广州石化以信息HSSE“十大风险”管控工作为抓手,落实网络安全主体责任,立足互联网安全、工业控制安全、核心业务系统安全和终端安全等领域,着力打造网络安全五大能力,逐步实现“主动防御、动态管控”的安全体系建设目标,助力公司安稳长满优运营,交出一份广州石化网络安全治理方案。在中国石化2018年信息化工作会议上,广州石化被授予“中国石化2017年度网络安全先进单位”。
构建企业“大安全”管理格局
随着工业互联网的发展,工业生产和网络世界深度联通,网络空间攻击直接影响到工业运行安全,并扩散、渗透到城市安全、人身安全、关键基础设施安全乃至国家安全,网络安全已从“信息安全”时代进入了“大安全”时代。
广州石化一直高度重视网络安全治理,有机结合地将信息安全管理融入HSSE管理体系,成立信息HSSE分委员会,成为广州石化HSSE体系中六大主专业之一,将信息安全管理作为常规议题,列入公司总经理主持的HSSE月度及年度会议,着力构建企业“大安全”管理格局。
“网络安全治理的重点不仅限于技术,需要更多的管理和规范。”在信息HSSE分委员会主任、公司副总经理周峰看来,顶层设计是网络安全管理的重中之重。在他主持下,信息HSSE分委员会每月召开专题会议,分析企业在生产经营中存在的信息安全管理问题、影响因素以及部署企业信息安全管理工作。
建立整套信息安全管理制度体系,发布《广州石化信息安全管理规定》等系列规章制度,作为对出现安全隐患或事件的责任部门,执行经济责任制考核的重要依据。建立信息安全通报机制,2017年发布4期信息安全简报和5次紧急通报,对信息安全隐患坚决“零容忍”。
建立在线化权限矩阵管理机制,明确管理流程,细分部门职责,不相容岗位得到有效落实。持续开展关键岗位人员信息安全审计和信息系统权限清理工作,去年清理总量超万条。通过综合应用中石化统一身份管理平台、IT服务管理平台和堡垒机,建立安全、可控、可审计的运维通道,权限管理得到有效控制。
让信息安全“看得见”网络“信得过”
梳理和识别企业在生产经营中的信息安全风险,是让信息安全“看得见”的基础。广州石化运用安全风险矩阵标准和风险评估工具,识别信息HSSE“十大风险源”并形成清单,制定具体目标/指标/管控措施以及责任人、完成时间,在HSSE委员会月度会议上进行落实情况跟踪。每半年开展回顾工作,年底进行后评估,结合本年度剩余风险滚动评估更新下一年度清单,建成一套完整的信息安全风险管控PDCA模型。2017年,通过信息HSSE“十大风险源”识别与管控,90%以上主要风险源的剩余风险降低至可接受程度。
每个信息系统从它产生到销毁是有生命周期的,广州石化严格依据网络安全“三同步”原则,做好信息系统全生命周期安全管理工作。立项阶段,开展信息系统等级保护定级工作,在可行性研究报告、合同技术附件等技术文档中加入信息安全专篇。项目实施阶段,设置安全监理岗位,监督落实信息安全方案、安全基线。与项目建设单位签订信息安全责任书,明确建设单位信息安全责任和内容。系统上线前,通过代码静态扫描、漏洞扫描等方式开展上线安全检查,落实整改后方可上线。系统验收前,由项目主管部门组织安全复查,通过才允许验收。系统运维阶段,与运维单位签订信息安全责任书,定期组织信息系统安全自查,对发现的安全隐患限期整改或下线处理。目前,广州石化在用的48个关键信息系统,高危漏洞、互联网应用入侵事件均为零,系统应用安全得到有效保障。
技术攻防是网络安全的本质,从去年延续至今年初的系列勒索病毒‘大爆发’,启发了我们深度思考:企业网络安全技术重在感知威胁,进而严密防范。为此,我们建立了多点分层次防御体系,使企业网络通路‘信得过’‘靠得住’。”信息中心技术委员会信息安全控制组负责人张亚堂副主任表示。一方面通过双链路冗余,上网行为管理白名单,VPN访问策略等措施,不断加强网络和基础设施保护。另一方面,使用国产化工控防火墙、防病毒软件和中石化云DMZ区,持续对区域边界实施保护。在计算环境保护方面,网络准入控制、桌面安全、防病毒客户端安装率达100%,为每个应用系统制定安全基线、漏洞扫描计划,定期进行基线配置扫描,问题整改实施看板管理。2017年,信息基础设施、信息系统安全运行,重大信息安全事件均为零。
参考国际通用的IT基础架构最佳实践指南,广州石化经过十余年摸索,创新性地建设了一套可度量的IT服务管理体系,并于2013年通过ISO/IEC 20000体系认证,2016年通过CNAS C003-ITSM认证,成为中国石化内首家获得IT服务管理体系双认证的单位。借鉴可度量的IT服务管理体系建设经验,广州石化应用问题管理流程分析信息安全事故,变更流程和容量管理流程控制信息系统安全运行风险,发布流程进行信息系统上线前安全测试。一系列标准化、流程化的信息安全管理手段,促使企业信息系统可用性达到99%以上,有效保障了公司各业务板块的持续运行。
传统的安全防护模式,更多依靠安全设备的单点防护能力,而广州石化在网络安全防护工作中,嵌入应急预案模块,打造可协同联动的安全防护模式。近年,广州石化通过编制《计算机信息系统损害专项应急预案》,完成了ERP、SMES、视频会议系统等11个重要信息系统的应急处置卡编制工作。2017年,模拟企业到广州区域中心链路中断故障,启动应急预案进行实操演练,系列勒索病毒高发期间,启动防范高危蠕虫病毒的入侵紧急预案,通过网络安全事件发现、报告、研判、应急处置等流程,公司网络安全防护多方协同联动作战水平得到了验证。党的十九大、《财富》全球论坛及全国“两会”前夕,广州石化进一步加强网络安全监控,加强与总部及地方政府沟通,落实领导带班24小时值班,严格执行信息安全保障“零报告”制度,有效应对各类网络安全事件,保障了特殊时期的信息安全。
打造高效的网络安全技术团队
“网络安全竞争归根到底是人才的竞争”信息中心主任高宁波认为,企业网络安全治理需要做好人才储备,建立自己的网络安全技术团队,将被动防御变为主动防护,才能从根本上杜绝发生信息安全事件,企业才能够真正掌握网络安全的主动权。
为了建设一支高素质、懂安全的信息化建设和运维队伍,广州石化坚持推行“持证上岗”,打造有技术有能力的安全管理团队。以集团公司信息安全技术竞赛金牌团队为班底,在信息中心技术委员会之下,设立了信息技术委员会安全控制组,目前成员6人,负责制定广州石化信息安全规划的具体内容和技术路线。成立至今,安全控制组解决了100多项安全管理、技术问题,通过每月召开例会的形式,回顾技术工作成果,并形成月度工作报告向信息HSSE分委员会进行汇报,有效促进了企业信息安全管理及技术水平持续提升。
为保证安全控制组成员的信息安全管理、技术水平达到支撑公司信息安全管理的要求。广州石化每年安排计划要求安全控制组成员参加信息安全培训,并要求组员“持证上岗”参加注册信息安全专业人员(CISP)资格考试,目前安全控制组成员均达到了此要求。