十二五”期间,随着坚强智能电网以及“三集五大”体系深入推进,SG-ERP工程的全面建设对电网企业信息化安全运维运行工作都提出了更高要求。同时适应电网企业发展新形势新要求,做好信息通信融合安全发展,全面保障智能电网以及“三集五大”建设,确保信息化管理组织及信息系统安全稳定运行,电网企业从技术环境改造与优化、制度建设与梳理以及责任制落实几个方面,已经初步形成了管理制度加技术手段配套的信息安全运维保障体系。但是,随着信息技术飞速发展,应用环境日益复杂,以及企业应用需求的日益增加,国家、企业对信息安全的要求不断提高,信息化发展过程中也暴露出许多问题和不足,主要体现在:
随着信息化大集中的建设,信息安全基础设施需要进一步进行系统化的优化整合;
目前信息安全运行维护监管水平和能力不足,需要建设高自动化水平的集中监管平台;
电网企业普遍缺乏体系化的安全管理策略及流程管理体系,无法有效指导信息化建设、运维与监管中的安全维护工作
现有的信息安全运维组织架构、人员数量及素质与整体信息化规模不匹配。
梵禅信息多年来从事电力企业整体信息安全及运行维护管理咨询,通过结合电网企业自身信息化建设运营特色、电网监管机构及国际国家标准要求。针对电网企业【信息安全防护体系】及【信息化服务管理体系】进行深入研究与实践,通过前瞻性、战略性的企业信息安全及运行维护综合体系去指导电网企业信息安全工作的开展,将统一性、通用性、安全性和实效性的要求贯穿信息化的全生命周期,确保电网企业信息安全工作的系统性、安全性、实用性和创新性。
建立信息安全防护及运维体系模型
梵禅信息在对多种信息安全防护体系进行研究分析后,根据ISO/IEC27001信息安全管理标准/ISO/IEC20000信息技术服务管理标准/COBIT IT治理规范,参照国家电网公司《国家电网公司信息化“SG186”工程安全防护总体方案》,《国家电网信息系统运行维护规程》等行业要求, 依据“分区分域、安全接入、动态感知、全面防护”及“谁主管,谁负责;谁运行,谁负责;谁使用,谁负责”总体防护策略及职责划分原则,提出了适合电网企业的信息安全运维防护体系模型。该模型在整体上表现为一个三维立体框架结构(见图1)。电网企业信息安全运维体系可划分为3个层面,以强调信息安全防护需要人、技术和运作3种要素的均衡。该防护体系具有以下特点:一是体现了安全管理是纲,安全技术是基础,安全的人和运作是保障;二是强调信息安全防护需要人、技术和运作3种要素的均衡;三是强调安全的过程性和动态性以及防护、检测和反应(PDR)模型的应用,强调纵深防御和深度防御的原则;四是强调运维过程中安全防护及优化流程的适宜、有效性。
建立信息安全运维组织架构落地
随着信息业务的持续发展,电网企业的信息化管理、建设与运维部门将不断发展与变化,信息化管理组织遵循四项建设原则:
1)统一遵循原则:即制定安全运维组织建设要求、角色分工和职责定义并严格遵循;
2)分权管理原则:即建立管理规划、运行保障和监督审计三权分离的组织结构;
3)集中管理和属地化管理并行原则:即安全政策的制定和发布以集团公司为主,实现以集团、省、地三级的监督审核体系和省、地、县三级安全运维保障体系;
4)管理角色职责备份原则:重要安全管理角色建立主备机制,提高人员的可用性和内部工作审核机制。
建立面向业务的安全运维规划模型
为了帮助电网企业IT组织更好地了解现状和需要改进的领域,梵禅信息结合其他高端行业最佳实践建立基于面向业务组件的IT业务模型。该模型从业务的角度出发,提炼出了电网企业IT生命周期管理理念:即从电网IT业务规划与管理,到IT业务构建,再到IT业务运行。