工控系統(tǒng)的隱患排查和漏洞修補(bǔ)工作正在持續(xù)開展，逐步形成能源企業(yè)信息安全管理的良性循環(huán)。但是，當(dāng)前在我國(guó)能源企業(yè)信息系統(tǒng)和工控系統(tǒng)中，企業(yè)采用了大量的國(guó)外設(shè)備，仍然存在某些嵌入式“后門”的可能性。能源企業(yè)在軟件系統(tǒng)和硬件設(shè)備設(shè)計(jì)的過程中，均可能存在一些邏輯漏洞，這些漏洞需要特定的環(huán)境才能被發(fā)現(xiàn)，導(dǎo)致能源企業(yè)信息安全管理難度較大。

1.2 能源企業(yè)信息安全管理存在的問題

雖然能源企業(yè)已經(jīng)在思想上和行動(dòng)上對(duì)信息安全管理予以足夠的重視，但在信息安全管理體系實(shí)際構(gòu)建的過程中，仍然存在諸多問題。第一，從管理角度來說，雖然部分能源企業(yè)已按照ISO/IEC 27001 標(biāo)準(zhǔn)要求構(gòu)建了自己的信息安全管理體系，但該體系只是程序文件，在執(zhí)行的過程中流于形式。第二，能源企業(yè)的信息安全管理組織架構(gòu)中，管理人員過多，真正了解實(shí)際情況和掌握信息安全技術(shù)的人員偏少。第三，能源企業(yè)對(duì)信息安全隱患只是定時(shí)排查，缺乏安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控的機(jī)制，信息安全事件的應(yīng)急響應(yīng)措施和生產(chǎn)經(jīng)營(yíng)的關(guān)聯(lián)度不夠。第四，從技術(shù)角度來看，工控系統(tǒng)的信息安全防護(hù)措施仍然存在缺失，部分生產(chǎn)系統(tǒng)雖然按照要求設(shè)置了物理隔離裝置，但在入侵檢測(cè)、網(wǎng)絡(luò)異常行為發(fā)現(xiàn)等方面存在滯后性，技術(shù)手段相對(duì)落后［2］。第五，管理和技術(shù)之間的融合度不夠，間接導(dǎo)致能源企業(yè)對(duì)信息安全事件的處理效率降低。

2 能源企業(yè)信息安全管理體系構(gòu)建的意義

能源企業(yè)信息安全管理體系是指企業(yè)建立的信息安全管理方針和目標(biāo)，涵蓋方針、原則、目標(biāo)、方法及核查表等要素。能源企業(yè)信息安全管理體系的構(gòu)建有助于能源企業(yè)明確內(nèi)部的管理職責(zé)，制定有效的信息安全管理策略，解決企業(yè)內(nèi)部多部門協(xié)同問題，同時(shí)能夠使能源企業(yè)的信息安全工作常態(tài)化和動(dòng)態(tài)化，能提升信息安全管理方法的有效性。另外，能源企業(yè)信息安全管理體系的構(gòu)建能加強(qiáng)企業(yè)全員對(duì)于信息安全重要性的認(rèn)知，確保企業(yè)在受到信息安全威脅時(shí)能迅速作出正確的反應(yīng)。

3 能源企業(yè)構(gòu)建信息安全管理體系的策略

能源企業(yè)構(gòu)建信息安全管理體系時(shí)，需以《信息安全管理體系規(guī)范》（Part 1）作為指導(dǎo)準(zhǔn)則和基礎(chǔ)。在構(gòu)建的過程中，能源企業(yè)需要明確企業(yè)信息安全管理體系的范圍、方針、程序及流程等，選擇合適的風(fēng)險(xiǎn)評(píng)估方法，制定相應(yīng)的風(fēng)險(xiǎn)評(píng)估報(bào)告模板和風(fēng)險(xiǎn)應(yīng)對(duì)策略，特別要注意文件控制和記錄控制策略，這是能源企業(yè)信息安全管理體系構(gòu)建的關(guān)鍵。能源企業(yè)構(gòu)建信息安全管理體系時(shí)還要遵循PDCA 過程模式，即計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）和處理（Action），形成良性循環(huán)，促進(jìn)企業(yè)信息安全管理效果不斷提升。

3.1 做好編寫和完善程序文件的工作

能源企業(yè)信息安全管理體系要求企業(yè)在編寫和完善程序文件時(shí)，盡量不涉及純技術(shù)細(xì)節(jié)，不要將純技術(shù)細(xì)節(jié)寫入作業(yè)指導(dǎo)書或者工作指令文件。能源企業(yè)在編寫程序文件時(shí)應(yīng)遵循分類分級(jí)的原則，對(duì)影響信息安全的各項(xiàng)活動(dòng)目標(biāo)和開展流程作出規(guī)定，主要包含管理、執(zhí)行、驗(yàn)證和評(píng)審相關(guān)人員在活動(dòng)中的權(quán)責(zé)和關(guān)系，并闡述不同活動(dòng)采用的文件及控制方式。此外，信息安全領(lǐng)域的新技術(shù)層出不窮，這就意味著能源企業(yè)信息安全管理體系的構(gòu)建是一個(gè)持續(xù)性的改進(jìn)過程，因此能源企業(yè)要做好信息安全管理體系持續(xù)性建設(shè)工作。程序文件的詳細(xì)度和范圍需要企業(yè)根據(jù)實(shí)際情況，針對(duì)風(fēng)險(xiǎn)程度較高、發(fā)生頻率較高的安全活動(dòng)制定更細(xì)的要求。程序文件的持續(xù)性建設(shè)工作需要能源企業(yè)遵循簡(jiǎn)潔、扼要和易懂的原則，在可操作性和可檢查性上下功夫，讓各類人員能夠理解活動(dòng)中各自所需的技能和素質(zhì)［3］。程序文件中必須明確相應(yīng)的控制標(biāo)準(zhǔn)，控制標(biāo)準(zhǔn)的制定應(yīng)該建立在企業(yè)前期的信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，企業(yè)還特別要注意控制點(diǎn)的策劃。同時(shí)，要注意各程序之間的銜接問題，避免各程序之間重復(fù)。

3.2 優(yōu)化信息安全管理組織架構(gòu)

能源企業(yè)信息安全管理體系的構(gòu)建與運(yùn)行均離不開相關(guān)人員，因此企業(yè)在構(gòu)建信息安全管理體系的過程中需要對(duì)組織架構(gòu)進(jìn)行優(yōu)化，特別需要將其與企業(yè)中具體的崗位相對(duì)應(yīng)。組織架構(gòu)的優(yōu)化原則需以工作為導(dǎo)向，采取統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管控的原則，根據(jù)工作需求進(jìn)行組織架構(gòu)權(quán)責(zé)的劃分。能源企業(yè)在各組織架構(gòu)之間要建立良好的溝通機(jī)制，對(duì)于部分身兼數(shù)職的人員，做好組織架構(gòu)之間的協(xié)調(diào)工作，保證組織架構(gòu)的合理性。此外，能源企業(yè)構(gòu)建和優(yōu)化信息安全管理組織架構(gòu)時(shí)需考慮其完整性，需要考慮模塊的設(shè)置和崗位的設(shè)置，避免出現(xiàn)因?yàn)榻M織架構(gòu)崗位缺失導(dǎo)致信息安全事件無法處理的局面。能源企業(yè)還要設(shè)置信息安全管理的主要?dú)w口部門，使其負(fù)責(zé)與能源企業(yè)相關(guān)的所有信息安全活動(dòng)的統(tǒng)籌，一旦出現(xiàn)信息安全問題，該部門能夠進(jìn)行統(tǒng)籌協(xié)調(diào)并及時(shí)處理。

3.3 做好分區(qū)分級(jí)的信息安全防護(hù)

能源企業(yè)應(yīng)結(jié)合自身信息安全管理系統(tǒng)的建設(shè)特點(diǎn)，將辦公內(nèi)網(wǎng)區(qū)、生產(chǎn)內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)使用網(wǎng)絡(luò)設(shè)備進(jìn)行隔離，特別是生產(chǎn)區(qū)域，為了保證其安全性，需采用邏輯強(qiáng)隔離的方式，即能源企業(yè)要先設(shè)計(jì)信息安全防護(hù)網(wǎng)絡(luò)拓?fù)?，如圖1 所示。

圖1 能源企業(yè)信息安全防護(hù)網(wǎng)絡(luò)拓?fù)涫疽?/p>

在完成網(wǎng)絡(luò)結(jié)構(gòu)的分區(qū)之后，能源企業(yè)需要對(duì)系統(tǒng)進(jìn)行分級(jí)，要將影響能源企業(yè)生產(chǎn)的系統(tǒng)定級(jí)為一級(jí)系統(tǒng)，主要包括生產(chǎn)內(nèi)網(wǎng)區(qū)內(nèi)的生產(chǎn)系統(tǒng)和數(shù)據(jù)庫(kù)。因?yàn)檫@些系統(tǒng)一旦遭受攻擊，會(huì)使能源企業(yè)的生產(chǎn)中斷。另外，將所有人辦公都會(huì)使用到的系統(tǒng)定級(jí)為二級(jí)系統(tǒng)，主要包含能源企業(yè)內(nèi)部的企業(yè)資源計(jì)劃（Enterprise Resource Planning，ERP）、辦公自動(dòng)化（Office Automation，OA）和財(cái)務(wù)共享等系統(tǒng)，這些系統(tǒng)維持著能源企業(yè)的正常運(yùn)營(yíng)，發(fā)揮的作用不可忽視。大多數(shù)能源企業(yè)也建立了自己的宣傳網(wǎng)站，并對(duì)外提供了某些能源類服務(wù)，這就要求能源企業(yè)在信息安全管理體系構(gòu)建過程中，對(duì)這類系統(tǒng)單獨(dú)分級(jí)、區(qū)分，做好內(nèi)外網(wǎng)文件的傳輸工作。能源企業(yè)在構(gòu)建信息安全管理體系時(shí)，不能忽視個(gè)人用戶行為可能給企業(yè)信息安全帶來的不良后果。對(duì)于生產(chǎn)內(nèi)網(wǎng)區(qū)和辦公內(nèi)網(wǎng)區(qū)的終端設(shè)備，能源企業(yè)要禁止員工使用U 盤、藍(lán)牙等設(shè)備進(jìn)行文件的傳輸，并對(duì)其與互聯(lián)網(wǎng)的連接進(jìn)行嚴(yán)控，防止個(gè)人行為成為能源企業(yè)信息安全事件的源頭［4］。

3.4 利用新技術(shù)做好信息安全風(fēng)險(xiǎn)防范工作

能源企業(yè)信息安全事件類型不斷變化，對(duì)其信息安全管理體系構(gòu)建中的風(fēng)險(xiǎn)防范工作提出了更高的要求，彌補(bǔ)系統(tǒng)漏洞和加強(qiáng)入侵檢測(cè)仍然是能源企業(yè)目前信息安全風(fēng)險(xiǎn)防范的重點(diǎn)。當(dāng)前，信息安全風(fēng)險(xiǎn)防范的技術(shù)正在不斷更新，在掃描系統(tǒng)漏洞的基礎(chǔ)上，能源企業(yè)要主動(dòng)使用防御技術(shù)，構(gòu)建終端威脅檢測(cè)響應(yīng)系統(tǒng)，減少企業(yè)終端信息安全事件的人為干預(yù)。針對(duì)生產(chǎn)、經(jīng)營(yíng)的各類管理系統(tǒng)，能源企業(yè)必須定期以等保標(biāo)準(zhǔn)為基礎(chǔ)開展漏洞和隱患的掃描工作，對(duì)于等級(jí)較高的系統(tǒng)，要加大掃描力度。對(duì)于排查到的隱患和漏洞，必須按照制度要求在相應(yīng)的時(shí)間內(nèi)完成修復(fù)工作，修復(fù)完成后需根據(jù)PDCA 模式進(jìn)行評(píng)審和改進(jìn)，以做好風(fēng)險(xiǎn)防范工作。在風(fēng)險(xiǎn)防范中，除常規(guī)的防火墻、上網(wǎng)行為管理和病毒庫(kù)技術(shù)外，信息加密技術(shù)也相當(dāng)重要，要加強(qiáng)信息加密技術(shù)的應(yīng)用。信息加密技術(shù)可以解決數(shù)據(jù)的保密性問題，防止非法人員對(duì)數(shù)據(jù)進(jìn)行訪問，也可解決數(shù)據(jù)防篡改問題，這兩個(gè)問題都是能源企業(yè)信息安全風(fēng)險(xiǎn)防范的重要問題。

3.5 加強(qiáng)PDCA 過程模式在能源企業(yè)信息安全管理中的應(yīng)用

能源企業(yè)構(gòu)建信息安全管理體系的重點(diǎn)在于落實(shí)，PDCA 過程模式是其核心，必須要讓PDCA 過程模式應(yīng)用于實(shí)際。在計(jì)劃階段，需要優(yōu)化信息安全管理環(huán)境并進(jìn)行風(fēng)險(xiǎn)評(píng)估，其中涉及確定范圍、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法，以及識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法。在實(shí)施階段，要根據(jù)程序文件的內(nèi)容做好風(fēng)險(xiǎn)處理。在檢查階段，要依據(jù)方針、目標(biāo)和經(jīng)驗(yàn)評(píng)估整個(gè)過程的效果，并將結(jié)果上報(bào)，這就需要企業(yè)及時(shí)發(fā)現(xiàn)實(shí)施過程中某些程序文件或者工作說明書的不足，從而進(jìn)入改進(jìn)階段。在改進(jìn)環(huán)節(jié)，要利用新方法、新技術(shù)彌補(bǔ)程序文件和工作說明書中的不足，并采取一些預(yù)防性的措施，提高企業(yè)信息安全管理效果［6］?？傊?，4個(gè)步驟是一個(gè)完整的閉環(huán)過程，能源企業(yè)只有嚴(yán)格開展所有環(huán)節(jié)的工作，才能保證企業(yè)信息安全管理體系有效落實(shí)。

4 結(jié)語

能源企業(yè)信息安全管理體系的構(gòu)建是一個(gè)循序漸進(jìn)的過程，企業(yè)必須加強(qiáng)應(yīng)用PDCA 過程模式，做好制度的完善工作，針對(duì)不同場(chǎng)景使用不同的組織架構(gòu)和技術(shù)手段，明確各崗位的職責(zé)，加強(qiáng)技術(shù)應(yīng)用來防范風(fēng)險(xiǎn)，這樣能使能源企業(yè)信息安全管理水平得到提升。