中信泰富特鋼集團股份有限公司(000708.S2),是中國中信股份有限公司下屬企業,集團旗下江陰興澄特種鋼鐵有限公司、大治特殊鋼有限公司、青島特殊鋼鐵有限公司、靖江特殊鋼有限公司、銅陵泰富特種材料有限公司、揚州泰富特種材料有限公司、泰富特鋼懸架有限公司和浙江泰富無縫鋼管有限公司,形成了沿海沿江產業鏈的戰略布局。中信泰富特鋼具備年產1400多萬噸特殊鋼生產能力,工藝技術和裝備具備世界先進水平,是目前全球鋼種覆蓋面大、涵蓋品種全、產品類別多的精品特殊鋼生產基地。
中信泰富特鋼集團堅持科技進步與技術創新,在管理上不斷完善體系建設,在踐行“中國制造2025”戰略過程中,積極推動互聯網+、智能制造及數字化轉型。中信泰富特鋼集團發揮多技術融合優勢,構建大數據智慧、融合的云邊端協同架構,打造跨云數據中心、跨邊緣節點、跨終端的一棧智能平臺,從管控操全流程強化全過程管控,構筑多維度智能化安全管控體系。形成了一套適用于大型集團化企業的信息安全管理新模式。通過“中國制造2025”和“十四五規劃”的國家戰略為指引,結合中信集團十四五數字化發展規劃,強化整合、協同、拓展三大抓手,圍繞基礎架構升級、管理方式優化、防護模式變革、技術賦能等多方面構筑“云邊端”一體化的多維度適應性信息安全管控新體系。
一、建立“1+N”的集團化信息安全管理體系
中信泰富特鋼集團信息安全頂層規劃和集團發展戰略相融合,集團總部率先認證ISO27001信息安全管理體系,興澄特鋼、大冶特鋼、青島特鋼三大核心下屬企業多點承接認證該體系,管理、制度承接融合,一總部多基地協同、密切建設信息安全組織和決策體系,制定集團“全員參與、嚴控風險、綜合防范、永續經營”的信息安全管理總體方針,統一制度規范和安全標準。
二、大型鋼鐵集團化企業率先認證ISO27001信息安全管理體系
中信泰富特鋼集團作為大型鋼鐵集團化企業多舉措技術支撐,率先認證ISO27001信息安全管理體系。建立、實施、運行、監視、評審、保持和改進ISO27001信息安全管理體系,制定集團“全員參與、嚴控風險、綜合防范、永續經營”的信息安全管理總體方針,明確五大管理目標,成立信息安全管理組織。全面梳理信息資產,對信息安全風險進行有效管理,確保信息安全管理體系的持續改進和有效性,在九個方向落實安全管理。
1.資產分類與管理――對于信息技術有關的資產進行分類,加強與信息技術有關的資產分類管理,并對這些資產就價值和重要性進行分類標識和保護,通過文檔加密系統對信息資產進行加密管理。
2.人力資源安全――全員簽署保密協議,加強對工作人員信息安全培訓與教育,建立信息安全領小組和工作協同小組,提高員工安全防范意識,減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險。
3.物理和環境安全――分析安全威脅來源,劃分物理安全區域,云化提升加強對服務器與用戶桌面計算機的保護,防止因水、火、盜竊、雷電、電力供應、化學腐蝕等因素帶來的安全威脅,并制定計算機設備引進、日常運行、銷毀處理程序和辦法。
4.通信與操作管理――通過堡壘機覆蓋應用系統日常運營和維護程序、網絡管理、存儲介質管理;通過態勢感知防惡意軟件攻擊;通過Veeam實現系統和數據備份與恢復管理、通過數據總線對信息交換管理等,確保信息處理設施正確和安全運行。
5.訪問控制――定義用戶權限控制策略,規范管理用戶存取過程,通過防火墻和網絡準入系統實現應用系統及終端設備的訪問接入控制。
6.系統的獲取、開發和維護――明確應用系統安全需求,使用SSL證書傳輸數據認證;確定加密控制辦法,落實文檔加密管控;通過堡壘機,確定開發和支持過程的安全管理。確保將安全納入信息系統的整個生命周期。
7.信息安全事件管理――建立安全事件發生后應急管理制度和上報機制。
8.業務持續性管理――制定業務持續性管理制度,對業務持續性和影響過程分析;制定業務持續性計劃,定期測試、維護、演練、重新評估,并保護關鍵的業務過程免受重大故障或災難的影響。
9.法律法規符合性――識別現有適用的法律法規,制定個人信息隱私保護政策;通過終端準入系統,監測使用合法的、正版的系統軟件與應用軟件,加強計算機安全審計,保障技術和安全策略的合規性。落實《網絡安全法》、《個人信息保護法》、《數據安全法》的自查自糾。
三、建立常態化的集團式巡查機制
中信泰富特鋼集團信息安全體系建設堅持統一為原則。集團總部和各下屬企業信息安全體系統一規劃、統一標準、統一建設、統一管理。同時將信息安全管理納入企業管理考核范疇,集團公司制定統一的安全標準,下屬企業嚴格執行,加強監督及檢查,建立每年的信息安全常態化巡查和改進機制。
四、構建了基于云邊端一體化的sec3信息安全技術標準體系
中信泰富特鋼集團基于云邊端一體化的信息安全技術架構,強化云邊、云網、云管能力,通過云邊端協同,構建融合開放、高效可靠的標準技術平臺,推動企業信息安全技術管控水平提升,以網絡態勢感知、一體化運維監管、網絡準入控制、數據安全防護為核心開展“智能制造+安全防護”應用示范。
五、多措并舉,構建特鋼行業集團式信息安全技術架構
中信泰富特鋼集團在現有機房內搭建虛擬化私有云基本架構,進行小規模部署,利用VMware vSphere建設私有云平臺,實現整體架構虛擬化,通過vCenter統一集中管理,使用云計算技術實現計算資源虛擬化、存儲資源虛擬化。同時對老舊主機平臺進行技術遷移,保障核心業務更高效穩定的運行,減少了重復投資升級設備的惡性循環。根據集團核心技術資料集中統一存放的保密管理要求,建設完成云桌面應用,覆蓋300余名研究院高級技術人員,所有數據集中存放在企業內部云平臺,本地無任何數據,數據加密無法拷貝、刻錄等,從技術上有效的加強了信息安全防護。主要創新為:
建設以安全監測控制平臺為中心、以威脅情報為驅動、以終端協同聯動為基礎的信息安全防護體系架構,實現對工控網絡、設備、主機的安全防護能力,同時基于威脅情報技術對系統通信數據和全日志進行快速、自動化地關聯分析,實時發現辦公和生產網絡異常和威脅,利用可視化技術展現威脅和異常的總體安全態勢,通過對告警和應急響應的自動化發布、跟蹤和管理,實現安全風險的閉環管理。
建立統一、集成的大數據運維分析平臺。通過架構的靈活可擴展性,對各類服務器、網絡設備等接入管控,實現集團化管控下的統一門戶、統一告警、統一資源、統一流程引擎,統一知識管理的能力,對集團總部與各下屬企業的設備進行集中監管,極大提高運維效率。集團通過一體化監管平臺建設,實現IT運維向自動化、數智化、集中化轉變。通過技術管控的各個領域,包括監、管、控、服、安全、大數據及人工智能等方面。
六、基于云邊端頂層設計架構、信息安全助力智能化管控平臺
基于工業互聯網平臺云邊端頂層設計架構,覆蓋煉鐵產線的各工序單元,建立自動化、信息化、網絡化、智能化的鐵前一體化的智能管控平臺。設備端基于物聯網和自控系統的升級改造,實現安全動態感知精準控制;在邊緣智能端構建單元智能管理系統,實現各單元系統的工況智能診斷及優化;在云端基于IaaS、PaaS和SaaS架構搭建煉鐵大數據平臺,實現煉鐵現場多源設備和異構系統的集成,打破數據“孤島”。
在建設過程中對大煉鐵產線L1-L2自動化系統進行升級改造,同時在此基礎上綜合運用“物、大、智、云、移”技術進行煉鐵產線智能化建設,總體采用云邊端的工業互聯網新型架構進行功能頂層設計以及架構頂層設計。
信息安全實踐基于集團級煉鐵大數據智能互聯平臺建設實現煉鐵智能制造,在智能制造的“物聯網、大數據、智能模型、云計算及移動互聯”五大核心中落實保障。
首先要依據現有基礎硬件檢測條件進一步完善工業傳感器及物聯網建設以實現煉鐵產線核心設備的“自感知”,建立煉鐵產線大數據信息的采集、清洗、轉換和存儲,進一步保障煉鐵產線數據中心的全生命周期數據安全實時監管。
其次網絡多維度安全接入,在煉鐵廠數據中心部署防火墻安全接入企業局域網,在內網的計算機受控訪問監控系統;建立內部可信無線網絡,使用煉鐵移動工廠APP實現移動互聯;通過VPN網絡接入行業級煉鐵大數據綜合平臺,實現遠程工況診斷、對標和“云服務”。
最終通過在以高爐為中心的大煉鐵產線高耗能設備上加裝設備狀態監測系統,在云端開展對煉鐵產線核心設備實現云端協同的設備狀態監測對監測數據進行分析,實現故障診斷、零部件壽命預測,優化維修資源和備件庫存,實現高耗能設備的預測性維護,從而降低設備全生命周期的運行成本,為企業的設備安全提供保障。
七、落實安全防護架構,態勢感知加強工業控制安全
結合工信部的《工業控制系統信息安全防護指南》、《等保2.0》的相關技術要求,以垂直分層、水平分區、邊界控制、安全監測、全局管理為總體策略。在集團工業控制系統首先從運行環境上通過管理手段和技術措施進行安全加固,再通過對工業控制系統的網絡邊界隔離、分區分域、主機防護、流量監測審計、入侵檢測、安全運維、統一管理上進行安全防護。
邊界隔離,網絡分層,依托MPLS專線建立集團內部網絡互聯,通過新一代防火墻建立邊界防護,網絡傳輸QOS保護,數據分類傳輸。工控防火墻主要部署在L2交換機、Scada交換機、生產應用服務器等產線網絡邊界,部署工控防火墻的目的和作用主要是對生產網工控系統進行邏輯隔離、訪問控制和入侵防范;防止來自外部網絡的病毒入侵到工控網絡中,對工控設備造成危害;阻止網絡攻擊在不同區域間滲透,阻止蠕蟲病毒網絡間的傳播感染;對MIS系統、Scada、PLC等工業控制系統進行有效的安全保護。
邊緣計算:態勢感知探針系統以旁路部署在網絡安全管理中心,通過在交換機上配置端口鏡像,將流量復制到工控監測審計設備。可以對工控網絡中的工業協議(包含不限于Modbus、S7、IEC104、IEC61850、OPC、EtherNet/IP、DNP3、FINS等等)、通用協議進行深度包檢測(DPI),發現協議承載的網絡攻擊、惡意控制、參數篡改、異常訪問、病毒傳播等入侵及異常行為,同時對關鍵操作、用戶誤操作進行有效識別和記錄,最后通過本地安全可視化日志中心,對發生的攻擊事件、流量異常事件、病毒事件等進行有效分析,為工控安全事件調查提供依據。以態勢感知多探針節點的邊緣數據分析,基于有攻擊就有流量的特點通過態勢感知實現外網、內網全面的安全檢測,有效識別來自外網及內網的安全風險,并直觀的展現在界面上,實時了解網絡和業務系統的安全差誤,有效提升管理效率、降低運維成本,讓安全可感知,安全易運營。
安全態勢感知平臺從數據分析出發,通過數據分析、信息建模、面向業務的安全域和資產管理、連續性監控、價值分析、風險和影響性分析、可視化等各個環節,采用主動、被動相結合的方法采集來自單位和組織中構成信息系統的各種IT資源的安全信息,通過多維度和指標化的形式來呈現全網整體安全運行態勢和資產、漏洞、攻擊以及管理等專題態勢,并進行可視化展示,幫助防御人員輔助決策和運維指導,形成網絡事前防范、事中監控、事后追溯的閉環安全運行管理體系。
中信泰富特鋼集團通過該“云邊端一體化管控操全流程”信息安全體系探索與實踐,實現了六大管理成果,間接創效約2.76億元。
1.落實社會責任,獲得BSI的27001國際認證證書。
中信泰富特鋼集團構建了基于云邊端一體化的、全方位全流程信息安全技術架構體系,具有一定的先進性、典范性。通過風險評估,落實社會責任,保障了大型央企上市公司企業經營活動的信息安全。落實體系建設,通過了ISO27001信息安全管理體系認證,獲得了英國標準協會BSI頒發的國際認證證書,為集團數字化轉型和工業互聯網建設的發展奠定了良好的基礎。
2.統一了制度規范和安全標準,實現了五大信息安全管理目標。
集團信息安全頂層規劃和集團發展戰略相融合。各企業管理、制度承接融合,一總部多基地協同、密切建設信息安全組織和決策體系,制定了集團“全員參與、嚴控風險、綜合防范、永續經營”的信息安全管理總體方針,統一了制度規范和安全標準,實現了五大信息安全管理目標。
3.自主研發鋼鐵行業上市公司第一個風控平臺,規范信息披露。
中信泰富特鋼集團結合特鋼行業特性,建立了鋼鐵行業上市公司第一個風險內部控制管理等多個信息安全風險管控平臺、將信息安全防護技術綜合應用在企業生產、運營的各個方面,形成了一套完整的、可操作的、可復制推廣的一攬子信息安全風險解決方案。為規范上市公司信息安全風險管控,規范信息披露起到了良好的帶頭示范作用。
4.核心研發數據安全管理新模式。
在特鋼技術研究院落實信息安全管理新模式,創新使用云桌面應用,覆蓋300余名研究院高級技術人員,從管理和技術上有效的加強了信息安全防護。
5.建立鋼鐵智造業工控安全成熟度模型,榮獲工信部“2021年新一代信息技術與制造業融合發展試點示范”。
積極推動智能制造和信息安全深度融合、申報國家省市及鋼鐵行業等的智能制造示范項目、解決方案評選。獲得專利6項、軟著14項、起草6項標準、收獲榮譽28項,發布:《鋼鐵行業 數字化工廠網絡安全要求》。
6.可視化展現安全態勢,實現了安全風險的閉環管理。
在中信泰富特鋼信息化整體改造中,以該管理新模式為導向,構建全新的信息化整體升級方案,可視化展現威脅和異常的總體安全態勢,實現了安全風險的閉環管理。事前有防范,實現了對IT資源運行狀態實時監控,故障實時告警。事中有應對,根據設備在全網拓撲中的位置,快速分析故障影響范圍。從而采取有效解決方案,提升運維效率。事后有追溯,建設完成中信泰富特鋼集團一體化運維平臺,提供服務器、交換機,操作系統,應用等歷史性能數據、告警數據、設備日志事件記錄,為故障定位提供全方位參考。
