(内蒙古电力公司信息通信中心内蒙古呼和浩特010016)
摘要:参考国家及电力行业信息安全等级保护相关标准、国外信息安全最佳实践,梳理了内蒙古电力公司管理信息大区总部及二级单位的信息安全现状,分析其面临的安全风险,在国内主流信息安全保障体系建设框架的基础上,对下一代信息安全保障体系进行了研究,提出了符合内蒙古电力实际安全需求的下一代信息安全保障体系规划,用于指导内蒙古电力公司信息安全保障体系的建设工作,具备适用性及先进性,本文介绍了国内主流信息安全保障体系框架,信息安全专业团队为内蒙古电力公司管理信息大区所规划的信息安全保障体系,并探讨了该信息安全保障体系的适用性及先进性。
关键词:等级保护合规安全;安全能力叠加;业务安全
1.对内蒙古电力管理信息大区的信息安全现状的思考
信通中心借助内蒙古电力公司信息化建设三期安全咨询项目,从总部到供电单位及部分供电单位的下属单位如220kv变电站、110kv变电站、营业站,从供电单位到电网核算非供电单位,系统地对内蒙古电力公司管理信息大区信息安全现状进行了调研,获取了内蒙古电力公司管理信息大区的信息安全现状信息。
信通中心一直致力于保障管理信息大区的信息安全保障工作,但信息安全并非一劳永逸,管理信息大区仍面临各种安全风险,总结管理信息大区存在的安全问题如下:
1、系统多,业务复杂
管理信息大区部署14类60多个信息系统,网络设备、主机设备数量级为千台,且业务复杂,业务间的数据交互梳理困难,导致运维困难,安全策略粒度粗。
2、合规保障措施不到位
管理信息大区的物理环境安全完善,但其网络、主机、应用等方面,在网络结构安全、入侵防范、网络及系统安全审计、信息设备自身安全策略配置等方面与等级保护基本要求之间存在一定的差距,保障措施不到位。
3、安全配置基线缺失
管理信息大区针对网络设备、操作系统、数据库及应用系统等的上线安全配置基线尚未成熟,仅从业务层面考虑配置要求,安全策略配置滞后。
4、安全事件追溯手段缺失
管理信息大区一方面缺乏安全审计及监控手段,无法对网络及系统的日志信息进行综合分析,较难判断是否有攻击行为;一方面缺乏事后追溯手段,一旦发生安全事件,无辅助工具分析事件发生的起因、路径及解决手段。
5、信息安全专职人员匮乏,专业技能待提升
信通中心信息应用处及系统网络处信息安全专职人员数量少,且多为新员工,信息安全专业技能知识掌握不到位,需通过运维人员安全技能的提升,实现信息安全工作的落实及到位。
根据上述问题,综合信息安全保障体系框架,笔者对内蒙古电力公司管理信息大区信息安全保障体系的构建有以下几点思考:
1、合规是基础,管理信息大区应首先构建合规安全体系,制定合规安全配置基线,通过采用传统网络安全设备或者安全策略配置及实施等解决合规安全风险,使管理信息大区信息系统能够具备信息安全等级保护测评要求,以满足上级监管要求。
2、运维人员信息安全工作技能的提升非一日之功,在现有环境及条件下,可借助可视化安全工具,通过全网数据流大屏展示,运维人员可根据情况调整全网安全策略,使安全策略具备实时适用性,且能够使不懂安全的人看懂安全。
3、新型网络攻击频繁,合规环境下的信息安全体系无法防御诸如APT等新型网络攻击,且内蒙古电力公司作为国家能源企业,极易作为攻击目标受到攻击,为了保障新形势下的信息安全,所构建信息安全保障体系应在合规基础上进行安全能力叠加。
4、信息安全归根到底是业务的安全,应对公司管理信息大区业务流程进行梳理,明确业务流程中的安全风险,通过业务流程再造等实现对业务安全风险的应对,达到业务合规安全。
2.内蒙古电力信息安全保障体系规划
根据内蒙古电力管理信息大区安全需求,参考P2DR模型及IATF模型,依据国家信息安全等级保护、ISO/IEC27001及ISO/IEC20000等信息安全标准规范,结合银行业、电信行业信息安全保障体系的最佳实践,在保障管理信息大区信息安全体系合规的基础要求下,融合新型网络攻击解决方案,从全体系、全覆盖角度,整合管理信息大区人员、设备、信息、环境、流程等各项因素,信息系统处协同专业安全咨询机构对管理信息大区的信息安全保障体系进行了规划,所规划的信息安全保障体系从三个层次体现:
2.1信息安全合规保障
安全合规是信息安全保障体系的根基及前提。通过深度防御的思想构建管理信息大区“一个中心、三重防护”,实现信息安全技术保障体系的建设,其中一个中心即为安全管理中心,三重防护为安全计算环境防护、安全区域边界防护、安全通信网络防护;参考ISO/IEC27001及ISO/IEC20000,采用PDCA模型动态构建信息安全管理及运维体系,以实现人员、技术、操作三要素的紧密结合,为管理信息大区信息系统提供基础合规体系化的安全防护能力,确保系统安全运行。
2.2信息安全自适应保障
为使公司管理信息大区信息系统抵御目前层出不穷的诸如APT攻击、大规模分布式DDOS攻击等新型攻击或威胁,在信息安全合规保障体系的基础上,参考Gartner信息安全模型,建立防御-检测-响应-预测的信息安全自适应保障体系。
运用大数据分析技术,建立安全策略可视化平台,重点解决业务网络中存在的安全不可视、不可管、被动不可控的现状,让不懂安全的人看透安全,同时解决管理技术运行体系矛盾、安全运维效率低等信息安全合规保障体系无法解决的问题。在此基础上,实现诸APT防御能力、安全取证能力、业务性能分析能力、安全态势预警能力等新型安全能力的叠加,整体提升其应对新型攻击及威胁的信息安全防护能力,使信息安全保障体系具备响应预警能力,并实现安全事件追溯和风险预测。
3.业务风险治理
信息安全保障体系的建设归根到底是为了保障业务安全,管理信息大区信息安全保障体系的第三个层次,即对业务风险治理体系的设计。借助定制开发的业务安全管控平台,将风险防控嵌入日常业务流程中,对业务流程进行梳理,制定业务合规操作指引,通过业务合规操作指引规范员工日常业务活动,规避不合规而产生的业务风险、财务风险、运营风险等,形成业务风险防范、合规管理和法律监督的一体化业务合规治理体系。不仅为业务发展提供安全保障,更能从内部升华业务需求,使其业务发展走在电力行业前沿。
结语
不实施落地的规划就是一张白纸,通过邀请外部专家对公司管理信息大区信息安全保障体系的规划进行评审,评估该规划是否具备可实施性。一旦评审通过,建议公司根据该信息安全保障体系规划开展相应实施工作,通过相应技术及管理手段的实施构建公司管理信息大区的信息安全保障体系,从而使公司管理信息大区具备防御、检测、响应、预测能力,既能满足合规监管要求,又能有效应对外部新型攻击及各种安全威胁。
参考文献:
[1]吴世忠,江长青,孙成昊,李华,李静.信息安全保障[M].北京:机械工业出版社,2014.7-12
[2]内蒙古电力公司信息化建设三期安全咨询项目信息安全体系报告