摘　要：本文首先介紹了燃氣行業(yè)信息化現(xiàn)狀、分析了燃氣行業(yè)信息安全存在的問題，然后介紹了企業(yè)建立信息安全體系的思路和方法，并結合此理論在國內(nèi)首次提出了燃氣行業(yè)信息安全體系的構建方法；最后以北京燃氣為例，對燃氣行業(yè)信息安全體系建設方法進行了實踐和應用，分析并總結了燃氣行業(yè)信息安全體系建設成功的關鍵因素。??

關鍵詞：燃氣行業(yè)　燃氣信息化　燃氣信息安全　信息安全規(guī)劃　燃氣信息安全體系　工控安全

近年來，燃氣企業(yè)不斷提高其信息化水平以支撐業(yè)務的高速發(fā)展，提升企業(yè)工作效率并優(yōu)化業(yè)務運作模式，向公眾提供高質量的服務。但是，作為傳統(tǒng)能源行業(yè)，燃氣企業(yè)在利用信息技術帶來的優(yōu)勢時也必然需要承受先進技術帶來的風險——信息安全問題。

2010年6月，“震網(wǎng)”病毒悄然襲擊伊朗核設施的工業(yè)系統(tǒng)，“震網(wǎng)”是第一個被發(fā)現(xiàn)用于針對于政府的網(wǎng)絡戰(zhàn)爭武器。2012年，美國國土安全部應急響應小組報告了198起針對重要基礎設施的攻擊，而2011年的攻擊數(shù)量為l30起(上升了52％)。據(jù)歐洲網(wǎng)絡與信息安全局統(tǒng)計的數(shù)據(jù)，在2012年遭受攻擊最多的行業(yè)為能源行業(yè)，占41％，其次為供水，占15％^[2]。

燃氣企業(yè)本身存在的信息安全問題、外部嚴峻的安全形勢以及各種監(jiān)管的壓力都要求燃氣企業(yè)盡快建設信息安全體系。本文將對北京燃氣信息安全體系建設過程中的經(jīng)驗、方法進行整理，供燃氣行業(yè)其他企業(yè)構建信息安全體系參考。

下文的“燃氣企業(yè)”泛指國內(nèi)絕大部分燃氣企業(yè)，代表著國內(nèi)燃氣行業(yè)的主要情況。

國內(nèi)燃氣企業(yè)的生產(chǎn)運營信息化建設開始于1996年左右，目前北京、上海、長春等多個大城市的管道燃氣企業(yè)均成功完成生產(chǎn)運營信息化項目的建設，使企業(yè)運營過程控制程序化、模型化、智能化、集成化、網(wǎng)絡化，監(jiān)測、控制過程實現(xiàn)可視化和遠程化，以期達到進一步理川頁管理流程、提升管理水平和提高工作效率的日標。國內(nèi)燃氣行業(yè)信息化具有以下特點：

(1)企業(yè)的信息化建設已覆蓋主要業(yè)務，但信息化缺乏有效整合，信息化的“孤島效應”明顯，企業(yè)信息資源沒有得到有效利用。

(2)信息化管控能力薄弱，企業(yè)缺乏有效IT治理機制和行業(yè)的信息化標準規(guī)范指導，信息化在企業(yè)管理應用有待提高。

(3)信息化技術力量薄弱，企業(yè)的信息化建設嚴重依賴于第三方服務。

(4)工業(yè)體系安全核心正在轉變，由傳統(tǒng)的物理安全正在向信息安全轉移。

國內(nèi)燃氣企業(yè)已經(jīng)基本完成了信息化“建設”的初期任務，已經(jīng)建成了涵蓋SCADA、GIS、OA、ERP、EAM以及用戶管理系統(tǒng)等信息系統(tǒng)，而為了支撐燃氣業(yè)務的高速發(fā)展，更有效的、安全的利用信息化體系，實現(xiàn)信息化的整合和管控必然成為企業(yè)未來信息化發(fā)展的主題，企業(yè)信息化發(fā)展路線也逐步由偏重建設轉向偏重管控。信息安全作為信息化管控的主要組成部分，已成為企業(yè)必須面對的現(xiàn)實問題。

作為傳統(tǒng)的能源行業(yè)，大部分燃氣企業(yè)對信息安全比較陌生，缺乏主動有效的信息安全保障機制。下面從組織、策略和技術3個層面分析燃氣行業(yè)信息安全存在的問題。

2．2．1組織層面

燃氣企業(yè)的信息安全組織力量薄弱且定位較低，企業(yè)沒有形成自上而下的信息安全組織體系。

(1)企業(yè)信息化隊伍并不完善，信息安全隊伍嚴重匱乏，無法有效支撐企業(yè)的信息化建設和業(yè)務安全。

(2)企業(yè)對信息安全的認知度偏低，依然注重于傳統(tǒng)的物理安全，并忽視信息安全問題與業(yè)務安全之間的重要性。

(3)企業(yè)各部門的信息安全職責不清，缺乏各部門和分子公司等單位的參與。

(4)缺乏信息安全的培訓和意識提升機制，員工的信息安全意識薄弱。

(5)企業(yè)的信息化建設主要依賴于第三方，但是對第三方的管控薄弱且明顯落后于信息化的建設速度。

2．2．2策略層面

燃氣企業(yè)基本沒有成體系的信息安全策略，主要包括：

(1)事件驅動型，信息安全策略都是基于已發(fā)生的信息安全事件制定，缺乏體系化的制度流程支撐，信息安全策略側重于應急響應機制。

(2)缺乏對信息系統(tǒng)和敏感信息的安全控制體系、技術規(guī)范以及安全基線。

(3)缺乏信息安全策略推廣手段，信息安全策略難以落地實行。

(4)業(yè)務為先，較難平衡信息安全的控制以及業(yè)務效率之間的關系，信息安全策略要求更多“屈從”于業(yè)務要求。

(5)監(jiān)督和考核機制不足，缺乏明確的策略要求，信息安全控制無法得到有效的落實。

2．2．3技術層面

燃氣企業(yè)已經(jīng)部署基本的信息安全防護設施，如防火墻、入侵檢測、流量監(jiān)測等設施，但是存在以下問題：

(1)信息安全系統(tǒng)“孤島”效應嚴重，無法形成有效合力。

(2)系統(tǒng)和網(wǎng)絡的邊界控制能力薄弱，不同的系統(tǒng)和網(wǎng)絡間的資源訪問控制顆粒度較粗，缺乏有效的監(jiān)控和審計能力。

(3)企業(yè)業(yè)務復雜，第二三方廠商技術水平參差不齊，安全技術能力薄弱。

(4)工控系統(tǒng)由于在網(wǎng)絡中的互聯(lián)性增加，導致多種途徑可訪問這些系統(tǒng)，從而導致更多潛在攻擊的可能性。

(5)系統(tǒng)的建設和部署缺乏信息安全考慮，信息系統(tǒng)自身存在大量漏洞，這些問題極易被黑客所利用，嚴重影響到信息系統(tǒng)的運行安全。

越來越多的燃氣企業(yè)高層管理人員認識到信息安全的重要性，但是無法了解企業(yè)自身信息安全所處的位置，不知道企業(yè)的信息安全未來發(fā)展之路如何走。參考信息安全控制最佳實踐CoBIT^[3]，可定義燃氣企業(yè)信息安全成熟度級別為初始級、可重復級、已定義級、可管理級和已優(yōu)化級5個級別。初始級指企業(yè)信息安全管理流程不存在，或信息安全工作流程缺乏統(tǒng)籌安排；可重復級指信息安全管理流程遵循同定的模式；已定義級指信息安全體系已建立標準化的書面程序；可管理級指信息安全體系流程可監(jiān)控、可度量；已優(yōu)化級指信息安全工作流程自動化且持續(xù)優(yōu)化。

國內(nèi)絕大部分燃氣企業(yè)信息安全現(xiàn)狀與北京燃氣在進行信息安全體系建設之前的狀況一樣，處于第一級即初始級；燃氣企業(yè)的信息安全要達到一定的程度則信息安全成熟度必然要達到持續(xù)優(yōu)化的第4級，即已管理級。通過信息安全成熟度模型，企業(yè)能夠準確的找到當前所處的位置，未來企業(yè)信息安全期望達到的目標，以及企業(yè)未來信息安全的具體發(fā)展路線。

為實現(xiàn)組織的信息安全，各廠商、各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準，這些基于產(chǎn)品、技術與管理層面的標準在某些領域得到了很好的應用，但從組織信息安全的各個角度和整個生命周期來考察，現(xiàn)有的信息安全管理體系與標準是不夠完備的，特別是忽略了組織中最活躍的因素——人的作用。

考察國內(nèi)外的各種信息安全事件，發(fā)現(xiàn)在信息安全事件表象后面其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復雜的組織信息系統(tǒng)安全性的。因此，組織為達到保護信息資產(chǎn)的目的，應在“以人為本”的基礎上，充分利用等級保護、IS027000、IS020000、CoBIT等信息化控制標準與最佳實踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。

信息安全的建設是一個系統(tǒng)工程，需要對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的考慮、規(guī)劃和構架，并要時時兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構成威脅。

從宏觀的角度來看，信息安全可以由以下HTP模型來描述：人員與管理(Human and management)、技術與產(chǎn)品(Technology and products)、流程與體系(Process and frahiework)。見圖1。

?

其中人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。人特別是內(nèi)部員工既可以是對信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。統(tǒng)計結果表明，在所有的信息安全事故中，只有20％～30％是由于黑客入侵或其他外部原因造成的，70％～80％是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題，單憑技術是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉變的。

以往的各種安全模型，其最大的缺陷是忽略了對人的因素的考慮，在信息安全問題上，要以人為本，人的因素比信息安全技術和產(chǎn)品的因素更重要。與人相關的安全問題涉及面很廣，從國家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有企業(yè)信息安全治理結構、安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業(yè)務持續(xù)性管理等問題；從個人角度來看有職業(yè)要求、個人隱私、行為學、心理學等問題。

在信息安全的技術防范措施上，可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網(wǎng)絡入侵陷阱、主動反擊等多種技術與產(chǎn)品來保護信息系統(tǒng)安全，但不應把通過部署所有安全產(chǎn)品與技術而達到信息安全的零風險為目標，安全成本太高，安全也就失去其意義。組織實現(xiàn)信息安全應采用“適度防范”(Rightsizing)的原則，就是在風險評估的前提下，引入恰當?shù)目刂拼胧?，使組織的風險降到可以接受的水平，保證組織業(yè)務的連續(xù)性和商業(yè)價值最大化就達到了安全的目的。

信息安全不是一個孤立靜止的概念，信息安全是一個多層面、多因素的、綜合的、動態(tài)的過程，管理學上的木桶原理能夠很好的說明信息安全各個環(huán)節(jié)之間的作用。

一方面，如果組織憑著一時的需要，想當然去制定一些控制措施和引入某些技術產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現(xiàn)若干“短木塊”，從而無法提高安全水平。正確的做法是遵循信息安全標準與最佳實踐過程，考慮組織對信息安全各個層面的實際需求，在風險分析的基礎上引入恰當控制，建立合理安全管理體系，從而保證組織賴以牛存的信息資產(chǎn)的安全。

另一方面，這個安全體系還應當隨著組織環(huán)境的變化、業(yè)務發(fā)展和信息技術提高而不斷改進，不能一勞永逸，一成不變。因此，實現(xiàn)信息安全是一個需要一個完整的體系來保證的持續(xù)過程。

此方法論由國內(nèi)著名的信息安全專家和IT治理專家陳偉提出，已被國內(nèi)許多銀行和央企采用。

3．3．1 HTP方法論框架

根據(jù)自頂向下，逐步求精的原則，根據(jù)組織的業(yè)務目標與安全要求，首先要在組織中建立信息安全治理結構，對信息安全做出制度保證；然后綜合考察業(yè)務環(huán)境與IT環(huán)境，進行風險評估，做出信息安全計劃，建立并運行信息安全管理體系，初步達到粗粒度的信息安全；在完整的信息安全管理體系之上，建立“人力防火墻”與“技術防火墻”，在細粒度上保證信息安全；實施階段性的信息系統(tǒng)審計，在持續(xù)不斷的改進過程中保證信息的安全性、完整性、可用性及有效性，從而建立一套完整的、健壯的信息安全防御體系。

3．3．2建立HTP體系的步驟

(1)在充分理解組織業(yè)務目標、組織文件及信息安全的條件下，通過IS013335風險分析方法，建立組織的信息安全基線(Security Baseline)，對組織的安全現(xiàn)狀有一個清晰的了解，并可以為以后進行安全控制績效分析提供一個評價基礎。

(2)根據(jù)安全基線分析報告，制定組織信息安全計劃，包括組織建設計劃、預算計劃和投資回報計劃。

(3)按照IS027000標準建立信息安全管理框架，完善粗粒度的信息安全過程。建立框架后，冉通過這種細粒度的安全措施一“技術防火墻”和“人力防火墻”，就有可能建立起完備的信息安全管理體系。

(4)重視信息安全中最活躍的因素——“人”，建立“人力防火墻”，實現(xiàn)從信息安全“最大威脅”到“最可靠防線”轉變，這樣才能真正調(diào)動組織中實現(xiàn)長治久安的內(nèi)在動力。

(5)根據(jù)風險評估的結果，綜合利用各種信息安全技術與產(chǎn)品，以“適度防范”為原則，建立有效的“技術防火墻”，這是實現(xiàn)信息安全管理的可靠外部保證措施。

(6)實施階段性的信息系統(tǒng)審計，在持續(xù)不斷的改進過程中保證信息安全性、完整性、可用性及有效性。

根據(jù)國內(nèi)燃氣行業(yè)信息安全的現(xiàn)狀與特點，結合HTP信息安全體系建設方法論，下面提出燃氣行業(yè)信息安全體系的建設方法。

3．4．1燃氣行業(yè)信息安全體系建設方法

如圖2所示。根據(jù)燃氣企業(yè)的戰(zhàn)略目標和風險現(xiàn)狀，結合信息安全最佳實踐，滿足上級單位的監(jiān)管要求，兼顧燃氣企業(yè)生產(chǎn)安全和信息安全的結合點——工控安全，在確保外包服務安全的前提下設計燃氣企業(yè)的信息安全架構，并綜合燃氣企業(yè)的戰(zhàn)略目標和安全風險規(guī)劃信息安全實施路線矧，此藍圖作為未來信息安全體系建設的指南。

?

在此基礎上考慮組織、制度、技術體系的建設，實現(xiàn)HTP理論中“人力防火墻”和“技術防火墻”的目標，先試點運行并最終全面推廣，在此過程中應充分結合當前的環(huán)境推進信息安全意識教育，樹立企業(yè)正確的信息安全文化。

在體系的建設和運行過程中應充分考慮企業(yè)的風險現(xiàn)狀，不斷提升和改進企業(yè)的風險管控措施，實現(xiàn)燃氣企業(yè)的信息安全管理體系PDCA循序漸進的過程。在整個體系的設計、規(guī)劃、建設以及運行過程中應保持各部門各單位之間的有效溝通和協(xié)調(diào)，保證體系的正常運行，并不斷監(jiān)控體系實施過程中的狀況，防止與業(yè)務目標的偏離，提升燃氣企業(yè)信息安全體系的保障能力。

3．4．2燃氣行業(yè)信息安全體系建設步驟

燃氣行業(yè)信息安全體系的建設建議按以下5個步驟進行：

(1)現(xiàn)狀調(diào)研和風險評估；

(2)架構設計和藍圖規(guī)劃；

(3)信息安全體系建設；

(4)信息安全意識培訓；

(5)信息安全體系優(yōu)化。

3．4．3燃氣行業(yè)信息安全架構設計

信息安全架構是對信息安全治理機制的高度概括，從信息安全目標和方針、信息安全策略，到信息安全管理工作的分解，再到信息安全管理工作如何開展，提出了方向性和原則性指導意見。

在信息安全架構(見圖3)中，設置信息安全目標和信息安全方針作為安全架構的核心；為實現(xiàn)信息安全目標和方針，需要構建信息安全域，不同企業(yè)構建的信息安全域的情況可能會不一樣；最后再通過3個體系來保證信息安全域的實施和落地。

?

在構建燃氣行業(yè)的信息安全架構時應充分利用等級保護、ISO27000、ISO20000、CoBIT等信息化控制標準與最佳實踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全架構。