推進企業信息系統本質安全 助力中國海油二次跨越

◆朱 博

?

推進企業信息系統本質安全 助力中國海油二次跨越

◆朱 博

（中國海洋石油總公司 北京 100010）

本文以中國海洋石油總公司為例，闡述了當前企業信息安全保障的重要性和必要性，分別在技術層面、管理層面、系統層面、政策層面提出了保障企業信息系統安全的方式方法，在實踐工作中具有一定的指導意義。

企業信息系統；企業網絡安全

0 前言

中國海洋石油總公司（以下簡稱“中國海油”）作為“世界500強”前100強企業，在做強做優油氣主業、積極保障國家能源安全的同時，公司以“本質安全”思想為指導，以貫徹落實國資委“兩個保護”提升“四個能力”為思路，努力實現信息化與企業經營管理有機融合，并在信息安全文化、組織制度、安全技術三個層面保障企業的信息系統本質安全，為實現海油“二次跨越”戰略構想、建設一流的能源公司保駕護航。

企業信息安全既是中國海油自身持續、穩定發展的客觀需要，也是新形勢下企業內、外部環境變化的客觀要求。2013年對于信息安全而言，是不平凡的一年。2013年12月，中央成立了“中央網絡安全和信息化領導小組”，信息安全被提升至國家戰略層面。中國海油也結合公司自身發展實際，成立了以總公司CIO為組長的“信息安全綜合治理工作領導小組”，按照“統一規劃、著眼長遠、標本兼治、統籌兼顧”的原則，繼續大力推進信息系統本質安全工作，堅持以“人、機、環境、制度”4M（人（MEN）、機（MACHINE）、環境（ENVIRONMENT）、管理制度（MANAGEMENT））四位一體，將信息系統本質安全工作貫穿于“設計、接入、防護、應急、審計”五個階段，通過全生命周期的管理打造更加安全的“數字海油”、“智慧海油”。

1 加強人員培訓，提升企業信息安全文化

本質安全的提出，源于20 世紀50年代世界宇航技術的發展。本質安全強調通過追求企業生產中人、機、環境、制度等諸要素的安全可靠及和諧統一，使各種危害因素始終處于受控制狀態，進而逐步趨近本質型、恒久型安全目標。“人的本質安全化”是保障信息安全的最有效的手段。人是信息化工作的推動力，提高全員的信息安全意識和責任心，杜絕違反信息安全管理制度的行為，發現隱患及時整改，真正做到防患于未然，達到人的本質安全化，是保障信息安全的必由之路。

1.1 加強人員培訓

人員安全培訓要求操作者有較好的心理、生理、技術素質，即要“一想”（具有強烈的安全意識）、“二會”（安全技能、專業崗位知識）、“三能”（能遵守制度、能創造安全環境、能正確操作設備）。中國海油通過對不同培訓對象進行不同類型的信息安全培訓的形式，對全體人員進行信息安全意識教育培訓和信息安全相關管理制度的推廣培訓，增強信息安全意識的同時使員工了解最新的信息安全理論的發展動向；對IT崗位人員進行專業技能培訓，加強專業人員崗位能力。定期進行安全意識和信息安全專業崗位的考核，保證人員能夠勝任崗位，掌握最新的安全防護技術，從而增強信息安全運行能力。

1.2 提升安全文化

企業管理之父彼德·德魯克說過：“任何組織中最稀缺的資源是在文化影響下把任務執行好的人”，這體現了信息安全文化在管理工作中所起的關鍵作用。中國海油通過積極開展安全文化建設宣傳活動，大力推廣“本質安全化”理念，營造了濃厚的安全生產氣氛，極大地提高了整個集團的信息安全生產意識。利用全員征集安全理念的形式，通過投票產生安全理念，使員工在參與過程中加強自身對信息安全文化的認識。每個辦公室、會議室、機房都張貼了安全理念、目標、口號等宣傳標語；每個工位上，醒目放置了安全理念宣傳貼；每個入網的電腦都有安全提醒屏保推送到員工的面前。通過不斷完善信息安全文化系統及其管理體系，將安全生產工作提高到文化的高度去認識，依靠安全文化的潛移默化作用，提高全體員工的安全意識和整體安全文化素質，增強企業的抗風險能力和競爭能力。

2 加強5s全生命周期技術管控，提升信息安全技術水平

本質安全設計是以危險源辨識為基礎，以風險預控為核心，以技術手段控制重大危險源為手段的。但信息系統本質安全絕不是單點的危險辨識、預防、控制，它往往遵循木桶短板原理，那就需要我們從物理結構安全、網絡設備安全、系統安全、應用安全和管理安全等方面進行立體的防護，需要建立“設計、接入、防護、應急、審計”全生命周期的防護體系。中國海油從頂層設計的全面規劃，到有控制的安全接入，再到接入后的分層防護，到風險出現后的應急措施，到事后的審計追溯，環環相扣建立起信息安全的堅固的技術防線，確保了本質安全中設備的安全運行。

2.1 設計階段

中國海油一貫堅持以“頂層設計是第一要務”的思想，在國資委“進一步加強信息化頂層設計，處理好局部與全局、重點應用與整體推進、單項應用與發揮整體職能的作用的關系，實現信息化建設全面、協調和可持續發展”的指導下，中國海油成立了以集團CIO為組長的“信息安全綜合治理工作領導小組”，按照“統一規劃、著眼長遠、標本兼治、統籌兼顧”的原則開展信息系統本質安全工作，在更深層次加快信息系統本質安全四位一體的融合，更加注重網絡基礎能力和運維能力，更加注重信息安全整治的整體實效，確保信息安全頂層設計具體落地。針對信息安全組織結構、信息安全管理制度、基礎網絡安全、信息系統安全等方面，提出有針對性的規劃設計，并組織推動實施，收到了良好的效果。

2.2 接入階段

沒有辨識危險源，技術管理就沒有對象?！安目谌搿笨梢院芎玫脑忈屛ｋU的主要來源，控制好接入階段是信息系統本質安全的重中之重。中國海油從三個層面控制接入，對互聯網出口的控制保障了內網的安全，對接入終端的控制保障了內部數據的安全，對人員接入的控制保障了“人”的本質安全。

在互聯網出口方面，中國海油實現了統一規劃、統一建設、統一管理，在互聯網邊界上統一部署防護、流量管理、審計、防火墻等設備，并通過統一的安全策略實現對互聯網出口的安全防護；在終端防護方面，中國海油采用技術和管理手段，加強終端（包括臺式電腦、筆記本電腦）的安全管理，實現對終端設備的資產管理、系統補丁管理、非法外聯控制、網絡準入控制、病毒抵御等安全防護保障，做到有防護、有檢測、可控制、可審計；在人員接入方面，中國海油采用域用戶統一認證方式，保證只有被授權的用戶才能訪問網絡和利用資源，訪問控制檢查用戶標識、口令，根據授予的權限限制其對資源的利用范圍和程度，大大減少了“人”的無意識操作對信息安全造成的危害。

2.3 防護階段

信息本質安全是“以危險源辨識為基礎，以風險預控為核心”的，可見預防和保護是保障信息系統本質安全的核心。經過多年的信息化建設及信息安全技術積累，中國海油形成了以定期進行網絡、系統的漏洞掃描及安全檢查為預防措施，以系統的分等級保護、網絡分層控制為保護手段的技術體系。

中國海油根據網絡的功能、保密水平、安全水平等要求的差異利用路由器、虛擬局域網VLAN、防火墻等手段將網絡進行分段隔離，使網絡形成橫向隔離、縱向認證的架構，可以實現更為細化的安全控制訪問，將攻擊和入侵造成的威脅分別限制在較小的子網內，并通過過濾不安全的服務來降低風險，提高網絡的整體安全水平。安全漏洞掃描也是作為中國海油安全防御中的一項重要工作，采用模擬攻擊的形式定期對目標工作站、服務器、路由器、交換機、數據庫等各種對象進行已知安全漏洞的逐項檢查，然后根據掃描結果向管理員提交安全分析報告，并提示管理員修補漏洞，提高了整個網絡和系統的安全水平。

2.4 應急階段

任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致信息網絡重要數據的丟失。因此，中國海油建立了事故及隱患報告機制，并制定了應急響應方案及災難恢復制度，并積極響應國資委提出的“必須建立健全數據的容災與備份功能”加強了異地災備能力的建設，并根據應急方案定期開展應急演練。演練訓練各級維護人員、事故處置人員，發現應急處置過程中存在的問題，檢驗和評估應急預案可操作性和實用性，提高應急能力，為安全運行培養更多具有專業技能的人才，提升企業數據安全和業務連續性保障能力。

2.5 審計階段

應急與災備技術保障了企業數據安全和業務連續性，那么審計與日志等信息提供了追溯問題的途徑。中國海油建立了重要系統、網絡設備的日志保存機制，也對網絡使用情況進行統計分析，以監視局域網外部繞過或透過防火墻的攻擊。當發生可疑動作時，對網絡訪問存儲的日志進行監控審計，結合重要系統訪問日志審計，分析出可能的遭受攻擊的主機系統，盡快定位問題。在運維過程中，形成安全運維制度，定期進行日志分析和審計，大大提升了企業的信息安全風險預防和排查能力，也是對整個信息系統本質安全體系的有益補充。

3 加強環境系統治理，提升環境系統本質安全

信息系統本質安全生產過程中，人、機以及環境始終是相輔相承的，人機環境系統達到最佳配合，目的是使系統的安全性最好，從而使人在操作過程中感到安全和舒適，讓系統獲得最高的效率，而整個過程也保障了信息系統本質安全化。中國海油在特殊的信息安全生產環境中采用了本質安全的“最小化”及“簡單化”原則。在機房、海洋石油平臺、化工廠房上不使用或使用最少量的危險物質以保護主機及工控設備安全運行；通過設計、簡化在特殊生產環境下的操作的步驟及復雜度，以減少人為失誤的機會。與此同時，輔以一定的管理制度及操作標準流程，例如機房環境管理辦法等，將發生信息安全事故的概率降到最低。

4 加強制度體系落實，提升信息系統安全管理本質安全

人機環境系統本質安全化能達到的程度受技術及經濟條件的制約，而如何運用已有的技術及經濟條件，并正確支配技術，則是信息系統本質安全管理制度的功能，因此決定人機環境系統本質安全化程度的是一定經濟及技術條件下的安全管理水平。

中國海油按照ISO/IEC 27001：2005《信息技術安全技術信息安全管理體系要求》和ISO/IEC 20000-1：2005《Information technology -Service management》建立了一套信息技術服務管理體系（ITSMS）。同時，依據公司內控和風險管理的要求，公司根據自身實際情況建立了信息技術管理制度體系IT-01和IT-02，制度體系文檔由基本制度、管理辦法和操作細則三部分組成，其中包含22項信息安全內容。當然，信息安全是此消彼長的過程，公司也每年對IT-01和IT-02進行修訂和評審，并加強制度落實與執行，公司建立了“以責任為中心”的管理模塊，推行層次管理，形成“事事有人管、有落實、有考核，人人有事干、有責任、有監督”的全方位的安全管理體系。

打造本質信息系統安全是一項長期的系統工程，中國海油將在國資委的領導下，堅持“與時俱進，綜合治理，持續改進”的原則。緊緊抓住人的本質安全、機的本質安全、環境的本質安全和管理的本質安全不放松，實現信息安全生產的目標，助力總公司“二次跨越”，為建設國際一流能源公司貢獻力量！