中信泰富特鋼集團股份有限公司(000708.S2),是中國中信股份有限公司下屬企業(yè),集團旗下江陰興澄特種鋼鐵有限公司、大治特殊鋼有限公司、青島特殊鋼鐵有限公司、靖江特殊鋼有限公司、銅陵泰富特種材料有限公司、揚州泰富特種材料有限公司、泰富特鋼懸架有限公司和浙江泰富無縫鋼管有限公司,形成了沿海沿江產業(yè)鏈的戰(zhàn)略布局。中信泰富特鋼具備年產1400多萬噸特殊鋼生產能力,工藝技術和裝備具備世界先進水平,是目前全球鋼種覆蓋面大、涵蓋品種全、產品類別多的精品特殊鋼生產基地。
中信泰富特鋼集團堅持科技進步與技術創(chuàng)新,在管理上不斷完善體系建設,在踐行“中國制造2025”戰(zhàn)略過程中,積極推動互聯(lián)網+、智能制造及數字化轉型。中信泰富特鋼集團發(fā)揮多技術融合優(yōu)勢,構建大數據智慧、融合的云邊端協(xié)同架構,打造跨云數據中心、跨邊緣節(jié)點、跨終端的一棧智能平臺,從管控操全流程強化全過程管控,構筑多維度智能化安全管控體系。形成了一套適用于大型集團化企業(yè)的信息安全管理新模式。通過“中國制造2025”和“十四五規(guī)劃”的國家戰(zhàn)略為指引,結合中信集團十四五數字化發(fā)展規(guī)劃,強化整合、協(xié)同、拓展三大抓手,圍繞基礎架構升級、管理方式優(yōu)化、防護模式變革、技術賦能等多方面構筑“云邊端”一體化的多維度適應性信息安全管控新體系。
一、建立“1+N”的集團化信息安全管理體系
中信泰富特鋼集團信息安全頂層規(guī)劃和集團發(fā)展戰(zhàn)略相融合,集團總部率先認證ISO27001信息安全管理體系,興澄特鋼、大冶特鋼、青島特鋼三大核心下屬企業(yè)多點承接認證該體系,管理、制度承接融合,一總部多基地協(xié)同、密切建設信息安全組織和決策體系,制定集團“全員參與、嚴控風險、綜合防范、永續(xù)經營”的信息安全管理總體方針,統(tǒng)一制度規(guī)范和安全標準。
二、大型鋼鐵集團化企業(yè)率先認證ISO27001信息安全管理體系
中信泰富特鋼集團作為大型鋼鐵集團化企業(yè)多舉措技術支撐,率先認證ISO27001信息安全管理體系。建立、實施、運行、監(jiān)視、評審、保持和改進ISO27001信息安全管理體系,制定集團“全員參與、嚴控風險、綜合防范、永續(xù)經營”的信息安全管理總體方針,明確五大管理目標,成立信息安全管理組織。全面梳理信息資產,對信息安全風險進行有效管理,確保信息安全管理體系的持續(xù)改進和有效性,在九個方向落實安全管理。
1.資產分類與管理――對于信息技術有關的資產進行分類,加強與信息技術有關的資產分類管理,并對這些資產就價值和重要性進行分類標識和保護,通過文檔加密系統(tǒng)對信息資產進行加密管理。
2.人力資源安全――全員簽署保密協(xié)議,加強對工作人員信息安全培訓與教育,建立信息安全領小組和工作協(xié)同小組,提高員工安全防范意識,減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險。
3.物理和環(huán)境安全――分析安全威脅來源,劃分物理安全區(qū)域,云化提升加強對服務器與用戶桌面計算機的保護,防止因水、火、盜竊、雷電、電力供應、化學腐蝕等因素帶來的安全威脅,并制定計算機設備引進、日常運行、銷毀處理程序和辦法。
4.通信與操作管理――通過堡壘機覆蓋應用系統(tǒng)日常運營和維護程序、網絡管理、存儲介質管理;通過態(tài)勢感知防惡意軟件攻擊;通過Veeam實現(xiàn)系統(tǒng)和數據備份與恢復管理、通過數據總線對信息交換管理等,確保信息處理設施正確和安全運行。
5.訪問控制――定義用戶權限控制策略,規(guī)范管理用戶存取過程,通過防火墻和網絡準入系統(tǒng)實現(xiàn)應用系統(tǒng)及終端設備的訪問接入控制。
6.系統(tǒng)的獲取、開發(fā)和維護――明確應用系統(tǒng)安全需求,使用SSL證書傳輸數據認證;確定加密控制辦法,落實文檔加密管控;通過堡壘機,確定開發(fā)和支持過程的安全管理。確保將安全納入信息系統(tǒng)的整個生命周期。
7.信息安全事件管理――建立安全事件發(fā)生后應急管理制度和上報機制。
8.業(yè)務持續(xù)性管理――制定業(yè)務持續(xù)性管理制度,對業(yè)務持續(xù)性和影響過程分析;制定業(yè)務持續(xù)性計劃,定期測試、維護、演練、重新評估,并保護關鍵的業(yè)務過程免受重大故障或災難的影響。
9.法律法規(guī)符合性――識別現(xiàn)有適用的法律法規(guī),制定個人信息隱私保護政策;通過終端準入系統(tǒng),監(jiān)測使用合法的、正版的系統(tǒng)軟件與應用軟件,加強計算機安全審計,保障技術和安全策略的合規(guī)性。落實《網絡安全法》、《個人信息保護法》、《數據安全法》的自查自糾。
三、建立常態(tài)化的集團式巡查機制
中信泰富特鋼集團信息安全體系建設堅持統(tǒng)一為原則。集團總部和各下屬企業(yè)信息安全體系統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一建設、統(tǒng)一管理。同時將信息安全管理納入企業(yè)管理考核范疇,集團公司制定統(tǒng)一的安全標準,下屬企業(yè)嚴格執(zhí)行,加強監(jiān)督及檢查,建立每年的信息安全常態(tài)化巡查和改進機制。
四、構建了基于云邊端一體化的sec3信息安全技術標準體系
中信泰富特鋼集團基于云邊端一體化的信息安全技術架構,強化云邊、云網、云管能力,通過云邊端協(xié)同,構建融合開放、高效可靠的標準技術平臺,推動企業(yè)信息安全技術管控水平提升,以網絡態(tài)勢感知、一體化運維監(jiān)管、網絡準入控制、數據安全防護為核心開展“智能制造+安全防護”應用示范。
五、多措并舉,構建特鋼行業(yè)集團式信息安全技術架構
中信泰富特鋼集團在現(xiàn)有機房內搭建虛擬化私有云基本架構,進行小規(guī)模部署,利用VMware vSphere建設私有云平臺,實現(xiàn)整體架構虛擬化,通過vCenter統(tǒng)一集中管理,使用云計算技術實現(xiàn)計算資源虛擬化、存儲資源虛擬化。同時對老舊主機平臺進行技術遷移,保障核心業(yè)務更高效穩(wěn)定的運行,減少了重復投資升級設備的惡性循環(huán)。根據集團核心技術資料集中統(tǒng)一存放的保密管理要求,建設完成云桌面應用,覆蓋300余名研究院高級技術人員,所有數據集中存放在企業(yè)內部云平臺,本地無任何數據,數據加密無法拷貝、刻錄等,從技術上有效的加強了信息安全防護。主要創(chuàng)新為:
建設以安全監(jiān)測控制平臺為中心、以威脅情報為驅動、以終端協(xié)同聯(lián)動為基礎的信息安全防護體系架構,實現(xiàn)對工控網絡、設備、主機的安全防護能力,同時基于威脅情報技術對系統(tǒng)通信數據和全日志進行快速、自動化地關聯(lián)分析,實時發(fā)現(xiàn)辦公和生產網絡異常和威脅,利用可視化技術展現(xiàn)威脅和異常的總體安全態(tài)勢,通過對告警和應急響應的自動化發(fā)布、跟蹤和管理,實現(xiàn)安全風險的閉環(huán)管理。
建立統(tǒng)一、集成的大數據運維分析平臺。通過架構的靈活可擴展性,對各類服務器、網絡設備等接入管控,實現(xiàn)集團化管控下的統(tǒng)一門戶、統(tǒng)一告警、統(tǒng)一資源、統(tǒng)一流程引擎,統(tǒng)一知識管理的能力,對集團總部與各下屬企業(yè)的設備進行集中監(jiān)管,極大提高運維效率。集團通過一體化監(jiān)管平臺建設,實現(xiàn)IT運維向自動化、數智化、集中化轉變。通過技術管控的各個領域,包括監(jiān)、管、控、服、安全、大數據及人工智能等方面。
六、基于云邊端頂層設計架構、信息安全助力智能化管控平臺
基于工業(yè)互聯(lián)網平臺云邊端頂層設計架構,覆蓋煉鐵產線的各工序單元,建立自動化、信息化、網絡化、智能化的鐵前一體化的智能管控平臺。設備端基于物聯(lián)網和自控系統(tǒng)的升級改造,實現(xiàn)安全動態(tài)感知精準控制;在邊緣智能端構建單元智能管理系統(tǒng),實現(xiàn)各單元系統(tǒng)的工況智能診斷及優(yōu)化;在云端基于IaaS、PaaS和SaaS架構搭建煉鐵大數據平臺,實現(xiàn)煉鐵現(xiàn)場多源設備和異構系統(tǒng)的集成,打破數據“孤島”。
在建設過程中對大煉鐵產線L1-L2自動化系統(tǒng)進行升級改造,同時在此基礎上綜合運用“物、大、智、云、移”技術進行煉鐵產線智能化建設,總體采用云邊端的工業(yè)互聯(lián)網新型架構進行功能頂層設計以及架構頂層設計。
信息安全實踐基于集團級煉鐵大數據智能互聯(lián)平臺建設實現(xiàn)煉鐵智能制造,在智能制造的“物聯(lián)網、大數據、智能模型、云計算及移動互聯(lián)”五大核心中落實保障。
首先要依據現(xiàn)有基礎硬件檢測條件進一步完善工業(yè)傳感器及物聯(lián)網建設以實現(xiàn)煉鐵產線核心設備的“自感知”,建立煉鐵產線大數據信息的采集、清洗、轉換和存儲,進一步保障煉鐵產線數據中心的全生命周期數據安全實時監(jiān)管。
其次網絡多維度安全接入,在煉鐵廠數據中心部署防火墻安全接入企業(yè)局域網,在內網的計算機受控訪問監(jiān)控系統(tǒng);建立內部可信無線網絡,使用煉鐵移動工廠APP實現(xiàn)移動互聯(lián);通過VPN網絡接入行業(yè)級煉鐵大數據綜合平臺,實現(xiàn)遠程工況診斷、對標和“云服務”。
最終通過在以高爐為中心的大煉鐵產線高耗能設備上加裝設備狀態(tài)監(jiān)測系統(tǒng),在云端開展對煉鐵產線核心設備實現(xiàn)云端協(xié)同的設備狀態(tài)監(jiān)測對監(jiān)測數據進行分析,實現(xiàn)故障診斷、零部件壽命預測,優(yōu)化維修資源和備件庫存,實現(xiàn)高耗能設備的預測性維護,從而降低設備全生命周期的運行成本,為企業(yè)的設備安全提供保障。
七、落實安全防護架構,態(tài)勢感知加強工業(yè)控制安全
結合工信部的《工業(yè)控制系統(tǒng)信息安全防護指南》、《等保2.0》的相關技術要求,以垂直分層、水平分區(qū)、邊界控制、安全監(jiān)測、全局管理為總體策略。在集團工業(yè)控制系統(tǒng)首先從運行環(huán)境上通過管理手段和技術措施進行安全加固,再通過對工業(yè)控制系統(tǒng)的網絡邊界隔離、分區(qū)分域、主機防護、流量監(jiān)測審計、入侵檢測、安全運維、統(tǒng)一管理上進行安全防護。
邊界隔離,網絡分層,依托MPLS專線建立集團內部網絡互聯(lián),通過新一代防火墻建立邊界防護,網絡傳輸QOS保護,數據分類傳輸。工控防火墻主要部署在L2交換機、Scada交換機、生產應用服務器等產線網絡邊界,部署工控防火墻的目的和作用主要是對生產網工控系統(tǒng)進行邏輯隔離、訪問控制和入侵防范;防止來自外部網絡的病毒入侵到工控網絡中,對工控設備造成危害;阻止網絡攻擊在不同區(qū)域間滲透,阻止蠕蟲病毒網絡間的傳播感染;對MIS系統(tǒng)、Scada、PLC等工業(yè)控制系統(tǒng)進行有效的安全保護。
邊緣計算:態(tài)勢感知探針系統(tǒng)以旁路部署在網絡安全管理中心,通過在交換機上配置端口鏡像,將流量復制到工控監(jiān)測審計設備??梢詫た鼐W絡中的工業(yè)協(xié)議(包含不限于Modbus、S7、IEC104、IEC61850、OPC、EtherNet/IP、DNP3、FINS等等)、通用協(xié)議進行深度包檢測(DPI),發(fā)現(xiàn)協(xié)議承載的網絡攻擊、惡意控制、參數篡改、異常訪問、病毒傳播等入侵及異常行為,同時對關鍵操作、用戶誤操作進行有效識別和記錄,最后通過本地安全可視化日志中心,對發(fā)生的攻擊事件、流量異常事件、病毒事件等進行有效分析,為工控安全事件調查提供依據。以態(tài)勢感知多探針節(jié)點的邊緣數據分析,基于有攻擊就有流量的特點通過態(tài)勢感知實現(xiàn)外網、內網全面的安全檢測,有效識別來自外網及內網的安全風險,并直觀的展現(xiàn)在界面上,實時了解網絡和業(yè)務系統(tǒng)的安全差誤,有效提升管理效率、降低運維成本,讓安全可感知,安全易運營。
安全態(tài)勢感知平臺從數據分析出發(fā),通過數據分析、信息建模、面向業(yè)務的安全域和資產管理、連續(xù)性監(jiān)控、價值分析、風險和影響性分析、可視化等各個環(huán)節(jié),采用主動、被動相結合的方法采集來自單位和組織中構成信息系統(tǒng)的各種IT資源的安全信息,通過多維度和指標化的形式來呈現(xiàn)全網整體安全運行態(tài)勢和資產、漏洞、攻擊以及管理等專題態(tài)勢,并進行可視化展示,幫助防御人員輔助決策和運維指導,形成網絡事前防范、事中監(jiān)控、事后追溯的閉環(huán)安全運行管理體系。
中信泰富特鋼集團通過該“云邊端一體化管控操全流程”信息安全體系探索與實踐,實現(xiàn)了六大管理成果,間接創(chuàng)效約2.76億元。
1.落實社會責任,獲得BSI的27001國際認證證書。
中信泰富特鋼集團構建了基于云邊端一體化的、全方位全流程信息安全技術架構體系,具有一定的先進性、典范性。通過風險評估,落實社會責任,保障了大型央企上市公司企業(yè)經營活動的信息安全。落實體系建設,通過了ISO27001信息安全管理體系認證,獲得了英國標準協(xié)會BSI頒發(fā)的國際認證證書,為集團數字化轉型和工業(yè)互聯(lián)網建設的發(fā)展奠定了良好的基礎。
2.統(tǒng)一了制度規(guī)范和安全標準,實現(xiàn)了五大信息安全管理目標。
集團信息安全頂層規(guī)劃和集團發(fā)展戰(zhàn)略相融合。各企業(yè)管理、制度承接融合,一總部多基地協(xié)同、密切建設信息安全組織和決策體系,制定了集團“全員參與、嚴控風險、綜合防范、永續(xù)經營”的信息安全管理總體方針,統(tǒng)一了制度規(guī)范和安全標準,實現(xiàn)了五大信息安全管理目標。
3.自主研發(fā)鋼鐵行業(yè)上市公司第一個風控平臺,規(guī)范信息披露。
中信泰富特鋼集團結合特鋼行業(yè)特性,建立了鋼鐵行業(yè)上市公司第一個風險內部控制管理等多個信息安全風險管控平臺、將信息安全防護技術綜合應用在企業(yè)生產、運營的各個方面,形成了一套完整的、可操作的、可復制推廣的一攬子信息安全風險解決方案。為規(guī)范上市公司信息安全風險管控,規(guī)范信息披露起到了良好的帶頭示范作用。
4.核心研發(fā)數據安全管理新模式。
在特鋼技術研究院落實信息安全管理新模式,創(chuàng)新使用云桌面應用,覆蓋300余名研究院高級技術人員,從管理和技術上有效的加強了信息安全防護。
5.建立鋼鐵智造業(yè)工控安全成熟度模型,榮獲工信部“2021年新一代信息技術與制造業(yè)融合發(fā)展試點示范”。
積極推動智能制造和信息安全深度融合、申報國家省市及鋼鐵行業(yè)等的智能制造示范項目、解決方案評選。獲得專利6項、軟著14項、起草6項標準、收獲榮譽28項,發(fā)布:《鋼鐵行業(yè) 數字化工廠網絡安全要求》。
6.可視化展現(xiàn)安全態(tài)勢,實現(xiàn)了安全風險的閉環(huán)管理。
在中信泰富特鋼信息化整體改造中,以該管理新模式為導向,構建全新的信息化整體升級方案,可視化展現(xiàn)威脅和異常的總體安全態(tài)勢,實現(xiàn)了安全風險的閉環(huán)管理。事前有防范,實現(xiàn)了對IT資源運行狀態(tài)實時監(jiān)控,故障實時告警。事中有應對,根據設備在全網拓撲中的位置,快速分析故障影響范圍。從而采取有效解決方案,提升運維效率。事后有追溯,建設完成中信泰富特鋼集團一體化運維平臺,提供服務器、交換機,操作系統(tǒng),應用等歷史性能數據、告警數據、設備日志事件記錄,為故障定位提供全方位參考。
