34 信息安全体系构建.ppt

3.4.1 信息安全组织体系构建 * * 企业建立和完善信息安全决策、管理、执行以及监管的机构，明确各单位的信息安全角色、职责和关系： 明确信息安全组织的定位 壮大信息安全管理队伍 提升全员信息安全意识水平 管理第三方(外包)服务 3.4.2 信息安全技术体系构建 * * 消除“信息安全技术的孤岛” 注重系统和网络域的边界安全 注重信息系统自身的安全 重点关注： 安全域综合规划、建立PKI体系、 建立4A平台、建立终端防护体系、 建立安全监控体系、建立灾备中心 3.4.3 信息安全培训体系构建 * 加强信息安全人才队伍建设，搭建自下而上全方位的信息安全培训体系，全方位的提升企业各层级员工的信息安全技能和意识。 3.4.4 信息安全意识宣传 Flash动画 电子海报 手册 张贴画 培训与专题讲座 电脑屏保 展板 燃气报 网站 电脑桌贴 微信 鼠标垫 北京燃气使用包括微信、视频、OA、海报、手册、贴画、易拉宝等十多种形式进行全方面的信息安全宣传 3.4.5 构建工控系统的边界安全 整合企业信息系统资源、加速工控系统的互联和利用成为必然的趋势， 那么如何保护工控系统的互联安全？ 3.5 信息安全建设过程关注点 * * 燃气企业的信息安全风险是应用信息技术过程所必须面对的问题，因此建立燃气企业的信息安全体系是保障燃气企业业务和信息化持久发展的基础。燃气企业信息安全体系建设成功实施的要素如下所示： 来自企业高层明确的支持和承诺 依据“总体规划、分步实施”的战略，注重体系落地 信息安全部门的定位问题以及与信息化之间的关系 加大信息安全的培训并建立自己的信息安全队伍 构建合力的信息安全架构体系 目录 * * 3 4.1 燃气行业信息安全未来发展方向 * * 随着燃气企业信息化的发展以及先进信息技术的引入，信息化领域的管控应不仅仅局限于信息安全领域的控制，应该深入企业业务的综合体系中，建立符合燃气业务特点的IT综合管控体系，并时刻关注先进信息化技术带来便利的同时也需要关注其带来的风险以及未来的发展趋势： 工控安全：工控系统的安全关系着燃气企业的生产安全 IT综合管控：建立燃气企业的IT综合管控体系，建立IT决策机制与职责框架，实现精确高效的信息化管理。 * * 敏感信息保护：近年来，大量的数据泄露事件发生，而燃气企业存有大量本地用户的敏感信息以及企业自身的敏感信息，如何保护这些信息成为信息安全重点关注的一个方向。 云计算安全：随着云计算的兴起和成熟，燃气企业必然会采用云计算作为企业信息化的一部分，燃气云计算安全成为未来燃气企业新的研究方向。 物联网安全：随着“物联网”的兴起，“物联网”必然会进入燃气企业为千家万户服务，实现“物联网”中包括感知层、网络层和应用层的三层安全体系也逐渐成为未来燃气企业信息安全的发展方向。 4.2 燃气行业信息安全未来发展方向 谢谢！ 近年来中国的京津冀与长三角地区PM2.5浓度最高，远远超过世界卫生组织标准。 * * * * * * * * * * * * * * * * * * 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 信息档案中心 燃气行业信息安全体系建设方法探索 * 目录 * * 3 4 1.1天然气业务增长迅速 * * 2010年底，北京市天然气居民用户约454万户，供气量达到75.0亿立方米。到2012年，用户达到约580万户，供气量达到84.1亿立方米。 近年中国各省PM2.5浓度 远高于世界卫生组织标准 预计未来“清洁”天然气业务依然会高速增长 1.2 燃气行业信息化特点 * * 燃气企业为满足业务的高速发展，不断投入资源用于生产运营和办公管理的信息化项目的建设，涵盖SCADA、GIS、ERP、EAM、OA以及用户管理系统等信息系统。 信息化特点： 企业信息化的“孤岛效应”明显 信息化的综合管控能力薄弱 信息化技术能力严重依赖于第三方 工业体系安全核心正在转变 1.3 外部安全形势严峻 在2011年之前，公开披露的工业控制系统相关漏洞的数量相当少。但在2011年出现了井喷现象，并持续到2012年。 -绿盟科技2012年安全态势报告 * * 2010年6月，“震网”病毒悄然袭击伊朗核设施的工业系统，“震网”是第一个被发现用于针对于政府的网络战争武器。 1.4 “棱镜事件”带来的启示 * * 回顾： 2013年6月，前中情局（CIA）职员爱德华·斯诺顿将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》发表，随之全世界哗然。 棱镜门是美国国家安全局和联邦调查局启动的一个旨在对全球网络活动进行秘密监控的项目。当局通过接入微软、雅虎、谷歌、苹果等9家美国互联