內蒙古電力公司信息化建設三期安全咨詢平臺建設

2018-02-02 14:57:12 大云網　點擊量：評論 (0)

內蒙古電力公司作為省級管理電網企業，經過近幾年的信息化基礎設施建設，信息化水平穩步提高，但信息安全水平仍處于起步階段，面臨著各類信

內蒙古電力公司作為省級管理電網企業，經過近幾年的信息化基礎設施建設，信息化水平穩步提高，但信息安全水平仍處于起步階段，面臨著各類信息安全風險。在自身發展需求和外部推動下，內蒙古電力公司迫切需要建立健全信息安全保障體系，全面提升信息安全水平。

1、項目背景

在此背景下，針對管理信息大

區，內蒙古電力公司啟動安全咨詢項目，開展信息安全保障體系的規劃設計，指導未來3-5年的信息安全保障體系建設工作。

2、解決方案

■ 項目目標

內蒙古電力公司信息化建設三期安全咨詢項目的項目目標為：

1. 通過開展信息安全體系建設工作，全面識別內蒙古電力集團相關業務系統在信息安全技術層面、信息安全管理層面、信息安全運維層面存在的不足和差距，充分借鑒國內信息安全實踐和成熟的理論模型，設計合理的信息安全保障體系，從而保證業務系統能夠長期穩定運行和不斷完善和發展，適應內蒙古電力集團不斷擴展的業務應用和管理需求。

2. 根據ISO20000和ISO27001認證體系流程，對內蒙古電力信息通信分公司信息機房開展信息技術服務管理體系的建設輔導，對內蒙古電力信息通信分公司開展信息安全管理體系建設輔導，并協助其完成ISO20000和ISO27001體系認證，獲得《信息技術服務管理體系認證證書》和《信息安全管理體系認證證書》。

基于上述項目目標，結合項目具體實施內容，制定項目個性化的實施路線，如下圖所示：

內蒙古電力公司信息化建設三期安全咨詢平臺建設

■ 核心內容

1. 信息安全保障體系規劃

依據國家信息安全等級保護、ISO/IEC 27001及ISO/IEC 20000等信息安全標準規范，參考銀行業、電信行業信息安全保障體系的最佳實踐，結合管理信息大區信息安全現狀診斷成果，在保障信息安全體系合規的基礎要求下，融合新型網絡攻擊解決方案，從全體系、全覆蓋角度，整合內蒙古電力公司管理信息大區人員、設備、信息、環境、流程等各項因素，對內蒙古電力公司管理信息大區信息安全保障體系進行規劃，所規劃的信息安全保障體系從三個層次體現：

▲ 信息安全合規保障

安全合規是信息安全保障體系的根基及前提。通過構建“一個中心、三重防護”實現信息安全技術保障體系的建設；參考ISO/IEC 27001及ISO/IEC 20000，采用PDCA模型動態構建信息安全管理及運維體系，以實現人員、技術、操作三要素的緊密結合，為內蒙古電力公司管理信息大區信息系統提供基礎合規體系化的安全防護能力，確保系統安全運行。

▲ 信息安全自適應保障（下一代防御體系）

為了幫助內蒙古電力公司管理信息大區信息系統抵御目前層出不窮的諸如APT攻擊、大規模分布式DDOS攻擊等新型攻擊或威脅，在信息安全合規保障體系的基礎上，建立防御-檢測-響應-預測的信息安全自適應保障體系。

內蒙古電力公司信息化建設三期安全咨詢平臺建設

運用大數據分析技術，建立安全策略可視化平臺，重點解決業務網絡中存在的安全不可視、不可管、被動不可控的現狀，讓不懂安全的人看透安全，同時解決管理技術運行體系矛盾、安全運維效率低等信息安全合規保障體系無法解決的問題。在此基礎上，實現諸APT防御能力、安全取證能力、業務性能分析能力、安全態勢預警能力等新型安全能力的疊加，整體提升其應對新型攻擊及威脅的信息安全防護能力，使信息安全保障體系具備響應預警能力，并實現安全事件追溯和風險預測。

▲ 業務風險治理

信息安全保障體系的建設歸根到底是為了保障業務安全，內蒙古電力公司管理信息大區信息安全保障體系的第三個層次，即對業務風險治理體系的設計。借助定制開發的業務安全管控平臺，將風險防控嵌入日常業務流程中，對業務流程進行梳理，制定業務合規操作指引，通過業務合規操作指引規范員工日常業務活動，規避不合規而產生的業務風險、財務風險、運營風險等，形成業務風險防范、合規管理和法律監督的一體化業務合規治理體系。不僅為業務發展提供安全保障，更能從內部升華業務需求，使其業務發展走在電力行業前沿。

2. ISO/IEC 27001及ISO/IEC 20000認證

根據評審通過的信息安全保障體系設計方案，開展ISMS及ITSMS融合體系的建設及落地工作，融合體系采用如下模型開展建設工作：

內蒙古電力公司信息化建設三期安全咨詢平臺建設