廣州石化:網絡安全實現主動防御動態(tài)管控
中國石化新聞網訊 廣州石化以信息HSSE“十大風險”管控工作為抓手,落實網絡安全主體責任,立足互聯網安全、工業(yè)控制安全、核心業(yè)務系統(tǒng)安全和終端安全等領域,著力打造網絡安全五大能力,逐步實現“主動防御、動態(tài)管控”的安全體系建設目標,助力公司安穩(wěn)長滿優(yōu)運營,交出一份廣州石化網絡安全治理方案。在中國石化2018年信息化工作會議上,廣州石化被授予“中國石化2017年度網絡安全先進單位”。
構建企業(yè)“大安全”管理格局
隨著工業(yè)互聯網的發(fā)展,工業(yè)生產和網絡世界深度聯通,網絡空間攻擊直接影響到工業(yè)運行安全,并擴散、滲透到城市安全、人身安全、關鍵基礎設施安全乃至國家安全,網絡安全已從“信息安全”時代進入了“大安全”時代。
廣州石化一直高度重視網絡安全治理,有機結合地將信息安全管理融入HSSE管理體系,成立信息HSSE分委員會,成為廣州石化HSSE體系中六大主專業(yè)之一,將信息安全管理作為常規(guī)議題,列入公司總經理主持的HSSE月度及年度會議,著力構建企業(yè)“大安全”管理格局。
“網絡安全治理的重點不僅限于技術,需要更多的管理和規(guī)范?!痹谛畔SSE分委員會主任、公司副總經理周峰看來,頂層設計是網絡安全管理的重中之重。在他主持下,信息HSSE分委員會每月召開專題會議,分析企業(yè)在生產經營中存在的信息安全管理問題、影響因素以及部署企業(yè)信息安全管理工作。
建立整套信息安全管理制度體系,發(fā)布《廣州石化信息安全管理規(guī)定》等系列規(guī)章制度,作為對出現安全隱患或事件的責任部門,執(zhí)行經濟責任制考核的重要依據。建立信息安全通報機制,2017年發(fā)布4期信息安全簡報和5次緊急通報,對信息安全隱患堅決“零容忍”。
建立在線化權限矩陣管理機制,明確管理流程,細分部門職責,不相容崗位得到有效落實。持續(xù)開展關鍵崗位人員信息安全審計和信息系統(tǒng)權限清理工作,去年清理總量超萬條。通過綜合應用中石化統(tǒng)一身份管理平臺、IT服務管理平臺和堡壘機,建立安全、可控、可審計的運維通道,權限管理得到有效控制。
讓信息安全“看得見”網絡“信得過”
梳理和識別企業(yè)在生產經營中的信息安全風險,是讓信息安全“看得見”的基礎。廣州石化運用安全風險矩陣標準和風險評估工具,識別信息HSSE“十大風險源”并形成清單,制定具體目標/指標/管控措施以及責任人、完成時間,在HSSE委員會月度會議上進行落實情況跟蹤。每半年開展回顧工作,年底進行后評估,結合本年度剩余風險滾動評估更新下一年度清單,建成一套完整的信息安全風險管控PDCA模型。2017年,通過信息HSSE“十大風險源”識別與管控,90%以上主要風險源的剩余風險降低至可接受程度。
每個信息系統(tǒng)從它產生到銷毀是有生命周期的,廣州石化嚴格依據網絡安全“三同步”原則,做好信息系統(tǒng)全生命周期安全管理工作。立項階段,開展信息系統(tǒng)等級保護定級工作,在可行性研究報告、合同技術附件等技術文檔中加入信息安全專篇。項目實施階段,設置安全監(jiān)理崗位,監(jiān)督落實信息安全方案、安全基線。與項目建設單位簽訂信息安全責任書,明確建設單位信息安全責任和內容。系統(tǒng)上線前,通過代碼靜態(tài)掃描、漏洞掃描等方式開展上線安全檢查,落實整改后方可上線。系統(tǒng)驗收前,由項目主管部門組織安全復查,通過才允許驗收。系統(tǒng)運維階段,與運維單位簽訂信息安全責任書,定期組織信息系統(tǒng)安全自查,對發(fā)現的安全隱患限期整改或下線處理。目前,廣州石化在用的48個關鍵信息系統(tǒng),高危漏洞、互聯網應用入侵事件均為零,系統(tǒng)應用安全得到有效保障。
技術攻防是網絡安全的本質,從去年延續(xù)至今年初的系列勒索病毒‘大爆發(fā)’,啟發(fā)了我們深度思考:企業(yè)網絡安全技術重在感知威脅,進而嚴密防范。為此,我們建立了多點分層次防御體系,使企業(yè)網絡通路‘信得過’‘靠得住’?!毙畔⒅行募夹g委員會信息安全控制組負責人張亞堂副主任表示。一方面通過雙鏈路冗余,上網行為管理白名單,VPN訪問策略等措施,不斷加強網絡和基礎設施保護。另一方面,使用國產化工控防火墻、防病毒軟件和中石化云DMZ區(qū),持續(xù)對區(qū)域邊界實施保護。在計算環(huán)境保護方面,網絡準入控制、桌面安全、防病毒客戶端安裝率達100%,為每個應用系統(tǒng)制定安全基線、漏洞掃描計劃,定期進行基線配置掃描,問題整改實施看板管理。2017年,信息基礎設施、信息系統(tǒng)安全運行,重大信息安全事件均為零。
參考國際通用的IT基礎架構最佳實踐指南,廣州石化經過十余年摸索,創(chuàng)新性地建設了一套可度量的IT服務管理體系,并于2013年通過ISO/IEC 20000體系認證,2016年通過CNAS C003-ITSM認證,成為中國石化內首家獲得IT服務管理體系雙認證的單位。借鑒可度量的IT服務管理體系建設經驗,廣州石化應用問題管理流程分析信息安全事故,變更流程和容量管理流程控制信息系統(tǒng)安全運行風險,發(fā)布流程進行信息系統(tǒng)上線前安全測試。一系列標準化、流程化的信息安全管理手段,促使企業(yè)信息系統(tǒng)可用性達到99%以上,有效保障了公司各業(yè)務板塊的持續(xù)運行。
傳統(tǒng)的安全防護模式,更多依靠安全設備的單點防護能力,而廣州石化在網絡安全防護工作中,嵌入應急預案模塊,打造可協同聯動的安全防護模式。近年,廣州石化通過編制《計算機信息系統(tǒng)損害專項應急預案》,完成了ERP、SMES、視頻會議系統(tǒng)等11個重要信息系統(tǒng)的應急處置卡編制工作。2017年,模擬企業(yè)到廣州區(qū)域中心鏈路中斷故障,啟動應急預案進行實操演練,系列勒索病毒高發(fā)期間,啟動防范高危蠕蟲病毒的入侵緊急預案,通過網絡安全事件發(fā)現、報告、研判、應急處置等流程,公司網絡安全防護多方協同聯動作戰(zhàn)水平得到了驗證。黨的十九大、《財富》全球論壇及全國“兩會”前夕,廣州石化進一步加強網絡安全監(jiān)控,加強與總部及地方政府溝通,落實領導帶班24小時值班,嚴格執(zhí)行信息安全保障“零報告”制度,有效應對各類網絡安全事件,保障了特殊時期的信息安全。
打造高效的網絡安全技術團隊
“網絡安全競爭歸根到底是人才的競爭”信息中心主任高寧波認為,企業(yè)網絡安全治理需要做好人才儲備,建立自己的網絡安全技術團隊,將被動防御變?yōu)橹鲃臃雷o,才能從根本上杜絕發(fā)生信息安全事件,企業(yè)才能夠真正掌握網絡安全的主動權。
為了建設一支高素質、懂安全的信息化建設和運維隊伍,廣州石化堅持推行“持證上崗”,打造有技術有能力的安全管理團隊。以集團公司信息安全技術競賽金牌團隊為班底,在信息中心技術委員會之下,設立了信息技術委員會安全控制組,目前成員6人,負責制定廣州石化信息安全規(guī)劃的具體內容和技術路線。成立至今,安全控制組解決了100多項安全管理、技術問題,通過每月召開例會的形式,回顧技術工作成果,并形成月度工作報告向信息HSSE分委員會進行匯報,有效促進了企業(yè)信息安全管理及技術水平持續(xù)提升。
為保證安全控制組成員的信息安全管理、技術水平達到支撐公司信息安全管理的要求。廣州石化每年安排計劃要求安全控制組成員參加信息安全培訓,并要求組員“持證上崗”參加注冊信息安全專業(yè)人員(CISP)資格考試,目前安全控制組成員均達到了此要求。(陸穎玉)