中信泰富特鋼集團股份有限公司(000708.S2),是中國中信股份有限公司下屬企業(yè),集團旗下江陰興澄特種鋼鐵有限公司、大治特殊鋼有限公司、青島特殊鋼鐵有限公司、靖江特殊鋼有限公司、銅陵泰富特種材料有限公司、揚州泰富特種材料有限公司、泰富特鋼懸架有限公司和浙江泰富無(wú)縫鋼管有限公司,形成了沿海沿江產(chǎn)業(yè)鏈的戰略布局。中信泰富特鋼具備年產(chǎn)1400多萬(wàn)噸特殊鋼生產(chǎn)能力,工藝技術(shù)和裝備具備世界先進(jìn)水平,是目前全球鋼種覆蓋面大、涵蓋品種全、產(chǎn)品類(lèi)別多的精品特殊鋼生產(chǎn)基地。
中信泰富特鋼集團堅持科技進(jìn)步與技術(shù)創(chuàng )新,在管理上不斷完善體系建設,在踐行“中國制造2025”戰略過(guò)程中,積極推動(dòng)互聯(lián)網(wǎng)+、智能制造及數字化轉型。中信泰富特鋼集團發(fā)揮多技術(shù)融合優(yōu)勢,構建大數據智慧、融合的云邊端協(xié)同架構,打造跨云數據中心、跨邊緣節點(diǎn)、跨終端的一棧智能平臺,從管控操全流程強化全過(guò)程管控,構筑多維度智能化安全管控體系。形成了一套適用于大型集團化企業(yè)的信息安全管理新模式。通過(guò)“中國制造2025”和“十四五規劃”的國家戰略為指引,結合中信集團十四五數字化發(fā)展規劃,強化整合、協(xié)同、拓展三大抓手,圍繞基礎架構升級、管理方式優(yōu)化、防護模式變革、技術(shù)賦能等多方面構筑“云邊端”一體化的多維度適應性信息安全管控新體系。
一、建立“1+N”的集團化信息安全管理體系
中信泰富特鋼集團信息安全頂層規劃和集團發(fā)展戰略相融合,集團總部率先認證ISO27001信息安全管理體系,興澄特鋼、大冶特鋼、青島特鋼三大核心下屬企業(yè)多點(diǎn)承接認證該體系,管理、制度承接融合,一總部多基地協(xié)同、密切建設信息安全組織和決策體系,制定集團“全員參與、嚴控風(fēng)險、綜合防范、永續經(jīng)營(yíng)”的信息安全管理總體方針,統一制度規范和安全標準。
二、大型鋼鐵集團化企業(yè)率先認證ISO27001信息安全管理體系
中信泰富特鋼集團作為大型鋼鐵集團化企業(yè)多舉措技術(shù)支撐,率先認證ISO27001信息安全管理體系。建立、實(shí)施、運行、監視、評審、保持和改進(jìn)ISO27001信息安全管理體系,制定集團“全員參與、嚴控風(fēng)險、綜合防范、永續經(jīng)營(yíng)”的信息安全管理總體方針,明確五大管理目標,成立信息安全管理組織。全面梳理信息資產(chǎn),對信息安全風(fēng)險進(jìn)行有效管理,確保信息安全管理體系的持續改進(jìn)和有效性,在九個(gè)方向落實(shí)安全管理。
1.資產(chǎn)分類(lèi)與管理――對于信息技術(shù)有關(guān)的資產(chǎn)進(jìn)行分類(lèi),加強與信息技術(shù)有關(guān)的資產(chǎn)分類(lèi)管理,并對這些資產(chǎn)就價(jià)值和重要性進(jìn)行分類(lèi)標識和保護,通過(guò)文檔加密系統對信息資產(chǎn)進(jìn)行加密管理。
2.人力資源安全――全員簽署保密協(xié)議,加強對工作人員信息安全培訓與教育,建立信息安全領(lǐng)小組和工作協(xié)同小組,提高員工安全防范意識,減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風(fēng)險。
3.物理和環(huán)境安全――分析安全威脅來(lái)源,劃分物理安全區域,云化提升加強對服務(wù)器與用戶(hù)桌面計算機的保護,防止因水、火、盜竊、雷電、電力供應、化學(xué)腐蝕等因素帶來(lái)的安全威脅,并制定計算機設備引進(jìn)、日常運行、銷(xiāo)毀處理程序和辦法。
4.通信與操作管理――通過(guò)堡壘機覆蓋應用系統日常運營(yíng)和維護程序、網(wǎng)絡(luò )管理、存儲介質(zhì)管理;通過(guò)態(tài)勢感知防惡意軟件攻擊;通過(guò)Veeam實(shí)現系統和數據備份與恢復管理、通過(guò)數據總線(xiàn)對信息交換管理等,確保信息處理設施正確和安全運行。
5.訪(fǎng)問(wèn)控制――定義用戶(hù)權限控制策略,規范管理用戶(hù)存取過(guò)程,通過(guò)防火墻和網(wǎng)絡(luò )準入系統實(shí)現應用系統及終端設備的訪(fǎng)問(wèn)接入控制。
6.系統的獲取、開(kāi)發(fā)和維護――明確應用系統安全需求,使用SSL證書(shū)傳輸數據認證;確定加密控制辦法,落實(shí)文檔加密管控;通過(guò)堡壘機,確定開(kāi)發(fā)和支持過(guò)程的安全管理。確保將安全納入信息系統的整個(gè)生命周期。
7.信息安全事件管理――建立安全事件發(fā)生后應急管理制度和上報機制。
8.業(yè)務(wù)持續性管理――制定業(yè)務(wù)持續性管理制度,對業(yè)務(wù)持續性和影響過(guò)程分析;制定業(yè)務(wù)持續性計劃,定期測試、維護、演練、重新評估,并保護關(guān)鍵的業(yè)務(wù)過(guò)程免受重大故障或災難的影響。
9.法律法規符合性――識別現有適用的法律法規,制定個(gè)人信息隱私保護政策;通過(guò)終端準入系統,監測使用合法的、正版的系統軟件與應用軟件,加強計算機安全審計,保障技術(shù)和安全策略的合規性。落實(shí)《網(wǎng)絡(luò )安全法》、《個(gè)人信息保護法》、《數據安全法》的自查自糾。
三、建立常態(tài)化的集團式巡查機制
中信泰富特鋼集團信息安全體系建設堅持統一為原則。集團總部和各下屬企業(yè)信息安全體系統一規劃、統一標準、統一建設、統一管理。同時(shí)將信息安全管理納入企業(yè)管理考核范疇,集團公司制定統一的安全標準,下屬企業(yè)嚴格執行,加強監督及檢查,建立每年的信息安全常態(tài)化巡查和改進(jìn)機制。
四、構建了基于云邊端一體化的sec3信息安全技術(shù)標準體系
中信泰富特鋼集團基于云邊端一體化的信息安全技術(shù)架構,強化云邊、云網(wǎng)、云管能力,通過(guò)云邊端協(xié)同,構建融合開(kāi)放、高效可靠的標準技術(shù)平臺,推動(dòng)企業(yè)信息安全技術(shù)管控水平提升,以網(wǎng)絡(luò )態(tài)勢感知、一體化運維監管、網(wǎng)絡(luò )準入控制、數據安全防護為核心開(kāi)展“智能制造+安全防護”應用示范。
五、多措并舉,構建特鋼行業(yè)集團式信息安全技術(shù)架構
中信泰富特鋼集團在現有機房?jì)却罱ㄌ摂M化私有云基本架構,進(jìn)行小規模部署,利用VMware vSphere建設私有云平臺,實(shí)現整體架構虛擬化,通過(guò)vCenter統一集中管理,使用云計算技術(shù)實(shí)現計算資源虛擬化、存儲資源虛擬化。同時(shí)對老舊主機平臺進(jìn)行技術(shù)遷移,保障核心業(yè)務(wù)更高效穩定的運行,減少了重復投資升級設備的惡性循環(huán)。根據集團核心技術(shù)資料集中統一存放的保密管理要求,建設完成云桌面應用,覆蓋300余名研究院高級技術(shù)人員,所有數據集中存放在企業(yè)內部云平臺,本地無(wú)任何數據,數據加密無(wú)法拷貝、刻錄等,從技術(shù)上有效的加強了信息安全防護。主要創(chuàng )新為:
建設以安全監測控制平臺為中心、以威脅情報為驅動(dòng)、以終端協(xié)同聯(lián)動(dòng)為基礎的信息安全防護體系架構,實(shí)現對工控網(wǎng)絡(luò )、設備、主機的安全防護能力,同時(shí)基于威脅情報技術(shù)對系統通信數據和全日志進(jìn)行快速、自動(dòng)化地關(guān)聯(lián)分析,實(shí)時(shí)發(fā)現辦公和生產(chǎn)網(wǎng)絡(luò )異常和威脅,利用可視化技術(shù)展現威脅和異常的總體安全態(tài)勢,通過(guò)對告警和應急響應的自動(dòng)化發(fā)布、跟蹤和管理,實(shí)現安全風(fēng)險的閉環(huán)管理。
建立統一、集成的大數據運維分析平臺。通過(guò)架構的靈活可擴展性,對各類(lèi)服務(wù)器、網(wǎng)絡(luò )設備等接入管控,實(shí)現集團化管控下的統一門(mén)戶(hù)、統一告警、統一資源、統一流程引擎,統一知識管理的能力,對集團總部與各下屬企業(yè)的設備進(jìn)行集中監管,極大提高運維效率。集團通過(guò)一體化監管平臺建設,實(shí)現IT運維向自動(dòng)化、數智化、集中化轉變。通過(guò)技術(shù)管控的各個(gè)領(lǐng)域,包括監、管、控、服、安全、大數據及人工智能等方面。
六、基于云邊端頂層設計架構、信息安全助力智能化管控平臺
基于工業(yè)互聯(lián)網(wǎng)平臺云邊端頂層設計架構,覆蓋煉鐵產(chǎn)線(xiàn)的各工序單元,建立自動(dòng)化、信息化、網(wǎng)絡(luò )化、智能化的鐵前一體化的智能管控平臺。設備端基于物聯(lián)網(wǎng)和自控系統的升級改造,實(shí)現安全動(dòng)態(tài)感知精準控制;在邊緣智能端構建單元智能管理系統,實(shí)現各單元系統的工況智能診斷及優(yōu)化;在云端基于IaaS、PaaS和SaaS架構搭建煉鐵大數據平臺,實(shí)現煉鐵現場(chǎng)多源設備和異構系統的集成,打破數據“孤島”。
在建設過(guò)程中對大煉鐵產(chǎn)線(xiàn)L1-L2自動(dòng)化系統進(jìn)行升級改造,同時(shí)在此基礎上綜合運用“物、大、智、云、移”技術(shù)進(jìn)行煉鐵產(chǎn)線(xiàn)智能化建設,總體采用云邊端的工業(yè)互聯(lián)網(wǎng)新型架構進(jìn)行功能頂層設計以及架構頂層設計。
信息安全實(shí)踐基于集團級煉鐵大數據智能互聯(lián)平臺建設實(shí)現煉鐵智能制造,在智能制造的“物聯(lián)網(wǎng)、大數據、智能模型、云計算及移動(dòng)互聯(lián)”五大核心中落實(shí)保障。
首先要依據現有基礎硬件檢測條件進(jìn)一步完善工業(yè)傳感器及物聯(lián)網(wǎng)建設以實(shí)現煉鐵產(chǎn)線(xiàn)核心設備的“自感知”,建立煉鐵產(chǎn)線(xiàn)大數據信息的采集、清洗、轉換和存儲,進(jìn)一步保障煉鐵產(chǎn)線(xiàn)數據中心的全生命周期數據安全實(shí)時(shí)監管。
其次網(wǎng)絡(luò )多維度安全接入,在煉鐵廠(chǎng)數據中心部署防火墻安全接入企業(yè)局域網(wǎng),在內網(wǎng)的計算機受控訪(fǎng)問(wèn)監控系統;建立內部可信無(wú)線(xiàn)網(wǎng)絡(luò ),使用煉鐵移動(dòng)工廠(chǎng)APP實(shí)現移動(dòng)互聯(lián);通過(guò)VPN網(wǎng)絡(luò )接入行業(yè)級煉鐵大數據綜合平臺,實(shí)現遠程工況診斷、對標和“云服務(wù)”。
最終通過(guò)在以高爐為中心的大煉鐵產(chǎn)線(xiàn)高耗能設備上加裝設備狀態(tài)監測系統,在云端開(kāi)展對煉鐵產(chǎn)線(xiàn)核心設備實(shí)現云端協(xié)同的設備狀態(tài)監測對監測數據進(jìn)行分析,實(shí)現故障診斷、零部件壽命預測,優(yōu)化維修資源和備件庫存,實(shí)現高耗能設備的預測性維護,從而降低設備全生命周期的運行成本,為企業(yè)的設備安全提供保障。
七、落實(shí)安全防護架構,態(tài)勢感知加強工業(yè)控制安全
結合工信部的《工業(yè)控制系統信息安全防護指南》、《等保2.0》的相關(guān)技術(shù)要求,以垂直分層、水平分區、邊界控制、安全監測、全局管理為總體策略。在集團工業(yè)控制系統首先從運行環(huán)境上通過(guò)管理手段和技術(shù)措施進(jìn)行安全加固,再通過(guò)對工業(yè)控制系統的網(wǎng)絡(luò )邊界隔離、分區分域、主機防護、流量監測審計、入侵檢測、安全運維、統一管理上進(jìn)行安全防護。
邊界隔離,網(wǎng)絡(luò )分層,依托MPLS專(zhuān)線(xiàn)建立集團內部網(wǎng)絡(luò )互聯(lián),通過(guò)新一代防火墻建立邊界防護,網(wǎng)絡(luò )傳輸QOS保護,數據分類(lèi)傳輸。工控防火墻主要部署在L2交換機、Scada交換機、生產(chǎn)應用服務(wù)器等產(chǎn)線(xiàn)網(wǎng)絡(luò )邊界,部署工控防火墻的目的和作用主要是對生產(chǎn)網(wǎng)工控系統進(jìn)行邏輯隔離、訪(fǎng)問(wèn)控制和入侵防范;防止來(lái)自外部網(wǎng)絡(luò )的病毒入侵到工控網(wǎng)絡(luò )中,對工控設備造成危害;阻止網(wǎng)絡(luò )攻擊在不同區域間滲透,阻止蠕蟲(chóng)病毒網(wǎng)絡(luò )間的傳播感染;對MIS系統、Scada、PLC等工業(yè)控制系統進(jìn)行有效的安全保護。
邊緣計算:態(tài)勢感知探針系統以旁路部署在網(wǎng)絡(luò )安全管理中心,通過(guò)在交換機上配置端口鏡像,將流量復制到工控監測審計設備??梢詫た鼐W(wǎng)絡(luò )中的工業(yè)協(xié)議(包含不限于Modbus、S7、IEC104、IEC61850、OPC、EtherNet/IP、DNP3、FINS等等)、通用協(xié)議進(jìn)行深度包檢測(DPI),發(fā)現協(xié)議承載的網(wǎng)絡(luò )攻擊、惡意控制、參數篡改、異常訪(fǎng)問(wèn)、病毒傳播等入侵及異常行為,同時(shí)對關(guān)鍵操作、用戶(hù)誤操作進(jìn)行有效識別和記錄,最后通過(guò)本地安全可視化日志中心,對發(fā)生的攻擊事件、流量異常事件、病毒事件等進(jìn)行有效分析,為工控安全事件調查提供依據。以態(tài)勢感知多探針節點(diǎn)的邊緣數據分析,基于有攻擊就有流量的特點(diǎn)通過(guò)態(tài)勢感知實(shí)現外網(wǎng)、內網(wǎng)全面的安全檢測,有效識別來(lái)自外網(wǎng)及內網(wǎng)的安全風(fēng)險,并直觀(guān)的展現在界面上,實(shí)時(shí)了解網(wǎng)絡(luò )和業(yè)務(wù)系統的安全差誤,有效提升管理效率、降低運維成本,讓安全可感知,安全易運營(yíng)。
安全態(tài)勢感知平臺從數據分析出發(fā),通過(guò)數據分析、信息建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、連續性監控、價(jià)值分析、風(fēng)險和影響性分析、可視化等各個(gè)環(huán)節,采用主動(dòng)、被動(dòng)相結合的方法采集來(lái)自單位和組織中構成信息系統的各種IT資源的安全信息,通過(guò)多維度和指標化的形式來(lái)呈現全網(wǎng)整體安全運行態(tài)勢和資產(chǎn)、漏洞、攻擊以及管理等專(zhuān)題態(tài)勢,并進(jìn)行可視化展示,幫助防御人員輔助決策和運維指導,形成網(wǎng)絡(luò )事前防范、事中監控、事后追溯的閉環(huán)安全運行管理體系。
中信泰富特鋼集團通過(guò)該“云邊端一體化管控操全流程”信息安全體系探索與實(shí)踐,實(shí)現了六大管理成果,間接創(chuàng )效約2.76億元。
1.落實(shí)社會(huì )責任,獲得BSI的27001國際認證證書(shū)。
中信泰富特鋼集團構建了基于云邊端一體化的、全方位全流程信息安全技術(shù)架構體系,具有一定的先進(jìn)性、典范性。通過(guò)風(fēng)險評估,落實(shí)社會(huì )責任,保障了大型央企上市公司企業(yè)經(jīng)營(yíng)活動(dòng)的信息安全。落實(shí)體系建設,通過(guò)了ISO27001信息安全管理體系認證,獲得了英國標準協(xié)會(huì )BSI頒發(fā)的國際認證證書(shū),為集團數字化轉型和工業(yè)互聯(lián)網(wǎng)建設的發(fā)展奠定了良好的基礎。
2.統一了制度規范和安全標準,實(shí)現了五大信息安全管理目標。
集團信息安全頂層規劃和集團發(fā)展戰略相融合。各企業(yè)管理、制度承接融合,一總部多基地協(xié)同、密切建設信息安全組織和決策體系,制定了集團“全員參與、嚴控風(fēng)險、綜合防范、永續經(jīng)營(yíng)”的信息安全管理總體方針,統一了制度規范和安全標準,實(shí)現了五大信息安全管理目標。
3.自主研發(fā)鋼鐵行業(yè)上市公司第一個(gè)風(fēng)控平臺,規范信息披露。
中信泰富特鋼集團結合特鋼行業(yè)特性,建立了鋼鐵行業(yè)上市公司第一個(gè)風(fēng)險內部控制管理等多個(gè)信息安全風(fēng)險管控平臺、將信息安全防護技術(shù)綜合應用在企業(yè)生產(chǎn)、運營(yíng)的各個(gè)方面,形成了一套完整的、可操作的、可復制推廣的一攬子信息安全風(fēng)險解決方案。為規范上市公司信息安全風(fēng)險管控,規范信息披露起到了良好的帶頭示范作用。
4.核心研發(fā)數據安全管理新模式。
在特鋼技術(shù)研究院落實(shí)信息安全管理新模式,創(chuàng )新使用云桌面應用,覆蓋300余名研究院高級技術(shù)人員,從管理和技術(shù)上有效的加強了信息安全防護。
5.建立鋼鐵智造業(yè)工控安全成熟度模型,榮獲工信部“2021年新一代信息技術(shù)與制造業(yè)融合發(fā)展試點(diǎn)示范”。
積極推動(dòng)智能制造和信息安全深度融合、申報國家省市及鋼鐵行業(yè)等的智能制造示范項目、解決方案評選。獲得專(zhuān)利6項、軟著(zhù)14項、起草6項標準、收獲榮譽(yù)28項,發(fā)布:《鋼鐵行業(yè) 數字化工廠(chǎng)網(wǎng)絡(luò )安全要求》。
6.可視化展現安全態(tài)勢,實(shí)現了安全風(fēng)險的閉環(huán)管理。
在中信泰富特鋼信息化整體改造中,以該管理新模式為導向,構建全新的信息化整體升級方案,可視化展現威脅和異常的總體安全態(tài)勢,實(shí)現了安全風(fēng)險的閉環(huán)管理。事前有防范,實(shí)現了對IT資源運行狀態(tài)實(shí)時(shí)監控,故障實(shí)時(shí)告警。事中有應對,根據設備在全網(wǎng)拓撲中的位置,快速分析故障影響范圍。從而采取有效解決方案,提升運維效率。事后有追溯,建設完成中信泰富特鋼集團一體化運維平臺,提供服務(wù)器、交換機,操作系統,應用等歷史性能數據、告警數據、設備日志事件記錄,為故障定位提供全方位參考。
