◆朱 博
推进企业信息系统本质安全 助力中国海油二次跨越
◆朱 博
(中国海洋石油总公司 北京 100010)
本文以中国海洋石油总公司为例,阐述了当前企业信息安全保障的重要性和必要性,分别在技术层面、管理层面、系统层面、政策层面提出了保障企业信息系统安全的方式方法,在实践工作中具有一定的指导意义。
企业信息系统;企业网络安全
中国海洋石油总公司(以下简称“中国海油”)作为“世界500强”前100强企业,在做强做优油气主业、积极保障国家能源安全的同时,公司以“本质安全”思想为指导,以贯彻落实国资委“两个保护”提升“四个能力”为思路,努力实现信息化与企业经营管理有机融合,并在信息安全文化、组织制度、安全技术三个层面保障企业的信息系统本质安全,为实现海油“二次跨越”战略构想、建设一流的能源公司保驾护航。
企业信息安全既是中国海油自身持续、稳定发展的客观需要,也是新形势下企业内、外部环境变化的客观要求。2013年对于信息安全而言,是不平凡的一年。2013年12月,中央成立了“中央网络安全和信息化领导小组”,信息安全被提升至国家战略层面。中国海油也结合公司自身发展实际,成立了以总公司CIO为组长的“信息安全综合治理工作领导小组”,按照“统一规划、着眼长远、标本兼治、统筹兼顾”的原则,继续大力推进信息系统本质安全工作,坚持以“人、机、环境、制度”4M(人(MEN)、机(MACHINE)、环境(ENVIRONMENT)、管理制度(MANAGEMENT))四位一体,将信息系统本质安全工作贯穿于“设计、接入、防护、应急、审计”五个阶段,通过全生命周期的管理打造更加安全的“数字海油”、“智慧海油”。
本质安全的提出,源于20 世纪50年代世界宇航技术的发展。本质安全强调通过追求企业生产中人、机、环境、制度等诸要素的安全可靠及和谐统一,使各种危害因素始终处于受控制状态,进而逐步趋近本质型、恒久型安全目标。“人的本质安全化”是保障信息安全的最有效的手段。人是信息化工作的推动力,提高全员的信息安全意识和责任心,杜绝违反信息安全管理制度的行为,发现隐患及时整改,真正做到防患于未然,达到人的本质安全化,是保障信息安全的必由之路。
1.1 加强人员培训
人员安全培训要求操作者有较好的心理、生理、技术素质,即要“一想”(具有强烈的安全意识)、“二会”(安全技能、专业岗位知识)、“三能”(能遵守制度、能创造安全环境、能正确操作设备)。中国海油通过对不同培训对象进行不同类型的信息安全培训的形式,对全体人员进行信息安全意识教育培训和信息安全相关管理制度的推广培训,增强信息安全意识的同时使员工了解最新的信息安全理论的发展动向;对IT岗位人员进行专业技能培训,加强专业人员岗位能力。定期进行安全意识和信息安全专业岗位的考核,保证人员能够胜任岗位,掌握最新的安全防护技术,从而增强信息安全运行能力。
1.2 提升安全文化
企业管理之父彼德·德鲁克说过:“任何组织中最稀缺的资源是在文化影响下把任务执行好的人”,这体现了信息安全文化在管理工作中所起的关键作用。中国海油通过积极开展安全文化建设宣传活动,大力推广“本质安全化”理念,营造了浓厚的安全生产气氛,极大地提高了整个集团的信息安全生产意识。利用全员征集安全理念的形式,通过投票产生安全理念,使员工在参与过程中加强自身对信息安全文化的认识。每个办公室、会议室、机房都张贴了安全理念、目标、口号等宣传标语;每个工位上,醒目放置了安全理念宣传贴;每个入网的电脑都有安全提醒屏保推送到员工的面前。通过不断完善信息安全文化系统及其管理体系,将安全生产工作提高到文化的高度去认识,依靠安全文化的潜移默化作用,提高全体员工的安全意识和整体安全文化素质,增强企业的抗风险能力和竞争能力。
本质安全设计是以危险源辨识为基础,以风险预控为核心,以技术手段控制重大危险源为手段的。但信息系统本质安全绝不是单点的危险辨识、预防、控制,它往往遵循木桶短板原理,那就需要我们从物理结构安全、网络设备安全、系统安全、应用安全和管理安全等方面进行立体的防护,需要建立“设计、接入、防护、应急、审计”全生命周期的防护体系。中国海油从顶层设计的全面规划,到有控制的安全接入,再到接入后的分层防护,到风险出现后的应急措施,到事后的审计追溯,环环相扣建立起信息安全的坚固的技术防线,确保了本质安全中设备的安全运行。
2.1 设计阶段
中国海油一贯坚持以“顶层设计是第一要务”的思想,在国资委“进一步加强信息化顶层设计,处理好局部与全局、重点应用与整体推进、单项应用与发挥整体职能的作用的关系,实现信息化建设全面、协调和可持续发展”的指导下,中国海油成立了以集团CIO为组长的“信息安全综合治理工作领导小组”,按照“统一规划、着眼长远、标本兼治、统筹兼顾”的原则开展信息系统本质安全工作,在更深层次加快信息系统本质安全四位一体的融合,更加注重网络基础能力和运维能力,更加注重信息安全整治的整体实效,确保信息安全顶层设计具体落地。针对信息安全组织结构、信息安全管理制度、基础网络安全、信息系统安全等方面,提出有针对性的规划设计,并组织推动实施,收到了良好的效果。
2.2 接入阶段
没有辨识危险源,技术管理就没有对象。“病从口入”可以很好的诠释危险的主要来源,控制好接入阶段是信息系统本质安全的重中之重。中国海油从三个层面控制接入,对互联网出口的控制保障了内网的安全,对接入终端的控制保障了内部数据的安全,对人员接入的控制保障了“人”的本质安全。
在互联网出口方面,中国海油实现了统一规划、统一建设、统一管理,在互联网边界上统一部署防护、流量管理、审计、防火墙等设备,并通过统一的安全策略实现对互联网出口的安全防护;在终端防护方面,中国海油采用技术和管理手段,加强终端(包括台式电脑、笔记本电脑)的安全管理,实现对终端设备的资产管理、系统补丁管理、非法外联控制、网络准入控制、病毒抵御等安全防护保障,做到有防护、有检测、可控制、可审计;在人员接入方面,中国海油采用域用户统一认证方式,保证只有被授权的用户才能访问网络和利用资源,访问控制检查用户标识、口令,根据授予的权限限制其对资源的利用范围和程度,大大减少了“人”的无意识操作对信息安全造成的危害。
2.3 防护阶段
信息本质安全是“以危险源辨识为基础,以风险预控为核心”的,可见预防和保护是保障信息系统本质安全的核心。经过多年的信息化建设及信息安全技术积累,中国海油形成了以定期进行网络、系统的漏洞扫描及安全检查为预防措施,以系统的分等级保护、网络分层控制为保护手段的技术体系。
中国海油根据网络的功能、保密水平、安全水平等要求的差异利用路由器、虚拟局域网VLAN、防火墙等手段将网络进行分段隔离,使网络形成横向隔离、纵向认证的架构,可以实现更为细化的安全控制访问,将攻击和入侵造成的威胁分别限制在较小的子网内,并通过过滤不安全的服务来降低风险,提高网络的整体安全水平。安全漏洞扫描也是作为中国海油安全防御中的一项重要工作,采用模拟攻击的形式定期对目标工作站、服务器、路由器、交换机、数据库等各种对象进行已知安全漏洞的逐项检查,然后根据扫描结果向管理员提交安全分析报告,并提示管理员修补漏洞,提高了整个网络和系统的安全水平。
2.4 应急阶段
任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致信息网络重要数据的丢失。因此,中国海油建立了事故及隐患报告机制,并制定了应急响应方案及灾难恢复制度,并积极响应国资委提出的“必须建立健全数据的容灾与备份功能”加强了异地灾备能力的建设,并根据应急方案定期开展应急演练。演练训练各级维护人员、事故处置人员,发现应急处置过程中存在的问题,检验和评估应急预案可操作性和实用性,提高应急能力,为安全运行培养更多具有专业技能的人才,提升企业数据安全和业务连续性保障能力。
2.5 审计阶段
应急与灾备技术保障了企业数据安全和业务连续性,那么审计与日志等信息提供了追溯问题的途径。中国海油建立了重要系统、网络设备的日志保存机制,也对网络使用情况进行统计分析,以监视局域网外部绕过或透过防火墙的攻击。当发生可疑动作时,对网络访问存储的日志进行监控审计,结合重要系统访问日志审计,分析出可能的遭受攻击的主机系统,尽快定位问题。在运维过程中,形成安全运维制度,定期进行日志分析和审计,大大提升了企业的信息安全风险预防和排查能力,也是对整个信息系统本质安全体系的有益补充。
信息系统本质安全生产过程中,人、机以及环境始终是相辅相承的,人机环境系统达到最佳配合,目的是使系统的安全性最好,从而使人在操作过程中感到安全和舒适,让系统获得最高的效率,而整个过程也保障了信息系统本质安全化。中国海油在特殊的信息安全生产环境中采用了本质安全的“最小化”及“简单化”原则。在机房、海洋石油平台、化工厂房上不使用或使用最少量的危险物质以保护主机及工控设备安全运行;通过设计、简化在特殊生产环境下的操作的步骤及复杂度,以减少人为失误的机会。与此同时,辅以一定的管理制度及操作标准流程,例如机房环境管理办法等,将发生信息安全事故的概率降到最低。
人机环境系统本质安全化能达到的程度受技术及经济条件的制约,而如何运用已有的技术及经济条件,并正确支配技术,则是信息系统本质安全管理制度的功能,因此决定人机环境系统本质安全化程度的是一定经济及技术条件下的安全管理水平。
中国海油按照ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》和ISO/IEC 20000-1:2005《Information technology -Service management》建立了一套信息技术服务管理体系(ITSMS)。同时,依据公司内控和风险管理的要求,公司根据自身实际情况建立了信息技术管理制度体系IT-01和IT-02,制度体系文档由基本制度、管理办法和操作细则三部分组成,其中包含22项信息安全内容。当然,信息安全是此消彼长的过程,公司也每年对IT-01和IT-02进行修订和评审,并加强制度落实与执行,公司建立了“以责任为中心”的管理模块,推行层次管理,形成“事事有人管、有落实、有考核,人人有事干、有责任、有监督”的全方位的安全管理体系。
打造本质信息系统安全是一项长期的系统工程,中国海油将在国资委的领导下,坚持“与时俱进,综合治理,持续改进”的原则。紧紧抓住人的本质安全、机的本质安全、环境的本质安全和管理的本质安全不放松,实现信息安全生产的目标,助力总公司“二次跨越”,为建设国际一流能源公司贡献力量!