◆朱 博

?

推進(jìn)企業(yè)信息系統(tǒng)本質(zhì)安全 助力中國海油二次跨越

◆朱 博

（中國海洋石油總公司 北京 100010）

本文以中國海洋石油總公司為例，闡述了當(dāng)前企業(yè)信息安全保障的重要性和必要性，分別在技術(shù)層面、管理層面、系統(tǒng)層面、政策層面提出了保障企業(yè)信息系統(tǒng)安全的方式方法，在實踐工作中具有一定的指導(dǎo)意義。

企業(yè)信息系統(tǒng)；企業(yè)網(wǎng)絡(luò)安全

0 前言

中國海洋石油總公司（以下簡稱“中國海油”）作為“世界500強(qiáng)”前100強(qiáng)企業(yè)，在做強(qiáng)做優(yōu)油氣主業(yè)、積極保障國家能源安全的同時，公司以“本質(zhì)安全”思想為指導(dǎo)，以貫徹落實國資委“兩個保護(hù)”提升“四個能力”為思路，努力實現(xiàn)信息化與企業(yè)經(jīng)營管理有機(jī)融合，并在信息安全文化、組織制度、安全技術(shù)三個層面保障企業(yè)的信息系統(tǒng)本質(zhì)安全，為實現(xiàn)海油“二次跨越”戰(zhàn)略構(gòu)想、建設(shè)一流的能源公司保駕護(hù)航。

企業(yè)信息安全既是中國海油自身持續(xù)、穩(wěn)定發(fā)展的客觀需要，也是新形勢下企業(yè)內(nèi)、外部環(huán)境變化的客觀要求。2013年對于信息安全而言，是不平凡的一年。2013年12月，中央成立了“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”，信息安全被提升至國家戰(zhàn)略層面。中國海油也結(jié)合公司自身發(fā)展實際，成立了以總公司CIO為組長的“信息安全綜合治理工作領(lǐng)導(dǎo)小組”，按照“統(tǒng)一規(guī)劃、著眼長遠(yuǎn)、標(biāo)本兼治、統(tǒng)籌兼顧”的原則，繼續(xù)大力推進(jìn)信息系統(tǒng)本質(zhì)安全工作，堅持以“人、機(jī)、環(huán)境、制度”4M（人（MEN）、機(jī)（MACHINE）、環(huán)境（ENVIRONMENT）、管理制度（MANAGEMENT））四位一體，將信息系統(tǒng)本質(zhì)安全工作貫穿于“設(shè)計、接入、防護(hù)、應(yīng)急、審計”五個階段，通過全生命周期的管理打造更加安全的“數(shù)字海油”、“智慧海油”。

1 加強(qiáng)人員培訓(xùn)，提升企業(yè)信息安全文化

本質(zhì)安全的提出，源于20 世紀(jì)50年代世界宇航技術(shù)的發(fā)展。本質(zhì)安全強(qiáng)調(diào)通過追求企業(yè)生產(chǎn)中人、機(jī)、環(huán)境、制度等諸要素的安全可靠及和諧統(tǒng)一，使各種危害因素始終處于受控制狀態(tài)，進(jìn)而逐步趨近本質(zhì)型、恒久型安全目標(biāo)?！叭说谋举|(zhì)安全化”是保障信息安全的最有效的手段。人是信息化工作的推動力，提高全員的信息安全意識和責(zé)任心，杜絕違反信息安全管理制度的行為，發(fā)現(xiàn)隱患及時整改，真正做到防患于未然，達(dá)到人的本質(zhì)安全化，是保障信息安全的必由之路。

1.1 加強(qiáng)人員培訓(xùn)

人員安全培訓(xùn)要求操作者有較好的心理、生理、技術(shù)素質(zhì)，即要“一想”（具有強(qiáng)烈的安全意識）、“二會”（安全技能、專業(yè)崗位知識）、“三能”（能遵守制度、能創(chuàng)造安全環(huán)境、能正確操作設(shè)備）。中國海油通過對不同培訓(xùn)對象進(jìn)行不同類型的信息安全培訓(xùn)的形式，對全體人員進(jìn)行信息安全意識教育培訓(xùn)和信息安全相關(guān)管理制度的推廣培訓(xùn)，增強(qiáng)信息安全意識的同時使員工了解最新的信息安全理論的發(fā)展動向；對IT崗位人員進(jìn)行專業(yè)技能培訓(xùn)，加強(qiáng)專業(yè)人員崗位能力。定期進(jìn)行安全意識和信息安全專業(yè)崗位的考核，保證人員能夠勝任崗位，掌握最新的安全防護(hù)技術(shù)，從而增強(qiáng)信息安全運(yùn)行能力。

1.2 提升安全文化

企業(yè)管理之父彼德·德魯克說過：“任何組織中最稀缺的資源是在文化影響下把任務(wù)執(zhí)行好的人”，這體現(xiàn)了信息安全文化在管理工作中所起的關(guān)鍵作用。中國海油通過積極開展安全文化建設(shè)宣傳活動，大力推廣“本質(zhì)安全化”理念，營造了濃厚的安全生產(chǎn)氣氛，極大地提高了整個集團(tuán)的信息安全生產(chǎn)意識。利用全員征集安全理念的形式，通過投票產(chǎn)生安全理念，使員工在參與過程中加強(qiáng)自身對信息安全文化的認(rèn)識。每個辦公室、會議室、機(jī)房都張貼了安全理念、目標(biāo)、口號等宣傳標(biāo)語；每個工位上，醒目放置了安全理念宣傳貼；每個入網(wǎng)的電腦都有安全提醒屏保推送到員工的面前。通過不斷完善信息安全文化系統(tǒng)及其管理體系，將安全生產(chǎn)工作提高到文化的高度去認(rèn)識，依靠安全文化的潛移默化作用，提高全體員工的安全意識和整體安全文化素質(zhì)，增強(qiáng)企業(yè)的抗風(fēng)險能力和競爭能力。

2 加強(qiáng)5s全生命周期技術(shù)管控，提升信息安全技術(shù)水平

本質(zhì)安全設(shè)計是以危險源辨識為基礎(chǔ)，以風(fēng)險預(yù)控為核心，以技術(shù)手段控制重大危險源為手段的。但信息系統(tǒng)本質(zhì)安全絕不是單點(diǎn)的危險辨識、預(yù)防、控制，它往往遵循木桶短板原理，那就需要我們從物理結(jié)構(gòu)安全、網(wǎng)絡(luò)設(shè)備安全、系統(tǒng)安全、應(yīng)用安全和管理安全等方面進(jìn)行立體的防護(hù)，需要建立“設(shè)計、接入、防護(hù)、應(yīng)急、審計”全生命周期的防護(hù)體系。中國海油從頂層設(shè)計的全面規(guī)劃，到有控制的安全接入，再到接入后的分層防護(hù)，到風(fēng)險出現(xiàn)后的應(yīng)急措施，到事后的審計追溯，環(huán)環(huán)相扣建立起信息安全的堅固的技術(shù)防線，確保了本質(zhì)安全中設(shè)備的安全運(yùn)行。

2.1 設(shè)計階段

中國海油一貫堅持以“頂層設(shè)計是第一要務(wù)”的思想，在國資委“進(jìn)一步加強(qiáng)信息化頂層設(shè)計，處理好局部與全局、重點(diǎn)應(yīng)用與整體推進(jìn)、單項應(yīng)用與發(fā)揮整體職能的作用的關(guān)系，實現(xiàn)信息化建設(shè)全面、協(xié)調(diào)和可持續(xù)發(fā)展”的指導(dǎo)下，中國海油成立了以集團(tuán)CIO為組長的“信息安全綜合治理工作領(lǐng)導(dǎo)小組”，按照“統(tǒng)一規(guī)劃、著眼長遠(yuǎn)、標(biāo)本兼治、統(tǒng)籌兼顧”的原則開展信息系統(tǒng)本質(zhì)安全工作，在更深層次加快信息系統(tǒng)本質(zhì)安全四位一體的融合，更加注重網(wǎng)絡(luò)基礎(chǔ)能力和運(yùn)維能力，更加注重信息安全整治的整體實效，確保信息安全頂層設(shè)計具體落地。針對信息安全組織結(jié)構(gòu)、信息安全管理制度、基礎(chǔ)網(wǎng)絡(luò)安全、信息系統(tǒng)安全等方面，提出有針對性的規(guī)劃設(shè)計，并組織推動實施，收到了良好的效果。

2.2 接入階段

沒有辨識危險源，技術(shù)管理就沒有對象?！安目谌搿笨梢院芎玫脑忈屛ｋU的主要來源，控制好接入階段是信息系統(tǒng)本質(zhì)安全的重中之重。中國海油從三個層面控制接入，對互聯(lián)網(wǎng)出口的控制保障了內(nèi)網(wǎng)的安全，對接入終端的控制保障了內(nèi)部數(shù)據(jù)的安全，對人員接入的控制保障了“人”的本質(zhì)安全。

在互聯(lián)網(wǎng)出口方面，中國海油實現(xiàn)了統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一管理，在互聯(lián)網(wǎng)邊界上統(tǒng)一部署防護(hù)、流量管理、審計、防火墻等設(shè)備，并通過統(tǒng)一的安全策略實現(xiàn)對互聯(lián)網(wǎng)出口的安全防護(hù)；在終端防護(hù)方面，中國海油采用技術(shù)和管理手段，加強(qiáng)終端（包括臺式電腦、筆記本電腦）的安全管理，實現(xiàn)對終端設(shè)備的資產(chǎn)管理、系統(tǒng)補(bǔ)丁管理、非法外聯(lián)控制、網(wǎng)絡(luò)準(zhǔn)入控制、病毒抵御等安全防護(hù)保障，做到有防護(hù)、有檢測、可控制、可審計；在人員接入方面，中國海油采用域用戶統(tǒng)一認(rèn)證方式，保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源，訪問控制檢查用戶標(biāo)識、口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度，大大減少了“人”的無意識操作對信息安全造成的危害。

2.3 防護(hù)階段

信息本質(zhì)安全是“以危險源辨識為基礎(chǔ)，以風(fēng)險預(yù)控為核心”的，可見預(yù)防和保護(hù)是保障信息系統(tǒng)本質(zhì)安全的核心。經(jīng)過多年的信息化建設(shè)及信息安全技術(shù)積累，中國海油形成了以定期進(jìn)行網(wǎng)絡(luò)、系統(tǒng)的漏洞掃描及安全檢查為預(yù)防措施，以系統(tǒng)的分等級保護(hù)、網(wǎng)絡(luò)分層控制為保護(hù)手段的技術(shù)體系。

中國海油根據(jù)網(wǎng)絡(luò)的功能、保密水平、安全水平等要求的差異利用路由器、虛擬局域網(wǎng)VLAN、防火墻等手段將網(wǎng)絡(luò)進(jìn)行分段隔離，使網(wǎng)絡(luò)形成橫向隔離、縱向認(rèn)證的架構(gòu)，可以實現(xiàn)更為細(xì)化的安全控制訪問，將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi)，并通過過濾不安全的服務(wù)來降低風(fēng)險，提高網(wǎng)絡(luò)的整體安全水平。安全漏洞掃描也是作為中國海油安全防御中的一項重要工作，采用模擬攻擊的形式定期對目標(biāo)工作站、服務(wù)器、路由器、交換機(jī)、數(shù)據(jù)庫等各種對象進(jìn)行已知安全漏洞的逐項檢查，然后根據(jù)掃描結(jié)果向管理員提交安全分析報告，并提示管理員修補(bǔ)漏洞，提高了整個網(wǎng)絡(luò)和系統(tǒng)的安全水平。

2.4 應(yīng)急階段

任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致信息網(wǎng)絡(luò)重要數(shù)據(jù)的丟失。因此，中國海油建立了事故及隱患報告機(jī)制，并制定了應(yīng)急響應(yīng)方案及災(zāi)難恢復(fù)制度，并積極響應(yīng)國資委提出的“必須建立健全數(shù)據(jù)的容災(zāi)與備份功能”加強(qiáng)了異地災(zāi)備能力的建設(shè)，并根據(jù)應(yīng)急方案定期開展應(yīng)急演練。演練訓(xùn)練各級維護(hù)人員、事故處置人員，發(fā)現(xiàn)應(yīng)急處置過程中存在的問題，檢驗和評估應(yīng)急預(yù)案可操作性和實用性，提高應(yīng)急能力，為安全運(yùn)行培養(yǎng)更多具有專業(yè)技能的人才，提升企業(yè)數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性保障能力。

2.5 審計階段

應(yīng)急與災(zāi)備技術(shù)保障了企業(yè)數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性，那么審計與日志等信息提供了追溯問題的途徑。中國海油建立了重要系統(tǒng)、網(wǎng)絡(luò)設(shè)備的日志保存機(jī)制，也對網(wǎng)絡(luò)使用情況進(jìn)行統(tǒng)計分析，以監(jiān)視局域網(wǎng)外部繞過或透過防火墻的攻擊。當(dāng)發(fā)生可疑動作時，對網(wǎng)絡(luò)訪問存儲的日志進(jìn)行監(jiān)控審計，結(jié)合重要系統(tǒng)訪問日志審計，分析出可能的遭受攻擊的主機(jī)系統(tǒng)，盡快定位問題。在運(yùn)維過程中，形成安全運(yùn)維制度，定期進(jìn)行日志分析和審計，大大提升了企業(yè)的信息安全風(fēng)險預(yù)防和排查能力，也是對整個信息系統(tǒng)本質(zhì)安全體系的有益補(bǔ)充。

3 加強(qiáng)環(huán)境系統(tǒng)治理，提升環(huán)境系統(tǒng)本質(zhì)安全

信息系統(tǒng)本質(zhì)安全生產(chǎn)過程中，人、機(jī)以及環(huán)境始終是相輔相承的，人機(jī)環(huán)境系統(tǒng)達(dá)到最佳配合，目的是使系統(tǒng)的安全性最好，從而使人在操作過程中感到安全和舒適，讓系統(tǒng)獲得最高的效率，而整個過程也保障了信息系統(tǒng)本質(zhì)安全化。中國海油在特殊的信息安全生產(chǎn)環(huán)境中采用了本質(zhì)安全的“最小化”及“簡單化”原則。在機(jī)房、海洋石油平臺、化工廠房上不使用或使用最少量的危險物質(zhì)以保護(hù)主機(jī)及工控設(shè)備安全運(yùn)行；通過設(shè)計、簡化在特殊生產(chǎn)環(huán)境下的操作的步驟及復(fù)雜度，以減少人為失誤的機(jī)會。與此同時，輔以一定的管理制度及操作標(biāo)準(zhǔn)流程，例如機(jī)房環(huán)境管理辦法等，將發(fā)生信息安全事故的概率降到最低。

4 加強(qiáng)制度體系落實，提升信息系統(tǒng)安全管理本質(zhì)安全

人機(jī)環(huán)境系統(tǒng)本質(zhì)安全化能達(dá)到的程度受技術(shù)及經(jīng)濟(jì)條件的制約，而如何運(yùn)用已有的技術(shù)及經(jīng)濟(jì)條件，并正確支配技術(shù)，則是信息系統(tǒng)本質(zhì)安全管理制度的功能，因此決定人機(jī)環(huán)境系統(tǒng)本質(zhì)安全化程度的是一定經(jīng)濟(jì)及技術(shù)條件下的安全管理水平。

中國海油按照ISO/IEC 27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC 20000-1：2005《Information technology -Service management》建立了一套信息技術(shù)服務(wù)管理體系（ITSMS）。同時，依據(jù)公司內(nèi)控和風(fēng)險管理的要求，公司根據(jù)自身實際情況建立了信息技術(shù)管理制度體系IT-01和IT-02，制度體系文檔由基本制度、管理辦法和操作細(xì)則三部分組成，其中包含22項信息安全內(nèi)容。當(dāng)然，信息安全是此消彼長的過程，公司也每年對IT-01和IT-02進(jìn)行修訂和評審，并加強(qiáng)制度落實與執(zhí)行，公司建立了“以責(zé)任為中心”的管理模塊，推行層次管理，形成“事事有人管、有落實、有考核，人人有事干、有責(zé)任、有監(jiān)督”的全方位的安全管理體系。

打造本質(zhì)信息系統(tǒng)安全是一項長期的系統(tǒng)工程，中國海油將在國資委的領(lǐng)導(dǎo)下，堅持“與時俱進(jìn)，綜合治理，持續(xù)改進(jìn)”的原則。緊緊抓住人的本質(zhì)安全、機(jī)的本質(zhì)安全、環(huán)境的本質(zhì)安全和管理的本質(zhì)安全不放松，實現(xiàn)信息安全生產(chǎn)的目標(biāo)，助力總公司“二次跨越”，為建設(shè)國際一流能源公司貢獻(xiàn)力量！