返回
信息安全体系构建

信息安全体系构建

ID:42339904

大小:5.94 MB

页数:28页

时间:2019-09-13

信息安全体系构建_第1页
信息安全体系构建_第2页
信息安全体系构建_第3页
信息安全体系构建_第4页
信息安全体系构建_第5页
资源描述:

《信息安全体系构建》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、燃气行业信息安全体系 建设方法探索九月21目录九月212燃气行业信息安全背景介绍燃气行业信息安全现状分析21燃气行业信息安全体系建设3燃气行业信息安全未来之路41.1天然气业务增长迅速九月2132010年底,北京市天然气居民用户约454万户,供气量达到75.0亿立方米。到2012年,用户达到约580万户,供气量达到84.1亿立方米。近年中国各省PM2.5浓度远高于世界卫生组织标准预计未来“清洁”天然气业务依然会高速增长1.2燃气行业信息化特点九月214燃气企业为满足业务的高速发展,不断投入资源用于生产运营和办公管理的信息化项目的建设,涵盖SCADA、GIS、

2、ERP、EAM、OA以及用户管理系统等信息系统。信息化特点:企业信息化的“孤岛效应”明显信息化的综合管控能力薄弱信息化技术能力严重依赖于第三方工业体系安全核心正在转变1.3外部安全形势严峻在2011年之前,公开披露的工业控制系统相关漏洞的数量相当少。但在2011年出现了井喷现象,并持续到2012年。-绿盟科技2012年安全态势报告九月2152010年6月,“震网”病毒悄然袭击伊朗核设施的工业系统,“震网”是第一个被发现用于针对于政府的网络战争武器。1.4“棱镜事件”带来的启示九月216回顾:2013年6月,前中情局(CIA)职员爱德华·斯诺顿将两份绝密资料交

3、给英国《卫报》和美国《华盛顿邮报》发表,随之全世界哗然。棱镜门是美国国家安全局和联邦调查局启动的一个旨在对全球网络活动进行秘密监控的项目。当局通过接入微软、雅虎、谷歌、苹果等9家美国互联网公司中心服务器,对视频、图片、邮件、电话记录等10类数据进行监控,以搜集他国情报,监视本国民众。启示:美国人“贼喊捉贼”我们被国外监视着1.5信息安全的驱动力九月217信息安全是保障企业业务发展的重要手段,是企业内控的重要组成部分。外在的威胁面对业务的高速发展以及信息化与业务的不断融合,信息化管控的压力陡然增大监管的压力内部业务驱动作为影响着国计民生的燃气企业,面临诸如包括

4、“震网”病毒、黑客攻击、敏感数据泄密等各种潜在的或已知的威胁,也包括如“棱镜”类似的监控;满足国家的法律、法规以及上级单位的监管要求,尤其是满足等级保护的要求驱动力目录九月218燃气行业信息安全背景介绍燃气行业信息安全现状分析21燃气行业信息安全体系建设3燃气行业信息安全未来之路42.1信息安全现状分析九月219作为传统的能源企业,燃气企业对信息化的认知和适应性普遍偏低,而对于信息安全更是陌生,缺乏主动有效的信息安全保障机制。分别从组织、策略和技术三个层面系统了解燃气企业的信息安全现状组织策略技术2.2信息安全组织层面分析九月2110企业的信息安全组织力量薄

5、弱且定位较低,企业没有形成自上而下的信息安全组织体系企业信息安全队伍无法有效支撑企业的信息化建设和维护安全企业对信息安全重视程度不够,注重于传动工业的物理安全企业各部门的信息安全职责不清,缺乏跨部门的协调机制企业员工的信息安全意识薄弱外部组织(外包服务)的管控薄弱2.2信息安全策略层面分析九月2111企业基本没有成体系的信息安全策略,主要包括:事件驱动型信息安全处置机制信息安全控制体系缺乏体系化信息安全策略“屈从”于业务要求。监督和考核机制不足,缺乏明确的策略要求,信息安全控制无法得到有效的落实。2.3信息安全技术层面分析九月2112企业已经部署基本的信息安

6、全防护设施,如防火墙、入侵检测、流量监测等设施,但是存在以下问题:信息安全系统“孤岛”效应严重系统和网络区域的边界控制薄弱信息安全技术标准缺乏规范化第三方系统信息安全防护能力缺乏评测工控系统的互联性增加导致潜在攻击的可能性2.4信息安全成熟度分析九月2113参考Cobit成熟度模型,将信息安全成熟度级别定义为初始级、可重复级、已经定义级、可管理级和优化级五个级别,燃气企业的信息安全成熟度如图所示:信息安全管理成熟度1级2级3级4级5级初始级现状可重复级已定义级已管理级未来已优化级初始级—信息安全管理流程不存在;初始级—信息安全工作流程缺乏统筹;可重复级—信息

7、安全管理流程遵循固定的模式已定义级—信息安全体系建立标准化的书面程序可管理级—信息安全体系流程可监控可度量已优化级—信息安全工作流程自动化且持续优化为最佳实践黄色代表现在红色代表未来目录九月2114燃气行业信息安全背景介绍燃气行业信息安全现状分析21燃气行业信息安全体系建设3燃气行业信息安全未来之路43.1信息安全体系建设路线图九月2115燃气企业在信息安全建设过程主要按照以下四个阶段实施:总体规划安全规范局部试点全面推广依照法律规范以及监管要求和国内外标准,设计信息安全实施蓝图,并进行总体的信息安全规划。建立符合燃气企业的信息安全策略,包括完善信息安全技术

8、标准和管理规范依照燃气企业的安全策略要求小范围的落实

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。