能源企业信息安全管理研究

2022-11-16贾焰宇

中国管理信息化 2022年18期

贾焰宇

（西山煤电集团有限责任公司机电厂，太原 030053）

0 引言

能源企业涵盖以能源开发、加工转换、仓储、输送、配售、贸易和服务等为主营业务的所有企业，为人们的基本生活和社会各行各业的发展提供能源保障。近年来，世界范围内攻击能源企业信息系统的事件频繁发生，这对能源企业原有的信息安全管理体系提出了新的要求。目前，部分能源企业按照ISO/IEC 27001 标准要求进行了信息安全管理体系的构建，但信息安全管理体系在实施与运营、监督与评价及维护与改进方面仍有许多地方需要完善。能源企业信息安全管理体系需要以技术手段为基础，通过设定程序文件，规范企业全过程信息安全管理，以应对不断变化的、错综复杂的信息安全管理风险［1］。

1 能源企业信息安全管理现状和存在的问题

1.1 能源企业信息安全管理现状

近年来，能源企业的信息安全管理不再局限于生产系统的信息安全管理，而是延伸到企业管理系统。我国能源企业未发生较大规模的信息安全事件，信息系统和工控系统的隐患排查和漏洞修补工作正在持续开展，逐步形成能源企业信息安全管理的良性循环。但是，当前在我国能源企业信息系统和工控系统中，企业采用了大量的国外设备，仍然存在某些嵌入式“后门”的可能性。能源企业在软件系统和硬件设备设计的过程中，均可能存在一些逻辑漏洞，这些漏洞需要特定的环境才能被发现，导致能源企业信息安全管理难度较大。

1.2 能源企业信息安全管理存在的问题

虽然能源企业已经在思想上和行动上对信息安全管理予以足够的重视，但在信息安全管理体系实际构建的过程中，仍然存在诸多问题。第一，从管理角度来说，虽然部分能源企业已按照ISO/IEC 27001 标准要求构建了自己的信息安全管理体系，但该体系只是程序文件，在执行的过程中流于形式。第二，能源企业的信息安全管理组织架构中，管理人员过多，真正了解实际情况和掌握信息安全技术的人员偏少。第三，能源企业对信息安全隐患只是定时排查，缺乏安全风险实时监控的机制，信息安全事件的应急响应措施和生产经营的关联度不够。第四，从技术角度来看，工控系统的信息安全防护措施仍然存在缺失，部分生产系统虽然按照要求设置了物理隔离装置，但在入侵检测、网络异常行为发现等方面存在滞后性，技术手段相对落后［2］。第五，管理和技术之间的融合度不够，间接导致能源企业对信息安全事件的处理效率降低。

2 能源企业信息安全管理体系构建的意义

能源企业信息安全管理体系是指企业建立的信息安全管理方针和目标，涵盖方针、原则、目标、方法及核查表等要素。能源企业信息安全管理体系的构建有助于能源企业明确内部的管理职责，制定有效的信息安全管理策略，解决企业内部多部门协同问题，同时能够使能源企业的信息安全工作常态化和动态化，能提升信息安全管理方法的有效性。另外，能源企业信息安全管理体系的构建能加强企业全员对于信息安全重要性的认知，确保企业在受到信息安全威胁时能迅速作出正确的反应。

3 能源企业构建信息安全管理体系的策略

能源企业构建信息安全管理体系时，需以《信息安全管理体系规范》（Part 1）作为指导准则和基础。在构建的过程中，能源企业需要明确企业信息安全管理体系的范围、方针、程序及流程等，选择合适的风险评估方法，制定相应的风险评估报告模板和风险应对策略，特别要注意文件控制和记录控制策略，这是能源企业信息安全管理体系构建的关键。能源企业构建信息安全管理体系时还要遵循PDCA 过程模式，即计划（Plan）、执行（Do）、检查（Check）和处理（Action），形成良性循环，促进企业信息安全管理效果不断提升。

3.1 做好编写和完善程序文件的工作

能源企业信息安全管理体系要求企业在编写和完善程序文件时，尽量不涉及纯技术细节，不要将纯技术细节写入作业指导书或者工作指令文件。能源企业在编写程序文件时应遵循分类分级的原则，对影响信息安全的各项活动目标和开展流程作出规定，主要包含管理、执行、验证和评审相关人员在活动中的权责和关系，并阐述不同活动采用的文件及控制方式。此外，信息安全领域的新技术层出不穷，这就意味着能源企业信息安全管理体系的构建是一个持续性的改进过程，因此能源企业要做好信息安全管理体系持续性建设工作。程序文件的详细度和范围需要企业根据实际情况，针对风险程度较高、发生频率较高的安全活动制定更细的要求。程序文件的持续性建设工作需要能源企业遵循简洁、扼要和易懂的原则，在可操作性和可检查性上下功夫，让各类人员能够理解活动中各自所需的技能和素质［3］。程序文件中必须明确相应的控制标准，控制标准的制定应该建立在企业前期的信息安全风险评估基础上，企业还特别要注意控制点的策划。同时，要注意各程序之间的衔接问题，避免各程序之间重复。

3.2 优化信息安全管理组织架构

能源企业信息安全管理体系的构建与运行均离不开相关人员，因此企业在构建信息安全管理体系的过程中需要对组织架构进行优化，特别需要将其与企业中具体的岗位相对应。组织架构的优化原则需以工作为导向，采取统一领导、分级管控的原则，根据工作需求进行组织架构权责的划分。能源企业在各组织架构之间要建立良好的沟通机制，对于部分身兼数职的人员，做好组织架构之间的协调工作，保证组织架构的合理性。此外，能源企业构建和优化信息安全管理组织架构时需考虑其完整性，需要考虑模块的设置和岗位的设置，避免出现因为组织架构岗位缺失导致信息安全事件无法处理的局面。能源企业还要设置信息安全管理的主要归口部门，使其负责与能源企业相关的所有信息安全活动的统筹，一旦出现信息安全问题，该部门能够进行统筹协调并及时处理。

3.3 做好分区分级的信息安全防护

能源企业应结合自身信息安全管理系统的建设特点，将办公内网区、生产内网区、外网区和互联网区使用网络设备进行隔离，特别是生产区域，为了保证其安全性，需采用逻辑强隔离的方式，即能源企业要先设计信息安全防护网络拓扑，如图1 所示。

图1 能源企业信息安全防护网络拓扑示意

在完成网络结构的分区之后，能源企业需要对系统进行分级，要将影响能源企业生产的系统定级为一级系统，主要包括生产内网区内的生产系统和数据库。因为这些系统一旦遭受攻击，会使能源企业的生产中断。另外，将所有人办公都会使用到的系统定级为二级系统，主要包含能源企业内部的企业资源计划（Enterprise Resource Planning，ERP）、办公自动化（Office Automation，OA）和财务共享等系统，这些系统维持着能源企业的正常运营，发挥的作用不可忽视。大多数能源企业也建立了自己的宣传网站，并对外提供了某些能源类服务，这就要求能源企业在信息安全管理体系构建过程中，对这类系统单独分级、区分，做好内外网文件的传输工作。能源企业在构建信息安全管理体系时，不能忽视个人用户行为可能给企业信息安全带来的不良后果。对于生产内网区和办公内网区的终端设备，能源企业要禁止员工使用U 盘、蓝牙等设备进行文件的传输，并对其与互联网的连接进行严控，防止个人行为成为能源企业信息安全事件的源头［4］。

3.4 利用新技术做好信息安全风险防范工作

能源企业信息安全事件类型不断变化，对其信息安全管理体系构建中的风险防范工作提出了更高的要求，弥补系统漏洞和加强入侵检测仍然是能源企业目前信息安全风险防范的重点。当前，信息安全风险防范的技术正在不断更新，在扫描系统漏洞的基础上，能源企业要主动使用防御技术，构建终端威胁检测响应系统，减少企业终端信息安全事件的人为干预。针对生产、经营的各类管理系统，能源企业必须定期以等保标准为基础开展漏洞和隐患的扫描工作，对于等级较高的系统，要加大扫描力度。对于排查到的隐患和漏洞，必须按照制度要求在相应的时间内完成修复工作，修复完成后需根据PDCA 模式进行评审和改进，以做好风险防范工作。在风险防范中，除常规的防火墙、上网行为管理和病毒库技术外，信息加密技术也相当重要，要加强信息加密技术的应用。信息加密技术可以解决数据的保密性问题，防止非法人员对数据进行访问，也可解决数据防篡改问题，这两个问题都是能源企业信息安全风险防范的重要问题。

3.5 加强PDCA 过程模式在能源企业信息安全管理中的应用

能源企业构建信息安全管理体系的重点在于落实，PDCA 过程模式是其核心，必须要让PDCA 过程模式应用于实际。在计划阶段，需要优化信息安全管理环境并进行风险评估，其中涉及确定范围、定义风险评估的系统性方法，以及识别风险、评估风险、识别并评价风险处理的方法。在实施阶段，要根据程序文件的内容做好风险处理。在检查阶段，要依据方针、目标和经验评估整个过程的效果，并将结果上报，这就需要企业及时发现实施过程中某些程序文件或者工作说明书的不足，从而进入改进阶段。在改进环节，要利用新方法、新技术弥补程序文件和工作说明书中的不足，并采取一些预防性的措施，提高企业信息安全管理效果［6］。总之，4个步骤是一个完整的闭环过程，能源企业只有严格开展所有环节的工作，才能保证企业信息安全管理体系有效落实。