本篇并不是討論如何編制管理制度,如何運用管理技術,而是站在更高的層面上來討論如何針對企業自身特點建立、完善信息化安全體系,有了一個科學化的體系建設,信息化安全主管部門才會更有信心地應對各式各樣的安全威脅。
在工業信息化被日趨重視的今天,信息化的安全也被國家領導人提到了國家戰略的高度,從政府部門、企事業單位,國家層面的信息化安全管理要求也越發的嚴謹和完善。作為軌道行業的運營企業,也是信息化安全建設浪潮的重點單位,最近國資委也要求加緊對本企業的信息化安全進行建設。信息化的安全管理也不僅僅是下發幾個安全文件草草了事,也不是頭疼醫頭,腳痛醫腳。當前的信息化安全,更要求務實的從企業生產出發,多層次,多角度深入企業信息化建設中,從信息系統安全過渡到信息安全保障,將技術與管理相結合。關于技術和管理方面的信息化安全建設,我寫過的《工業控制系統信息安全技術在XX地鐵的創新應用》和《構建工控安全平臺 支撐安全運營管理》,后期我會放到公眾號里。
現階段信息安全部門推崇的基于時間的動態安全體系分為:策略、防護、檢測和響應(P2DR模型),具體的內容大家可以自行搜搜這方面內容。這四部份內容都離不開以人為本的核心,所以我們經常在很多書中看到,以人為中心,通過策略和技術來支持資產的防護、檢測與響應的信息安全機制。所以,我認為在信息化安全體系建設上應該圍繞人、策略(管理)、技術三要素構建,信息安全體系總體架構包括:信息安全管理、信息安全控制、信息安全技術。
那么,針對軌道交通行業,上述三個體系架構內容實際是什么意思呢?
我們首先大概了解下信息安全管理,它包括了信息安全組織、信息安全流程和信息安全制度。安全組織是對人的管理、職責的劃分,信息安全流程是指安全意識的提升、信息安全風險的管理(風險預警、風險應急)、安全監督等,安全制度是指相關的管理和技術規范的層次結構。
其次是信息安全控制,它包括了信息安全等級劃分、信息安全運作控制和信息安全技術控制。主要是對信息安全等級劃分的框架和安全等級的定義,并根據等級實施控制、系統建設與維護安全控制、第三方控制等,信息安全技術控制是為實現安全運作控制所需的技術服務。
再就是信息安全技術,它包括了應用安全、信息安全服務和信息技術基礎設施三方面。可以簡單理解一個安全的信息交互通過基礎設施,經過安全訪問的策略(權限),對應用進行使用。
信息安全理論內容深入且關系復雜,不同行業有不同的體系建設,下面我根據軌道交通企業特點,介紹如何建設上述信息安全管理、信息安全控制、信息安全技術。另外,由于軌道交通設備資產眾多,在建設前期,各系統必須要建立《信息資產登記表》,這是信息安全建設的一個必要元素。
0x1信息安全管理體系
0x1.1組織機構
借鑒軌道交通組織架構的特點和運營情況,將信息化安全機構按如下層級劃分,決策層:信息化領導小組/網安領導小組;管理層:信息管理部(信息安全處);執行層:數據安全運維中心、下屬成員企業信息中心、成員企業二級單位(生產專業、職能部門)信息中心。
0x1.2信息安全制度體系
目的在于更好的提高組織協調性和管理的有效性,所以需要一個制度體系進行規范和實施,我們經常寫的一些:信息安全管理規定、信息安全管理制度、信息安全管理辦法和一些執行細則都屬于這個制度體系。
0x1.3信息安全運行維護
在這方面,我們需要借鑒國內外的運維先進經驗,持續的進行總結、完善、推廣安全運維的工作。比如信息安全配置管理,需要制定一整套網安設備與系統配置策略,最好建立出配置模板,同時定期審核這些策略的執行情況,實現設備與系統的集中管理,這也是我《工業控制系統信息安全技術在XX地鐵的創新應用》一文中提到的集中式管理。另外還有關于信息安全監測管理(網絡監控、內容監控)、應急處理等內容。
0x1.4信息安全培訓
信息交互的每個環節都是安全防范的重點,所以從培訓體系也是需要分層次,從操作層到管理層都需要進行培訓。
0x1.5信息安全檢查與考核
對于信息安全的管理,要不斷創新與完善,從規劃到實施的考核形成一個閉環的循環,由考核來推動信息安全的建設質量與效率。各成員企業可以根據信息管理部的要求進行綜合評價,形成周期性考核報告。
0x2信息安全控制體系
我們經常能從安保部門下發的文件中看到,要建設信息安全防護體系,其實本質就是對信息及訪問的防護。所以需要對信息安全等級進行劃分和制定對應的安全控制。
0x1.1信息系統等級保護
這一內容,各個單位根據自身情況以及等保要求進行自主定級,但“自行定級、自行保護”明顯已不符合網絡安全管理的需要。如何避免企業降低保護等級規避,尚缺少更高位級的法律要求。對于等保2.0以及以后的政策,國家對自主定級將越來越趨于規范性管理,而不是自主保護。
0x1.1安全控制
這一點,應按照定級后的等保內容要求,對相應方面進行規范。比如邏輯安全控制:用戶賬號管理、口令規則、權限等管理,物理安全、網絡安全等等。這里著重說明對第三方的訪問控制,這是很多企業疏忽的管理漏點。
0x3信息安全技術體系
信息安全是個非常復雜的綜合領域,需要從信息系統安全的不同層次和角度去分析設計,形成企業完整有效的信息安全技術體系,我在《工業控制系統信息安全技術在XX地鐵的創新應用》中從技術角度,提出了“四層架構、六層防護”的工控信息安全建設架構。但對于信息化安全體系建設來說,應從物理環境、操作系統、網絡、主機、數據、應用、策略方面進行建設。
以上是信息安全體系建設的一個大概思路,但基本的建設內容都涵蓋。企業的信息安全建設無捷徑,腳踏實地才是真。
版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? | 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯系我們 |