中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航
发布时间:2011-11-02   作者:佚名

近年来,中国石油天然气集团公司(以下简称中国石油)为保障石油企业信息化健康、快速发展,保障生产业务安全,高度重视重要信息系统安全保障工作。以开展信息安全等级保护工作为抓手,全面梳理业务信息系统,开展信息系统定级备案、等级测评、安全建设整改和安全检查等一系列工作,制定重要信息系统应急处置预案并组织演练,完善灾难恢复机制,建立重要信息系统安全监控机制,与信息安全专业技术部门建立战略合作联盟,全面推动中国石油重要信息系统安全建设,取得了很大成效。


一、中国石油信息化快速发展,客观要求高度重视信息网络安全工作


中国石油是我国特大型能源集团企业,在国民经济和社会发展中起着举足轻重的作用。近年来,中国石油信息化建设工作遵循“统一、成熟、兼容、实用、高效”的方针,坚持“统一规划、统一标准、统一设计、统一投资、统一建设、统一管理”的原则,全力开展信息化建设,取得了一系列重大进展和大量重要成果:ERP系统在123个单位上线运行,加油站管理系统已经在1.6万座加油站部署实施,勘探开发、炼油化工、天然气管道、工程技术等大型生产业务信息系统已建成应用。


随着信息系统大集中程度不断提高,各类业务对信息系统的依赖性不断加大,信息系统安全保护更为迫切。中国石油十分重视信息系统安全保护工作,特别是2007 年全国实施信息安全等级保护工作之后,石油行业认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。根据国家有关部门的要求,制订了信息系统安全整体解决方案,建立了信息系统安全保障体系,提出了信息安全建设总体目标:全面持续提升信息安全组织管理、风险控制、技术设施和服务能力,逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑集团公司业务发展和总体战略的实施,使中国石油的信息安全水平进入国际石油公司先进行列。“十二五”期间,中国石油信息安全工作遵循“依法保护、综合防范、科学治理”的原则,持续实施信息安全整体解决方案,以信息网络、信息系统、数据、办公计算机和移动终端为防护对象,从管理和技术角度,设计和建设信息安全项目,形成网络访问层层有防护、用户操作时时有审计、不法行为随时可追溯的完整安全防护体系,大幅提高集团公司对信息安全事件风险的预警和响应能力。


二、以信息安全等级保护工作为主线,全面梳理业务系统并定级备案


2007 年,中国石油根据国家信息安全等级保护工作要求,建立了自上而下的工作组织体系,明确了责任部门,突出重点,认真调研,合理确定信息系统安全保护等级,对中国石油统一建设的24个应用系统进行了等级保护定级和备案,制定了《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,要求各企事业单位落实国家要求,在全行业组织开展等级保护工作,加强桌面安全、网络安全、身份认证等安全防护基础工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统安全防御能力,提高系统的可用性和安全性。


在全面组织开展信息系统等级保护定级备案工作之后,中国石油按照等级保护工作的总体部署和“预防为主,防控结合”的思路,聘请专业测评机构,及时开展信息系统等级测评、信息安全检查和风险评估工作。截至目前,完成了整体规划的24个重要信息系统的等级测评工作,查找了系统的不足和安全隐患,制定了安全整改方案,并正在开展安全整改和加固改造,保障了信息系统持续安全稳定运行,进一步提高了集团公司信息系统安全防护能力。


三、以等级保护工作为抓手,全面推动中国石油信息安全建设


近年来,国家对信息安全工作提出了重点要求,尤其对关系到国计民生的特大型企业提出了加强信息安全保障、开展信息系统等级保护工作要求。2010年12月,公安部和国资委联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号),中国石油按照该文件精神和要求,在等级测评和安全建设整改的基础上,不断完善信息安全整体解决方案,以国家信息安全等级保护制度为依据,逐步建立具有中国石油特色的信息安全风险管控机制,把握企业信息安全的基本态势,将风险管控机制和等级保护机制系统化、常态化、制度化,并融入到企业整体战略规划中。


近年来,中国石油以信息安全等级保护工作为抓手,完善了信息安全整体解决方案,包括技术保障体系、管理保障体系和控制保障体系三大体系,共11个项目,以推动信息安全建设工作快速发展。信息系统安全整体解决方案在“完善和防护中国石油一张网”的基础上,技术上采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件和攻击行为的及时发现和防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。运维与管理上建立了三级运维架构:总部信息系统安全运维队伍、区域网络中心信息系统安全运维队伍和企事业单位信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立了中国石油内部信息安全风险评估队伍,并于2010年,完成了地区公司的网络安全风险评估工作; 颁布了10余个信息安全管理规范与标准,制订了多个业务系统运维管理流程和管理办法。


中国石油以实施信息安全项目为保障,目前在建和已完善的项目有:信息安全组织完善、信息安全运行能力建设、桌面安全管理系统、身份认证与授权系统、网络安全域、风险评估能力建设、信息安全制度与标准完善、基础设施安全配置规范开发。正在规划建设的项目有:应用系统安全合规性开发、信息安全运行中心、灾难恢复系统、信息安全审计中心等。其中,与公安部信息安全等级评估中心合作实施信息安全运行中心建设项目,与国家信息安全测评中心合作实施信息安全审计中心项目,均已完成规划设计工作。


四、建立重要信息系统应急处置预案,完善灾难恢复机制


(一)梳理资产,重点检查。2010年,中国石油一是聘请国家信息技术安全研究中心,开展了信息系统安全检查;二是聘请中国信息安全测评中心,开展了网络安全风险评估,开展了信息安全业务培训;三是聘请公安部信息安全等级保护评估中心,开展了信息系统等级测评工作。按照国家信息安全等级保护的标准完成了24个总体规划信息系统的等级测评,测评内容涵盖物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等信息安全各个层面的73类,形成了24份等级测评报告。


(二)风险分析、调整策略。在安全检查和风险评估中发现中国石油下属各企事业单位互联网出口众多,安全防护薄弱,集团公司根据互联网出口存在的安全风险和防护短板,及时调整安全策略,明确要求统一规划、集中建设、统一管理与运维互联网出口。在信息系统等级测评之后,中国石油目前正在按照整改计划进行安全整改。同时,积极推进身份管理与认证系统、桌面安全管理系统等其它信息安全项目推广工作。通过等级测评、安全检查和风险评估工作,梳理了中国石油信息系统和信息资产情况。了解了中国石油信息系统所面临的风险,明确需要重点保护的应用系统及信息资产,整合当前互联网资源,快速及时调整安全策略,形成长期的风险管控机制,建立行之有效的应急响应机制。


(三)应急预案和灾难恢复。中国石油建成了集团级、区域级、地区级三级架构的数据中心,为应用系统持续稳定运行提供了安全可靠的基础运行环境。集团级数据中心主要承载整体规划应用系统的生产运行和灾备;区域数据中心和区域网络中心构成了双机房上联模式,区域数据中心主要部署适度集中的集团公司整体规划信息系统和基础应用,区域网络中心承担集团公司网络接入汇聚备份功能。重要应用系统对国家社会秩序的稳定和集团公司业务发展具有重要作用,保障重要应用系统安全稳定运行是集团公司关心的主要问题之一。2008年,中国石油发布了《网络与信息安全突发事件专项应急预案》,各业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完成对75个项目的灾难恢复等级划分。


五、规划信息安全运行中心,建立重要信息系统安全监控机制


信息安全保障应该是多种技术手段与管理、运维工作的有机融合,目前各业务系统、网络安全设备、桌面需要形成统一的监控与预警体系,安全运维流程、风险评估、政策法规等需要有机结合,出现紧急情况时能具备统一的应急指挥与协调调度能力。在公安部等级保护评估中心的大力支持下,中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油IT资产安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。


安全管理制度与标准流程的建设,是信息安全运行中心的主要职责之一。截至目前,集团公司已经颁布的规章制度与标准规范主要有:《中国石油天然气集团公司计算机信息系统保密管理暂行规定》、《中国石油天然气集团公司计算机网络安全运行管理暂行办法》、《中国石油天然气集团公司信息化工作管理规定》、《中国石油天然气集团公司信息系统安全管理办法》、《中国石油天然气集团公司重大敏感信息发布管理暂行规定》、《中国石油天然气集团公司保密管理规定》、《信息系统灾难恢复管理规范》、《广域网建设与运行维护规范》、《互联网出口建设与运行维护规范》、《局域网建设与运行维护规范》、《数据中心机房建设规范》、《数据中心机房管理规范》、《电子邮件管理规范》、《信息系统安全管理规范》、《终端计算机安全管理规范》、《信息安全风险评估实施指南》、《信息系统密码安全管理规范》、《计算机病毒与网络入侵应急响应管理规范》、《信息系统用户管理规范》、《石油工业计算机信息系统安全管理规范》、《石油工业计算机病毒防范管理规范》等。


六、与信息安全专业技术部门建立战略合作,为中国石油信息化发展保驾护航


日新月异的信息技术给信息安全防护工作带来了极大的难度,借助国家信息安全技术部门的技术力量和人力资源,会达到事倍功半的效果。从2009年开始,集团公司先后同国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级评估中心等单位合作,完成身份认证与管理系统、安全检查、风险评估、等级测评、网络安全规划等工作,为集团公司“十二五”规划提供了有利的技术保障和基础数据。


为保证“十二五”期间信息安全建设的质量和效果,集团公司同上述三家单位建立了长期的战略合作关系。不仅从技术与管理方面帮助集团公司加固信息安全防护措施、完善信息安全管理制度和流程,也通过安全意识培训和技术培训来增强员工信息安全意识、提高集团公司信息安全队伍的技术与管理水平,为集团公司信息化建设的快速发展保驾护航。

文章来源:中国信息安全等级保护网
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号