核安全文化與信息安全的結(jié)合
【51CTO.com 綜合消息】最近在做核電的項(xiàng)目,其中包括為客戶設(shè)計(jì)信息安全保障體系架構(gòu),而核電行業(yè)本身在安全方面的要求就已經(jīng)達(dá)到了非常高的水平,其在工業(yè)和生產(chǎn)安全管理體系和要求方面已經(jīng)非常成熟,可以說(shuō)信息安全在整體的核安全內(nèi)容中還只是非常小的一部分。所以借此機(jī)會(huì)將核電行業(yè)的安全文化如何與企業(yè)信息安全的安全建設(shè)相結(jié)合做個(gè)初步的探討,一方面幫助我們了解核電行業(yè)在信息安全方面的需求和特點(diǎn),另一方也有助于我們?cè)诜浅V匾暟踩暮穗娖髽I(yè)將信息安全做的更有特色。
如果沒(méi)有在核電行業(yè)或電力行業(yè)工作過(guò)或者沒(méi)有做過(guò)核電行業(yè)或電力行業(yè)項(xiàng)目的人,對(duì)核安全文化應(yīng)該是比較陌生的,為了讓大家能夠更好的理解什么是核安全文化,我們需要先簡(jiǎn)單了解一下核安全文化包括哪些主要內(nèi)容。
1. 核安全文化的主要內(nèi)容
1.1 核安全文化的起源
核電站的“安全文化”是國(guó)際核能界在三里島和切爾諾貝利事故后,結(jié)合“企業(yè)文化”的管理思想,提出的這一新的安全管理思想和原則,它是傳統(tǒng)的縱深防御原則的擴(kuò)充,也是安全管理思想的一次重大變革。大亞灣核電站從運(yùn)行初期安全管理制度就是建立在“縱深防御”和“程序管理”的安全管理思想上的。即認(rèn)為設(shè)備、人和管理都是可能出現(xiàn)失效的,為把這種失效的可能性減為最小,除提高設(shè)備質(zhì)量、人員素質(zhì)和改進(jìn)管理外,還必須采取一系列的防范措施,即預(yù)防、監(jiān)督和在萬(wàn)一出現(xiàn)失效時(shí)必要的響應(yīng)對(duì)策。
1.2 核安全文化的特點(diǎn)
核安全文化強(qiáng)調(diào)四個(gè)“凡事” :“凡事有章可循,凡事有人負(fù)責(zé),凡事有據(jù)可查,凡事有人監(jiān)督” (也被稱作核電制造的靈魂)。這四個(gè)“凡事”與谷安天下幫助客戶建立信息安全保障體系架構(gòu)的思想也存在一定的相似之處。下面對(duì)四個(gè)“凡事”的內(nèi)容簡(jiǎn)單描述一下。
1)凡事有章可循,就是說(shuō)我們所做的工作、所要求的內(nèi)容和建立的管理制度要落實(shí)到明確規(guī)定和文件,形成實(shí)實(shí)在在的制度文件,在我們開(kāi)展各項(xiàng)工作、執(zhí)行各類操作的時(shí)候都能夠找到相關(guān)的文件進(jìn)行指導(dǎo)。
2)凡事有人負(fù)責(zé),就是說(shuō)我們要在現(xiàn)有業(yè)務(wù)部門結(jié)構(gòu)的基礎(chǔ)上建立起安全管理的組織結(jié)構(gòu)和組織人員,不僅如此,還需要對(duì)包括安全部門和安全的崗位在內(nèi)的各個(gè)部門和崗位建立明確安全職責(zé),確保每項(xiàng)工作都能夠找到明確的負(fù)責(zé)人。
3)凡事有據(jù)可查,就是說(shuō)我們所做的各項(xiàng)工作和操作都需要形成記錄,這些記錄應(yīng)當(dāng)詳細(xì)的記錄我們的工作時(shí)間、工作內(nèi)容和工作結(jié)果等信息,確保工作情況被詳細(xì)記錄,這些信息保存起來(lái)可以為之后開(kāi)展的檢查工作提供輸入。
4)凡事有人監(jiān)督,就是說(shuō)我們要建立起完善的監(jiān)督、檢查和審計(jì)機(jī)制,制定明確的監(jiān)督人員、崗位,制定詳細(xì)的監(jiān)督、檢查和審計(jì)內(nèi)容,通過(guò)開(kāi)展監(jiān)督、檢查和審計(jì),確保建立的安全管理制度、組織以及所實(shí)施的各項(xiàng)保護(hù)被有效和正確的執(zhí)行。
可以看出來(lái),無(wú)論是核安全建設(shè)還是信息安全建設(shè),這四個(gè)“凡事”的內(nèi)容都是不可缺少的關(guān)鍵要素。
1.3 核安全文化的落實(shí)
核電站通過(guò)安全文化的滲透和員工基礎(chǔ)素質(zhì)的系統(tǒng)提升, 將縱深安全管理的各項(xiàng)制度與文化有機(jī)地結(jié)合起來(lái),核安全文化建設(shè)通過(guò)培訓(xùn)等各種措施將核安全意識(shí)落實(shí)到員工的日常工作中去, 通過(guò)不斷的實(shí)踐改進(jìn), 把理念變?yōu)榱?xí)慣, 真正做到“人人都是一道屏障”。
核安全技術(shù)保護(hù)是保障核電站安全運(yùn)行的重要手段,當(dāng)前核電行業(yè)采用的四道屏障:***道屏障——燃料芯塊、第二道屏障——燃料包殼、第三道屏障——壓力邊界、第四道屏障——安全殼。這些屏障就是通過(guò)技術(shù)手段對(duì)反應(yīng)堆進(jìn)行安全保護(hù)。這種保障方式與信息安全領(lǐng)域的縱深防御的思想也有相同之處,通過(guò)四道屏障不同的手段和技術(shù),實(shí)現(xiàn)多層保護(hù)。
核電運(yùn)維方面的工作也需要高度的安全保障,對(duì)于程序遵守充分體現(xiàn)了“預(yù)防為主”的思想。原WANO主席在離別主席生涯時(shí)說(shuō)過(guò)一句話:核電站只有在自動(dòng)停堆、棒沒(méi)落下的時(shí)候著急,其它沒(méi)有著急的事情。這句話對(duì)核電安全文化的啟發(fā)很大:在做事情之前停一停、想一想,把要做的事情寫下來(lái),按流程批準(zhǔn)后再實(shí)施,風(fēng)險(xiǎn)就能得到有效的控制,安全運(yùn)維也就有了保障。
核事故應(yīng)急(簡(jiǎn)稱“核應(yīng)急”)也是核電發(fā)展工作中的重要組成部分,核應(yīng)急工作包括核應(yīng)急準(zhǔn)備和核應(yīng)急響應(yīng),是保證核電站正常運(yùn)行必不可少的環(huán)節(jié)。#p#
2. 核安全文化與信息安全相結(jié)合
通過(guò)上面的介紹大家對(duì)核安全文化已經(jīng)有了初步的了解,那么核安全如何與信息安全相結(jié)合就是接下來(lái)將要介紹的內(nèi)容。
在繼續(xù)往下閱讀之前需要清楚的一個(gè)問(wèn)題就是我在這里提到的幫助核電企業(yè)制定信息安全管理和信息安全保障都是不包括二次系統(tǒng)部分內(nèi)容的,主要是由于電力二次系統(tǒng)本身不在電力企業(yè)的IT部門管理,是由專門的生產(chǎn)部分負(fù)責(zé),同時(shí)由于二次系統(tǒng)本身安全性要求非常高,一般外部公司很難接觸到。
2.1 核點(diǎn)企業(yè)發(fā)展信息安全的需求
核電企業(yè)是以提供清潔能源為主要業(yè)務(wù)的,核電企業(yè)自成立以來(lái),始終堅(jiān)持“安全***,質(zhì)量***,追求卓越”的方針。隨著核電業(yè)務(wù)的發(fā)展,信息技術(shù)在企業(yè)內(nèi)部的不斷推廣和普及,業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高,信息系統(tǒng)能否安全、穩(wěn)定的運(yùn)行將直接影響核電業(yè)務(wù)的開(kāi)展,因此,網(wǎng)絡(luò)與信息安全已經(jīng)成為保障核安全有機(jī)的組成部分,并且其重要程度將隨著信息技術(shù)的普及和發(fā)展變得更加重要。
2.2 核安全文化與縱深防御的思想的結(jié)合
核安全文化中倡導(dǎo)的“縱深防御”原則在信息安全領(lǐng)域很早就被提出過(guò)。例如,在信息安全領(lǐng)域美國(guó)國(guó)家安全局制定的IATF中最早已經(jīng)提出了縱深防御,也稱作“深度防護(hù)(Defense-in-Depth)”的策略。IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心原則,關(guān)注四個(gè)信息安全保障領(lǐng)域:保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施。通過(guò)下圖可以比較清晰的了解IATF的理論建立模型。
 |
| 圖1 |
因此我們?cè)跒楹穗娖髽I(yè)設(shè)計(jì)信息安全保障體系架構(gòu)時(shí)也是結(jié)合了“縱深防御”的安全保護(hù)理念,結(jié)合了四個(gè)“凡事”的工作思想,通過(guò)“三道防線”與“體系文件與安全組織”的建立,有效的實(shí)現(xiàn)了“縱深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的應(yīng)用。而我們?cè)诩軜?gòu)設(shè)計(jì)中的“三道防線”設(shè)計(jì)思想也與核電行業(yè)對(duì)反應(yīng)堆的“四道安全保護(hù)屏障”的保護(hù)方式相一致。
建立完善的信息安全保障架構(gòu)不僅是核電企業(yè)為保障信息技術(shù)安全的需求,同時(shí)也是符合核電行業(yè)的核安全需求的,隨著信息安全在企業(yè)中的重要性越來(lái)越高,在建立信息安全保障體系的同時(shí),也要將信息安全的文化融入的員工的日常工作中,只有這樣才能夠讓企業(yè)的信息安全保障體系真正的發(fā)揮作用。#p#
3. 核電企業(yè)信息安全保障架構(gòu)設(shè)計(jì)
3.1 信息安全保障架構(gòu)設(shè)計(jì)
在充分了解核安全文化與信息安全的相似點(diǎn)之后,結(jié)合信息安全領(lǐng)域的建設(shè)方法以及谷安天下在建立信息安全保障架構(gòu)的方法論,為核電企業(yè)設(shè)計(jì)如下的信息安全保障架構(gòu)。
 |
| 圖2 |
我們的信息安全保障架構(gòu)通過(guò)建立四個(gè)保障目標(biāo)(信息安全、系統(tǒng)安全、運(yùn)行安全、物理安全),參考四種建設(shè)標(biāo)準(zhǔn)(ISO27001、ISO2000、等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估)為總體架構(gòu)設(shè)計(jì)奠定了基礎(chǔ),總體架構(gòu)包含五個(gè)主要部分(安全管理、安全組織、安全技術(shù)、安全運(yùn)維、應(yīng)急恢復(fù)),通過(guò)兩種監(jiān)督措施(檢查、審計(jì)),實(shí)現(xiàn)三道防線的保護(hù)(事前控制、事中控制、事后控制)。
3.2保障架構(gòu)與核安全文化的融合
為了更加貼近信息安全保障架構(gòu)與核安全文化的融合,下面我們從安全架構(gòu)的五個(gè)主要組成部分介紹一下它們是如何通過(guò)相同和相似之處進(jìn)行融合的。
3.2.1 安全組織
信息安全管理組織的建立與核安全文化中提到的“凡事有人負(fù)責(zé)”有著許多相同的地方,通過(guò)建立信息安全組織明確崗位職責(zé),做到了信息安全工作有組織協(xié)調(diào)管理,有人落實(shí)具體工作。
我們建立安全組織是確保信息安全決策落實(shí)、支持信息安全工作開(kāi)展的基礎(chǔ)。信息安全組織建設(shè)的目的主要是通過(guò)構(gòu)建和完善信息安全組織架構(gòu),明確不同安全組織、不同安全角色的定位、職責(zé)以及相互關(guān)系,強(qiáng)化信息安全的專業(yè)化管理,實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效控制。
3.2.2 安全管理核安全文化中提到了“程序管理”、“凡事有章可循”
這些內(nèi)容都是說(shuō)明建立安全管理,必須要將現(xiàn)有和即將制定的安全管理制度通過(guò)落實(shí)到文件的形式固化下來(lái),這樣在執(zhí)行的過(guò)程中才能夠有依據(jù),所以我們建立安全管理體系的目的也是通過(guò)制定出一套完整的信息安全管理體系文件來(lái)提高全企業(yè)的信息安全管理水平。
我們提供的安全管理即建立信息安全管理體系(簡(jiǎn)稱“ISMS”)是整體安全建設(shè)的一部分,也是信息化管理中的重要一環(huán)。信息安全管理體系是信息安全策略、組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套信息安全的管理規(guī)范。我們?cè)诮Y(jié)合ISO27001國(guó)際標(biāo)注與國(guó)際原子能機(jī)構(gòu)(IAEA)建立ISMS的***實(shí)踐基礎(chǔ)上提出15個(gè)域的信息安全管理體系建設(shè)方法。
 |
| 圖3 |
3.2.3 安全運(yùn)維
核安全思想中,對(duì)安全運(yùn)維的要求也非常高,這是保證電廠能夠穩(wěn)定工作的重要條件。因此建立同樣的信息安全運(yùn)維保障體系也是要提高集團(tuán)的信息安全運(yùn)維水平,這與“凡事有人負(fù)責(zé)”,“凡事有據(jù)可查”,“凡事有人監(jiān)督”的內(nèi)容都有相似之處。
所以安全運(yùn)維作為整體信息安全保障架構(gòu)的一部分,它是通過(guò)安全的運(yùn)行管理,結(jié)合安全產(chǎn)品和技術(shù),保障對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)等各方面穩(wěn)定運(yùn)行。通過(guò)將靜態(tài)的制度、人員、技術(shù)等“點(diǎn)”串聯(lián)起來(lái)形成動(dòng)態(tài)的流程“線”。清晰點(diǎn)明安全運(yùn)維體系的各項(xiàng)工作的控制和內(nèi)容,便于理清整體的運(yùn)維過(guò)程。
3.2.4 安全技術(shù)
核安全技術(shù)保護(hù)中,通過(guò)四道屏障保證了反應(yīng)堆的安全,通過(guò)在不同的區(qū)域使用不同的技術(shù)進(jìn)行安全控制。
安全技術(shù)體系正是利用各種安全技術(shù)、產(chǎn)品以及工具作為安全管理和運(yùn)行的落實(shí)的重要手段,最終支撐信息安全體系的建設(shè)。我們?cè)诮⑿畔踩夹g(shù)保證體系的過(guò)程中同樣借鑒了“縱深防御”的思想,通過(guò)制定不同的安全等級(jí)和過(guò)劃分不同的安全區(qū)域,進(jìn)行分區(qū)域的保護(hù),通過(guò)在每個(gè)區(qū)域中實(shí)施各種技術(shù)手段實(shí)現(xiàn)域內(nèi)的安全控制。
3.2.5 應(yīng)急恢復(fù)
在核安全文化中,“核應(yīng)急”也是保障核安全的重要一環(huán),而在信息安全管理方面應(yīng)急響應(yīng)和信息安全事件管理同樣也是保證業(yè)務(wù)持續(xù)運(yùn)行的***一道重要保障。建立應(yīng)急保障體系將包括信息安全事件管理規(guī)定、應(yīng)急響應(yīng)計(jì)劃建立和業(yè)務(wù)連續(xù)性計(jì)劃的建立,同時(shí)為了保證這些計(jì)劃能夠在事件發(fā)生后被有效執(zhí)行,還需要定期進(jìn)行演練和測(cè)試,以保證計(jì)劃的有效。
4. 總結(jié)
通過(guò)以上的安全保障架構(gòu)設(shè)計(jì)可以非常清晰的看出來(lái),只有很好的結(jié)合并融入到核安全文化之中所建立的安全保障體系架構(gòu)才能夠更加的貼合核電行業(yè)的安全需求實(shí)際,也才能夠更好的滿足客戶的需要。相信谷安天下科學(xué)、先進(jìn)的信息安全保障架構(gòu)建立方法能夠?yàn)楹穗娖髽I(yè)的信息安全建設(shè)帶來(lái)非常大的幫助。
【編輯推薦】
